Автор: Дмитро Дубов, завідувач відділу інформаційної безпеки та кібербезпеки центру досліджень Національного інституту стратегічних досліджень

За даними Держспецзв’язку, проти України від початку повномасштабного вторгнення здійснено втричі більше кібератак, ніж за аналогічний період минулого року.

1. Україна щонайменше останні вісім років протистоїть організованим росією кібернападам. Починаючи від 2014 року, рф відпрацьовувала на Україні всі нові методи та вектори кібератак.

Рф розглядала і продовжує розглядати кіберпростір як «сіру зону» бойових дій, де не діють правила та обмеження, але при цьому можна досягати складних та багатовимірних результатів: одночасно виводити з ладу фізичні об'єкти інфраструктури, сіяти паніку та шпигувати.

Військову кампанію проти України у 2022 році планували довго, і момент її початку супроводжувався підготовчими кіберакціями:

Перший етап: 14−15 січня. Цілями переважно стали держреєстри. Супротивник намагався вивести з ладу цілу низку систем і закріпитись у державних інформаційних системах для подальшого розгортання кібератак.

Другий етап: 14−23 лютого. DDoS-атаки проти державних інформаційних ресурсів і низки установ банківського сектору, фішингові атаки на органи державної влади та об'єкти критичної інфраструктури, розповсюдження шкідливого програмного забезпечення, а також спроби проникнення до мереж приватного та державного секторів і подальших деструктивних дій.

Третій етап: від 24 лютого — і надалі. Фішингові кібератаки через розсилання листів і повідомлень у месенджерах, спроби кібератак на об'єкти критичної інфраструктури (ОКІ). Зломи сторінок місцевих органів влади, кібератаки на сайти медіа.

2. Головними цілями агресора залишаються українські ОКІ: оператори мобільного зв’язку, інтернет-провайдери, державні органи, фінсектор, енергетика, сектор безпеки і оборони.

Ключові кейси стосуються трьох випадків — кібератака проти Укртелекому 28 березня, проти систем електронного документообігу деяких державних відомств (зокрема — МЗС) та провайдера супутникового зв’язку Viasat. Тривають спроби кібератак на систему Starlink.

Загалом російська кіберактивність останнього місяця дозволяє зробити такі висновки:

1. Низька варіативність. росія продовжує використовувати переважно стандартні методи кібератак — DDoS та фішинг — як основу своєї кіберактивності.

Водночас у цій низькій варіативності вони проявляють значну послідовність, що може становити загрозу у стратегічній перспективі.

1. Відсутність помітного ефекту для діяльності українських ОКІ. Опосередковано це може свідчити про те, що супротивнику не вдалося протягом останніх років створити в системах українських ОКІ достатньої кількості «закладок», що можуть бути використані в особливий період — зважаючи на характер бойових дій, якби такі «закладки» були, вони б уже були використані. Водночас актуальним залишається питання посилення кіберзахисту ОКІ.
2. Для низки кібератак використовували персональні дані українських громадян, здобуті рф раніше. Важливим є з’ясування джерел витоків таких даних і безпеки наявних державних реєстрів, які містять персональні дані громадян.
3. Рф проводить свою кіберактивність у щільній взаємодії зі спецслужбами республіки білорусь. Українські фахівці вже виявили активність щонайменше 14 різних угрупувань, пов’язаних із російськими та білоруськими спецслужбами.

Залучення білоруських спецслужб може свідчити як про бажання збільшити кількість атакувальників, так і про неспроможність рф самостійно підтримувати високу динаміку кіберпротистояння. Особливо — враховуючи включення в нього на боці України численних міжнародних фахівців.

3. Традиційний підхід рф у питаннях «інформаційної війни» — це поєднання кіберактивностей із інформаційно-психологічними операціями: спробами вплинути на населення регіону чи країни задля посилення хаосу, зменшення опору чи зміни політичної поведінки. Під час бойових дій такі кібероперації стають більш агресивними і спрямованими на злом сайтів ЗМІ (а також державних установ) із метою поширення фейкових повідомлень.

Найпомітніша кіберкампанія — 16−17 березня одразу проти більше десятка українських інформаційних ресурсів.

Ключовим напрямком удару став злом стрічки новин в ефірі телеканалу «Україна 24». Зловмисникам вдалось запустити «рядок титрування» із начебто зверненням Володимира Зеленського про капітуляцію. Одночасно у соціальних мережах було запущено deepfake (надзвичайно низької якості) із начебто виступом Зеленського з аналогічним текстом. Також хакери атакували цілу низку українських медіа (зокрема «Сьогодні», Громадське, 0532.ua та інші), використовуючи вразливості рекламного застосунку Redtram.

Атаку швидко локалізували, але це не остання спроба.

З аналогічною метою (додавання хаосу в суспільство та паніки) зламують і інші сайти — територіальних громад, органів місцевої, судової влади, інтернет-провайдерів.

Більшість із цих зломів оперативно висвітлюються російськими ЗМІ. Причому значно оперативніше, ніж це може бути пояснено звичайним моніторингом повідомлень. Із високою вірогідністю можна припустити, що дії хакерів або прямо узгоджують із представниками російських ЗМІ, або їх повідомляють одразу після злому для оперативного висвітлення. Ця тактика не є новою для російських хакерських груп.

Фактично — російська кіберактивність здійснюється у щільній координації із російською ж пропагандою, забезпечуючи її - з одного боку — потрібними медіа приводами, а з іншого — повідомляючи її про найбільш цікаві ситуації, які доцільно швидко висвітлити. Тож коли ми кажемо про російські кібероперації як під час активних бойових дій, так і у мирний час, то їхньою важливою складовою завжди залишається сприяння поширенню російської пропаганди та дезінформації.

4. Протиборство триває. Але вже зараз можна відзначити, що в кібербезпековій складовій Україна домоглась помітних успіхів.

1. Не допущено виведення з ладу важливих для життєдіяльності держави ІТ-систем;
2. Українським та міжнародним кіберфахівцям вдалося контратакувати цілу низку об'єктів на території рф; викрадено дані численних російських компаній та організацій (у т. ч. — дані про російських військовослужбовців, що беруть участь у війні проти України);
3. Тимчасово виведено з ладу сайти російських урядових та навколоурядових структур тощо.

Все це (разом із зусиллями світового співтовариства зі стримування росії) виявило низку важливих довгострокових проблем для сфери кібербезпеки рф: нестача фахівців, неналежна увага до кіберзахисту державних ресурсів, неготовність до масованого протистояння та слабка оперативна майстерність середньої ланки фахівців.

Кіберпростір залишається динамічним простором суперництва, і кіберпротистояння останніх місяців засвідчило, що тут супротивнику також не вдалося нав’язати свою волю Україні.