Историю российских кибератак против Украины можно разделить на два периода, пишут авторы украинского исследования «Кибервойна России против Украины: демодернизированный режим против сетевого общества», опубликованного проектом PONARS. Первый период скрытых прокси-атак начался в конце 2013 года вместе с Евромайданом и продолжался в 2014 году. Эти атаки совершались, чтобы собрать информацию на случай полномасштабной войны с Украиной, считают авторы, и протестировать украинскую киберинфраструктуру. Второй период высокой интенсивности атак пришелся уже на 2022 год. Но в промежутке между ними Украина пережила две мощных кибератаки: в 2015-м была атакована энергетическая система, а в 2017-м на короткое время парализована работа банков, аэропортов и Чернобыльской АЭС. После чего Киев приложил усилия для создания кибервойск и систем противодействия разведывательной и подрывной деятельности.
В кибервойне, начавшейся параллельно с вторжением, основной целью России была попытка парализовать информационную систему Украины, а российские хакеры работали в тандеме с военными (за месяц до вторжения Россия совершила очередную кибератаку на Украину и получила данные 2,6 млн людей, юридических лиц и государственных агентств). Однако ни одна из атак не оказалась вполне успешной. Ключевую роль в низкой эффективности российских кибератак сыграли горизонтальные структуры в украинском обществе.
Эти структуры уже показывали свою эффективность во время Евромайдана и первой активной фазы кибервойны в 2014–2015 годах. Например, тактическая система управления «Крапива» для координации действий военных была разработана украинскими волонтерами, а затем стала использоваться Министерством обороны Украины. Наиболее ярким примером горизонтального объединения стала украинская IT-армия, которая объединяет всех желающих совершать DDoS-атаки на российские информационные сервисы. Инициатором идеи стал известный украинский IT-предприниматель Егор Аушев. В армии есть две основные группы: группа атакующих Россию и группа обороняющих украинскую информационную инфраструктуру. Сейчас в киберармии около 240 тыс. человек по всему миру, координируемых через Telegram-канал, в котором регулярно появляются призывы атаковать информационные ресурсы России, например сайт Пенсионного фонда РФ, сайты изданий, поддерживающих войну, «Почту России» и т. д. В результате атаки ресурс прекращает функционировать, а вместо привычного интерфейса появляется антивоенный призыв. Несмотря на то что созданию армии способствовало правительство Украины, сейчас она представляет собой самоподдерживающуюся систему независимых акторов.
Авторы исследования отмечают также, что поддержка США сыграла существенную роль в кибервойне против России. Киберпространство позволяет бороться с российскими атаками, не будучи непосредственной частью конфликта. Схожие выводы содержатся и в достаточно подробном докладе о кибервойне России против Украины, подготовленном экспертами Microsoft. Доклад описывает структуру кибервойск, методы и цели российских киберопераций, а также стратегии, используемые Украиной для обороны, и общие выводы о мерах, которые стоит предпринять другим странам, чтобы обеспечить свою кибербезопасность.
Во-первых, для защиты от военного вторжения страны должны распределять свои цифровые активы за пределами своих границ. В первые дни вторжения Россия пыталась атаковать ракетами правительственные центры обработки данных. Но Украина смогла поддерживать гражданские и военные операции в рабочем режиме, так как перенесла свою цифровую инфраструктуру в Европу. Во-вторых, достижения в разведке киберугроз помогли Украине выдержать большой процент кибератак со стороны России. В целом сопротивление российской агрессии оказывает «коалиция, включающая страны, корпорации и НКО», что и обеспечивает ее эффективность.
Авторы отмечают, что российские атаки во время вторжения не похожи на предыдущие. Они стали более изощренными и нацеленными исключительно на украинские домены. Наконец, Россия стала активнее атаковать правительства союзников Украины (в первую очередь правительства стран НАТО). Атакам подверглись цифровые сети Польши, Дании, Финляндии, Турции и Норвегии. Чаще всего атаковали благотворительные организации, IT-компании и энергетическую инфраструктуру. Авторы утверждают, что в кибератаках России можно выделить четыре основные цели: обеспечить поддержку войны в России, подорвать уверенность украинского общества в способности сопротивляться российской армии, подорвать западное единство и отвлечь внимание от войны и создать технологические сложности для стран, которые потенциально могут стать союзниками Украины, а также призывают приложить больше усилий для борьбы с российскими киберугрозами.