Атаки на системи «Київстару» стали, мабуть, найбільш успішною операцією росіян проти України. Водночас цей кейс зайвий раз продемонстрував, що, окрім конвенційних операцій на полі бою, триває війна в кіберпросторі, яка почалася ще 2014 року. Деякі її прояви змогли зачепити багатьох українців, наприклад кібератаки на українські енергетичні компанії чи вірус Petya.A.
Трохи більше як за місяць до початку повномасштабного вторгнення, 14 січня 2022 року, кілька десятків українських державних ресурсів постраждали від потужної кібератаки. Цей січневий напад до атаки на системи «Київстару» був одним з найбільш помітних за останні два роки. Натомість відсутність видимих результатів кібернападів чи інформації про них не означає, що їх не було.
Що відбувалося на цифрових полях бою в кібервійні й на що чекати українцям у майбутньому, розповідаємо разом із заступником голови Держспецзв’язку Олександром Потієм та експертами — учасниками конференції «IT Meets: Кібербезпека».
Статистика української кібервійни
Спеціальна урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України, CERT-UA — це структура, яка захищає Україну в кіберпросторі. Протягом двох років ця група інформувала про кібернапади на українські об’єкти. За даними її звіту, у III кварталі 2023 року кількість зареєстрованих кіберінцидентів збільшилася на 46 %. Загалом за час війни число кібернападів зросло на 250 %. Ці дані кажуть про те, що українським фахівцям доводиться постійно працювати з кібернападами. Проте такі атаки не є чимось новим. Коментуючи техніки, які використовували зловмисники протягом двох років, експерти розповідають, що 50 % з них були розроблені за рік-два до впровадження.
Попри те, що Україна багато чого навчилася за час війни й кібервійни проти Росії та сьогодні, як порівняти з 2014 роком, ситуація з кіберзахистом покращилася, загалом проблем в цьому напрямі вистачає. Одна з найголовніших, про яку розмовляли експерти на «IT Meets: Кібербезпека», — кібератаки стали масштабнішими. Якщо раніше такі напади зачіпали міністерства й державні відомства, то нині хакери можуть бути націлені на структури сільських територіальних громад чи малий бізнес.
Іншою проблемою, наприклад, є захист державних сайтів: значна частина доменів у GOV.UA не налаштована для захисту, а почасти їхні контакти (Admin-c і tech-c) використовують російські поштові сервери.
Ключові тенденції кібервійни
Головна зміна, яку експерти спостерігають з початком повномасштабного вторгнення, — збільшення кількості кібератак. З’явилося багато груп хакерів, афільованих з Росією, та й таких, які нібито не мають зв’язків з іншими режимами. Атаки як такі стали складнішими, на них треба було реагувати швидше й гнучкіше.
Експерти зазначають, що підготовка до кібернападу, який супроводжував початок конвенційної війни, тривала ще з вересня 2021-го. Деякі бекдори опинялися в ІТ-системах ще в липні того року — вони містили «годинникові бомби», які спрацьовували вже після початку повномасштабного вторгнення.
Згадані відомі атаки 14 січня 2022-го експерти називають розвідкою боєм і розповідають про масову кібератаку, яка розпочалась о 18 годині 23 лютого 2022 року. Її метою була зупинка всіх комунікацій, зв’язку й можливостей управляти державою, щоб досягти деморалізації населення.
Одним з її проявів була атака на провайдера супутникового зв’язку Viasat у лютому 2022 року й наступний напад на Укртелеком кінця березня 2022-го.
Жертви кібернападів
Експерти зазначають великий спектр організацій, структур і галузей, які стають жертвами кібернападів. Окрім того, що сьогодні не захищені від атак ні малий бізнес, ні невеликі територіальні громади чи навчальні заклади, так само не можуть себе відчувати захищеними різні галузі.
Передусім об’єктами атак є державні структури. Атакують ІТ-інтеграторів і мобільних операторів, інтернет-провайдерів, обленерго, водоканали, логістичні й страхові компанії та навіть готелі.
За час війни посилились атаки на медіа, водночас потреба в них і деструктивні наслідки незрозумілі, окрім іміджевого ефекту.
Ще одна особливість кібервійни — повторні напади на одні й ті ж відомства.
