Хронологія атак росії проти України Microsoft вказує на нову еру гібридної війни.

Microsoft попереджає, що за кілька тижнів до російського вторгнення 24 лютого шість спонсорованих державою хакерських груп здійснили понад 237 кібератак проти України.

Компанія опублікувала доповідь, в якій детально описується, як російські кібератаки проти України були «сильно пов’язані» або «безпосередньо приурочені» до її військових операцій в країні.

Наприклад, 1 березня декілька київських медіа-компаній були вражені шкідливим ПЗ, що краде інформацію, що співпало з ракетним ударом по київській телевежі того ж дня.

Потім 13 березня російський хакер, якого підтримує уряд, вкрав дані організації з ядерної безпеки, яка пов’язана з захопленням  військами рф Чорнобильської та Запорізької АЕС.

У звіті детальніше розглядається використання росією руйнівного зловмисного ПЗ під час і до вторгнення, перше з яких було виявлено Microsoft у середині січня і названо WhisperGate. За словами компанії, поєднання кібернетики та військових вказує на російську стратегію гібридної війни.

«Використання росією кібератак, здається, тісно пов’язане, а іноді й безпосередньо приурочене до її кінетичних військових операцій, спрямованих на служби та установи, важливі для цивільного населення», – каже Том Берт (Tom Burt), віце-президент корпоративної безпеки та довіри клієнтів Microsoft.

Згідно з повідомленням, за день до вторгнення російських військ в Україну оператори, пов’язані з ГРУ, розпочали руйнівні атаки на сотні систем в українських урядових, IT, енергетичних та фінансових організаціях.

Microsoft виявила 37 деструктивних атак зловмисного ПЗ на Україну в період з 24 лютого по 8 квітня через вісім відомих сімейств шкідливих програм. Серед яких FoxBlade, FiberLake, IsaacWiper/HermeticWiper/SonicVote і CaddyWiper, а також Industroyer2, спрямований на промислові системи управління (АСУ). У багатьох випадках зловмисне ПЗ використовувало утиліту SecureDelete для видалення даних.

Уряд США два тижні тому попередив про підозрювану російську шкідливу програму під назвою Pipedream, яка була налаштована для компрометації обладнання АСУ кількох постачальників.

Українські чиновники на початку цього місяця також заявили, що зупинили кібератаку на енергетичний об’єкт, яка могла призвести до відключення електроенергії до двох мільйонів людей.

«Відомі та підозрювані російські групи 37 разів розгортали шкідливе ПЗ та зловживали легітимними утилітами, щоб знищити дані в цільових системах. SecureDelete — це законна утиліта Windows, яку зловмисники зловживали, щоб остаточно видалити дані з цільових пристроїв», — йдеться у звіті Microsoft.

«Більше 40% руйнівних атак були спрямовані на організації в критично важливих секторах інфраструктури, які могли б мати негативний вторинний вплив на уряд, військові, економіку та людей», – зазначає Microsoft.

Крім того, 32% руйнівних інцидентів торкнулися українських державних організацій на національному, регіональному та міському рівнях.

Трьома основними російськими військовими відомствами, які Microsoft визначає у звіті, є ГРУ, СВР (Служба зовнішньої розвідки росії) і ФСБ. Основними методами початкового доступу були фішинг, використання невиправлених вразливостей та компрометація постачальників ІТ-послуг.

Microsoft стверджує, що російські кібератаки, схоже, «працюють у тандемі» проти цілей військової діяльності. Проте було невизначеним, чи були вони скоординованими, централізованими чи існував лише загальний набір зрозумілих пріоритетів.

«Іноді атаки на комп’ютерну мережу безпосередньо передували військовій атаці, але з нашої точки зору такі випадки були рідкісними. Кібероперації до цих пір узгоджувалися з діями щодо деградації, порушення або дискредитації українських урядових, військових та економічних функцій, забезпечення безпеки опори в критичній інфраструктурі та зменшення доступ української громадськості до інформації», – зазначають в Microsoft.

Берт каже, що після відкриття Microsoft WhisperGate компанія встановила безпечну лінію зв’язку з українськими чиновниками і з тих пір надає підтримку.

Напередодні вторгнення Microsoft також помітила, що російські кібератаки стають дедалі гучнішими та руйнівними і зазвичай посилюються після дипломатичних невдач, пов’язаних з Україною та членами НАТО.

Берт закликав усі організації звернути увагу на попередження, опубліковані Агентством кібербезпеки та інфраструктурної безпеки США (CISA) та іншими урядовими агенціями США через побоювання, що військова підтримка НАТО Україні може призвести до того, що зусилля росії вийдуть за межі українських цілей.

«З огляду на те, що російські загрози відображають і посилюють військові дії, ми вважаємо, що кібератаки будуть продовжувати ескалувати в міру загострення конфлікту. Російським державним втілювачам загроз може бути доручено розширити свої руйнівні дії за межами України, щоб помститися тим країнам, які вирішать надавати більше військової допомоги та вживати більше каральних заходів проти російського уряду у відповідь на триваючу агресію», – попередив Берт.

Бомби та ракети руйнують українські міста. В інформаційному просторі аналогічно діє кіберзброя.

Це нове покоління зброї замінює вибухівку руйнівним програмним забезпеченням (шкідливе ПЗ), а ракетні установки — мережевими вразливостями. Кіберзброя проникає в основні мережі супротивника, встановлює дистанційний контроль і завдає хаосу, стираючи дані в комп’ютерах, викликаючи витік даних та небезпечні збої в основних службах і критично важливих інфраструктурах.

Але кіберзброя принципово відрізняється від традиційної «кінетичної» зброї: вона часто менш цільова. Іншими словами, коли країна застосовує кіберзброю у якійсь країні, вона може вразити інші цілі, аніж задумані її виробники. Коли шкідливе ПЗ переміщається всередині мережі цілі, воно може ненавмисно поширитися на інших. Дослідники називають це «ефектом переливу».

