Киберфронт. Как РФ атакует Украину и готовы ли мы защищаться
Война россии против Украины сопровождается активными кибератаками рф на украинскую информационную инфраструктуру.
По данным Госспецсвязи, против Украины с начала полномасштабного вторжения совершено втрое больше кибератак, чем за аналогичный период в прошлом году.
1. Украина как минимум последние восемь лет противостоит организованным россией кибернападениям. Начиная с 2014 года рф отрабатывала в Украине все новые методы и векторы кибератак.
Россия рассматривала и продолжает рассматривать киберпространство как «серую зону» боевых действий, где не действуют правила и ограничения, но при этом можно достигать сложных и многомерных результатов: одновременно выводить из строя физические объекты инфраструктуры, сеять панику и шпионить.
Военная кампания против Украины в 2022 году планировалась задолго, и момент ее начала сопровождался подготовительными киберакциями:
Первый этап: 14−15 января. Целями преимущественно стали госреестры. Противник пытался вывести из строя целый ряд систем и закрепиться в государственных информационных системах для дальнейшего развертывания кибератак.
Второй этап: 14−23 февраля. DDoS-атаки против государственных информационных ресурсов и ряда учреждений банковского сектора, фишинговые атаки на органы государственной власти и объекты критической инфраструктуры, распространение вредоносного программного обеспечения, а также попытки проникновения в сети частного и государственного секторов и дальнейших деструктивных действий.
Третий этап: от 24 февраля — и далее. Фишинговые кибератаки через рассылку писем и сообщений в мессенджерах, попытки кибератак на объекты критической инфраструктуры (ОКИ). Взломы страниц местных органов власти, кибератаки на сайты медиа.
2. Главными целями агрессора остаются украинские ОКИ: операторы мобильной связи, интернет-провайдеры, государственные органы, финсектор, энергетика, сектор безопасности и обороны.
Ключевые кейсы касаются трех случаев — кибератака против Укртелекома 28 марта, против систем электронного документооборота некоторых государственных ведомств (в частности — МИД) и провайдера спутниковой связи Viasat. Продолжаются попытки кибератак на систему Starlink.
В целом российская киберактивность в последний месяц позволяет сделать следующие выводы:
Низкая вариативность. Россия продолжает использовать преимущественно стандартные методы кибератак — DDoS и фишинг — в качестве основы своей киберактивности.
В то же время в этой низкой вариативности они проявляют значительную последовательность, что может представлять угрозу в стратегической перспективе.
Отсутствие заметного эффекта для деятельности украинских ОКИ. Опосредованно это может свидетельствовать о том, что противнику не удалось в течение последних лет создать в системах украинских ОКИ достаточное количество «закладок», которые могут быть использованы в особый период — ввиду характера боевых действий, если бы такие «закладки» были, они бы уже использовались. В то же время актуальным остается вопрос усиления киберзащиты ОКИ.
Для ряда кибератак использовали персональные данные украинских граждан, полученные РФ ранее. Важным моментом является определение источников утечек таких данных и безопасности имеющихся государственных реестров, содержащих персональные данные граждан.
Россия проводит свою киберактивность в плотном взаимодействии со спецслужбами республики беларусь. Украинские специалисты уже проявили активность по меньшей мере 14 различных группировок, связанных с российскими и белорусскими спецслужбами.
Привлечение белорусских спецслужб может свидетельствовать как о желании увеличить количество атакующих, так и несостоятельности россии самостоятельно поддерживать высокую динамику киберпротивостояния. Особенно учитывая подключение в него на стороне Украины многочисленных международных специалистов.
3. Традиционный подход россии в вопросах «информационной войны» — это сочетание киберактивностей с информационно-психологическими операциями: попытками повлиять на население региона или страны для усиления хаоса, уменьшения сопротивления или изменения политического поведения. В ходе боевых действий такие кибероперации становятся более агрессивными и направленными на взлом сайтов СМИ (а также государственных органов) с целью распространения фейковых сообщений.
Самая заметная киберкампания — 16−17 марта сразу против более десятка украинских информационных ресурсов.
Ключевым направлением удара стал взлом новостной ленты в эфире телеканала «Украина 24». Злоумышленникам удалось запустить «строку титрования» с якобы обращением Владимира Зеленского о капитуляции. Одновременно в социальных сетях был запущен deepfake (чрезвычайно низкого качества) с вроде бы выступлением Зеленского с аналогичным текстом. Также хакеры атаковали целый ряд украинских медиа (в частности, «Сегодня», Громадське, 0532.ua и другие), используя уязвимости рекламного приложения Redtram.
Атаку вскоре локализовали, но это не последняя попытка.
С аналогичной целью (добавление хаоса в общество и паники) взламывают и другие сайты — территориальных общин, органов местных, судебных властей, интернет-провайдеров.
Большинство из этих взломов оперативно освещаются российскими СМИ. Причем гораздо более оперативно, чем это объясняется обычным мониторингом сообщений. С высокой вероятностью можно предположить, что хакерские действия либо прямо согласовывают с представителями российских СМИ, либо их сообщают сразу после взлома для оперативного освещения. Эта тактика не является новшеством для российских хакерских групп.
Фактически российская киберактивность осуществляется в плотной координации с кремлевской пропагандой, обеспечивая ее — с одной стороны — нужными медиаповодами, а с другой — уведомляя о наиболее интересных ситуациях, которые целесообразно как можно скорее осветить. Поэтому, если мы говорим о российских кибероперациях как в ходе активных боевых действий, так и в мирное время, их важной составляющей всегда остается содействие распространению российской пропаганды и дезинформации.
4. Противоборство продолжается. Но уже сейчас можно отметить, что в кибербезопасности Украина добилась заметных успехов.
- Не допущен вывод из строя важных для жизнедеятельности государства ІТ-систем;
- Украинским и международным киберспециалистам удалось контратаковать целый ряд объектов на территории московии; похищены данные многочисленных российских компаний и организаций (
в т. ч. данные о российских военнослужащих, участвующих в войне против Украины); - Временно выведены из строя сайты российских правительственных и околоправительственных структур.
Все это (вместе с усилиями мирового сообщества по сдерживанию россии) обнажило ряд важных долгосрочных проблем для сферы кибербезопасности россии: нехватка специалистов, ненадлежащее внимание к киберзащите государственных ресурсов, неготовность к массированному противостоянию и слабое оперативное мастерство среднего звена специалистов.
Киберпространство остается динамичным пространством соперничества, и киберпротивостояние последних месяцев показало, что здесь противнику также не удалось навязать свой формат Украине.