Енергетика — одна з найбільших жертв
Заступник міністра енергетики України з питань цифрового розвитку, цифрових трансформацій і цифровізації Фарід Сафаров під час конференції «IT Meets: Кібербезпека» розповів, що станом на початок серпня 2023 року за час війни було зафіксовано понад 1,5 мільйона кібератак на енергетичну галузь.
Часто такі напади передували обстрілам енергетичної інфраструктури або відбувалися синхронно з ними. Їхня мета — добити те, що знищується ракетами. Окрім того, хакери намагалися добитися перехоплення ручного контролю над енергопередавальними станціями. 80–90 % атак були здійснені саме на передавальні засоби, щоб максимізувати ефект і від кібернападів, і від обстрілів.
Це було особливо помітним у жовтні — листопаді 2022 року: атакували сайти профільних міністерств, операторів системи розподілу й передачі електроенергії, навіть ламали особисті кабінети користувачів, щоб у разі відключень створити щонайбільший хаос.
Глобальна мета кібернападів на електроенергетику — відключити віддалено передачу енергії та заблокувати можливість її увімкнення. Хакери організовували атаки на модеми (засоби зв’язку), після цього знищували комп’ютери співробітників і сервери.
Вектори атак або як здійснюють кібернапади
Що стосується векторів атак, тобто способів зламу, то тут нічого нового в цій кібервійні не спостерігалося.
Зловмисники використовують відомі вразливості (не запатчені, тобто ті, для яких не було встановлено оновлення, що усуває проблему). Також для атак шукають і використовують скомпрометовані акаунти, не менш популярним є використання вразливостей нульового дня (тих, для яких ще не існує оновлень). Старий добрий фішинг різного типу — це ще один популярний спосіб зламу, застосовується й атака на ланцюги постачання (supply chain), тобто зловмисники зламують систему, нападаючи на програмне забезпечення постачальника, яке використовує жертва.
На що чекати в майбутньому
«Після закінчення активної фази війни кібервійна продовжиться», — такий прогноз озвучували учасники «IT Meets: Кібербезпека». І причина полягає не лише в тривалій війні в Україні. Доступність і простота використання інструментів для організації атак, розвиток штучного інтелекту — це ті два фактори, які перетворюють кібервійну в тривалий, майже нескінченний процес.
Наприклад, штучний інтелект уже демонструє здатність генерувати майже досконалі фішингові листи. Відповідно, мінімізація часових затрат на організацію таких атак може призвести до ситуації, що жертва отримуватиме не 5–10 заражених листів, а 5–10 тисяч. У цьому разі ймовірність того, що хоча б на один вона відреагує, набагато вища. Тож ефективність таких атак теж буде вищою.
«Не варто недооцінювати здатність росіян здійснювати складні кібероперації» — заступник голови Держспецзв’язку
Заступник голови Держспецзв’язку Олександр Потій відповів на деякі запитання Тижня про кібервійну, захист і взаємодію з російськими хакерами.
— Що було найскладніше й найпростіше протягом цих двох років війни в кіберзахисті держави?
— Одразу можу сказати, що найпростішого не було. А якщо точніше, то найпростішим було б скласти руки й чекати на поразку. Однак ми обрали інший шлях. Україна першою у світі постала перед викликами такого масштабу, коли кіберскладова стала повноцінною частиною війни. Тому ключовим викликом для держави в кіберпросторі було не допустити знищення інформаційних систем, зокрема об’єктів критичної інфраструктури, зберегти цілісність державних даних і доступ громадян до сервісів, які надає країна.
Складність полягала в тому, що довелось адаптовувати системи захисту до викликів війни в екстремально короткі терміни в режимі постійних змін, налагоджування всіх процесів. Це досвід, якого ніколи не було ні в кого, тому жодних патернів, інструкцій чи напрацьованих підходів не було. А реагувати доводилося швидко.
Мабуть, саме усвідомлення того, що ти постійно маєш бути насторожі, що ніхто не може сказати, коли припиниться активна фаза агресії, зокрема й у кіберпросторі, було чи не найголовнішим викликом.
— До чого ваша структура виявилася не готовою?