Оскільки Росія веде війну проти України за допомогою кіберзброї, ризик поширення на європейські країни та фірми в усьому світі продовжує зростати. Microsoft виявила багато українських комп’ютерів, уражених шкідливим ПЗ «wiper», яке стирає їхній вміст у складний для відновлення спосіб. Останніми днями Microsoft також виявила нове зловмисне програмне забезпечення (під назвою «FoxBlade»), яке зосереджено на крадіжці даних про здоров’я, страхування та передачі даних з основних українських служб. Поточний технічний аналіз визначить, наскільки ймовірно поширення цих шкідливих програм за межі України. Але враховуючи минулі приклади поширення шкідливого ПЗ з України в інші країни, уряди по всьому світу видають попередження про можливий ризик поширення. Також з’являються підозрілі збої в європейських системах, які можуть виявитися побічними. Ізоляція від кінетичної війни більше не означає, що ми захищені від наслідків самої війни.

Як Європі має підготуватися та реагувати на побічні збитки від кібервійни? Крім технологічного захисту та втручань, треба ширше визначити поняття «безпеки» та підходи до її досягнення.

Традиційно концепція безпеки розвивалася разом із поняттями загрози та сили, насамперед у військових. Цільовий об'єкт і існуючі загрози були пов'язані з фізичними доменами до кінця минулого століття.

У лютому 1998 року, коли США готували бомбардування Іраку, хтось проник у військові комп’ютерні мережі. Виявилося, що це був не штат, а якісь підлітки з Каліфорнії. Ця подія, відома як Solar Sunrise, пролила світло на кібердомен. Це підняло політичні дебати щодо активів, вразливості та можливостей, якими мають керувати уряди, щоб захистити свої об’єкти та об’єкти зацікавлених сторін у кіберпросторі.

Для розробки національної стратегії кібербезпеки необхідно зробите декілька речей. Треба визначити принципи, пріоритети та активи для управління (від економічних до соціальних стовпів); зрозуміти питання технічної безпеки з точки зору об'єктів, якими потрібно керувати (конфіденційність, доступність і цілісність даних), і того, як зловмисники можуть скомпрометувати комп'ютерну систему (шляхом маніпулювання потоками контролю, а саме інструкціями про те, що слід виконувати на комп'ютері); виявити та розвинути можливості захисту від конкретних загроз принципам і пріоритетам держави; розгорнути ці можливості як проекції ширшої державної влади.

Національна стратегія кібербезпеки вимагає підходу, який охоплює агенції та сектори, визначає цілі та планує дії, спрямовані на підвищення безпеки та стійкості національних інфраструктур та служб.

Безпека в кіберпросторі має перетворитися з технічної проблеми на більш широке суспільне благо, яке розвивається багатьма суб’єктами суспільства. ІТ-експерти, законодавці, регулятори, суспільствознавці, групи громадянського суспільства та установи повинні співпрацювати. Уряди більше не повинні нести виключно відповідальність за підтримання безпеки та стабільності в межах своїх кордонів; інші актори повинні бути глибоко залучені.

Українці та їхні союзники вже почали демонструвати цей ширший підхід, зокрема, за допомогою постійного глибокого обміну інформацією між приватними компаніями та відповідними урядами про застосовувану кіберзброї, використання різноманітних та мінливих інформаційних каналів (а не лише офіційних веб-сайтів) для демонстрації наполегливості та стабільності українського уряду, незважаючи на атаки на його інфраструктуру, співпраці між цивільними та військовими групами для формування бригад кіберзахисту та добровольчих сил.

На тлі катастрофи війни, що триває в Україні, європейські країни можуть і повинні готуватися до кібервипливу, створюючи ширшу коаліцію різних зацікавлених сторін. Наступна кібервійна буде не просто технологічною проблемою, це буде проблема кожного.

Після вторгнення Росії в Україну, чиновники по всьому світу висловили занепокоєння щодо можливих кібератак.

Хелі Тіірмаа-Клаар (Heli Tiirmaa-Klaar), запрошений співробітник Perry World House і директор Інституту цифрового суспільства в Європейській школі менеджменту та технологій, розповіла виданню Penn Today про те, як кібератаки сформували сучасну війну та як країни адаптують свої стратегії.


Хелі Тіірмаа-Клаар потрапила в сферу кібербезпеки після того, як у 2007 р. Естонія зазнала масштабної скоординованої кібератаки. Тоді за створення національної кіберстратегії та забезпечення захисту критичних активів краіни у майбутньому відповідало Міністерство оборони Естонії.
 

Раніше Хелі Тіірмаа-Клаар працювала планувальником оборонної політики, і в підсумку очолила процес складання першої національної кіберстратегії Естонії після атаки 2007 року. Відтоді вона працює над питаннями кібербезпеки.

Що до того, як загалом виглядає кібервійна та кібербезпека, то поки що, за іі словами, не виявлено кіберзасобів, які спричиняють руйнування під час воєн. Те, що було помічено під час конфліктів, — це кібератаки, які використовуються для порушення комунікацій та функціонування інформаційних систем. Протиборствуючи сторони часто використовують цей метод, щоб завдати шкоди стратегічним комунікаціям свого супротивника та порушити інформаційні системи чи повідомлення своїм власним людям.

З точки зору кібербезпеки, країни зазвичай запобігають нападам, впроваджуючи найкращі методи, оновлення вимог безпеки та забезпечення багаторівневої системи кіберзахисту.

