Table of Contents
Про кібервійну між Росією та Україною говорять рідко. Найчастіше в медіа з’являються тільки згадки про атаковані структури та ймовірних виконавців. За останні три роки жертв у цій війні з українського боку не надто побільшало, але вражають розміри цілей: злам реєстрів Мін’юсту, руйнування цифрової інфраструктури «Київстару», недавня атака на «Укрзалізницю».
Системна увага до теми кібербезпеки на рівні держави і приватних ініціатив почала з’являтися лише десять років тому. «До 2015 року в Україні не існувало ринку кібербезпеки», – розповідає експерт з кібербезпеки, засновник компанії AmonSul і співзасновник найбільшої української спільноти з кібербезпеки Сергій Харюк.
Приблизно до того ж року в країнах колишнього СРСР діяла негласна домовленість: «не чіпати своїх». «Коли ми вивчали віруси, то знаходили в їх коді спеціальні інструкції. Якщо на пристрої вказані українська, російська, білоруська мови чи таймзони на зразок «Київ», «Москва» або «Астана», то вірус просто не запускався. Це виглядало як неформальна домовленість. Думаю, вона походила від спецслужб РФ: цей регіон – поза ціллю», – розповідає герой інтерв’ю.
Однак з окупацією Криму та початком війни на Донбасі росіяни порушили не лише міжнародне право, а й цю умовну «джентльменську угоду».
Зараз кібератаки виглядають як повноцінні військові операції. Кремль вибудував власну вертикаль у кіберпросторі: від окремих хакерів та приватних компаній до спецпідрозділів у структурі Міністерства оборони. Усі вони працюють на єдину мету: зламувати державні системи, шпигувати, красти дані, сіяти хаос.
Харюк був серед тих, на чиїх очах починалася російсько-українська війна в кіберпросторі. Вона почалася з атаки на енергокомпанію «Прикарпаттяобленерго» у 2015 році, коли він допомагав реагувати на інцидент.
Що насправді означають наймасштабніші кібератаки в Україні? Хто за ними стоїть? Як функціонують російські хакерські угруповання? Чому вони так часто досягають результату та як усе це впливає на цифрову безпеку України?
Про цілі кібератак: як і навіщо Росія ламає українські системи
— Яка мета кібератак?
— Усе залежить від мотивації тих, хто їх здійснює. Якщо дивитися через threat modeling (моделювання загроз), то можна виділити чотири типи дійових осіб.
Перші – молоді ентузіасти, старшокласники чи студенти, що прагнуть попрактикуватися й потішити своє его, розповісти друзям: «Я поклав сайт Apple».
Другі – хактивісти, які зламують сайти задля привернення уваги до політичних чи суспільних подій. Наприклад, зламати сайт РЖД і викласти туди новину про Суми.
Треті – фінансово мотивовані кіберзлочинці, вони найчисленніші. Для них це бізнес: вони розробляють віруси, атакують компанії, щоб потім вимагати викуп.
Четверті – групи, фінансовані державою. Дуже рідко їх метою є знищення якоїсь інфраструктури. Зазвичай це розвідка та збір даних.
— За останні три роки в нас відбулося кілька гучних інцидентів («Київстар», Мін’юст, «Укрзалізниця», дата‑центр «Парковий»). Чи є в них щось спільне?
— Усі вони були деструктивними. У випадку з «Київстаром» та Мін’юстом є ще одна спільна риса: інциденти відбулися в грудні. Чим особливий грудень? Це останній місяць року. Виглядає так, що умовний російський генерал захотів собі ще одну «зірочку» чи премію. Вони довгий час мали доступ до системи, а потім отримали відповідний наказ, тому що комусь треба було подати звітність.
Це лише припущення, але, знаючи, як працюють спецслужби РФ, можна сказати, що це типовий для них сценарій. Насправді таких інцидентів значно більше, але публічними стають лише ті, що спричиняють великий руйнівний ефект.
— Існує думка, що такі кіберінциденти стали деструктивними не тому, що такою була мета ворога, а тому, що їхні основні цілі вже були досягнуті або виявилися нереалізованими чи просто втратили актуальність.
— Думаю, ідеться не про один мотив. Повернімося до прикладу з «Київстаром»: якщо всі потрібні дані вже витягли, а ризики бути виявленими в системі зросли, то на завершення зловмисники можуть влаштувати такий собі «акорд на прощання».
