КАК УКРАИНА СТАЛА ТЕСТОВЫМ ПОЛИГОНОМ ДЛЯ ЦИФРОВОЙ ВОЙНЫ

Борис Немировский

Украина была когда-то заповедником мелкой преступности в Интернете. Затем началась война с Россией. Сегодня здесь испытываются средства цифровой войны. Бывшие хакеры стали самостоятельной силой.

Есть в Киеве одна удивительная адвокатская контора – не единственная в своем роде, но уж точно, одна из немногих в Украине. Вот уже добрый десяток лет ее шеф, Артем Афиян, защищает в суде компьютерных хакеров.

С начала 2010 годов Афиян специализируется на информационно-техническом праве. То, как меняется украинское кибер-сообщество, отражается в делах, которыми он занимается. В начале Артему звонили частные хакеры, если неожиданно к ним приходила полиция: скажем, «карточники» из Одессы, которых ловили на подделке кредитных карточек других людей, «датамайнеры», которые слишком глубоко засовывали свои любопытные носы в чужие базы данных. Он защищал также владельцев файлшерингових страниц – таких, как еx.ua, и других.

Свой первый гонорар он получил в биткоинах. Сейчас контора Артема выработала также и правовые рамки для так называемых Bug-Bounty-заданий: тестов на безопасность, которые хакеры проводят по заказу клиентов. Классических хакерских дел у него становится все меньше.

«Пять-десять лет назад Украина была чем-то вроде хакерского рая. Но эра частных хакеров завершается. «Карточники» почти пропали. Хакинг стал организованным. Если поймают парнишку за хакерством, к нему придет полиция. А на следующий день к нему же пожалует компания, которая ему предложит 5000 долларов в месяц, если он согласится в ней работать» – рассказывает адвокат.

ГИБРИДНАЯ КИБЕРВОЙНА

Подобная эволюция имеет также и политические основания: в 2014 году Украина посредством революции на Майдане оторвалась от России. Но этот отрыв также превратил страну в тестовый полигон для кибероружия.

Если в 2000-е и в начале 2010-х Украина была еще «игровой площадкой» для частных хакеров, то сейчас здесь идет настоящая цифровая война. Сегодня уже и США посылает своих кибербойцов в Украину, чтобы они здесь учились, как работают кибератаки, и сами готовились к ним.

Хотя почти невозможно точно определить, какое государство и какая командная структура провели ту или иную кибератаку, но возможность ее отразить, как правило, изначально заложена в саму ее структуру.

На сегодняшний день, наиболее масштабным нападением на тестовом полигоне «Украина» считается «Notpetya»: «червь», который летом 2017 года, стартовав со взломанного сервера маленькой киевской компании по разработке программного обеспечения, парализовал всю страну. «Червь» уничтожил, по подсчетам, информацию на десяти процентах всех украинских компьютеров и временно парализовал в Украине два аэропорта, 22 банка и кучу различных государственных учреждений.

С украинских компьютеров Notpetya перепрыгнул «в большой мир» – на фирменные серверы таких концернов, как фармацевтический гигант Merck или перевозчиков Fedex и Maersk . Американскому концерну Merchk, по оценке эксперта Энди Гринберга, Notpetya обошелся в 870 млн. долларов. Крупнейшей в мире контейнерной компании Maersk «червь» нанес ущерб размером в 300 млн. долларов.

Эксперты Белого дома по вопросам безопасности считают, что в целом вирус нанес ущерб приблизительно 10 млрд. долларов и обвиняют российскую разведку ГРУ. Сейчас Notpetya считается наиболее масштабной хакерской атакой в истории.

Постоянная угроза для украинской IT-системы превратила компьютерную безопасность в центральную тему: из классической аутсорсинговой индустрии впоявился стремительно растущий сектор кибербезопасности. Хакеры и специалисты по IT-безопасности работают сейчас для правительства и получают все больше зарубежных заказов.

ПЕРМАНЕНТНАЯ ВОЙНА

С начала 2000-х Виктор Жора работает специалистом по IT-безопасности. «15 лет назад нечто подобное кибервойне и представить себе нельзя было», – рассказывает он. С тех пор, как Украина политически отделилась от России, все изменилось. Он участвовал в обеспечении безопасности восьми парламентских и президентских выборов – с 2009 года, с помощью собственной фирмы Infosafe .

Вообще-то, в Украине все еще используют бумажные бюллетени для голосования, поэтому результаты выборов очень трудно «хакнуть» цифровыми методами. Но в стране, которая с 2004 года пережила две революции, несоответствия на выборах могут привести даже к вооруженному конфликту.

«В ночь выборов и на следующий день на сайте избирательной комиссии был просто сумасшедший трафик, – говорит Жора, – на страницу постоянно нападали. Мы пытались удержать ее всеми силами – от веб-мирроринга и до защиты от DDoS-атак».

Наиболее интенсивные атаки велись 25 мая 2014 года, накануне первых постреволюционных президентских выборов. «Наш восточный сосед решил тогда доказать всему миру, что мы в Киеве выбрали себе хунту, – рассказывает эксперт. – Нападение выполнялось тремя фазами. Еще перед выборами хакеры с помощью целенаправленных фишинг-атак незаметно пробрались в компьютерную систему Центральной избирательной комиссии. За пару часов до того, как на сайте ЦИК были обнародованы первые предварительные результаты, мы получили сообщение о взломе системы».

