Щодня в Україні відбувається близько чотирьох кібератак, пов'язаних з війною, і за останні роки їхня кількість зросла в кілька разів. І це не лише Україна чи Росія, а й Литва та інші країни, які стають мішенню для атак. Якою є логіка цієї війни?
Загадкові хактивісти
"Лише кілька десятків учасників у Telegram, російському каналі листування. Вони погрожують, що найважливіші державні установи Литви незабаром будуть закриті внаслідок жорстоких кібератак і завалені електронною поштою. Це буде операція "Віза", яка нібито була відповіддю на політику Литви щодо видачі віз громадянам Росії. Вона була запланована ще в січні, але не завдала великої шкоди. Наступного дня активісти написали, що вони вже націлені на Польщу та Латвію. Один зі скріншотів показав, що члени групи спілкувалися як литовською, так і російською мовами.
За оцінками експертів французької оборонної компанії Thales, близько 61% кіберактивістських груп, які беруть участь у війні, є проросійськими, тоді як решта пов'язані з Україною, як, наприклад, "Українська ІТ-армія", або з іншими державами та політичними інтересами. Білоруські активісти та глобальна група Anonymous також беруть активну участь у війні. Де вони діють і як люди долучаються до такої діяльності, важко відповісти.
"Ми досліджували кілька груп кіберактивістів, які налічували близько 80 осіб, тобто не 5 людей у підвалі десь за комп'ютерами. Це велика організація: є генеральний директор, HR, відділ продажів, юридичний, R&D, операційні команди. У них є способи залучення людей", - розповів LRT.lt Іван Фонтаренський, керівник групи кібербезпеки Thales, про групи кіберактивістів, які беруть участь у війні в Україні.
Кіберактивісти не мають чіткої структури, і до них може приєднатися будь-хто.
"Я б порівняв це з цибулиною. У самому ядрі - уряд, спецслужби, вони стежать за своїми ділянками. Деякі інституції відповідають за операції за кордоном. Коли ми спостерігаємо за атаками, то бачимо, що зв'язок між урядом і групами активістів є непрямим і віддаленим", - пояснив пан Фонтаренський.
Французька компанія Thales також співпрацює з Міністерством оборони України у сфері протиповітряної оборони і наприкінці березня випустила звіт, в якому проаналізувала широкомасштабне вторгнення в Україну з точки зору кібербезпеки. Один з головних висновків експертів полягає в тому, що кількість атак зростає, але все частіше за ними стоять групи активістів з обох сторін, а не російський і український уряди. Більше того, в той час як Росія і Україна ведуть звичайну війну, в кібервійні зростає кількість атак на інші країни, в тому числі на Литву.
Експерти з кібербезпеки вважають початком кіберконфлікту навіть не 2022 чи 2014 рік, а 27 квітня 2007 року, після так званої "Ночі бронзового воїна" в Естонії. Прагнення Естонії створити систему електронних державних послуг обернулося проти самої країни, коли протягом місяця на державні установи та банки накотилися чотири хвилі кібератак. Росія заперечувала відповідальність за ці атаки, а пізніше з'ясувалося, що атаки здійснювалися з 178 країн світу. Однак експерти Thales зазначають у звіті, що за цими атаками можна простежити політичні мотиви, причому деякі з них здійснювалися за інструкціями в Інтернеті російською мовою.
"Ні, це була прогресія багатьох [інцидентів]. З точки зору кібербезпеки ми бачимо, що кількість атак зростає з кожним роком. <...> Кіберконфлікт між Росією та Україною почався багато років тому, і ми вже бачили кібератаки в 2014 році", - сказав Фонтаренський, відповідаючи на запитання, чи можна зафіксувати чіткий початок кібервійни між Україною та Росією.
Як працюють атаки
Під час війни Україна особливо страждає від так званих атак "Wiper", які спрямовані на організації з метою безповоротного знищення їхніх даних. Такі атаки виводять з ладу державні установи та банки.
А DDoS-атаки сіють паніку серед населення, коли багато користувачів одночасно підключаються до веб-сайту, і він перестає працювати. Минулого року литовська влада також зазнала таких атак, відповідальність за які взяла на себе пов'язана з Росією група KillNet.
За словами пана Фонтаренського, перший тип атак, особливо на початку війни, з лютого по червень, може бути пов'язаний з російськими військовими: цілком ймовірно, що Росія поєднала звичайну війну з кібернаступом, щоб вплинути на інфраструктуру країни. Згадані вище анонімні активісти є найчастішими виконавцями DDoS-атак.
"Пізніше ми побачили те, що ми називаємо фазою латералізації конфлікту, коли війна затягнулася. Кібергрупи, близько 60% з яких були проросійськими, зайняли позиції і почали здійснювати DDoS-атаки на підтримку своїх урядів.
