Кібервійна: Україна – тестовий полігон для усього світу
Українські хакери у полум’ї кібервійни стали міжнародним брендом
Україна і раніше була заповідником дрібної злочинності в Інтернеті. Потім почалася війна з Росією. І вже сьогодні тут випробуються засоби цифрової війни. Колишні хакери стали самостійною силою.
Артем Афіян, молодий чоловік за тридцять із акуратною бородою. У коричневій куртці поверх сорочки та оливкових штанях він сидить за дерев’яним столом у своєму бюро в Києві, на шостому поверсі офісного центру.
Через велике вікно можна подивитися додолу, на вулицю, по якій хурчать важкі джипи та гелендевагени з тонованими шибками. Нові тойоти лендкрузери, лендровери та мерседеси G-класу мчать по не завжди добре асфальтованих вулицях країни, в якій річний середній заробіток є нижчим за $10 тис.
За Артемом на стіні висить попартівська версія відомої картини періоду Ренессансу «Вирок Камбісу». Малюнок демонструє, як було схоплено та освіжовано неправедного суддю Сісамна, після чого його суддівського стільця оббили його ж шкірою. «Ми надіслали копію цієї картини до суду, але там її не схотіли», - розповідає він та усміхається. Афіян захищає власників сайтів файлшерінга на кшталт Ex.ua
З початку 2010 років Артем спеціалізується на інформаційно-технічному праві. Те, як змінюється українська кібергромада, відображається на справах, якими він займається. На початку Артемові дзвонили приватні хакери, якщо несподівано до них приходила поліція: скажімо, «картковики» з Одеси, яких ловили на підробці кредитних карток інших людей, «дата-майнери», які занадто глибоко залізли до чужих баз даних. Він захищав власників файлшерінгових сторінок, таких, як еx.ua.
Свій перший гонорар він отримав у біткоїнах. Наразі контора Артема виробила також і правові межі для так званих bug-bounty-завдань: тестів на безпеку, які хакери проводять на замовлення клієнтів. Класичних хакерських справ у нього поменшало.
«П’ять-десять років тому Україна була чимось на зразок хакерського раю. Але ера приватних хакерів завершується. Кардери майже пропали. Хакінг став організованим. Якщо спіймають молодика за хакерством – до нього прийде поліція. А наступного дня до нього завітає компанія, яка йому запропонує $5 тис. на місяць, якщо він на неї працюватиме» - розповідає адвокат.
США надсилають «кібербійців» до України
Така еволюція має й політичні передумови: в 2014 році Україна революцією на Майдані відірвалася від Росії; столиця з тієї пори не бажає називатися «Кієвом», а називається «Київ», це українська транскрипція. Але цей відрив також перетворив країну на тестовий полігон для кіберзброї.
Якщо в 2000-ні та на початку 2010-х Україна була ще «ігровим майданчиком» для хакерів, то зараз тут точиться справжня цифрова війна. Наразі вже й США надсилають кібербійців до України, аби вони тут навчалися, як робляться кібератаки, та самі готувалися до них. Після того, як на сервери Демократичної партії США було здійснено хакерський напад, і це допомогло Дональду Трампу перемогти на президентських виборах, американцям достеменно стало зрозуміло, до яких наслідків може призвести дія кіберзброї.
Хоча майже неможливо точно визначити, яка держава та яка командна структура провела ту чи іншу кібератаку, але можливість її відбити, зрештою, з самого початку закладена в саму атаку. У великих атаках, які спрямовані на Україну, експерти та співробітники спецслужб чітко впізнають російський «почерк».
Кібер-«хробак», який обійшовся в мільярди
Наразі наймасштабнішим нападом на тестовому полігоні «Україна» вважається Notpetya. Це комп’ютерний вірус, який влітку 2017 року, стартував зі зламаного серверу маленької київської компанії з розробки програмного забезпечення, паралізував усю країну. «Хробак» знищив інформацію на 10% усіх українських комп’ютерів та тимчасово паралізував в Україні два аеропорти, 22 банки та купу різноманітних державних закладів.
З українських комп’ютерів Notpetya перестрибнув на сервери таких концернів, як Merck (фармацевтичний гігант) або перевізників Fedex та Maersk. Американському концерну Merck, за оцінкою експерта Енді Грінберга, Notpetya обійшовся в $870 млн. Найбільшій в світі контейнерній компанії Maersk він коштував $300 млн.
Експерти Білого Дому з питань безпеки вважають, що загалом вірус завдав шкоди приблизно на $10 млрд. Вони звинувачують у всьому російську ГРУ.
