Чтобы увидеть войну будущего, отправляйтесь на верхний этаж ничем не примечательного офисного здания на окраине украинской столицы. Там, рядом с затемненным конференц-залом, за темно-серыми мониторами сидят инженеры и ведут войну со строками кода.
«Атаки случаются каждый день, - говорит Олег Деревянко, основатель украинской фирмы кибербезопасности Information Systems Security Partners. - Мы никогда не думали, что станем линией фронта кибер- и гибридной войны».
Чтобы наблюдать киберконфликт в действии, не может быть места лучше, чем сегодняшняя Украина. Открытая война с Россией, высококвалифицированный, обладающий компьютерной грамотностью пул талантов и уникально уязвимая политическая, экономическая и ИТ-среда сделали страну идеальной песочницей для тех, кто хочет испытать новое кибероружие, тактику и инструменты.
«Украина - это стрельбище», - говорит Кеннет Гирс, опытный эксперт по кибербезопасности и старший научный сотрудник Атлантического совета, который консультирует Таллиннский киберцентр НАТО и изучает особенности украинского киберконфликта. Подобно тому, как мировые державы вели опосредованные войны на Ближнем Востоке и в Африке во время «холодной войны», Украина стала полем битвы в гонке кибервооружений за глобальное влияние.
Фирма Деревянко работает в тесном сотрудничестве с украинским правительством и его союзниками в США и Европе, чтобы отразить атаки на сети. По другую сторону виртуальной линии фронта - не только умелые российские хакерские группы вроде Fancy Bear, Cosy Bear и Sandworm - группа, стоящая за «NotPetya», самой разрушительной на сегодняшний день кибератакой, - но и множество других правительственных, неправительственных и криминальных игроков, испытывающих свои силы на украинских сетях.
По словам Деревянко, хакерская активность резко возросла в преддверии президентских выборов, которые состоятся в марте. С ноября хакерские группы заваливают украинских судей, правительственных чиновников и адвокатов электронными письмами, которые содержат вложения с вредоносными программами и вирусами - иногда замаскированными под поздравления или оповещения от кабинета премьер-министра. Деревянко называет это «массовым фишингом».
Российские хакерские группы неоднократно пытались проникнуть в государственные системы, сообщает служба национальной безопасности Украины. По ее данным, критическая инфраструктура и избирательные системы находятся под постоянным штурмом.
«Они не только проверяют свои способности, но и наши рефлексы», - говорит Деревянко.
Игровая площадка для России
Война на востоке Украины дала связанным с Россией хакерам шанс отточить свои навыки в проведении кибератак.
«Аннексия Крыма и война на Донбассе создали нестабильную политическую обстановку», - говорит Мерле Мегре, бывший руководитель центра киберзащиты НАТО в Таллине, а ныне исполнительный вице-президент эстонской фирмы по кибербезопасности CybExer.
Даже весной 2014 года, когда российские танки пересекли физическую границу с восточной Украиной, российские хакеры отправляли вредоносный код в украинские ИТ-системы, создавая политический хаос в качестве дымовой завесы.
За три дня до президентских выборов в мае 2014 года хакеры получили доступ к серверам Центральной избирательной комиссии Украины и отключили некоторые ее части с помощью передового вредоносного ПО для кибершпионажа. Позже в том же году хакеры закрыли веб-сайт Центризбиркома перед парламентским голосованием в октябре.
Крупномасштабные атаки продолжались и в следующем году, а затем и в 2016. На этот раз целями были компании, отвечающие за энергосистему Украины. В 2015 году хакеры использовали вредоносное ПО BlackEnergy, которое проникло в сети компаний с помощью фишинг-атак, обманом заставив сотрудников скачать поддельные электронные письма. Вредоносное ПО под названием KillDisk позже частично уничтожило сеть.
В результате отключений - первой в мире известной успешной кибератаки на энергетическую компанию подобного масштаба – 230,000 украинцев остались без света на шесть часов. Год спустя, в декабре 2016 года, хакеры снова использовали более совершенные инструменты для успешного отключения электроэнергии в значительной части украинской столицы.
Но самая масштабная атака - и самая опасная на сегодняшний день во всем мире - произошла в 2017 году, когда хакеры объединили проверенный в атаках на энергосистему код с вредоносным ПО, известным как «Petya», и уязвимостью в системе безопасности, первоначально обнаруженной Агентством национальной безопасности США.
