Глава кибербезопасности СБУ о битвах с оккупантами и контрнаступлении в сети

Сейчас Украина – непосредственный участник первой кибервойны в истории мира. И масштаб атак абсолютно грандиозный. Никакая страна на планете никогда такого не видела.

Киберагрессия на Украине началась еще в 2014-м. В последующие годы были попытки атак, например, на энергетическую инфраструктуру или, возможно, вы помните вирус Not.Petya 2017 года. С тех пор количество угроз постоянно растет. В 2020 году на Украину было примерно 800 серьезных кибератак. 2021-й - уже 1400. После начала полномасштабного вторжения, в 2022-м - 4500. За первые десять месяцев 2023-го - уже около 4000.

Россияне пытаются атаковать разные государственные и частные цели. От того, что они называют центрами принятия решений, Вооруженных сил, Министерств, электросети — и  аптеки и даже магазины игрушек. Просто чтобы спровоцировать панику, потому что психологический эффект от цифровых атак тоже очень серьезный.

Нет ни одного Министерства или государственной системы, которую бы россияне не пытались атаковать в киберпространстве. Есть примеры атак, которые были в известной степени успешными. К примеру, в 2015-м под ударом оказалось Прикарпатьеоблэнерго — тогда в течение 6 часов около 250 тыс. человек были без света. После 2022 блекаутами уже никого не удивишь, но семь лет назад все было иначе. А в начале этого года атаковали энергокомпании в Днепре, тогда город был без света 3 часа.

Такие кибератаки особенно опасны в зимнее время. Когда нет тока, то, наконец, нет и воды, нет отопления. Причем нет и в больницах, и у пожилого человека, живущего на 22-м этаже. Поэтому мы должны отражать такие атаки.

Перед полномасштабным вторжением находились две большие волны кибератак. 13-14 января их целями стали около 70 различных государственных учреждений - это была комбинация различных типов угроз, из-за которых российские хакеры пытались украсть важные данные. Вдобавок началась большая психологическая кампания, где Телеграмм-каналы и другие медиа раскрывали личные данные украинцев. Вторая большая волна произошла за неделю до вторжения, тогда под ударом оказались государственные финансовые системы.

Еще несколько атак они запустили прямо перед вторжением – 23 февраля около 18-19 вечера. Тогда россияне атаковали уже наши армейские системы и связь. Это была настолько мощная атака, что даже несколько ветряных мельниц в Германии остановились, поскольку использовали схожее с нами оборудование.

А утром уже начались и масштабные психологические атаки — все эти фейки о том, что Харьков, Сумы и другие города якобы уже захвачены. Идея заключалась в том, чтобы заставить нас паниковать и подтолкнуть к мысли, что не стоит сопротивляться. К счастью, это им не удалось. Они рассчитывали на успех блицкрига, но оказалось, что это не спринт, а марафон.

Российские хакеры также пытались взломать одного из трех украинских телекоммуникационных операторов. К счастью, мы остановили эту атаку в самом начале. Но если бы у них было немного больше времени, россияне могли бы извлечь персональные данные, получить доступ к смс и звонкам, а также уничтожить инфраструктуру оператора. А если бы один был уничтожен, то два других были бы перегружены и не смогли бы справиться со всеми звонками. Они бы также «легли» и на время вся Украина могла остаться без связи. Понятно, как сильно это могло повлиять на все сферы.

У вражеских хакеров есть цель — уничтожить наше государство. И потому эта война – нечто совершенно новое. Мы не столкнулись с кем-то, кто заинтересован в хакинге финансово. Мы столкнулись с государством, у которого есть хакерские группы, финансируемые спецслужбами — ГРУ, СВР, ФСБ. У них есть исследовательские лаборатории, институты, которые помогают хакерам разрабатывать различные средства кибератак.

Поэтому я всегда говорю, что мы — своеобразный щит в киберпространстве всего демократического мира. Мы первыми сталкиваемся с российским кибероружием, которое тестируется именно здесь. Мы делимся информацией с нашими партнерами, поэтому они будут лучше подготовлены.

Но наш неприятель тоже не стоит на месте. Сейчас РФ создает фактически национальную систему кибератак. Это уже не только о спецслужбах. У нас есть информация, что в образовательных программах некоторых высших учебных заведений уже ввели предметы типа «Осуществление кибератак на государственные системы». Они хотят нарастить масштабы угроз и количество людей, которые могут это делать.