Постійна загроза для української IT-інфраструктури перетворила комп’ютерну безпеку на центральну тему: з класичної аутсорсингової індустрії ця діяльність виросла у стрімко зростаючий сектор кібербезпеки. Хакери та фахівці з IT-безпеки працюють зараз для уряду та отримують все більше зарубіжних контрактів.
Віктор Жора сидить в центрі Києва в кафе та їсть пиріг. Йому під сорок, одягнений в чорний светр. Біля нашого столика стоїть двохметрова малинова пластикова скульптура собаки, яка нагадує роботи американського скульптора Джефа Коонса й надає розмові якоїсь сюрреалістичності.
З початку 2000-х Жора працює у секторі IT-безпеки. «15 років тому щось, подібне кібервійні, й уявити собі не можна було», - розповідає він та бере виделкою шматок пирога. З того часу, як Україна політично відокремилася від Росії, все змінилося. Він та його фірма Infosafe з 2009 року допомагали убезпечити вісім парламентських та президентських виборів.
«Вебсайт ЦВК постійно атакували»
Взагалі-то, в Україні все ще використовують паперові бюлетені для голосування, тож результати виборів дуже важко «хакнути» цифровими методами. Але в країні, яка з 2004 року пережила дві революції, якісь невідповідності на виборах можуть призвести до вибуху.
«У ніч виборів та наступного дня на сайті виборчої комісії був просто шалений трафік» - згадує Жора. – На сайт ЦВК постійно нападали. Ми намагалися втримати його всіма силами – від створення «дзеркальних» сторінок до захисту від DDoS-атак».
Найінтенсивніші атаки Жора датує 25 травня 2014 року. «Наш великий сусід вирішив тоді довести всьому світові, що ми в Києві обрали собі хунту», - розповідає він. Хунта – це визначення, яке в 2014 році використовували, перш за все, російські ЗМІ, аби дискредитувати тодішню українську владу.
«Напад виконувався у три фази» - розповідає Жора. Ще перед виборами хакери за допомогою цілеспрямованих фішінг-атак непомітно проникли до комп’ютерної системи Центральної виборчої комісії. За пару годин до того, як на сайті ЦВК були оприлюднені перші попередні результати, він та його колеги отримали повідомлення про злам системи.
Хтось помітив, що вже перед першими попередніми результатами на сайт було завантажено світлину нібито переможця, щоб її можна було будь-якої миті оприлюднити. На світлині був Дмитро Ярош, лідер праворадикальних бойовиків «Правого Сектора» (прим. «Главкома» - саме так автор матеріалу у німецькому виданні визначив цю організацію, переклад дослівний).
Політичні кібератаки на Україну
Світлина Яроша, як переможця виборів, на офіційній сторінці Центральної виборчої комісії мала б катастрофічні наслідки для України: російські ЗМІ, які мають багато читачів і в Україні, роздмухали б до небес свою тезу про хунту. Повідомлення про перемогу Яроша миттєво вивела б на вулицю як прихильників Правого Сектору, так і людей, які підтримують інші партії, які б впали у розпач. Цей хаос би постав під сумнів всі вибори.
«Щойно ми побачили цю світлину, нам стало зрозуміло, що систему зламано» - розповідає Жора. Повністю перевірити всю систему та гарантовано викинути нападника – це б забрало дуже багато часу. «Тому ми почали повністю міняти всі точки доступу та саму сторінку», - пояснює він. Нова сторінка вийшла в онлайн невдовзі перед отриманням попередніх результатів.
«Єдиний захід на стару адресу, де висіла світлина Яроша, було здійснено з IP-адреси одного з російських телеканалів», - каже Жора з багатозначним виразом на обличчі. Злам сторінки української виборчої комісії став чимось на кшталт стартового пострілу для великих політичних кібератак на Україну.
Хакери планували захопити електромережі
23 грудня 2015 року в 230 тисяч жителів Івано-Франківської області раннім вечором раптом вимкнулося світло. Вперше в світі, за допомогою спецоперації, хакери захопили контроль над електромережею.
Вони добре підготувалися. За допомогою надісланого через емейл вордівського файлу з назвою BlackEnergy ще навесні 2015 року вони почали інфікувати комп’ютери співробітників енергопостачальних компаній на Заході України.
Хакери витратили місяці на те, щоб обійти захист електропостачальників та розібратися, як функціонують їх виробничі комп’ютери. Момент, коли вони були повністю готові, наступив 23 грудня 2015 року. Тоді зловмисники «перемкнули важелі» в трьох розподільчих центрах та на 30 підстанціях. Електроенергія зникла. «Вишенька на торті» - хакери під час нападу вимкнули ще й запасні агрегати трьох атакованих розподільчих центрів, так, що навіть і без того збиті з пантелику співробітники сиділи в темряві.