Кто-то заметил, что уже перед первым предварительным результатам на сайт была загружена фотография якобы победителя, чтобы ее можно было в любой момент обнародовать. На фотографии был Дмитрий Ярош, тогдашний лидер националистов из «Правого сектора».

Фотография Яроша в качестве победителя выборов на официальной странице избирательной комиссии могла повлечь за собой катастрофические последствия для Украины: российские СМИ, обладающие большой аудиторией и в Украине, раздули бы до небес свой тезис о хунте. Сообщение о победе Яроша мгновенно привело бы на улицу как бойцов Правого сектора, так и впавших в отчаяние сторонников других партий: хаос, который бы поставил под сомнение все выборы целиком.

«Как только мы увидели эту фотографию, нам стало понятно, что система была взломана», – рассказывает Жора. Полностью проверить всю систему и гарантированно выбросить взломщика заняло бы слишком много времени. «Поэтому мы начали полностью менять все узловые точки и саму страницу», – объясняет он. Новая страница появилась онлайн незадолго перед получением предварительных результатов.

«Единственный заход на старый адрес, где висела фотография Яроша, был осуществлен с IP-адреса одного из российских телеканалов», – говорит Жора с многозначительным выражением на лице. Взлом сервера Центральной избирательной комиссии стал чем-то вроде стартового выстрела для целого ряда крупных политических кибератак на Украине.

«ЕЛЕКТРИЧЕСТВО СКОНЧАЛОСЬ»

23 декабря 2015 года у 230 тысяч жителей Ивано-Франковской области ранним вечером вдруг погас свет. Впервые в мире, с помощью комплексной операции, хакеры захватили контроль над электросетью.

Они хорошо подготовились. С помощью направленного через емейл зараженного вордовского файла с названием BlackEnergy они еще весной 2015 года начали инфицировать компьютеры сотрудников электрокомпаний на Западе Украины.

Хакеры потратили месяцы на то, чтобы обойти защиту электриков и разобраться, как работают их производственные компьютеры, до момента, когда 23 декабря 2015 были полностью готовы.  После чего «нажали на рычаги» в трех распределительных центрах и на 30 подстанциях, и выключили электричество. Как «вишенку на торте»  хакеры при нападении выключили еще и запасные агрегаты трех атакованных распределительных центров, так, что даже и без того сбитые с толку сотрудники сидели в темноте.

За нападением BlackEnergy примерно год спустя в декабре 2016 года было совершено нападение на «Киевэнерго». «При этом на севере Киева вырубился свет. Хакерский софт, который был использован, был написан отдельно для промышленной контрольной системы этой компании, – рассказывает Жора. – Если у тебя есть то, что работает против такой системы, ты можешь испытать это на ней, а затем использовать еще где-нибудь».

АМЕРИКАНСКИЕ КИБЕР-СПЕЦПОДРАЗДЕЛЕНИЯ В УКРАИНЕ

Но на «полигоне Украина» тренируются не только нападающие. С момента кибератак на выборы и энергетические системы, США посылают сюда не только оборудование и помощь для защиты, но и кибер-спецподразделения, которые изучают эти нападения на месте, чтобы подготовить к ним Америку.

«Наша противодействие нападению BlackEnergy заключалась в том, что мы восстановили ток в распределительных центрах вручную. В США это бы просто не получилось, потому что там электросети полностью управляются компьютерами», – говорит Жора.

«Предположительно, хакеры хотели увидеть, работают ли их вирусы должным образом. А также, как на это отреагирует международное сообщество», – объясняет Мария Безнер. Она исследует в Центре исследований безопасности ETH в Цюрихе вопрос, какую роль кибератаки играют в конфликтах, подобных войнам в Сирии или Украине.

В одной из своих научных статей она перечисляет 64 атаки и контратаки в украинском конфликте, произошедшие между ноябрем 2013 и декабрем 2016. «Украина, без сомнения, имеет для США стратегическое значение. Америка может наблюдать в Украине, каким образом совершаются нападения на компьютерные системы, какие вирусы используются, и изучать тактику захватчиков», – считает она.

Хакерские атаки против Украины, которые эксперт по кибербезопасности Жора называет «холодным душем», произвели живительный эффект на украинское хакерское сообщество. Появились целые компании, взявшие на себя функцию своеобразных импрессарио для компьютерных взломщиков. Одна из таких фирм – платформа Hacken Proof, основанная Егором Аушевым и Евгенией Брошеян. На этой платформе компании могут записаться на тест надежности: своего рода проверку на прочность своей защиты от хакеров. Один из трех тысяч зарегистрированных на сайте легальных хакеров ищет в этом случае слабые места в защите той или иной фирмы и фиксирует «дырки».

Таким образом, украинские хакеры, закалившиеся в огне кибервойны, стали международным брендом. Парадокс, не сулящий, откровенно говоря, особо положительного будущего миру.

Борис Немировский