В перспективе это может иметь очень опасные последствия не только для Украины, но и для наших партнеров. Потому что сейчас все ресурсы РФ направлены в Украину, а большинство опасностей для других стран — низкоуровневые DDoS. Почему? Потому что у врага просто нет сил и людей для чего-нибудь посерьезнее. Но со временем у них появится много людей, точно знающих, как атаковать государственные ресурсы, энергосистемы, водо- и газоснабжающие компании. Все они будут работать на спецслужбы и нанесут немало вреда не только Украине, но и миру.

Киберконтрнаступление

По специфике своей работы СБУ направлена на защиту национальной безопасности Украины, поэтому одним из аспектов нашей работы является поиск разведывательных данных, которые мы затем передаем Вооруженным силам. Все, чтобы понять: какие планы у врага, как передвигаются войска, какое вооружение используется или как РФ обходит санкции, как создает новые цепочки покупки компонентов, которые они используют в оружии. Кроме того, наша задача — поражать их кибератакующие способности, чтобы разрушить возможность нападения на Украину в киберпространстве.

Конечно, мы и сами начали атаковать. Начали уже 24 февраля в день вторжения. До этого мы только защищались, но время безнаказанности истекло.

В первые дни полномасштабной войны была буквально очередь людей, которые звонили в СБУ и хотели как-то помочь. Люди, связанные с ИТ, хотели что-нибудь сделать, чтобы остановить врага. Я называю их своеобразной киберТерробороной.

С тех пор у Украины было много успешных сделок. О большинстве из них я не могу рассказать сейчас. Напомню, наш приоритет – разведывательные данные.

С другой стороны, по вашей просьбе я, конечно, могу дать свою оценку тому, что в Украине называют «кибербавовной» — тех случаев, когда Россию кто-то атаковал в киберпространстве.

Возможно, вы помните атаку на Rutube. Это российская замена YouTube, ведь идея закрыть его в РФ все еще жива, как они сделали с Instagram и Facebook. СБУ не может ни подтвердить, ни опровергнуть свою причастность, но оценить действия украинских хакеров все же позволю.

9 мая Путин проводил парад на Красной площади. Должна была быть прямая трансляция на Rutube, но ее не было. Сервис полностью лег. Киберсилы уничтожили все связи между серверами, так что россиянам понадобилось 5 дней, чтобы просто все включить и месяцы, чтобы восстановить всю систему.

Были и другие атаки. Испытывали удары система спутниковой связи вражеских военных Дозор-телепорт и второй крупнейший провайдер России Дом.ру. Проукраинские хакеры взломали и сайт МосгорБТИ, содержащий все данные о недвижимости и ее владельцах в Москве и Московской области. Все эти данные достались Силам обороны Украины, и теперь известно, где именно живут военные начальники РФ. Все данные были уничтожены, а МосгорБТИ вынуждено было перейти на бумагу.

Другой пример – атака на российскую Таможенную службу. Вся ее цифровая инфраструктура была полностью уничтожена вместе с бекапами. Это привело к тому, что все таможенные структуры от Владивостока до оккупированного Севастополя остановились. И три дня они тоже использовали только бумагу.

То есть, в целом, Россия пропустила много серьезных атак. Но о важнейших из них и о том, кто их проводил, рассказать можно будет только после победы.

Люди часто обращают внимание на взломы, когда украинская музыка или речи раздаются вместо эфиров российских медиа. Это обычно не очень серьезные атаки, но это хороший пример того, как цифровыми средствами оказывается психологическое воздействие. Это напоминание россиянам, что враг ближе, чем они думают.

Для Украины важно контратаковать в киберпространстве, чтобы россияне тоже почувствовали, что война продолжается — и не только где-то далеко, а рядом. Для нас важно доносить эту информацию в РФ.

Кто такой хакер СБУ

Опять же – это закрытая информация. Но могу сказать, что сегодня хакеры из СБУ – это не просто ИТ-специалисты. Это сочетание программиста и кое-где бойца-спецназначения. Поэтому у нас немало людей, которые работают на фронте, там у них есть доступ к девайсам, которые мы захватываем. Они также противодействуют враждебным РЭБ, дронам, так что им нужно быть на передовой и знать, как стрелять. Поэтому не всегда украинский хакер — это сидящий с клавиатурой перед монитором, иногда нужно работать и в полях.

