Зламати цифрову державу: чи стоїть рука Кремля за кібератаками на Україну

Лиш нещодавно Україна повністю оговталася після серії масштабних кібератак на сайти центральних та регіональних органів влади. Хакери налякали громадян витоком їхніх даних, натомість чиновники і правоохоронці заспокоювали, вказуючи, що з інформацією все гаразд. Що насправді сталося, хто за цим стоїть та як протидіяти майбутнім кібернападам, аналізував "Парламент.UA" спільно з експертами.

Кібератака на держоргани: що сталося

В Україні у ніч із 13 на 14 січня 2022 року сталася масштабна кібератака на урядові сайти. Зокрема, постраждали вебресурси Міністерства освіти і науки, Міністерства закордонних справ, Міністерства у справах ветеранів, Державної служби надзвичайних ситуацій, Кабінету міністрів, Міністерства енергетики. Не працював і сайт "Дія" – на головній сторінці було вказано, що "тривають планові технічні роботи".

Голова Державної служби спеціального зв’язку та захисту інформації Віктор Жора на брифінгу 14 січня заявив, що загалом під час масштабної кібератаки постраждали приблизно 70 сайтів центральних та регіональних органів влади. На частині ресурсів на головній сторінці було розміщене повідомлення провокаційного характеру трьома мовами: українською, російською та польською. 

"Українець! Всі ваші особисті дані були завантажені в загальну мережу. Всі дані на комп'ютері знищуються, відновити їх неможливо. Вся інформація про вас стала публічною, бійтеся і чекайте гіршого. Це Вам за наше минуле, сьогодення і майбутнє. За Волинь, за ОУН УПА, за Галичину, за Полісся та за історичні землі", – йшлося у повідомленні на зламаних хакерами сайтах.

До усунення проблем із доступом до ресурсів урядовці залучили кіберполіцію та Службу безпеки. Ті згодом запевнили, що витоку персональних даних не сталося. А ще сказали, що, хоча на головній сторінці було розміщене повідомлення, проте жодних змін у контенті сайтів не відбулося. Розслідувати цей інцидент взялися правоохоронці – наразі збирають цифрові докази.

Корпорація Microsoft 16 січня повідомила, що на комп'ютерах низки українських організацій виявили шкідливі програми-вимагачі, які вперше там з'явилися 13 січня. Хоча, як кажуть у Microsoft, ці програми лише прикидалися "вимагачами". Насправді ж вони стирали дані без можливості їхнього відновлення навіть після виконання вимог хакерів. Зазвичай такі програми використовують для маскування інших атак і видалення доказів зламу або для саботажу, щоб завдати максимальної шкоди жертві.

Чи бували раніше подібні інциденти

Україна не вперше стикається з подібними діями, але зараз вони яскраво виражені у цільовому аспекті. До прикладу, ще 2017 року держава постраждала від вірусу Wanna Cry, згадують нам президент "Першого міжнародного фонду розвитку України" Микола Волківський та президент "МАСПН" Україна Артем Олійник. Тоді у багатьох країнах зупинилася банківська система, аеропорти, лікарні. В Україні теж страждали ці системи.

Того ж року кібератака вірусу NotPetya вразила державні установи всього світу. У 2020 році США звинувачували у цьому хакерську групу Sandworm, що містить співробітників Генерального штабу Росії. Відтак були спроби зламати Агентство національної безпеки США (теж пов’язані із попередньою групою, або ж вони самі під іншими найменуваннями Telebots, BlackEnergy, Voodoo Bear тощо).

Наприкінці 2021 року з’явилася стаття у The New York Times, де було попередження про атаки на критичні об’єкти інфраструктури України, що очікуються найближчим часом. При цьому найбільш відомою групою можна назвати підрозділ, який діє ще з другої половини нульових: APT29 (The Dukes, Cozy Bear, Grizzly Steppe тощо). Він працює у самому центрі Москви, проводить атаки в багатьох регіонах світу тривалий час. 

Чи могли поляки бути причетні до кібернападу

На сайті українського МЗС з’явилося повідомлення провокативного характеру трьома мовами та деякі знаки, що привертають увагу. На першому місці вгорі висіла емблема голови свині червоного кольору у колі, що закреслюється лінією (спроба принизливого асоціювання), національний герб із горішнім розгалуженням на три боки (може бути багато пояснень, найімовірніше, асоціація з кропом), мапа України з тимчасово окупованими територіями Донецької й Луганської областей, а також Кримом і Севастополем та національний стяг.

Далі був написаний короткий текст, представлений українською (державною), російською (дещо поширеною у певних регіонах) та польською мовами. Політологи Микола Волківський та Артем Олійник пояснили у коментарі "Парламент.UA", що хакери приховано спробували приписати вчинення злочину громадянам Польщі. Мовляв, текст написаний польською мовою (в Україні досить багато людей володіє польською, але мізер використовує її у побуті), а мапу України з окупованим Кримським півостровом не могли розмістити росіяни.

Свідченням непродуманості роботи знову стали явні помилки: у польській версії не дотримано стандартів літературної норми. Простіше кажучи, є як явні помилки, так і застарілі вислови, які сьогодні не вживаються. Погляньте на українську версію, як вони записали ОУН і УПА (у нас в публічному просторі пишуть або через дефіс, або окремо, оскільки це не тотожні речі). У перекладі точнісінько так, з помилкою, бо він машинальний, – вказують експерти.

Читайте також

Крім того, у російській версії та польській вживають політонім Галіція (від латинського Regnum Galiciae) замість топоніма Галичина – теж наслідок перекладу "нашвидкуруч". Ще індикатором стало віднесення топоніма Полісся до переліку – невелика частка Полісся дійсно входило до складу Польщі, але основний регіон традиційно поділений між нами та Білоруссю, а невеликою частиною керує Росія. 