Одне з поширених помилкових уявлень про кібератаки під час політично мотивованих кампаній або конфліктів полягає в тому, що вони мають свою власну логіку і відбуваються поза ширшим стратегічним контекстом. Натомість вони фактично використовуються ворогуючими сторонами для допомоги чи сприяння іншим цілям, будь то політичні чи на полі бою. Загалом, кібератаки відбуваються тому, що є сенс використовувати ці атаки в ширшому, систематичному підході до поля бою, і, якщо країни мають політичну мотивацію атакувати іншу країну, кібератака, безумовно, може бути частиною цього.

Більшість жителів Заходу розуміють кібератаки як метод атаки, заснований на технології, яка виводить з ладу деякі ІТ-системи. Але для росіян це переважно інформаційна війна. Для Росії найважливішою частиною кібер- або інформаційної війни було б поширення дезінформації, яка служить їхнім інтересам у конфлікті.

Ми бачимо, як росіяни використовують дезінформацію, щоб переконатися, що власне населення не дізнається правди ззовні про те, що відбувається в Україні. Вони також використовували тактику поширення дезінформації на полі бою, щоб солдати не втратили моральний дух.

Інформаційна війна також відбулася під час російського вторгнення в Грузію в 2008 році. Поширилася масштабна кампанія дезінформації про те, як грузинські війська почали військові дії, а кібератаки використовувалися в перші дні конфлікту, щоб виключити можливість грузинського уряду розмістити повідомлення зі своєю версією подій. Під час нинішнього вторгнення в Україну за кілька днів до початку війни були спроби псування та інші кібератаки на українські міністерства, але вони були досить професійно пом’якшені.

В той же час, цього разу кібератак було небагато. Як вважають спеціалісти, це сталося тому, що цього разу українці були підготовлені, тому що мали досвід захисту від кібератак під час російського вторгнення 2014 року і навчилися на них. І хоча цю інформаційну війну можна убачити на задньому плані, більшість експертів дивуються, що відсутні основні її кіберелементи.

 

Аргумент на користь цього полягає в тому, що якщо росіяни дійсно можуть знищити електростанції чи іншу інфраструктуру, навіщо їм проводити кібератаку? Країни, як правило, використовують кібератаки, якщо їм потрібно нанести певні втрати нижче порогу збройного конфлікту, у цій сірій зоні між миром і війною. Але зараз конфлікт розгорівся, тож їм не потрібно його приховувати.

 

Кібератаки під час війни відіграють певну роль. Кожного разу вони чомусь навчають. У цій нинішній війні використовувалися менш звичайні методи кібератак. Незважаючи на те, що відбувалися деякі реальні кібернетики, наприклад, проти супутникового зв’язку, інше питання, наскільки вони успішні.

Країни по-різному захищаються від таких типів кібератак. Західні країни не хочуть переходити на лінію контролю над вмістом, і саме тому вони мають важкі бар’єри адаптації щодо того, як подбати про ці аспекти інформаційної операції.

Але, якщо необхідно підготуватися, то треба це зробити, тому що це частина російської стратегії з самого початку. Для росіян це все частина континууму інструментів, які вони можуть використовувати: дезінформація з одного боку, ядерна зброя з іншого.

Зміни технології та у способах її реалізації ведуть до змін бізнес-ризиків.

Хоча хмарні послуги загалом вважаються більш надійними, компанії стикаються з новими ризиками з SaaS і загальнодоступною хмарою – ризиками, які незнайомі або не зовсім зрозумілі. Люди дивуються, коли вони стають свідками подій тривалого відключення, як-от недавня проблема з Atlassian. Раптом проблеми надійності SaaS стають актуальними, оскільки бізнес не може отримати доступ до свого улюбленого інструменту.

Унікальний ризик використання SaaS полягає в тому, що користувач не має контролю над програмою чи інструментом і не може самостійно реалізувати його повторно.

Компаніям потрібно проаналізувати вплив SaaS і хмарних служб на бізнес, як і для будь-якої іншої технології, яка використовується.

Для забезпечення надійності SaaS треба перш за все визначити відповідальність постачальника. Довіряйте, але перевіряйте заяви постачальників щодо угод про рівень обслуговування, які підтримують операції та плани стійкості. Вимагайте, щоб постачальники SaaS поділилися своїми можливостями стійкості. Зрозумійте дизайн, архітектуру та модель розгортання цих послуг SaaS. Вони повинні бути прозорими. Які можливості стійкості розробив постачальник SaaS, щоб протистояти збоям? Постачальник повинен чітко уявляти, які сценарії збою він охоплює, а які ні.

Хоча деякі постачальники SaaS можуть зафіксувати свій дизайн та архітектуру як секретні, не погоджуйтеся на шаблонні відповіді. Залучайте фахівців із практики відновлення, щоб вони дізналися про те, як SaaS-оператор керує своїми послугами, включно з операційною практикою.

Необхідно вносити в контракти вимоги про рівень обслуговування (SLA) з реальними наслідками для постачальників. Залежно від конкретного інструменту SaaS, збій може означати величезні витрати для вашого бізнесу – непрацюючі співробітники, пропущені терміни, неможливість продати або відправити продукти, втрату фізичної або цифрової безпеки, загрозу життю та ризики для репутації. Експерти рекомендують зробити так, щоб ваші угоди про рівень обслуговування з постачальником відповідали важливості послуги для вашого бізнесу.

Вочевидь, стійкість вашого бізнесу - це ваша турбота. За допомогою SaaS ви уникаєте запуску та підтримки програми, але в разі перебоїв у роботі служби ви зазнаєте збитків. Ви не маєте доступу до інфраструктури, щоб зібрати все це разом. Підготуйтеся до сценаріїв розвитку, які ваш постачальник SaaS не охоплює, і розробіть план контролю та пом’якшення наслідків, які може вжити ваш бізнес, щоб мінімізувати вплив на нього відключень SaaS.

