Битва на два фронта. Большое интервью с основателями Украинского киберальянса
Обыски при участии КОРДа и СБУ заставили Украинский киберальянс приостановить сотрудничество с госструктурами и раскрыть личности двух самых известных членов УКА, скрывающихся под никами Шон Таунсенд и Jeff.
Журналист НВ Бизнес пообщался со спикером Украинского киберальянса Андреем Барановичем (известен как Шон Таунсенд) и лидером общественной организации Украинский киберальянс Тимом (Артемом) Карпинским (известен как Jeff) — о давлении силовиков и о том, почему белым хакерам пришлось раскрыть свои настоящие имена.
Контекст. Что известно об Украинском киберальянсе
Украинский киберальянс — сообщество украинских киберактивистов, в которое вошли организации RUH8, FalconsFlame, Trinity и КиберХунта (закончила деятельность в феврале 2020 года). На счету организации более двух десятков акций против государства-агрессора: взлом почты приемной кремлевского «куратора Украины» Владислава Суркова, взломы Первого канала, сайта Anna News, взломы Кирилла Фролова, Института стран СНГ, Министерства обороны РФ, «военной комендатуры» так называемой «ДНР», «Министерства угля и энергетики ДНР», переписок Алексея Мозгового (руководитель бандформирования «Призрак» т.н. «ЛНР»), Арсения Павлова («Моторолла») и других.
Также активисты УКА инициировали флешмобы #FRD и #паровозикоблачко, направленные на публичное раскрытие информации об уязвимостях украинских государственных информационных ресурсов и коммерческого сектора Украины .
Кто под масками
— Вы публично раскрыли себя на пресс-конференции, но для многих больше говорят ваши никнеймы, нежели реальные имена. Кто такие Андрей Баранович и Тим Карпинский?
Андрей Баранович (АБ):
Мы около 20 лет занимаемся различными аспектами информационной безопасности.
Тим Карпинский (ТК)
Мы являемся независимыми экспертами в области кибербезопасности. Наша специализация — offensive security. Мы проводим тесты на проникновение и прогнозируем операции, при которых, допустим, возможен взлом нашего клиента (как он мог бы проходить и на что необходимо обратить внимание).
Также мы являемся одними из основателей Украинской группы информационной безопасности, входим в команду организаторов нескольких конференций по кибербезопасности — я один из основателей и организаторов UISGCon (одна из старейших профильных конференций в стране — Авт.) и в данный момент мы входим в группу организаторов NoNameCon (крупнейшая практическая конференция по кибербезопасности в Украине — Авт.).
— Как давно появились Шон Таунсенд и Джефри?
ТК : «Много лун прошлого с того времени…». Они «родились» где-то в 2014—2015 году.
АБ: Но все началось до того, как появились какие-то никнеймы и публичные заявления. Уже в марте 2014 года возникло понимание того, что у нас есть определенные возможности, и мы их можем использовать в интересах национальной безопасности Украины. Тогда же (я думаю, это не секрет) к нам начали обращаться из СБУ — их интересовало наше мнение о том, кто такие, например, КиберБеркут, кто за ними стоит…
ТК: Надо понимать, что на 2014−2015 год у той же Службы безопасности Украины (я уже не говорю о полиции) компетенция в проведении киберопераций, кибервойны и киберразведки была, приблизительно, ноль целых, ноль десятых.К нам обращались за консультациями, потому что у нас уже был какой-то уровень компетенции — мы длительное время в этом бизнесе, занимались соответствующим консультированием.
Нашу первую операцию мы провели перед Пасхой 2014 года, в марте. Это был коллаборационист, имя его называть не буду.
АБ: Добавлю только, что против него была возбуждено уголовное дело по статье «измена родине», он в дальнейшем занимал руководящие посты в непризнанной так называемой «Луганской народной республике»…
Позже, спустя где-то год после первой операции, мы поняли, что для того, чтобы добиться какого-то значительного эффекта, повлиять на происходящие, нужно создать объединение. Так появилась группа RUH8 (Баранович и Карпинский были участниками этой группы — Авт.), стали появляться другие аналогичные группы, которые в марте 2016 года объединились для совместных действий и обмена информацией в Украинский киберальянс. На днях УКА как объединению исполняется четыре года.
Информация, в том числе, передавалась в правоохранительные органы. В первую очередь — в Службу безопасности Украины: в департаменты контрразведки (ДКР СБУ), контрразведывательной защиты интересов государства в сфере информационной безопасности (ДКИБ СБУ)…
ТК: Грубо говоря, нет в Украине ни одного правоохранительного органа, с которым мы не работали, который бы не консультировали.
АБ: Полученная от нас информация ими использовалась. Иногда этому есть даже документальные подтверждения. Например, письма от прокуратуры АР Крым о возбуждении уголовного дела о незаконных поставках всевозможного сырья в оккупированный Крым через порты полуострова.
То есть, происходило какое-то неформальное общение с властями, которым все стороны были довольны. Мы — тем, что информация используется, они — полученными материалами для работы, которые уже потом проверялись своими способами и использовались на благо нашей страны.