Тоді ми побачили справжню кібератаку, особливо в країнах Балтії. Нещодавно стався вибух DDoS-атак у Латвії, Литві, Естонії та в усьому регіоні. Атакують авіаційний сектор, енергетичний сектор, державні установи. Отже, перша частина була пов'язана з військовими, а друга - більше з цивільними", - розповідає експерт.
За його словами, існує різниця в тому, як Росія і Захід бачать кіберпростір у своїх військових доктринах. Для Росії це інформаційна війна, в той час як в Європі мова йде про захист, а не напад.
"Російські атаки дуже цікаві, тому що для них це спосіб сказати: ми можемо досягти чого завгодно в кіберпросторі. <...> Це відрізняється від європейського підходу", - каже пан Фонтаренський.
Найцікавішим випадком дослідники називають атаку на супутникову мережу Viasat за кілька годин до початку вторгнення. Порушення супутникового зв'язку вивело з ладу українську владу, а кілька вітрових електростанцій у Німеччині на кілька днів припинили роботу.
А ще більше потішило слідчих виявлення шкідливого програмного забезпечення в українських урядових установах. Воно виявилося дуже схожим на те, яке розробила українська армія, тож, на думку співрозмовників LRT.lt, Росія привласнила українську технологію, модифікувала її і повернула назад, можливо, як символічний спосіб продемонструвати свою перевагу.
Експерти також виявили, що Росія ще до війни приховала шкідливе програмне забезпечення в системах українських державних установ.
"З точки зору кібербезпеки, ми маємо докази того, що щось було сплановано. Ми не знаємо, як це було завантажено, але ми знаємо, що це було в основних системах. Під час вторгнення все, що нам потрібно було зробити, це активувати ці програми, і вірус вже був поширений. Це доводить, що важливо мати стратегію кібербезпеки, знати, де знаходяться ваші системи. Іноді ви думаєте, що вас ніхто не атакує, але це лише тому, що це вже сталося", - каже Ніколас Квінтін, ще один експерт Thales, який дав інтерв'ю LRT.lt.
Чому Україна вистояла
Квінтін каже, що активісти, які атакували Литву, були націлені в першу чергу на транспортний та енергетичний сектори - але це були DDoS-атаки, і не було зафіксовано жодних атак з метою підриву бізнесу або шпигунства за ним. Загалом за час війни було зафіксовано 45 атак на Литву.
"Це атаки, які не порушують роботу, не спричиняють війну. Вони, звичайно, не хотіли викликати війну, але вони хотіли показати: якщо ви будете діяти проти України, якщо ви будете звинувачувати Росію, ми до вас доберемося, ми нападемо на вас, якщо захочемо", - зазначив експерт.
Пік атак у Литві припав на травень 2022 року, і вони збільшуються після символічних заяв, тому політикам, які виступають публічно, доведеться змиритися з тим, що їхні слова можуть викликати кібер-відповідь, кажуть експерти.
"Коли Фінляндія вирішила вступити до НАТО, було здійснено низку DDoS-атак протягом години-двох після оголошення про це. Хактивістські групи були дуже організованими і показали, що можуть дуже швидко здійснити DDoS-атаки, коли захочуть. Я думаю, що нам доведеться навчитися жити з цією новою реальністю проросійських кіберактивістів", - сказав пан Квінтін.
За словами співрозмовників, стійкість України перевершила всі очікування.
"Це здивувало всіх, тому що на початку війни ми також боялися, що Росія прийде і знищить все своїми кібератаками. Але цього не сталося. Чому не сталося? Кібервійна почалася не минулого року, вона почалася ще в 2014 році. Вони підготувалися, вони вивчили, вони вжили заходів безпеки, вони знають, що робити у випадку кризи", - каже пан Фонтаренський.
Мета - викликати паніку
За даними дослідників, наразі в Україні щодня відбувається близько чотирьох кібератак, пов'язаних з війною. Часто вони відбуваються протягом декількох годин після політичної заяви. Найчастіше атакують авіацію, транспорт, енергетику та державні установи.
У багатьох випадках кібератаки спрямовані на те, щоб посіяти паніку серед населення, коли державні установи та банківські послуги перестають функціонувати. Це стосується 80% атак, і лише 3% атак спрямовані на поширення фейкових новин, і ще менше - на відкриті військові дії. Квінтін зазначає, що інформаційні кампанії організовуються на основі іншої логіки: метою Росії є захоплення інформаційного простору.
За його словами, Росія рідко організовує єдину дезінформаційну атаку. Набагато ймовірніше, що Росія повільно намагається закріпитися і поширювати вигідну для себе інформацію в соціальних мережах і ЗМІ.
"Дезінформаційні кампанії є більш складними через те, як працює Росія. Це тривалий процес, він має бути безперервним: вона має захопити інформаційний простір. <...> Але, наприклад, давайте згадаємо, що на початку війни поширювалися фейкові відео, які, як ми вважаємо, були зроблені російською армією, на яких президент Володимир Зеленський просив свої війська покинути Україну, скласти зброю. Були потужні дезінформаційні атаки", - каже експерт.