Контроль ризиків повинен охоплювати, зокрема, втрату або пошкодження даних та резервне копіювання даних. Здебільшого постачальники SaaS не несуть відповідальності за клієнтські дані, вони можуть бути частиною їх резервних копій, але вони не захищають від випадкового видалення або пошкодження. Треба розуміти, що резервне копіювання даних із SaaS не дає гарантій, що замовник може відновити свою бізнес-операцію у разі збою. Резервні копії даних забезпечують захист ваших даних у разі пошкодження та відновлюють їх у SaaS. Далі, треба відстежувати ключові залежності хмарних сервісів.

Маючи на увазі можливі короткострокові перебої в роботі, визначте стікість до збою у службі. Більшість збоїв у хмарі та SaaS є відносно короткими, і хоча така ситуація є незручною, цінність, яку надає SaaS, перевищує. Визначте, коли це рівняння змінюється та потрібно вжити заходів - наприклад, обхідні шляхи чи міграцію служби.

Необхідно визначити ключові процеси та операції, які потребують обхідних шляхів для підтримки роботи бізнесу навіть у погіршеному стані. Плануючи сценарії відключень, ставте ключові запитання. Наприклад, якщо ваша система спільної роботи недоступна, як команди ділитимуться ключовими документами до відновлення служби?

При переході на довгострокове відключення треба враховувати, що більшість компаній SaaS мають чималий набір конкурентів, готових допомогти вам перейти на їхню платформу. Визначте заздалегідь, які постачальники найкраще підійдуть для ваших потреб. Проведіть ретельну перевірку свого альтернативного постачальника, оскільки це може наражати на такі ж ризики, як і ваш поточний постачальник.

Слід практикувати перевірки та кроки вдосконалення ваших операцій зі стійкості. Для стійкості і відновлення необхідно, щоб усі співробитники  організації знали, що вони робитимуть у випадку, якщо ключова програма чи служба перебувають у автономному режимі.

Так само як і з самокерованою інфраструктурою, ключ до виживання після збою SaaS полягає в тому, щоб знати ризики, запровадити засоби контролю, щоб пом’якшити ці ризики, а потім перевірити свої плани, щоб переконатися, що вони працюють і кожен знає, як діяти у разі кризи.

Оскільки супутники Maxar Technologies продовжують збирати зображення російського вторгнення в Україну, компанія працює з клієнтами, щоб виділити більше потужностей для задоволення потреб уряду США, заявив генеральний директор Maxar Деніел Яблонський (Daniel Jablonsky).

Маючи на орбіті чотири супутники, компанії часто не вистачає вільної потужності, сказав Яблонський в інтерв’ю на космічному симпозіумі в Колорадо-Спрінгс. "Але ми домовилися з деякими іншими нашими клієнтами, щоб мати можливість збільшити потужності для США та союзників», підкреслив Яблонський. Компанія також отримує близько 200 запитів на зображення в день від ЗМІ.

Maxar та інші комерційні компанії, що створюють зображення, співпрацювали із розвідувальними службами США та союзними урядами ще до вторгнення Росії, щоб відстежувати переміщення військ, а також надавати зображення для підтримки зусиль з надання гуманітарної допомоги.

Основні замовники Maxar - Національне управління розвідки та Національне агентство геопросторової розвідки – більш ніж удвічі збільшили закупівлю комерційних електрооптичних зображень в Україні з початку конфлікту. Зменшення потенціалу буде проблемою, «поки ми не запустимо Legion», - сказав Яблонський.

WorldView Legion - це сузір'я з шести супутників, які мають вирішальне значення для майбутнього компанії. Але ж проект зазнав затримки під час пандемії Covid. Зовсім нещодавно запуск перших двох супутників, які були заплановані на початок літа, знову ймовірно буде затримано через нестачу українських вантажних літаків «Антонов». Літаки використовуються для транспортування компонент програми від заводу до місця запуску.

Після того, як нові супутники вийдуть на орбіту, може знадобитися від 45 до 90 днів на випробування та калібрування, перш ніж вони повністю запрацюють.

Поточний парк Maxar включає WorldView-1 з роздільною здатністю 50 сантиметрів; GeoEye-1 і WorldView-2 - з 40 см та WorldView-3, що забезпечує 30 см.

Усі супутники Legion забезпечують 30-сантиметрові зображення. «Ми можемо отримати до 20 см, якщо полетимо нижче», – сказав Яблонський. - «Маючи повну групу з шести, ми будемо подвоювати нашу потужність збору щодня. І втричі збільшимо нашу 30-сантиметрову потужність».

З початку війни Maxar також збільшив виробництво 3D-карт українських міст, щоб допомогти оцінити руйнквання від російських атак, заявив Яблонський.

Maxar використовує власний архів супутникових зображень, знімки з дронів та відео, поєднує їх із 3D-технологіями для створення середовищ, які відтворюють реальний світ.

Ця можливість, відома як «точна 3D-геореєстрація», використовувалася, наприклад, для створення цифрових зображень частин світу для навчання армії США. 3D-відображення рельєфу Землі також можна перетворити на навігаційну систему, щоб автомобілі могли їхати автономно, а літаки могли безпечно літати без GPS.

Яблонський сказав, що компанія постачає тривимірні карти «територій України, які, на нашу думку, були важливими».

Maxar отримав 3D-технологію завдяки придбанню компанії Vricon у 2020 році.

Фінансовий директор компанії Біггс Портер (Biggs Porter) сказав, що за останній рік Maxar інвестував додатково 30 мільйонів доларів у технологію 3D-картографування. «Це можливість для зростання», - підкреслив Біггс на конференції інвесторів JP Morgan.

У збірці детективних оповідань про Шерлока Холмса 1892 року сер Артур Конан Дойль написав про «дивний випадок із собакою вночі», коли пес нічого не робив під час скоєння злочину. «Це був курйозний випадок», — сказав Холмс.