Попутно мы также занимались вопросами информационной безопасности государственного сектора. Потому что ответственность за то, что происходит в коммерческом секторе, несут владельцы и руководители бизнеса, а государственный сектор — наша общая ответственность. В государственных информационных ресурсах обрабатываются огромные объемы информации и очень часто эти сайты, эти системы, не защищены. При этом, никаких «хакерских приёмов» мы не можем использовать, так как прекрасно знаем, где проходит граница между видимой уязвимостью и вмешательством в работу автоматизированных систем. Если мы видели, что у какой-то организации буквально «ключ от двери лежит под ковриком», мы их предупреждали.
ТК: Иногда ключ от этой двери лежал непосредственно на коврике, а иногда — был воткнут в дверь…
АБ: Мы их об этом предупреждали. Но выяснилась одна неприятная вещь: не только мы, но и другие исследователи безопасности присылали распорядителям этих объектов описания уязвимостей или каких-то уже осуществленных взломов криминальными элементами, вражескими хакерами, но всё это игнорировалось годами. Писать куда-то в службу реагирования на чрезвычайные компьютерные инциденты (CERT-UA при Госспецсвязи), киберполицию или СБУ по этим вопросам было практически бесполезно.
Доходило до смешного — я передаю информацию, что элемент критической инфраструктуры находится в открытом доступе, а мне передают, что туда приходили сотрудники СБУ с проверкой, а им сказали «мы ничего не можем сделать, это не важно, нас это не касается». То есть, госсектор даже между собой не может никак договориться. Даже когда речь идет о критической инфраструктуре — водоканале или электростанции.
Поэтому мы выбрали другую стратегию. Мы стали сообщать об уязвимостях публично, но так, чтобы не навредить тем же учреждениям и предприятиям — затирая информацию, которая могла бы помочь злоумышленникам воспользоваться уязвимостью. То есть, мы показывали, что существует возможность взлома, но никогда ничего не взламывали.
— Как реагировали на такие сообщения?
АБ: Кто-то говорил спасибо, кому-то — очень не нравилось. Иногда возникали скандалы.
Один из первых таких — скандал с Херсонским облсоветом осенью 2017 года. Нами была обнаружена уязвимость, но они, не разобравшись, сразу написали заявление в киберполицию. Позже спикеру облсовета объяснили, что никакого преступления тут нет, что это просто уязвимость, и в любой момент там могут появиться не дружественные украинские специалисты, а российские хакеры, и вынести оттуда всю информацию, разрушить систему или сделать ещё хуже. После этого они извинились, сказали «спасибо» за нашу работу, и забрали заявление из полиции.
Так и продолжалось: если уязвимость критическая, мы всегда пытались уведомить СБУ, чтобы они предприняли необходимые легальные шаги, чтобы уязвимости закрыть. Иногда публиковали сразу информацию об уязвимости в открытом доступе, но так, чтобы никому не навредить, а просто пристыдить распорядителей этих систем, чтобы они закрывали дыры самостоятельно.
Двумя этими направлениями — поиском и анализом информации о Российской Федерации, которая ведет с нами войну шесть лет подряд, и защитой отечественных систем — мы и занимаемся.
— Как оформлялось сотрудничество?
ТК: Официально никаких бумаг о сотрудничестве подписано не было и быть не могло. Те, контакты, которые были у нас с правоохранительными органами, осуществлялись либо через личные знакомства, либо, опять-таки, на «опосредствованных личных контактах».
У нас были личные контакты во многих департаментах, например — в Департаменте киберполиции, с которым мы очень хорошо и тесно работали в плане раскрытия киберпреступлений.
— Вокруг УКА ходили слухи, что киберальянс — чуть ли не официальное подразделение СБУ…
ТК: Мы никогда не находились на госслужбе и уж тем более никогда не подписывали никаких контрактов о прохождении службы в рамках СБУ, киберполиции или других органов.
АБ: Мы не военные. Погон никогда не носили. Мы гражданские лица.
— Почему Шон Таунсенд и Джеф?
ТК: В то время никто не задумывался, что мы этим будем заниматься настолько серьезно. То, что первое в голову пришло — то и пришло.
АБ: До этого у меня в Facebook первый аккаунт назывался Рос Хейтфилд, но администрация соцсети его забанила за использование несуществующего имени. Было одно несуществующее имя — стало другое…
— Вы активно сотрудничали с правоохранителями, но, тем не менее, по нашим данным, к Шону Таунсенду в 2018 уже «приходили в гости» силовики. Как так?
ТК: Это была абсолютно непонятная ситуация, которая решилась позитивно: правоохранители пришли к выводу, что произошла чудовищная ошибка. Корни этой ошибки растут, почему-то, в Одессе.
АБ: Я могу немного рассказать подробней. В ходе поиска уязвимостей в информационных ресурсах, находились, в том числе, настоящие взломы, сделанные врагами. Такое было с Донецкой ОГА (системами Донецкой областной военно-гражданской администрации — Авт.): туда залезли хакеры из Самары. Мы обнаружили, что они проникли во внутреннюю сеть, украли пароли системных администраторов из Краматорска. Нами немедленно были поставлены в известность СБУ, Госспецсвязи и сама областная администрация, благодаря чему сайт удалось выключить до того, как из военно-гражданской администрации всё «потекло» в Россию.
