Хакерські атаки Росії стають сильнішими: як світ може відповісти на кіберзагрози Москви

Велика Британія ввела санкції проти трьох підрозділів російського ГРУ та 18 офіцерів, причетних до масштабних кібератак у Великій Британії, Україні та інших країнах. Про це повідомило британське уряд, зазначивши, що Москва систематично проводить гібридні кампанії, спрямовані на підрив безпеки, стабільності та демократичних інститутів Європейського Союзу.

Європейський Союз також звинуватив Москву в агресивних кібернападах.

Віртуальні витівки Москви

За даними Лондона, російські хакери атакували ЗМІ, телекомунікаційні компанії, політичні структури та енергетичну інфраструктуру. Крім того, одне з розвідувальних підрозділів РФ у 2022 році проводило розвідку та коригування авіаударів по Маріупольському театру, де в підвалах ховалося понад тисяча мирних жителів. У результаті бомбардувань загинули сотні людей, у тому числі діти.

Санкції також торкнулися співробітників ГРУ, відповідальних за кібератаку шкідливим ПЗ X-Agent на пристрій Юлії Скрипаль — дочки ексспівробітника російської розвідки Сергія Скрипаля. Це сталося за п’ять років до замаху на них із застосуванням речовини “Новичок” у Солсбері.

Міністр закордонних справ Великої Британії Девід Леммі заявив:

“Шпигуни ГРУ проводять кампанію з дестабілізації Європи, підриву суверенітету України та загрози безпеці громадян Великої Британії. Кремль не повинен сумніватися: ми бачимо, що вони намагаються робити в тіні, і ми цього не потерпимо. Саме тому ми приймаємо рішучі заходи, вводячи санкції проти російських шпигунів”.

Додатково Британія розкрила операцію російської розвідки, в рамках якої використовувалося шкідливе ПЗ для кібершпигунства. Як повідомив Національний центр кібербезпеки (NCSC), за атаками стоїть група APT28 (Fancy Bear), що діє під контролем ГРУ. Шкідлива програма AUTHENTIC ANTICS, за їхніми даними, була призначена для прихованого доступу до хмарних акаунтів Microsoft.

“Вона періодично відображає вікно входу, в якому користувача просять ввести свої облікові дані, які потім перехоплюються шкідливим ПЗ, що дає доступ до служб Microsoft”, — йдеться в повідомленні NCSC.

Росія, як підкреслили в центрі, продовжує гібридні дії, включаючи кібернапади, саботаж критичної інфраструктури та інші форми підриву.

Європейський Союз також звинуватив Москву в агресивних кібернападах. Верховний представник ЄС з питань зовнішніх справ Кая Каллас заявила:

“Росія роками проводила гібридні кампанії проти ЄС та його держав-членів, причому шкідлива діяльність ще більше загострилася з початком агресивної війни проти України і, ймовірно, збережеться в найближчому майбутньому. Це наочно демонструє безперервність злих намірів і є явним зневажанням міжнародним правом та рамковими положеннями Організації Об’єднаних Націй про відповідальну поведінку держав у кіберпросторі”.

Міністерство закордонних справ України засудило гібридну активність Росії як системну загрозу міжнародній безпеці. В заяві підкреслюється:

“Встановлення санкційних обмежень щодо російських хакерських угруповань є рішучим кроком у відповідь на деструктивну кампанію, яку РФ проводить у кіберпросторі з метою дестабілізації європейських демократичних інститутів, об’єктів енергетичної інфраструктури, телекомунікаційних компаній, впливу на виборчі процеси та засобів масової інформації”.

Чеська служба безпеки та інформацій, своєю чергою, зафіксувала спроби Росії налагодити шпигунську мережу на території країни. Голова розвідки Міхал Куделка повідомив про активізацію гібридних операцій Кремля та вербування агентів серед мігрантів. Їхня діяльність включає хакерські атаки, фейкові новини, шпигунство та диверсії.