Відсутність значних кібератак проти України з боку росії під час нинішньої війни – це собака, який не гавкав і не кусав. Експерти з кібербезпеки по всьому світу ламають голову над тим, чому рф, маючи надзвичайно потужні можливості для кібератак, як продемонстрували NotPetya, втручання у вибори та порушення ланцюга постачання ПЗ SolarWinds, не зробила більше, щоб порушити цифрові операції в Україні.

Окрім кількох ізольованих і в основному неефективних атак та напрочуд м’якої кампанії дезінформації, росія або утримувалася, або була нездатна розім’яти свої значні м’язи кібервійні в конфлікті. Гостре питання: чому?

«росія сприймалася як величезна наддержава, коли справа доходить до кібернетики, – сказав Ліор Дів (Lior Div), співзасновник і виконавчий директор Cybereason, під час віртуального брифінгу цього тижня про війну між Україною та росією. - Ми були впевнені, що перше, що зробить росія, -  це використає можливості в кібер-полі, щоб послабити Україну».

Світова технічна спільнота надала допомогу, виявляючи варіанти шкідливого ПЗ, спрямовані на інфраструктуру України, перш ніж вони можуть завдати значної шкоди. Корпорація Microsoft виявила шкідливі програми FoxBlade і Whispergate, які можуть вивести з ладу комп'ютери та інші цільові пристрої. SentinelOne задокументував використання росією шкідливого програмного забезпечення Wiper, яке може перезаписувати ключові дані у флеш-пам’яті, як частину атаки на основного постачальника супутників країни, Viasat.

«Ми бачили спробу знищити супутникову компанію в Україні, – зазначив Див. - Це була невдала спроба».

На додаток до невдалих атак на мережеві системи, росія, схоже, програє і пропагандистську війну в Інтернеті. У середині березня Meta Platforms. швидко видалило фейкове відео з Facebook, на якому президент України Володимир Зеленський призиває громадян України здатися.

Україна також в значній мірі покладалася на зашифрований додаток для обміну повідомленнями Telegram для протидії онлайн-кампаніям дезінформації та забезпечення того, щоб її громадяни отримували точну й актуальну інформацію про війну. Іронія в тому, що платформу Telegram заснував російський технологічний підприємець Павло Дуров.

Серед деяких західних дипломатів існувало переконання, що президент росії путін неправильно розрахував тривалість нападу його країни на Україну. Це, у свою чергу, могло сприяти нестачі вогневої сили в діях російської кібервійни, які здебільшого обмежувалися вандалізмом на веб-сайтах, атаками відмови в обслуговуванні на урядові сервери та короткочасним порушенням роботи банківської системи країни.

Те, що кібер-сектор став критичним елементом сучасної війни, є помітною частиною українсько-російського конфлікту. росія, по суті, використовувала Україну як лабораторію для тестування своїх можливостей кібервійни протягом років, що передували її вторгненню в країну.

У 2015 році скерована росією кібератака відключила електроенергію для чверті мільйона громадян України перед Різдвом, після чого відбулося додаткове відключення електроенергії протягом кількох місяців. Окрім енергетичного сектору, протягом кількох років російські хакери атакували українські ЗМІ, фінанси, транспорт, політичні та військові установи.

Слід зазначити, що росія використала свої попередні вторгнення в українські системи на початку цьогорічної операції. Як нещодавно описали два високопоставлені чиновники безпеки НАТО у виданні Foreign Affairs, на початку конфлікту росія успішно розгорнула шкідливе програмне забезпечення проти цивільної комунікаційної інфраструктури та військових центрів управління та управління.

Ця минула історія атак також підготувала Україну до нинішнього конфлікту, і країна використовувала технології для використання слабких місць у бойових операціях росії. Військові чиновники США вважають, що принаймні один російський генерал був убитий внаслідок використання незахищених мобільних телефонів.

Хоча здається, що хвалених можливостей росії для кібератак наразі не вистачає, керівники Cybereason застерігають, що Росія вживає заходів, щоб залучити до ладу широку мережу злочинних хакерів.

Група Conti, яка займається вимаганням як послуга, однією з перших скористалася вразливістю Log4j, нещодавно використала свій darknet веб-сайт, щоб оголосити про підтримку російського уряду та про намір помститися країнам, які підтримують Україну. Те, що колись було політикою росії щодо кримінальних угруповань-викупників, тепер стало більш спільною моделлю.

«Раніше ми називали це ігнорованим державою, але тепер держава ігнорується, — сказав Див. - Ми побачимо відмову від картелю програм-вимагачів. Як тільки уряд візьме під контроль картель програм-вимагачів, у нього з’являться величезні можливості».

Протягом кількох тижнів єдина мобільна базова станція дозволяла тисячам в обложеному українському місті залишатися на зв’язку. Про це у Wired вийшов великий матеріал днями.

На проспекті Будівельників у центрі Маріуполя височіє семиповерховий офіс компанії «Київстар».

В цьому офісі розташована «основна» станція мобільного зв’язку, яка підключена до 148 базових станцій, які гарантували мешканцям Маріуполя та за його межами можливість телефонувати близьким та виходили в мережу. Але це було тоді, в іншому світі.

«Одна за одною всі ці базові станції виходили з ладу, – сказав Володимир Лутченко, технічний директор «Київстар», під час відеодзвінка із відносної безпеки на Західній Україні. - Перш за все через відключення живлення, потім через фізичні пошкодження».

Протягом кількох тижнів російські війська тримають Маріуполь в облозі, перекриваючи постачання найважливіших продуктів харчування, воду та електропостачання. Цілі квартали зруйновані російськими обстрілами та ракетами, вогонь горить у квартирах, тіла мирних жителів розкидані вулицями. Міська влада стверджує, що кількість загиблих у Маріуполі становить 5 тисяч, а 90% будівель пошкоджено. Хоча сотні тисяч євакуйовані, чиновники підрахували, що 170 тис. людей все ще перебувають у місті, і в них мало способів сказати своїм близьким, що вони ще живі.

