Первый украинский киберфронт: кто и зачем объявил IT-мобилизацию?
В воскресенье 2 марта на сайте российского госканала Russia Today творились странные вещи. В заголовках новостей, связанных с Россией, появилось слово Nazi («нацизм»). Выглядело дико: «Российские сенаторы одобрили использование нацистских войск на территории Украины». Администрация сайта заявила о хакерской атаке: «Взломали доступ админа. Сейчас контроль над сайтом восстановлен». Несколько часов спустя кибератаки отбивали уже на Украине — информагентство УНИАН чуть было не «легло» под DDoS-атакой. «Мощнейшая, непрерывная, продолжается до сих пор», — в понедельник предупреждала посетителей администрация сайта.
Медийные противники — Russia Today и УНИАН — оказались на передовой современной войны, в которой артиллерийскую подготовку, прорывы «танковых клиньев» и высадку морской пехоты предваряют DDoS-атаки, «боевые вирусы», дезинформация и дискредитация противника в соцсетях и форумах.
«Война уже идет, и главная цель в ней — это атака на общественное мнение, — замечает Илья Сачков, руководитель компании Group-IB, специализирующейся на раскрытии киберпреступлений. — Для создания суматохи, неразберихи используются информационные ресурсы — соцсети, блоги и микроблоги».
По мнению эксперта, вывод какого-то ресурса из строя, DDoS-атака — это открытый факт агрессии, а манипулирование СМИ и соцсетями — вещь законодательно нерегулируемая и сложно доказуемая.
Похоже, Сачков прав. Атаки на RT и УНИАН остаются пока единственными крупными примерами кибепротивоборства России и Украины. Фиксируемые специалистами взломы и DDoS-атаки сайтов — legalru.ru, crownservice.ru (Россия) и una-unco.in.ua, pogromukieva.net (Украина) больше походят на разминку, чем на реальные удары по инфраструктуре.
Куда чаще противники, как ударами, обмениваются в соцсетях фэйковыми новостями, компроматом и «вирусными роликами». То появляется переписка, раскрывающая факты финансирования лидера «УДАРа» Виталия Кличко западными странами, то активист Евромайдана сообщает в Facebook о смерти Виктора Януковича, то украинские националисты объявляют, что готовы войти в Крым, если местные татары покажут им склады с оружием. Даже специалисты до конца не понимают, что это: утечка или искусно состряпанная деза.
Все может измениться, если к кибервойне подключатся не хакеры-любители, а профессионалы, располагающие инструментами вроде боевого вируса Stuxnet, атаковавшего объекты ядерной инфраструктуры Ирана. На Украине к этому уже начали готовиться: параллельно со всеобщей мобилизацией населения там формируется еще один фронт — виртуальный.
«Связаться в личке и быть готовым к бою»
«В связи с военной интервенцией РФ против Украины прошу всех, кто имеет технические возможности противостоять врагу в информационной войне, связаться со мной в личке и быть готовым к бою. Будем связываться с силовиками и объединять усилия против внешнего врага», — такое сообщение разместил в LinkedIn Константин Корсун, руководитель «Украинской группы информационной безопасности» (UISG).
«Мое сообщение подлинное, — подтвердил Корсун Forbes. — Хочу обратить внимание: мы защищаемся, ни о каких видах нападения или контрнападения речь не идет». Корсун мало похож на заигравшегося в Counter-Strike сисадмина. У 43-летнего полковника в отставке за спиной серьезный послужной список: 10 лет в подразделении по борьбе с киберпреступностью Службы безопасности Украины (СБУ), четыре года в Государственной службе специальной связи и защиты информации Украины, где до ухода на пенсию возглавлял подразделение CERT-UA (компьютерная группа реагирования на чрезвычайные ситуации). В 2009 году Корсун ушел в бизнес, связанный с информационной безопасностью — он возглавляет украинское представительство американской iSight Partners, сотрудничающей с Секретной Службой США и Пентагоном.
«Если вы ищете некую «американскую руку» в моей/нашей деятельности, то вы ее не найдете, о связях со спецслужбами США мне неизвестно», — уверяет Корсун, замечая, что многие его коллеги по информационной безопасности работают в украинских отделениях западных банков, ИТ-компаний, интеграторов и провайдеров. Объявленную мобилизацию IT-специалистов Корсун объясняет необходимостью защищать «свое киберпространство». Что именно он собирается делать?