Натомість є випадок з УЗ. Атака відбулася не в грудні, а 23 березня. Чому тоді? Що пішло не так? Якщо подивитися на ширший контекст, то саме в цей період у Джидді відбувалися перемовини про припинення ударів по енергетичній інфраструктурі та режим тиші на морі. Атака могла бути сигналом: «Якщо не будете домовлятися, ми можемо зламати не лише залізницю, а й енергетику». Це могла бути демонстрація сили. Збіг у часі може бути випадковим, проте він дуже показовий.
— Мета атак – паралізувати роботу і сіяти паніку чи це побічний ефект глибших цілей, враховуючи, що зловмисники могли перебувати в системі місяцями, як у випадку з «Київстаром», який інвестував у кібербезпеку?
— Висновки важко робити, ми з вами не на боці того, хто це робив. «Київстар» інвестував у кібербезпеку, але витрачати гроші – не означає робити це ефективно.
Коли вони проводили тендери на тестування захищеності (penetration testing), одним з головних критеріїв була низька ціна. Наша компанія участі в цих тендерах не брала, але ринок кібербезпеки в Україні доволі малий, ми всі спілкуємося між собою. Саме з таких розмов з колегами на ринку відомо, що навіть провідні компанії, які подавалися на тендери з мінімальними цінами, програвали.
Крім того, велика інфраструктура – це завжди більша поверхня для атаки. Чим більше технологій, систем, людей, тим більше точок входу і вразливостей.
Ще одним важливим аспектом у роботі росіян є синхронізація з фізичними атаками. Часто кібератаки збігаються з ракетними обстрілами. Наприклад, перед атакою на критичну інфраструктуру можуть паралельно здійснювати спробу проникнення або виведення систем з ладу.
— Успішна кібератака – це та, про яку ніхто не дізнався?
— Усе залежить від цілі. Якщо йдеться про операції розвідки, то успішною вважається атака, про яку не дізналися принаймні до моменту досягнення мети. Відомий випадок, коли кілька держав об’єднали технології, щоб атакувати ядерну програму Ірану. Про операцію стало відомо, але після того, як вона спрацювала.
— Якщо кібератаки порівнювати з бойовими діями у фізичному світі, то коли, на вашу думку, почалася російсько-українська війна?
— У 2015 році з атаки на «Прикарпаттяобленерго». Я пам’ятаю відео, яке бачили одиниці, де оператор пульта управління знімав на телефон, як його комп’ютер блокується: мишка не працює, він нічого не може зробити, але й вимкнути машину не може, бо це критичне обладнання.
— Тобто кібератаки часто відбуваються синхронно з реальними бойовими діями та політичними процесами?
— Саме так, але з кіберпростором є певна складність. На відміну від фізичного простору, тут майже неможливо чітко ідентифікувати джерело атаки.
Ілон Маск недавно заявив, що його соцмережу атакували з IP-адреси з України. Однак це нічого не доводить, адже сервер міг бути орендований. Ідентифікувати особу, яка стоїть за атакою, складо, потрібна серйозна доказова база.
Про ідеологію, тіньову армію, мільйони та вразливості: як Росія веде війну в кіберпросторі
— Хто стоїть за російськими кібератаками? Держава, приватні компанії чи якесь централізоване угруповання?
— Це екосистема. Там є держслужби і приватні компанії, які з ними співпрацюють. У Росії неможливо розвивати кібербізнес, не взаємодіючи з державою.
З відносно недавнього можна згадати компанію Group-IB, відому за межами РФ, яка аналізує кіберзагрози. Її засновника Іллю Сачкова у 2023 році засудили до 14 років за держзраду. Як пізніше стало відомо з медіа, Сачков передав американцям дані про Fancy Bear (хакерське угруповання, намагалося вплинути на президентські вибори в США у 2016 році – ЕП), яке допомогло виявити частину російських спецслужбістів. Імовірно, діяв неузгоджено і за це поплатився.
— Чи є в них єдиний центр, що визначає цілі для атак?
— Думаю, усе працює за принципом «непрямого управління». Керівник не наказує, що потрібно робити, а каже: «Треба, щоб не працювала енергетика» або «Транспорт має зупинитися». Після цього виконавці самі вирішують, як це реалізувати.
— Тобто визначається лише напрямок.