З початку неспровокованої війни Росії проти України наприкінці лютого, системи зв’язку країни часто були об’єктами російських атак. «У нас є низка міст, які наразі не мають телекомунікацій», повідомляє Держспецзвʼязку України.

Маріпуоль – одне із них. Інформація не може потрапити у Маріуполь, але і не може вийти. «Нам вдалося зберегти центральний сайт у безпеці до недавнього часу», – каже Лутченко.

Оскільки росіяни вибили електричну мережу, працівники «Київстару» підтримували останню базову станцію в Маріуполі в режимі онлайн за допомогою генератора. Навіть із відновленням обслуговування зв’язок був слабким, каже Лутченко, і люди тяжіли б до будівлі «Київстар», де сигнал був найсильнішим, щоб вийти в Інтернет і повідомити близьким.

Але ж на офіс був здійснений напад.

По всьому Маріуполю втрата зв’язку означає, що саван приховує те, що відбувається на землі. Люди за межами міста не знають, чи живі їхні близькі всередині; ті, хто все ще всередині, не знають, чи безпечно спробувати уникнути обстрілу.

Відсутність доступу до інформації поставила Маріуполь у центр дезінформації. Після того, як російські війська розбомбили пологовий будинок, російський уряд використав зображення української б'юті-блогерки Маріанни Подгурської, щоб стверджувати, що напад був інсценований. Неправдиві твердження були ретельно спростовані.

«Вони не знають, що відбувається ні в цій країні, ні в світі. Вони нічого не знають. Вони знають лише, що хочуть жити, а їхні діти хочуть жити», - сказав Нік Осиченко, генеральний директор Маріупольського телебачення.

За межами Маріуполя український децентралізований Інтернет відносно добре витримує атаки Росії - багато людей все ще можуть без проблем отримати доступ. Але в містах, де електрика втрачена, а інфраструктура обстріляна бомбардуваннями, мало що можна зробити.

Офіс «Київстар» у Маріуполі неодноразово обстрілювали, а зв’язок базової станції остаточно розірвався в середині березня. Будівля має дірки на стінах, спричинені російськими снарядами. Усі його нижні вікна вибиті. Всередині - все розкурочено.

Закриття базової станції «Київстар» залишає місто відключеним від себе та всіх інших. «Нуль», – каже технологічний директор «Київстар» Володимир Лутченко про мобільний зв’язок Маріуполя. - Зв’язку немає взагалі».

Лутченко не знає, що сталося з інженерами, які підтримували службу для тисяч людей. «На жаль, одного разу прийшли російські війська, увійшли в будівлю, замкнули хлопців у підвал і припинили всі зв’язки, – розповідає Лутченко. - З того часу ми не маємо жодної інформації чи де вони».

Згодом Лутченко отримав повідомлення, що інженери, які обслуговують базову станцію в офісі Київстар на проспекті Будівельників, вижили і знаходяться поза офісом, повідомляє Forbes.

Як стало відомо, фінська компанія зіграла ключову роль у забезпеченні кібершпигунства Росії, що демонструють документи, які були отримані The New York Times.

Цього місяця Nokia заявила, що припинить продажі в Росії і засудила вторгнення в Україну. Але фінська компанія не згадала, що залишає після себе: обладнання та ПЗ, що поєднує найпотужніший урядовий інструмент цифрового спостереження з найбільшою в країні телекомунікаційною мережею.

Цей інструмент використовувався для відстеження прихильників лідера опозиції Олексія Навального. Слідчі заявили, що інструмент перехоплював телефонні дзвінки ворога Кремля, якого пізніше було засуджено і зараз він перебуває у тюрьмі. СОРМ (Система технических средств для обеспечения функций оперативно-разыскных мероприятий) , також, швидше за все, використовується проти антивоєнних виступів у Росії.

Згідно з документами, які на руках The New York Times, понад п'ять років Nokia надавала обладнання та послуги для підключення СОРМ до найбільшого російського оператора зв'язку МТС. ФСБ Росії використовує систему для прослуховування телефонних розмов, перехоплення електронних та текстових повідомлень, а також відстеження інших інтернет-комунікацій.

Документи, що охоплюють період з 2008 по 2017 рр., показують у подробицях, що раніше не повідомлялися, що Nokia знала про запуск російської системи спостереження. Ця робота була потрібна фінському виробнику для ведення бізнесу в Росії, де вона стала провідним постачальником обладнання та послуг для різних клієнтів у сфері телекомунікацій.

Конфлікт в Україні перевернув уявлення про те, що продукти та послуги є агностичними. У минулому технологічні компанії стверджували, що краще залишатися на авторитарних ринках, навіть якщо це означало дотримання законів, написаних автократами.

Уроки, які компанії отримують з того, що відбувається в Росії, можуть мати наслідки в інших авторитарних країнах, де продаються передові технології.

«Ми повинні ставитись до складних технологій спостереження так само, як до ракет або безпілотників, - заявив Том Маліновскі (Tom Malinowski), демократ із Нью-Джерсі, який був помічником держсекретаря з прав людини в адміністрації Обами. - Нам потрібні відповідні заходи контролю за поширенням таких систем, як і щодо інших чутливих елементів національної безпеки».

Андрій Солдатов, експерт з російської розвідки та цифрового стеження, який ознайомився з деякими документами Nokia на запит The Times, заявив, що без участі компанії в СОРМ «зробити таку систему було б неможливо».

