Кібервійна. Як Україна і Росія воюють в інтернеті

Нещодавно міністр оборони Росії Сергій Шойгу заявив про створення спеціального підрозділу інформаційних військ. У тому, що ці війська існували ще до заяви Шойгу, встиг переконатися весь світ: російські хакери наче оголосили війну всім і кожному. Від доповідей ФБР до заяв Німеччини - все вказує на втручання російських провокаторів.

"Ми можемо сміливо стверджувати, що всі так звані Шалтаї-болтаї (нібито незалежна хакерська організація з Росії, - ред) це підрозділи, які фінансує та курує адміністрація президента Росії. У них немає незалежних груп", - розповів Еспресо.TV Михайло Макарук, прес-секретар інформаційно-аналітичної організації InformNapalm, яка постійно публікує отриману хакерами інформацію.

Українська відповідь Кремлю

В українських реаліях створено волонтерський рух "Український кіберальянс". Це хакери, об'єднані спільною національною ідеєю. У цей альянс входять такі команди як "Falcons Fame", "Trinity", "ruh8" та "Кіберхунта".

І хоча зазвичай хакерів прирівнюють до злочинців, учасники руху вважають, що діють у рамках статті 17 Конституції України: кожна військовозобов'язана людина має забезпечувати інформаційну безпеку України.

"Вони діють не проти українських громадян, а діють проти реального ворога - адміністрації РФ і всіх силових відомчих структур", - зазначає Макарук.

По суті, це звичайні громадяни, які допомагають Україні в рамках інформаційної війни. Вони жодним чином не асоціюють себе з нинішньою владою. А інформацію передають через приватні канали до СБУ та Міноборони.

На рахунку спільноти безліч успішних операцій, включно з отриманням доступу до переписки помічника президента Росії Владислава Суркова. Отримання цієї інформації почалося ще 2014 року. Тоді все з дня у день збиралося по крупинці, ховалися сліди витоку інформації, і ось тільки зараз є можливість представити це широкому загалу.

Звіт роботи "Українського кіберальянсу" за 2016 рік

Поки що опубліковано лише 5 відсотків усієї отриманої інформації. За словами Макарука, вдалося отримати близько 14 терабайт інформації.

Як російські хакери світло відключали

Як заявив президент Петро Порошенко, в листопаді та грудні 2016 року Україна піддавалася кібератакам 6 500 разів. Крім інформаційної пропаганди та викрадення важливої ​​інформації, російські кібервійська добралися і до електрики в столиці України.

17 грудня 2016 року в Києві ненадовго вимкнулося світло. Після проведеного розслідування підприємство "Укренерго" заявило, що ця атака пов'язана з іншими: зломом системи "Укрзалізниці", Міністерства фінансів та Пенсійного фонду.

Це не перше втручання в енергосистеми України. У грудні 2015 року без світла ненадовго залишилися 230 тисяч киян. Фахівці з кібербезпеки з Information Systems Securit Partners (ISSP), які проводили розслідування для "Укренерго" пов'язують ці два зломи.

Наслідки атак вдалося легко усунути. Марина Кротофіл, експерт Honeywell Industrial Cyber ​​Security Lab в інтерв'ю для Motherboard висловила припущення, що ці атаки проводилися лише з метою демонстрації своїх можливостей. Україна перетворилася на тестовий полігон для російських хакерів.

Михайло Макарук вважає, що це були "показові виступи" від російських хакерських угруповань у зв'язку з останніми публікаціями листів Суркова.

"Зараз ми публікуємо дампи (вміст робочої пам'яті інформаційної галузі, наприклад пошти) помічників російського депутата Затуліна, і реакція в російських колах не забарилася. Команду, щозаймалася кібербезпекою при ФСБ, безпосередньо пов'язана з компанією Касперського, було звільнено, а декого зі співробітників навіть посадили", - пояснює Макарук.