Получившееся в итоге вредоносное ПО - «NotPetya» - скомпрометировало работу программного обеспечения небольшой технологической фирмы под названием Linkos Group, получив доступ к компьютерам коммунальных компаний, банков, аэропортов и правительственных учреждений Украины. Оно также нанесло ущерб многонациональным корпорациям, включая датского судоходного гиганта Maersk, логистическую корпорацию FedEx, фармацевтическую компанию Merck и другие крупные компании.
По словам Гирса, атака NotPetya, устранение последствий которой обошлось примерно в 10 миллиардов долларов, была «настолько близка к кибервойне», насколько можно себе представить: «Это была самая разрушительная атака в истории, масштаб и стоимость которой намного превысили расходы на ракету, выпущенную из Донбасса в Киев».
Киберпесочница
Царящая в стране вседозволенность превратила охваченную войной Украину в заманчивую мишень для игроков, которые хотят проверить свои кибер-навыки. Помимо российских хакеров, страна становится целью фирм, занимающиеся кибербезопасностью, которые хотят получить полезный опыт, западных спецслужб, желающих понять природу современных конфликтов, и пытающихся заработать преступников.
«Донбасс – просто рассадник вредоносных программ. Это и разведывательные службы, которые пытаются выяснить, что Россия собирается делать дальше на Донбассе, и чем занимается Путин, - говорит Гирс, эксперт по кибербезопасности Атлантического совета. – А еще США, Китай, Россия, Израиль, Турция, Иран… Атаки идут отовсюду».
В дополнение к продолжающемуся военному конфликту, Украина представляет собой заманчивую мишень, потому что на многих компьютерах страны используется пиратское программное обеспечение, которое не получает стандартных пакетов обновления для укрепления безопасности. И, благодаря своей интегрированности с западноевропейскими интернет-сетями, страна дает черный ход для взлома остальной части Европы.
Постоянные попытки атак со стороны таких хакерских групп, как Fancy Bear, Cozy Bear и Turla, создают постоянную нагрузку на критически важную инфраструктуру и избирательные системы. По словам экспертов, их цель состоит в том, чтобы проверить оборону Запада на прочность. США и другие спецслужбы отреагировали на это, пробравшись в украинские сети, чтобы вовремя перехватить сигналы.
«Заблаговременное получение информации очень важно, - говорит Дмитрий Шимкив, бывший глава Microsoft в Украине и главный советник президента Петра Порошенко по кибербезопасности в период с 2014 по 2018 годы. - Некоторые вирусы и вредоносные программы, виновные в отключении электроэнергии в Украине, были позже обнаружены в США и Израиле».
Украинские власти, по его словам, обмениваются кибернетическими данными за помощь в борьбе с хакерами.
«Всякий раз, когда мы идентифицировали вредоносное ПО, мы отдавали его производителям антивируса на анализ», - говорит Шимкив. Его киберкоманда время от времени работала с организациями экспертов на таких платформах, как Hybrid Analysis или ANY.RUN, методом «облачной песочницы», где исследователи могут получить доступ к данным и связаться с теми, кто был заражен вредоносными программами.
Вашингтон вкладывает значительные средства в обеспечение киберзащиты Украины с 2014 года. Одного только Агентство по международному развитию выделило 10 миллионов долларов на защиту страны от кибербезопасности, и значительная часть его гораздо большего бюджета на поддержку Украины идет на обеспечение безопасности ИТ-систем в стране.
Американские компании, включая технологического гиганта Microsoft, также усилили свое присутствие в стране, а американская фирма CrowdStrike, известная тем, что смело привлекла внимание к спонсируемым государствами взломам, тоже принимает активное участие в киберобороне страны.
США и Европа вкладывают средства в семинары и тренинги для украинских работников сферы кибербезопасности, а также оказывают ежедневную помощь через Международный фонд избирательных систем (IFES), организацию, поддерживаемую демократическими государствами всего мира.
«Наши американские коллеги запрашивают много информации и очень продуктивно взаимодействуют», - говорит Роман Боярчук, глава Государственного центра киберзащиты Украины, которому поручено защищать правительственные сети от злоумышленников.