Політолог Павел Гавлічек з чеського дослідницького центру AMO прокоментував:

“Потрібно продемонструвати агресору, що така поведінка неприпустима. На кожну його операцію треба відповідати симетрично та адекватно. Якщо нас б’ють, ми повинні відповісти вдвічі сильніше. При цьому активно ведеться паралельний діалог між європейськими союзниками та Сполученими Штатами”.

Окрім ГРУ, під санкції потрапили й три лідери “Африканської ініціативи” — мережі, що діє в соцмережах і створена та фінансується Росією. Ця структура, за версією британської влади, залучає розвідників РФ для інформаційних операцій у Західній Африці. Серед завдань — підрив міжнародних медичних програм за допомогою конспірологічних теорій, вигідних Кремлю.

Чому захист від кібератак залишається проблемою: погляд експертів

Як Росія використовує кібератаки для дестабілізації України та інших країн? Чому так важко відстежувати кібератаки, і як це впливає на захист інформації? Які механізми захисту від кібератак діють в Європі, і як співпраця між країнами може допомогти? На ці питання в ефірі телеканалу FREEДOM шукали відповіді:

• Михайло Кольцов, експерт з кібербезпеки та виконавчий директор CyberLab;
• Сергій Денисенко, консультант Всесвітнього банку у сфері аналізу даних та кібербезпеки;
• Олексій Семеняка, експерт з кібербезпеки.

МИХАЙЛО КОЛЬЦОВ: Сильні кіберсоюзи — єдиний спосіб захисту у світі без кордонів

— Виявити саму кібератаку досить просто, але ви повинні зрозуміти, хто саме на вас напав. І в інтернет-просторі це надзвичайно складно, оскільки немає національних кордонів, атаки відбуваються за зовсім іншими правилами.

Проте існують технічні засоби, що дозволяють встановити, яка організація стоїть за тією чи іншою атакою. Найчастіше це визначається за рівнем складності використаних кіберсередовищ. Якщо застосовується складний, комплексний код, це, як правило, робота груп, що мають значні ресурси.

Дуже важливо також аналізувати цілі атаки та її логіку. Кіберзброя — це складний технічний інструмент, і вона має специфічні маркери, які можуть бути використані слідчими для атрибуції. Іноді зустрічаються навіть смішні деталі: коментарі в коді російською мовою або використання кирилиці. Все це допомагає зрозуміти, хто стоїть за атакою. Але це складна робота, і вона потребує участі міжнародних партнерів.

Міжнародне право досі має труднощі в визначенні, чи можна вважати кібератаку актом війни. Зараз її класифікують як диверсію або саботаж, але не як збройний напад, оскільки не перетинаються державні кордони, не гинуть солдати та не руйнуються фізичні об’єкти.

По суті, міжнародне право розцінює такі дії як хуліганство або організовану диверсію. І, на жаль, цього максимуму поки що важко досягти, оскільки цифровий простір не має національних кордонів, а отже — традиційні правові механізми погано працюють.

Якщо ви хочете оголосити когось у розшук, провести суд і посадити на термін — в кіберпросторі це майже неможливо.

Росія проводить потужні кампанії з управління увагою: фальшива інформація, теорії змови і т. д. Але є два напрямки, в яких вони особливо активні.

Перше — це атаки на критичну інфраструктуру: енергетика, тепло, газ — все, що необхідно для функціонування держави. Друге — це крадіжка технологій, особливо критично важливих. Це вже серйозна робота, що вимагає кваліфікації.

А поширення фейків, маніпуляцій в соцмережах, посів сумнівів серед населення більше займаються не хакери, а спеціалісти з інформаційних технологій — піарники, так звані “соціальні інженери”. Тут менше техніки і більше роботи зі сприйняттям.

Тому якщо говорити про масштабність — найбільше зусиль йде на крадіжку даних та атаки на критичну інфраструктуру.