У Nokia, яка не заперечувала справжність документів, заявили, що за російським законодавством потрібно виготовити продукти, які дозволили б локальним операторам зв'язку підключитися до системи СОРМ. Компанія також додала, що не виробляє, не встановлює та не обслуговує обладнання СОРМ.

Документи, які розглянула The Times, були частиною майже двох терабайт внутрішньої електронної пошти Nokia, мережевих схем, контрактів, ліцензійних угод та фотографій. Фірма з кібербезпеки UpGuard та видання TechCrunch раніше повідомляли про деякі документи, що пов'язують Nokia з державною системою спостереження.

СОРМ, що з'явилася щонайменше у 1990-х роках, схожа на системи, які використовуються правоохоронними органами по всьому світу для прослуховування телефонних розмов та спостереження за злочинними об'єктами. Від виробників телекомунікаційного обладнання, таких як Nokia, часто потрібне забезпечення безперебійної роботи таких систем, відомих як законне перехоплення, в мережах зв'язку.

У демократичних країнах поліція, як правило, зобов'язана отримати ухвалу суду, перш ніж вимагати дані у постачальників телекомунікаційних послуг. У Росії система СОРМ обходить цей процес стороною, працюючи як чорна скринька спостереження, яка може взяти будь-які дані, які потрібні ФСБ, без нагляду.

Групи громадянського суспільства, юристи та активісти критикують російський уряд за використання СОРМ для стеження за суперниками та критиками Путіна. За їхніми словами, ця система майже, напевно, використовується зараз для придушення інакодумства проти війни.

В останнє десятиліття Кремль став серйозно ставитися до кібершпигунства, і за законом постачальники телекомунікаційного обладнання були зобов'язані надавати шлюз для шпигунства. Передбачалося, що якщо Nokia не підкориться, то конкуренти, такі як китайський телекомунікаційний гігант Huawei, будуть готові це зробити.

Особливості використання відповідного ПЗ значною мірою тримаються в секреті.

До 2015 року СОРМ привернула міжнародну увагу. У тому ж році Європейський суд з прав людини назвав програму «системою таємного спостереження», яка застосовувалась довільно без достатнього захисту від зловживань. Зрештою суд ухвалив, що у справі з російським журналістом, ці інструменти порушують європейські закони про права людини.

25 лютого група вимагачів, відома як Conti, висловила підтримку Росії, коли країна вторглася в Україну. Це виявилося поганою ідеєю: через кілька днів витік величезний скарб таємниць банди.

Дані містять детальну інформацію про конкретні хакерські кампанії, біткойн-гаманці, які використовує банда, і міркування про майбутнє криптовалюти як інструменту для відмивання грошей. В одному з повідомлень у чаті член Conti висловив лють через те, що хтось, пов’язаний з їхньою групою, націлився на веб-сайт у Росії («Такі д—-голови», — назвала ця особа своїх колег). Інший докладно розповідав про спробу злому співробітника журналістських розслідувань, який розслідував підозру в отруєнні відомого критика Кремля («Брат, не забувай про Навального»).

Файли також розкривали еквівалент приватної таємниці організованої злочинності: відомості про використання бандою конкретних інструментів шкідливого ПЗ та уявлення про їхні методи ведення переговорів. Експерти повідомили Bloomberg News, що витік Conti міг бути зроблений більше для того, щоб викрити його учасників і підірвати його методи, ніж розслідування правоохоронних і охоронних фірм. Файли розкривають організаційну структуру групи та наводять підказки про методи, які використовуються, щоб попередити поліцію, що є цінною розвідкою.

Хоча розмови та переговори з хакерами протікали і раніше, лише небагато з них відповідали масштабам і деталям Conti trove. Звіт пропонує безпрецедентний закулісний огляд групи, яка використовувала фальшиві вкладення електронної пошти, вкрадені паролі та телефонні дзвінки, щоб отримати понад 200 мільйонів доларів зі своїх жертв минулого року, повідомила Bloomberg News компанія з відстеження криптовалют Chainalysis Inc.

Як свідчать документи, хакерська група використовувала підставні компанії, щоб зв’язатися з торговими представниками від законних виробників ПЗ безпеки Sophos і Carbon Black, щоб отримати зразки пропозицій антивірусного програмного забезпечення. Тестуючи шкідливе ПЗ проти широко використовуваних засобів безпеки, Conti може знайти слабкі місця в технології для обходу популярних кібер-продуктів, сказав Дейв Кеннеді (Dave Kennedy), співзасновник фірми безпеки TrustedSec, який відстежує Conti протягом років.

Журнали також показують, як Conti та її філії проникали в кілька компаній щотижня, торгуючи ідеями про найкращі хитрощі, щоб змусити жертв платити. В одній розмові, яка пролилася, хакери обговорювали, чи надсилати жертві програм-вимагачів зразок вкрадених даних, щоб довести, що вони зламали компанію. Іншим разом вони обговорювали ймовірність того, що жертва зможе завантажити зашифровані дані з хмари, усуваючи стимул платити викуп.

Bloomberg News знайшла кілька десятків криптовалютних гаманців серед журналів чату, загальна сума яких станом на середу становила понад 12 млн. дол., і ця цифра змінюється в залежності від вартості біткойна. Члени банди використовували гаманці, включені в журнали чату, для реінвестування в свою технічну інфраструктуру, оплати афілійованих клієнтів і надсилання біткойнів іншим операторам шкідливих програм, як-от розробникам інструменту для фінансових злочинів TrickBot, сказала Джекі Ковен (Jackie Koven), керівник відділу розвідки кіберзагроз у Chainalysis.

«З цього витоку інформації ми бачимо, що Conti складається з різних банд і груп, але вони також працюють дещо автономно», - сказала вона.

Як і деякі інші банди, які використовують програми-вимагачі, Conti, схоже, уникає російських цілей. Розмови показують, що менеджер середньої ланки на ім’я Трой (Troy) зупинив одну таку спробу атаки.