— Ще до початку повномасштабного вторгнення ми не один раз чули про те, що російські хакери є чи не найпотужнішою силою в кіберпросторі. Ми бачили численні заяви, що українські системи не встоять під їхніми ударами й будуть знищені. Та, як бачимо сьогодні, попри те, що певні атаки мали успіх, вони жодних критичних наслідків для держави й для її громадян не принесли. Тому напевно не варто казати про неготовність. Український великий бізнес постійно розвиває свої системи кіберзахисту, вкладаючи в це чималі кошти. Починаючи з 2017 року, коли було прийнято закон «Про основні засади забезпечення кібербезпеки України», у країні було сформовано систему органів, які відповідають за кібербезпеку, ухвалено велику кількість необхідних законів та інших нормативних актів.
Проте варто підкреслити, що ця система все одно потребує вдосконалення, зокрема після атак 14 січня 2022 року. І, на жаль, напрацьовані на РНБО першочергові заходи покращення досі залишаються тільки законопроєктом. Варто також розуміти, що нормативні акти дають підґрунтя, але самі собою не захищають. Завдяки тому, що ми налагодили співпрацю й підготували людей, а також завдяки неймовірній підтримці партнерів як західних, так і волонтерів в Україні ми змогли вистояти. Україна детально вивчила й вивчатиме далі нашого ворога, його техніки й тактики дій у кіберпросторі, і вже тепер наші фахівці охоче діляться своїм досвідом з партнерами з усього світу. Звісно, ідеально захищених інформаційних систем не існує, зламати можна будь-яку, а питання тільки в часі й засобах. І навіть сьогодні ми постійно наголошуємо, що можливості росіян здійснювати якісні й складні кібероперації не варто недооцінювати й треба далі посилювати кіберстійкість як окремих об’єктів, так і держави загалом. Проте кіберстійкість — це не тільки про протидію кібератакам, а й про здатність швидко відновлюватися після них.
— А чи було щось, у чому супротивник розчарував (умовно кажучи, круті російські хакери виявилися не такими крутими)?
— Перші два роки повномасштабної війни показали, що потенціал російських хакерів був дещо переоцінений. Росія, як виявилося, не така сильна, як це пропагувалось останніми роками.
Після перших масованих кібернападів, які відбулися в середині січня, і після повномасштабного вторгнення російських військ в Україну ми очікували значно більшої кількості складних атак.
Але, як уже було сказано, це не привід тішити себе ілюзіями, що противник слабкий. Ми чітко усвідомлюємо, що ворог підступний і небезпечний, має великі ресурси. Російські хакери, які напряму пов’язані з російськими силовими структурами, не зупиняться, доки не зупиниться російська військова машина.
— На що чекати 2024 року?
— Ми не маємо сумніву, що російські хакери не залишать спроб атакувати Україну в кіберпросторі. І мішенню будуть як об’єкти критичної інформаційної інфраструктури, так і приватні бізнеси, які можуть мати договірні відносини з компаніями чи державними установами, що володіють такими об’єктами. Так само не припиняться й масові фішингові кампанії, щоб знаходити людей, які можуть мати доступ до тих чи інших об’єктів і використати їх для подальших атак. Тому ми закликаємо всіх українців бути пильними й дотримуватися правил кібергігієни, а установи та компанії — працювати й далі над посиленням власних систем захисту й відновлення.
Як ми спостерігаємо з активності в російських телеграм-каналах, противник активно залучає молодь, дає їм навчальні матеріали й хакерські інструменти, готує нове покоління мотивованих хакерів, які в майбутньому можуть легко стати суб’єктами кіберзлочинності.
Натомість ми вивчаємо їх, розробляємо свої стратегії захисту й допомагаємо покращити рівень захищеності потенційних цілей. Перед нами є ще багато викликів і проблем, ми особливо приділяємо увагу захисту об’єктів критичної інфраструктури (ОКІ), адже Держспецзв’язку опікується координацією захисту ОКІ в цілому. Ми добре розуміємо весь можливий комплекс загроз, зокрема й у кіберпросторі.
Війна в Україні показала, що агресія в кіберпросторі є важливим компонентом російської воєнної доктрини. І загроза в майбутньому буде тільки зростати як для України, так і для її партнерів.