— Так. Це схоже на східну культуру управління, коли ти отримуєш сигнали чи натяки. Я спілкувався з багатьма людьми і ніхто не згадував про конкретну особу, яка «курує» російську кібербезпеку. Такої фігури, принаймні публічної, немає.
— З останнього – історії про ГРУ і військові частини. Це частина екосистеми?
— Так, це структури, які виконують фінальну фазу атак. Однак є й інші гравці, ті, хто створюють інструменти.
— Тобто частина угруповань розробляє засоби для атак?
— Авжеж. Певні приватні або напівлегальні компанії створюють інструменти, які потім використовують спецслужби або угруповання для конкретних дій. Це розподілена система, у якій ніхто не робить усе, але кожен виконує свою роль.
— У російських хакерів є якась особливість?
— Їх вирізняє шовіністичне й імперське позиціонування: «Ми головні, ми все знаємо». Хоча це сучасні фахівці, які виросли з інтернетом і мали доступ до різних джерел, більшість залишилася в парадигмі «мать Россия». Багато хто міг би виїхати, заробляти великі гроші, але ідеологічно вони не змогли вирватися.
— Я читав, що російська хакерська спільнота не дуже інтегрована зі світом.
— Абсолютно. Розповім з особистого досвіду. Колись я спільно з товаришем засновував спільноту з reverse engineering. Він українець, тут народився, закінчив НАУ. Однак у 2014 році, надивившись пропаганди, вирішив, що він «великий росіянин», звільнився з компанії Samsung і поїхав працювати в Росію.
Хотів влаштуватися в «Лабораторію Касперського», але його не взяли. Напевно, ФСБ вважала його «засланим козачком». Англійську він знав лише на рівні читання і це типова ситуація. Більшість з них не володіє розмовною англійською, не спілкується з глобальними спільнотами, хоча читає і збирає інформацію. Це така закрита екосистема, яка бере, але мало що віддає назад.
— Як вони вибирають цілі для атак? Це хаотичні атаки чи чітко сплановані?
— Вони працюють цілеспрямовано і використовують різні підходи. Наприклад, фішинг або атаки через суміжні структури, так звані supply chain-атаки. Якщо не можуть пробити Мін’юст напряму, атакують слабший ланцюг – податкову району. Через неї надсилають легітимний на вигляд лист з шкідливим вкладенням.
Вони добре знають, чого хочуть, тому їм вдається проникати навіть у військові системи, збирати дані чи, як зараз, атакувати Signal, бо розуміють його цінність.
— Скільки може коштувати реалізація кібератаки?
— Вартість залежить від цілі. Атака на добре захищене підприємство, наприклад, завод з виробництва зброї, який має оновлене обладнання та сучасне програмне забезпечення, може коштувати десятки мільйонів доларів.
— На що йдуть ці гроші?
— Зарплати, дослідження, розробка інструментів, виконання атаки. У будь-якому ПЗ є вразливості, навіть у найсучаснішому, але знайти їх – це як робити наукове дослідження. Ми припускаємо, що вразливість є, але не знаємо де.
— Буває, що витрачаєш ресурси, а нічого не знаходиш?
— Саме так. Можна витратити мільйони і не отримати нічого. У цьому якраз найбільша складність: не всі готові інвестувати в результат, якого може не бути.
Розповім показову історію. Існує ринок zero-day-експлойтів – це уразливості, про які ще не знає виробник і які не були виправлені. Вважається, що продукти Apple, зокрема iPhone, є одними з найскладніших об’єктів для зламу. Мій знайомий працював у команді, яка досліджувала ці вразливості. За його словами, вартість одного експлойту для iPhone могла сягати кількох мільйонів доларів.
Якось він брав участь у розслідуванні реальної атаки, яка трапилася на Близькому Сході. Там журналіст, який писав на теми, чутливі для місцевої влади, отримав смс із шкідливим кодом. Він мав активуватися після відкриття смс, але журналіст не став його відкривати і надіслав команді, де працював мій знайомий.
Фахівці витягли експлойт з повідомлення, проаналізували його, а згодом опублікували результати. Таким чином, хакери «спалили» інструмент, який, за оцінками, коштував близько чотирьох мільйонів доларів.
— Чи можна сказати, що росіяни не шкодують грошей на кібератаки?