Таким чином існує припущення, що в російському "департаменті хакерів" та інформаційної безпеки відбулася зміна кадрів, і почалися нові тестування співробітників.

BugDrop

BugDrop - ще одна кібератака, яка відбулася в Україні в лютому 2017 року. Ініціатори цього злому досі невідомі. Кібератаку виявила міжнародної компанія в сфері безпеки CyberX, яка на своєму сайті опублікувала офіційне розслідування.

За допомогою фішингових листів, різним користувачам було розіслано шкідливе програмне забезпечення, яке робило знімки екрану комп'ютера, записували аудіо з мікрофона і надсилало всю цю інформацію на хмарні сервіси, наприклад DropBox. Такі відомі сервіси зазвичай не блокуються операційними системами.

Власниками інфікованих комп'ютерів найчастіше виявлялися розробники програмного забезпечення для віддаленого моніторингу нафто- і газопроводів, представники організацій по боротьбі за права людини, науково-дослідні інститути і деякі журналісти.

Було викрадено понад 600 гігабайт інформації у 70 різних компаній.

Фішингові листи

Встановити шкідливе програмне забезпечення на комп'ютер без дозволу користувача важко, тому багато хакерів намагаються замаскувати свої програми під звичні та безпечні. Наприклад, дуже часто використовується інтерфейс програми Microsoft Office.

Технологія фішингу така: на пошту приходить лист, до якого прикріплено нібито текстовий документ Word. Відкриваючи його, жертва бачить звичний дизайн вікна завантаження документа, в якому негайно вискакує повідомлення.

Текст повідомлення найчастіше такий: "Увага! Файл створено в більш новій версії програми Microsoft Office. Передусім потрібно увімкнути макроси для коректного відображення вмісту документа".

Так виглядає шкідливе ПЗ, що маскується за Microsoft Office

Після цього повідомлення користувач, як правило, погоджується на "включення" макросів - так і відбувається встановлення зловмисного програмного забезпечення.

Саме так була реалізована операція BugDrop. Однак, це не єдиний метод фішингу. Іноді зловмисники надсилають посилання з нібито терміновою інформацією.

Переходячи за посиланням, жертва потрапляє, наприклад, на поштовий сервіс Google, який пропонує для продовження завантаження, знову заповнити дані логіна і пароля. Якщо б користувач був уважнішим, він би помітив, що посилання в адресному рядку відрізняється, і логін і пароль вимагає не поштовий сервіс Google, а якийсь інший сайт. Саме так стався злом поштової скриньки демократичної партії США.

Чим такі погані Касперський, ВКонтакте і Яндекс

Іншим методом отримання інформації для хакерів, є збір баз даних різних компаній. Щоб убезпечити власне інформаційне поле від кібератак слід пам'ятати, що державні органи Російської Федерації мають прямий доступ до будь-яких шифрованих або незашифрованих баз даних компаній, розташованих на території Росії.

Так званий пакет Ярової, який було ухвалено влітку 2016 року, офіційно дозволив доступ до будь-яких баз даних російських компаній, які цікавлять уряд. А також уможливив арешт громадян за дії інформаційно-терористичного характеру, до яких зараховуються публікації постів у Facebook і Вконтакте.

Таким чином, реєструючись в будь-якому з російських сервісів, користувач автоматично надає всю інформацію російським правоохоронним органам. Цих даних іноді буває досить, щоб дізнатися інформацію (логін і пароль), від інших сайтів.

Якщо цей користувач є високопосадовцем, то ризикує стати жертвою кібератаки, аж до прихованої установки шкідливого програмного забезпечення.

"Я прихильник блокування всіх російських сервісів - як новинних, так і розважальних. Це ненормально, коли наші чиновники сидять на поштових сервісах таких як mail.ru і Яндекс. Наприклад, у ВКонтакте все зберігається. Навіщо, мені потрібно, щоб дядько з Москви читав мою особисту переписку", - говорить Макарук.