Это работа 24/7. У нас есть куча телеметрических детекторов, установленных на объектах критической инфраструктуры. Они помогают нам фиксировать начало кибератаки, чтобы мы могли быстро отреагировать: изолировали, остановили, ограничили.

Недавно мы остановили мощную атаку на нашу боевую систему управления тактического звена «Кропива». Россияне разработали 7 вирусов специально для ее хакинга. К чему это могло привести? Они могли бы получить доступ ко всем девайсам, подключенным к «Кропиве» — планшетам, телефонам. Россияне могли увидеть не только саму систему, а все на этих устройствах – переписку в Телеграмме, изображение в Signal и так далее. Полный доступ. Также это вредоносное программное обеспечение должно было дать доступ к конфигурациям всех Старлинков, к которым подключены аксессуары. В конце концов они могли увидеть, где наши штабы, потому что там скопления Старлинков и гаджетов. Их могли атаковать артиллерией или ракетами. Это была первая крупная операция по всем стандартам НАТО. Мы увидели эту атаку на старте и остановили ее.

Даже обычные пользователи смогли стать кибербийцами. Например, IT-армия, в которую присоединилось около 300 тыс. человек — они занимались преимущественно DDoS-атаками. А уже через несколько дней после полномасштабного вторжения запустился Stop Russian War Bot, в который можно было посылать информацию о маневрах врага, координатах, видах войск и вооружениях. Мы получили более 100 тысяч сообщений от обычных людей со всей страны. Далее мы проверяли эти данные и отправляли все в Вооруженные силы. В конце концов, это привело к гибели нескольких вражеских генералов и уничтожению сотен единиц бронетехники. Это очень рискованно для людей, которые делали фото врага и передавали данные. Даже зная, что могут погибнуть, они продолжали это делать и помогли остановить российскую армию.

У украинцев не было другого выбора, кроме как защищать свою землю. Все представители ИТ, которые могли присоединиться к защите государства, были привлечены. В общей сложности это тысячи людей.

Однако, к сожалению, тысячи людей участвуют в кибервойне и с российской стороны. Потому что действовавшие в России цифровые шантажисты, вымогатели и мошенники сейчас работают против Украины. Фактически вражеские спецслужбы вынудили их атаковать наше государство.

Очень важной задачей СБУ является привлечь всех этих государственных хакеров к ответственности. Для нашего будущего важно, чтобы каждый такой человек понимал, что рано или поздно придется заплатить за атаки, особенно на гражданскую инфраструктуру. Поэтому нам важно фиксировать, кто именно виноват и передавать эти данные в украинские и международные суды.

Мы недавно посчитали: ежемесячно фиксируется около 1000 дезинформационных кампаний от РФ. Это разные методы: купленные лидеры мнений, YouTube, Телеграмм, TikTok, X, любые другие. Они создают ботофермы с якобы реальными людьми, подписывающимися на нужный аккаунт. А если на кого-то подписаны тысячи, то этот человек вроде уже более авторитетный — и начинает распространять фейки о биолабораториях, продаже вооружения от союзников, конфликты во власти. Все это способ влиять на общественное мнение и на наших партнеров.

С начала полномасштабного вторжения мы блокировали уже 76 ботоферм из 3 млн фейковых аккаунтов — и это только работавшие в Украине, а ведь и действующие с территории РФ и других стран, куда у нас нет доступа.

В целом Украина разрушила миф о всесильных российских хакерах. Не потому, что они слабы или потому, что их мало. А потому, что мы сильны, и нас недооценивали. У меня было много разговоров с руководителями разных заграничных спецслужб. Все они в один голос говорили: даже при всей нашей поддержке и доверии мы были уверены, что российские хакеры уничтожат всю вашу инфраструктуру. Но украинцы 8 лет сражались и развивались. И теперь мы можем противостоять любому. Легко учиться, когда балансируешь на лезвии ножа.

Это первая кибервойна в мировой истории, где есть две открыто воюющие страны. Раньше были примеры мощных кибератак. Но их цель была получить информацию и использовать ее. Это было не об уничтожении самого государства. А мы сейчас в ситуации, когда пытаются разрушить страну. И те масштабы атак, которые мы зафиксировали в СБУ, наглядно это показывают. Нет другого места на земле, другой страны, которая очутилась бы под такими атаками. И я надеюсь, что не появится.