Виходячи із наведених фактів, можемо впевнено сказати, що тут руки Польщі знайти не вдасться, бо поляки, принаймні, вирізняються знаннями й освіченістю, на відміну від росіян. Така спроба показова і далеко не перша – створити приводи у політиці та вплинути на громадську думку про сусідню державу, яка належить до наших найбільших у світі друзів і яка продовжує нашу підтримку, попри деякі тривалі розбіжності у тій же політиці історичної пам’яті абощо, – констатували політологи.

Хто насправді винен у хакерських атаках

Наразі для вчинення злочинів таких масштабів не потрібні колосальні ресурси, проте без прикриття держави з цим буде вкрай складно. Винятки були, і в Україні також, коли урядовці намагалися обмежити "піратську діяльність" та дбати про авторське право в Інтернеті, проте це не поширена практика. Такі хакерські групи мають бути навчені, мати помітний досвід, використовувати багато адрес, порталів і засобів зв’язку. 

Часто буває, що групи самовільно створюються, аби впроваджувати шкідливе програмне забезпечення з подальшим заволодінням цінної інформації та вимаганням коштів за її повернення. Експерти Микола Волківський та Артем Олійник стверджують, що після того, як правоохоронці виявляють такі групи, нерідко відбувається вербування "талановитих осіб" із пробаченням їм попередньої роботи та пропозицією подальшої праці на службі. 

"Потрібне професійне обладнання, щоб можна було "стирати" свої сліди та маскувати реальне місцеперебування засобів втручання. А ще перед роботою є певний період пеленгування чи сканінгу, коли виявляють вразливі місця як самих об’єктів нападу, так і пов’язаних із ними мереж і контактних інформаційних ресурсів. Тоді інформація збирається, систематизується й у заздалегідь визначений час здійснюється синхронна акція", – вказують політологи.

До слова, таких груп може бути кілька, розкиданих по різних місцях, часом – у зонах зі складним визначенням перебування. Фактично будь-який регіональний лідер міг би поставити собі на службу таку мережу, яка б час від часу "струшувала" роботу, збирала потрібну інформацію, тренувалася і залякувала. Найбільше таким полюбляють займатися в Росії та Китаї, хоч і не лише там. 

Якщо говорити про лаштування відповідальності структур РФ, то спрощено це виглядає приблизно так: діють 4 відокремлені структури, що відповідають за кібернетичний шпіонаж у російській системі забезпечення безпеки: Федеральна служба охорони РФ (директор Дмитро Кончев); Федеральна служба безпеки РФ (колишній КДБ, голова Олександр Бортніков); Служба зовнішньої розвідки РФ (керівництво здійснює безпосередньо президент РФ, зараз директором є Сергій Наришкін) та Головне розвідувальне управління РФ (керує Ігор Костюков), – розповіли Микола Волківський та Артем Олійник.

За словами експертів, у складі ФСО працює профільний спецпідрозділ "Спецсвязь", у ФСБ за цей напрям роботи в основному відповідають 16-ий та 18-ий центри (перший спрямований на кіберрозвідувальну діяльність, другий – на різні цілі тільки закордоном). Вони мають власну групу під кодовою назвою Turla (Snake, Uroburos). 

Натомість у СЗР відсутній спеціальний відділ, робота організована із залученням всієї вертикалі. Також разом із ФСБ створена і діє група ART29. У ГРУ відповідальний 6-ий директорат і працює власне угрупування ART28 (Sofacy, Fancy Bear).

У коментарі "Парламент.UA" політичний аналітик Ігор Зарічний зауважив, що, найімовірніше, до кібератаки були причетні спеціальні служби Російської Федерації. Мовляв, це один з елементів тиску на Україну. Таким чином хакери намагаються здійснити дестабілізацію всередині України та довести російським громадянам, що в нашій державі неефективно працюють державні органи. 

Як протидіяти майбутнім кібернападам

Наразі в час активних і поки безрезультативних міжнародних переговорів, а ще напруження воєнної ситуації та небезпеки провокацій, нам лишається мало часу для приведення всіх систем до абсолютної резистентності (опірності) чи цілковитої інтеграції з євроатлантичними структурами.

Микола Волківський та Артем Олійник стверджують, що за той короткий час, який нам виграють дипломати, Україні слід якісно промоніторити свої попередні хиби і підготувати комплекси контрзаходів із методичками для всіх галузей – від військових до цивільних. 

Ми маємо усвідомити, що будь-яка російська атака не спроможна ані технічно, ані логістично, ані військово, ані міжнародно перемогти Україну – це грандіозне перебільшення, яке постулює державна пропаганда Кремля, – запевняють політологи.

Мовляв, навіть перемінні успіхи кількох перших днів операції наштовхнуться на виклики, які демотивують, дезінтегрують і ліквідують або деморалізують основну частину військового угрупування, якого явно не достатньо для встановлення контролю і стабілізації ситуації на тимчасово окупованій території. 

Тому слід уникати паніки та готуватися до всіх сценаріїв, аби не прогадати. ЗСУ спроможні розвернути війська РФ, тож нам слід не допустити влаштування хаосу і безладу в тилу – це такий же пріоритет національної безпеки, як і військова оборона, – додали експерти.

Політичний аналітик Ігор Зарічний вказує, що, найімовірніше, урядові сайти мають необхідний захист та фахівців, які можуть долати відповідні кіберзагрози. Але потрібно посилити відповідний захист, враховуючи факт війни з Росією.

Читайте також