— Так, вони системно інвестують у це роками. Компанії на кшталт Positive Technologies, Digital Security або Kaspersky мають потужні R&D-центри, які шукають вразливості в популярному ПЗ та в системах критичної інфраструктури.
Про оборону без нападу, цифрову державу та вибори в «Дії»
— Як виглядає ситуація з кібербезпекою в Україні, особливо в держсекторі?
— У 2015 році ми були на початковому етапі. Зараз ситуація значно змінилася. Повністю запобігти кібератакам неможливо, але якщо постійно моніторити й впроваджувати правильні контролі, то можна зменшити шкоду.
У кіберпросторі багато залежить від фінансування. Це гонка бюджетів: у кого він більший, той перемагає. Якщо у ворога є десять мільйонів доларів, а в нас на захист – пʼять, то перевага буде на боці нападника. До того ж захищатися важче і дорожче.
— Хто задає тенденції: нападники чи оборонці?
— Залежить від креативності. Якщо захисник знайде недороге ефективне рішення, він виграє. Якщо нападник зробить дешеву ефективну атаку, то виграє він.
— Це все народжується в умовних R&D-відділах?
— Так, але в Україні з цим складно. У нас R&D – це радше побічний ефект основної роботи, коли хтось у процесі щось придумав і реалізував. Повноцінних R&D в наших компаніях майже немає.
— Як би ви оцінили стан кібербезпеки в держсекторі?
— Найбільша проблема – формальне ставлення. Це стосується і приватних компаній. Так, у нас є великі регулятори, наприклад, Держспецзв’язку, але часто вони неповороткі і довго адаптуються до змін. Хоча війна дала поштовх до змін.
Багато фахівців з бізнесу перейшли в армію, СБУ та Держспецзв’язку і принесли туди більш гнучке мислення, фокус на результат. З’явився ефективний менеджмент, як у бізнесі: є ціль, є KPI, є адаптація. Це вже помітно.
У березні в Києві був форум з кіберстійкості, на якому паралельно проходили CTF-змагання. Команди від держструктур посіли перші місця. Десять років тому перемога чи навіть потрапляння в десятку якоїсь держкоманди були б сенсацією. Зараз же державний сектор випереджає комерційний, бо в нього з’явилися мотивовані люди з бойовим досвідом і справжніми результатами.
— Проте трапляються випадки, як з ДП «Національні інформаційні системи».
— Так, буває. За моєю інформацією з приватних розмов, НАІС довго не приєднувалися до системи моніторингу Держспецзв’язку, а вони могли б зафіксувати підозрілу активність.
— Коли побачимо в Росії те, що відбувається в нас?
— Такі дії вже є, але, радше, у форматі хактивізму. Українські спеціалісти, які мають основну роботу, іноді в держструктурах, у вільний час цим займаються. Офіційно ж у нас немає чітко сформованих наступальних кіберпідрозділів. Навіть якщо такі операції проводить якась спецслужба, усе відбувається неформально.
— Але ж на початку війни була створена ІТ-армія.
— Так, на базі спільнот створювалися чати, де волонтери допомагали державі: підказували, як закрити вразливості, допомагали руками. ІТ-армія – це, скоріше, хактивістський проєкт. Її дії зводяться до DoS-атак. Це найпростіший інструмент, який не має великого ефекту. Тобто це більше символічна дія, ніж справжня шкода.
— У нас немає чогось подібного до російських кібервійськ як структури ГРУ?
— Ні, офіційно в Україні таких структур немає. Є оборонна складова. Атакувати ми формально не маємо права. Можливо, наші спецслужби мають такі можливості, але вони не афішуються і, швидше за все, працюють з іншим статусом.
— Про це ніхто публічно не скаже?
— Саме так. Є кілька причин. По-перше – з погляду міжнародного права. По-друге, як тільки офіційно визнається участь в атаці, це створює прецедент. Навіть США, які мають підрозділи для кібероперацій, майже ніколи не визнають свою участь.
— У нас часто відбуваються серйозні кібератаки, про які не повідомляють?
— Важко точно відповісти. За моїми оцінками, на кожен інцидент, про який говорять публічно, є щонайменше чотири, про які мовчать. Особливо це стосується приватного сектору. Наприклад, колись у ботах, які збирають досьє на людей, з’явилася інформація, що частина даних була «злита» з мережі аптек. Це явна ознака того, що там сталося «витікання», але ніхто цього не підтверджував.