Приблизно рік потому, в грудні 2016 року, було здійснено напад на «Київенерго». «При цьому на пів ночі вирубилося світло у Києві. Хакерський софт, який було використано, був написаний окремо для промислової контрольної системи цієї компанії, - розповідає Жора. – Вони відпрацювали свої хакерські програми на комп'ютерній системі «Київенерго» й тепер можуть використати їх будь-де в світі».
Американські кіберспецпідрозділи в Україні
Але в Україні тренуються не лише нападники. З моменту кібернападу на систему виборів та енергетичні системи США надсилають сюди не лише обладнання та допомогу для захисту, а й спецпідрозділи, які вивчають ці атаки на місці, аби підготувати до них Америку.
«Наша протидія нападу BlackEnergy полягала в тому, що ми відновили струм в розподільчих центрах вручну. В США це б просто не вийшло, тому що там електромережі керуються повністю комп’ютерами», - пояснює Жора.
«Ймовірно, хакери хотіли побачити, чи працюють їхні віруси належним чином. А також як на це відреагує міжнародна спільнота», - пояснює Марія Безнер у розмові по скайпу. Безнер в Центрі безпекових досліджень технічного університету ETH в Цюриху досліджує питання, яку роль кібератаки грають в конфліктах, подібних війнам в Сирії чи Україні.
В одній із своїх наукових статей вона перераховує 64 атаки та контратаки в українському конфлікті за період між листопадом 2013-го та груднем 2016-го. «Україна, без сумніву, має для США стратегічне значення. Америка може спостерігати в Україні, яким чином здійснюються напади на комп’ютерні системи, які віруси використовуються, та вивчати тактику нападників. Це було дуже корисно перед довиборами в Конгрес США в 2018 році. Перед виборами 2020 року вони чинитимуть так само й надішлють кібербійців до України, Македонії та Чорногорії».
Платформа Hacken Proof
В об’єднаному інтернетом світовому просторі кібератаки, почавшись в якійсь окремій державі, не залишаються в її межах, а розповсюджуються по всьому світі.
Лише в парі кілометрів від кафе, в якому відбулася зустріч з Віктором Жорою, працює маленька українська фірма-розробник програмного забезпечення з назвою Linkos Group.
Linkos продає звичайнісіньку бухгалтерську програму з назвою M.E.Doc, перш за все, українським клієнтам. В червні 2017 року хакери використали один із серверів цієї фірми, аби випустити в світ вірус, який став пізніше відомим з ім’ям Notpetya.
Хакерські атаки проти України, які експерт з кібербезпеки Жора називає «холодним душем», вдихнули нове життя в українську хакерську громаду. В західній частині Києва, в кафе офісної будівлі з назвою Unit City, ми зустрілися з Єгором Аушевим та його бізнес-партнеркою Євгенією Брошеван.
Обидва вдягнені в толстовки: Аушев – у чорну, Брошеван – в червону. За допомогою грошей, отриманих від операцій з криптовалютами, обидва збудували платформу з назвою Hacken Proof. На цій платформі підприємства можуть записатися на тест із вторгнення: свого роду перевірку на міцність свого захисту від хакерів. Один із трьох тисяч зареєстрованих на сайті легальних хакерів шукає в цьому випадку на слабкі місця в захисті тієї чи іншої фірми – і записує те, що знайде.
Мінлива історія України – від колишнього «садочка» для кіберзлочинців до «дитини кібервійни» – підштовхнула цей бізнес до розвитку. «Знадобилося багато часу, аби переконати клієнтів винайняти для свого кіберзахисту саме українську фірму. З іншого боку, Україна вже стала відомою своїми хакерами та кібератаками», - пояснює Аушев. Одним із клієнтів, якими він особливо пишається, є одна з азіатських авіакомпаній.
Засновник Hacken Proof Аушев вважає, що в Україні наразі існують близько 30 компаній з кібербезпеки. При цьому він підтверджує зростання попиту на фахівців з кібербезпеки. Він скористався цим для власного бізнесу, викладаючи безпекові курси.
Не востаннє через атаки, подібні BlackEnergy та Notpetya індустрія кібербезпеки переживає бум, подібного якому ще не було. Й українські хакери в вогні кібервійни стали міжнародним брендом.
Ян Фолльмер, Die Welt
Переклад для «Главкома»: Борис Немировський