В случае массированных DDoS-атак и других видов атак, по словам Корсуна, UISG готово предоставлять онлайн-консультации по вопросам киберзащиты и построения систем безопасности, бесплатно отдавать в аренду программное обеспечение и предоставлять резервные площадки.
«В случае атаки на сайт Нацбанка расследованием будут заниматься подразделения по противодействию киберпреступности при МВД Украины и СБУ, а нашу задачу мы видим в быстрейшей ликвидации как самой атаки, так и минимизации ее вредных последствий», — рассуждает Корсун.
По его словам, серьезной системы киберзащиты на Украине практически нет.
Более-менее грамотно защищаются лишь ресурсы президента Украины, Верховной Рады и еще нескольких органов исполнительной власти. «Даже те крохи, что выделялись на повышение уровня защищенности государственных информационных ресурсов, либо разворовывались, либо использовались не по назначению», — сетует Корсун, замечая при этом, что украинские силовики в общей своей массе деморализованы. Но, оказывается, не все.
«На меня можно расчитывать, — отвечает на призыв Корсуна Максим Литвинов, начальник Управления борьбы с киберпреступностью в МВД Украины. — Есть аналитики, есть лаборатория, личный состав без дезертиров. Предлагаю не ждать взломов, а провести пен-тесты (тестирование на проникновение) критических объектов, данные готов обобщить и перезнакомить тестеров с админами потенциальных потерпевших».
Сообщение об IT-мобилизации на Украине похоже на PR организации UISG, считает Илья Сачков из Group-IB: «Я знаю, что у американцев сверхмощная киберармия, в России, я думаю, она только зарождается, и уверен, что на Украине ее вообще нет. В условиях кибервойны Украина ничего не сможет сделать своими силами и с помощью ИТ-ополчения».
Действительно, признается Корсун, массовых кибератак со стороны России пока не зафиксировано, но «мы не хотим быть застигнутыми врасплох, как это было во время информационной войны в Прибалтике и Грузии».
Гонка кибервооружений
Вечером 26 апреля 2007 года в Эстонии наступил хаос. Сайты правительственных учреждений, банков, СМИ обрушились под лавиной запросов, идущих от армии зараженных компьютеров со всего мира. Причина массированной DDoS-атаки угадывалась просто — это был ответ на решение таллинских властей перенести памятник советскому Бронзовому солдату.
Год спустя, во время пятидневной войны в Южной Осетии, атаке подверглись уже грузинские сайты правительственных ресурсов, банков, медиахолдингов. На сайте МИДа хакеры повесили коллаж из фотографий, намекающих на сходство грузинского лидера с Адольфом Гитлером.
«Это было что-то вроде патриотического собора, — вспоминает те события российский эксперт по кибербезопасности. — На русских хакерских форумах собирались добровольцы и ддосили сайты Эстонии, а в 2008 году — уже и Грузии. После тех событий в Талине открыли Центр киберзащиты НАТО».
В России борьбой с киберугрозами исторически занимался Центр информационной безопасности (ЦИБ) ФСБ и Бюро специальных технических мероприятий (БСТМ) МВД. Если ЦИБ борется в виртуальном пространстве с иностранными спецслужбами, экстремистскими и преступными организациями, то БСТМ расследует в основном компьютерные преступления.
До атаки одного из первых проявлений кибероружия — червя Stuxnet — в России мало кто задумывался о том, что будет происходить в случае перехода войны в виртуальное пространство, замечает эксперт по информационной безопасности Cisco Systems Алексей Лукацкий. По его словам, ситуация изменилась год-два назад, когда российские власти озаботились вопросом противодействия кибернападкам.
Приняты нормативные акты, по большей части — секретные, определены стратегические задачи, начат набор людей и проведение различных научно-исследовательских разработок по «кибертематике».
В прошлом году Минобороны заявило о готовности создать специальные кибервойска, которые будут отражать атаки со стороны других государств и контратаковать. «Но до структуры, аналогичной американскому киберкомандованию, нам еще далеко», — полагает Алексей Лукацкий.