— Держава в таких випадках має говорити про інциденти чи замовчувати їх?
— Під час війни важко дати однозначну відповідь, оскільки я не військовий. Потрібно розділяти: якщо це стосується загалом Сил оборони, то, напевно, не варто публікувати. Якщо ж іде мова про цивільні компанії, то краще відкрито повідомляти, оскільки це дозволяє іншим учитися на чужих помилках.
Наприклад, «Київстар» визнав тільки те, що їх зламали, але справжня співпраця почалася лише після зламу УЗ. Тоді фахівці оператора приїхали допомогти з відновленням. Однак це вже як допомога після того, як людина зламала ногу.
— У нас немає майданчиків, де можна обговорити такі інциденти?
— Ні, такого механізму немає. Наприклад, у США певні компанії зобов’язані публічно повідомляти про зламування. Це подається у вигляді детального звіту, який може прочитати кожен. У нас така інформація «ходить по знайомих». Хтось щось дізнався, передав іншому і, можливо, це комусь допоможе.
— Крім того, ми рідко бачимо відповідальних після таких інцидентів.
— Так, у цьому теж проблема. Навіть якщо компанію зламали, вона викликає фахівців. Вони все відновлюють і далі всі мовчать. Ніхто не несе відповідальності і компанії не інвестують у захист, поки не «прилетить». Гарний приклад – вірус Petya у 2017 році. Тоді атака відбулася через бухгалтерську програму M.E.Doc. Яку відповідальність понесла компанія? Вибачилася перед клієнтами.
Чому ринки кібербезпеки в ЄС чи США більш розвинені, ніж у нас? Одна з головних причин – це наявність чітких регуляцій. Якщо компанія не відповідає вимогам, то отримує великий штраф або взагалі не може працювати на цьому ринку. Саме тому ми в AmonSul зосереджуємося на західних ринках.
— Чому так відбувається?
— У нас немає лідерства в цьому за державною вертикаллю. Є ухвалена і навіть підписана президентом доктрина про кібервійська, був і відповідний законопроєкт. Проте цього недостатньо, оскільки будь-який закон має хтось реалізовувати. Потрібна конкретна людина, яка піде і почне все це робити.
— В Україні активно просувається цифровізація. Наскільки це ризиковано з погляду кібербезпеки?
— Будь-яка цифрова трансформація на старті несе ризики. Це нормально. Головне – не нехтувати безпекою і працювати з ризиками. Наприклад, при розробці ПЗ кібербезпека має бути ще на етапі архітектури, а не «після запуску».
В Україні намагаються це впроваджувати. Візьмімо «Дію», «Мрію», «Армію+», «Резерв+». Коли ці системи запускали, про кібербезпеку думали «по ходу». Зараз починають наймати спеціалістів, переглядати архітектуру, щось покращувати.
— В Україні час від часу зринає тема виборів. Один із сценаріїв їх проведення – електронне голосування, зокрема через «Дію». Які тут ризики?
— Найбільший ризик – валідувати виборця. У класичних виборах ви заходите в кабінку, вас ніхто не бачить і ваш вибір анонімний. У цифровому форматі важко гарантувати, що натискання на кнопку за Зеленського, за Порошенка, чи за когось іншого зробили саме Іван, Сергій чи Петро без чийогось впливу.
З розвитком штучного інтелекту ці виклики тільки зростають. Коли зловмисники можуть підробити ваші обличчя та голос, хто гарантуватиме, що хтось не проголосував замість вас? Навіть з цифровим підписом трапляються технічні збої.
— Чи можуть росіяни заблокувати таке голосування?
— Це цілком реальна загроза. Росіяни можуть атакувати і інфраструктуру, і механіку голосування. Уявімо, що верифікаційний механізм у «Дії» має обмеження. Наприклад, лише кілька запитів на підтвердження, щоб уникнути DoS-атак.
Якщо система не перевіряє, хто надсилає ці запити, хакери можуть масово їх підробляти, використовуючи справжні ID. У результаті реальний користувач, коли спробує проголосувати, отримає блокування на, наприклад, 30 хвилин. Якщо це ближче до завершення виборів, то він просто не встигне проголосувати.
Якщо так вибірково блокувати виборців певного кандидата, то це може вплинути на результат. Умовно, якщо з атаки «виб’ють» частину виборців Зеленського чи Порошенка, то це зробить переможцем Бойка.