Дослідники з питань кібербезпеки заявили, що відступ був додатковим доказом мовчазного схвалення, яке Росія дає певним кіберзлочинцям, за умови, що вони не нападають на організації всередині її кордонів.

Підозрювані зв’язки російської розвідки з кіберзлочинцями були оприлюднені раніше. Міністерство фінансів США у 2019 році звинуватило передбачуваного лідера хакерської групи Evil Corp. Максима Якубця в наданні «прямої допомоги» спонсорованим Кремлем кіберзаходам. Прокуратура також висунула звинувачення низці імовірних російських хакерів у співпраці з Федеральною службою безпеки (ФСБ) з 2012 році.

Речник посольства Росії у Вашингтоні не відповів на запит про коментар. Раніше Росія заперечувала причетність до зловмисних кібератак.

«Що до цієї конкретної групи, то схоже вони мали стосунки з російською урядовою групою, - сказав Джон Фоккер (John Fokker), керівник відділу кіберрозслідувань у охоронній фірмі Trellix і колишній співробітник голландського поліцейського підрозділу, який розслідує просунутих хакерів. - Коли ви бачите розмови на кшталт: «Ми не повинні стикатися з цією організацією, тому що нас обдурять», це не те, що ви часто бачите в подібних чатах».

На тлі серйозних руйнувань, приголомшливої гуманітарної кризи та світових економічних наслідків, які спричинило вторгнення Росії в Україну менш ніж за два тижні, чиновники по всьому світу також висловили занепокоєння щодо потенційних кібератак. Прикладами попередніх дій Росії в цій сфері були атаки на веб-сайти естонських організацій у 2007 році та злом української електромережі в 2015 році.

Щоб дізнатися більше про те, як кібератаки сформували сучасну війну та як країни адаптують свої стратегії, Penn Today поспілкувався з Хелі Тіірмаа-Клаар (Heli Tiirmaa-Klaar), запрошеним співробітником Perry World House і директором Інституту цифрового суспільства в Європейській школі менеджменту та технологій.

Загалом, як виглядає кібервійна та кібербезпека?

Поки що не виявлено кіберзасобів, які спричиняють руйнування під час воєн. Те, що бачили під час конфліктів, – це кібератаки, які використовуються для порушення комунікацій та порушення функціонування інформаційних систем. Воюючі сторони часто використовують цей метод, щоб порушити стратегічну комунікацію свого супротивника та порушити інформаційні системи чи повідомлення своїм власним людям.

З точки зору кібербезпеки, країни зазвичай запобігають нападам, впроваджуючи найкращі методи та дотримуючись заходів щодо запобігання. Це включає оновлення вимог безпеки та забезпечення багаторівневої системи кіберзахисту.

Одне з поширених помилкових уявлень про кібератаки під час політично мотивованих кампаній або конфліктів полягає в тому, що вони мають свою власну логіку і відбуваються поза ширшим стратегічним контекстом. Натомість вони фактично використовуються ворогуючими сторонами для допомоги чи сприяння іншим цілям, будь то політичні чи на полі бою. Загалом, кібератаки відбуваються тому, що є сенс використовувати ці атаки в ширшому, систематичному підході до поля бою, і, якщо країни мають політичну мотивацію атакувати іншу країну, кібератака, безумовно, може бути частиною цього.

Більшість жителів Заходу розуміють кібератаки як метод атаки, заснований на технології, який виводить з ладу деякі ІТ-системи. Але для росіян це переважно інформаційна війна. Для Росії найважливішою частиною кібер- або інформаційної війни було б поширення дезінформації, яка служить їхнім інтересам у конфлікті.

Росіяни використовують дезінформацію, щоб переконатися, що власне населення не дізнається правди ззовні про те, що відбувається в Україні. Вони також використовували тактику поширення дезінформації на полі бою, щоб солдати не втратили моральний дух.

Також можна використовувати дезінформацію проти українського населення, але українці дуже стійкі до дезінформації. У них є власна інформаційна кампанія як протидія, і вони завдають удару у відповідь професійними інформаційними кампаніями та інструментами.

Під час нинішнього вторгнення в Україну за кілька днів до початку війни були спроби псування та інші кібератаки на українські міністерства, але вони були пом’якшені досить професійно.

Під час нинішнього вторгнення в Україні було небагато кібератак. Це завдяки тому, що Цього разу українці були підготовлені, тому що вони пережили серйозні кібератаки під час російського вторгнення 2014 року і навчилися на них. І хоча ця інформаційна війна відбувається на задньому плані, більшість експертів дивуються, що вони не бачать основних кіберелементів.

Країни, як правило, використовують кібератаки, якщо їм потрібно внести певний зрив нижче порогу збройного конфлікту, у цій сірій зоні між миром і війною. Але зараз конфлікт розгорівся, тож їм не потрібно його приховувати.

Яку роль досі відігравали кібератаки під час цієї війни?

Кожного разу війна чомусь навчає, У цій нинішній війні можна бачити, як використовувалися менш звичайні методи кібератак і наскільки великою була інформаційна операція. Незважаючи на те, що відбувалися деякі реальні кібернетики, наприклад, проти супутникового зв’язку, інше питання, наскільки вони успішні.

Але як країни захищаються від таких типів кібератак, враховуючи наслідки інформаційної війни?

Західні країни не хочуть переходити на лінію контролю над вмістом, і тому що західні країни мають важкі бар’єри адаптації щодо того, як подбати про ці аспекти інформаційної операції.

Але, якщо необхідно підготуватися, то це треба зробити, тому що це частина російської стратегії з самого початку. Для росіян це все частина інструментів, які вони можуть використовувати: дезінформація з одного боку, ядерна зброя з іншого.