В США за кибервойны и защиту стратегически важных сетей с 2006 года отвечает специальное подразделение Минобороны — US Cyber Command. Здесь работает около 900 человек, но в течение нескольких лет его штат планируется расширить до 5000 человек. Руководителем US Cyber Command долгое время был Кит Александер, возглавлявший Агентство национальной безопасности (АНБ) — «империю зла», разоблаченную Эдвардом Сноуденом.
С начала 2011 года Пентагон развивает систему SMISC (Social Media in Strategic Communication), которая отслеживает все политические дискуссии и устанавливает, являются ли они случайным продуктом коллективного разума или пропагандистской операцией со стороны противника. В 2012 году киберподразделение Пентагона — DARPA запустило программу под кодовым названием Plan X — ее целью является «создание революционных технологий, которые позволят понимать, планировать и управлять информвойной в режиме реального времени». Имеется в виду как нанесение ущерба компьютерными программам и технике, так и манипулирование людьми.
В 2012 году на свет появилось так называемое «Таллиннское руководство», разработанное независимыми экспертами по заказу НАТО. В нем была сделана попытка применить нормы международного права к киберпространству и распространить уже привычные термины из военного дела на интернет и кибервооружения. «Выводы, сделанные в «Таллиннском руководстве», говорят о том (хотя с этим многие и не согласны), что на угрозу применения кибероружия можно и нужно отвечать реальными бомбежками и авиаударами, — напоминает Лукацкий. — В США такую норму даже зафиксировали в своих доктринах ведения кибервойн и защиты своего виртуального пространства».
Эксперты не исключают, что в случае полномасштабного виртуального конфликта России придется иметь дело уже не с Украиной, а с США. «Им было бы глупо не попробовать [разработки] на практике сейчас. А России было бы так же глупо не защищать свое информационное пространство и не пытаться применять такие же методы», — считает Сачков.
Пробка от хакеров-активистов
Собственные кибероружие и киберподразделения создают многие государства: США, Китай, Россия, Франция и Великобритания. К ним пытаются присоединиться Северная Корея, Иран, Вьетнам, рассказывает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». Норвежская антивирусная компания Norman, расследовавшая атаки на нефтяные компании и на правительство страны, обнаружила вирус, который, по их мнению, был создан индийской компанией. Индийцы подали на Norman в суд.
В отличие от реальных боевых действий установить заказчика компьютерной атаки сложно.
«Выпущенная из шахты ракета однозначно говорит и о начале войны, и об ее инициаторе. В киберпространстве сложно не только определить причины (если она явно не заявлена предварительно), но и идентифицировать лицо, стоящее за кибератакой», — объясняет Лукацкий из Cisco.
Например, три крупнейших банка и три медиакомпании Южной Кореи год назад подверглись атаке, в ходе которой были одновременно стерты данные на почти 50 000 компьютеров. В итоге банкоматы перестали принимать деньги, интернет-банкинг приостановил работу, частично было прекращено телевизионное вещание. Южная Корея обвинила в атаке Северную Корею. Но, кто знает, может, это хакеры из другой страны решили проверить созданный ими вирус?
Или вирус Stuxnet, который атаковал центрифуги иранских заводов по обогащению урана. Ответственность за этот вирус не взяла на себя ни одна страна. Некоторые эксперты полагали, что за вирусом стояли США, но для полноценного обвинения собранных доказательств не хватило.
«Преступники, которые занимаются таргетированными (целенаправленными) атаками, используют не один и не два сервера: зачастую это цепочка серверов, часть которых может находиться в США и Голландии, в то время как другая часть — в Азии, а из Азии направиться куда-нибудь еще, например в Австралию. Пройти по всей цепочке серверов до конца — это одна из серьезнейших проблем для исследователей и полиции, расследующей инциденты», — говорит Гостев из «Лаборатории Касперского».
В октябре 2013 года в туннеле израильского города Хайфа образовалась огромная пробка. И все из-за кибератаки на автоматическую систему управления городским движением. Проникновение в систему не было достаточно профессиональным, и эксперты пришли к выводу, что это была проделка хакеров-активистов. Вроде тех, кто сейчас «кладет» сайты СМИ России и Украины.