У росіян немає власних серверів, мережевого обладнання — нічого з того, на чому тримається сучасний цифровий світ. Їхня спроба проєктувати внутрішній комплекс неповноцінності, що переростає в манію величі, пояснює, чому вони не можуть створити щось у себе, але прагнуть зруйнувати чуже. Вони просто не здатні виробити те, на чому тримається цифрова інфраструктура.

Єдиний спосіб ефективно протистояти кібератакам і побудувати стійку інфраструктуру — це міжнародне співробітництво. Без партнерів ви не зможете побудувати надійний цифровий захист. Лише разом можна убезпечити себе і інших. Сподіваюсь, що союз британських технологій та німецької інженерної школи дійсно дасть результат.

СЕРГІЙ ДЕНИСЕНКО: Дестабілізація настроїв в суспільстві та доступ до даних — головні завдання російських кібератак

— Враховуючи ті атаки, які спрямовані безпосередньо на Україну, ми можемо поділити їх на кілька груп.

Перша група — це атаки на критичну інфраструктуру з метою знищення. Друга — атаки на державний сектор, на ті організації, які забезпечують життєдіяльність нашої країни. Далі — атаки на звичайних громадян, з метою дестабілізації ситуації, посіву паніки. Це можуть бути фішингові атаки та інші типи втручання. Наступний рівень — це атаки на структури, які меншою мірою впливають на життєдіяльність держави.

І потрібно окремо сказати, що серед цих атак, спрямованих на Україну і наших союзників, основними залишаються атаки з метою розвідки. Тобто вони отримують певний доступ до якихось ресурсів і, так би мовити, “сидять” там, використовуючи цю інформацію у своїх цілях. Це може бути крадіжка технологій, та інших даних. Або це може бути стеження за тим, що відбувається в нашому суспільстві.

Згадаймо кібератаку на “Київстар”, коли було заблоковано зв’язок. У деяких регіонах це викликало паніку, були наслідки. Також можна згадати кібератаки на бізнес — на торгові заклади, коли блокувалася їхня робота, і звичайні громадяни не могли там здійснити покупки, а самі організації, бізнес зазнавали збитків. Таких випадків можна перерахувати багато. І тут важливо розуміти мету, яку переслідує Росія: по-перше — дестабілізувати ситуацію в нашій країні, посіяти паніку. А по-друге — отримати дані, доступи, і потім використовувати цю інформацію у своїх інтересах.

В першу чергу, в країнах, де росіяни ведуть кібершпигунство, вони хочуть отримати технології, які використовуються в західних країнах — це пріоритет. По-друге — сіяти паніку. Показати: війна в Україні прийшла і в вашу країну, у вигляді кібервійни. Тобто створити відчуття нестабільності та загрози. В цілому це та ж сама тактика.

Хочу відзначити, що росіяни вели активну діяльність на території європейських країн ще до початку повномасштабного вторгнення. Вони вже тоді отримували доступ до певних систем. Після початку вторгнення, коли весь світ побачив, як відбувається кібервійна між Україною і Росією, багато країн почали переглядати свої системи, свої механізми захисту та виявляти шпигунів, віруси, які “сиділи” в їхній інфраструктурі. Зараз ми спостерігаємо результати цих змін. Країна-агресор також не сидить склавши руки — вони адаптуються до тих методів протидії, які їм надаються.

Враховуючи, що в інформаційній безпеці ключову роль відіграє людський фактор, ми повинні розуміти: користувачі, адміністратори цих систем можуть бути підкуплені і передати доступ ворогу. З огляду на це, на 100% забезпечити захист від РФ неможливо.

Крім того, інформаційна безпека — це динамічний процес, в якому постійно відбуваються зміни, покращення. Інструменти, які використовують росіяни, також змінюються, і це приносить їм певний успіх.

Важливо також розуміти, що не всі хакери, які працюють на Росію — в тому числі і на їхнє Головне розвідуправління — перебувають на території РФ. Деякі з них діють з інших країн, і, відповідно, такі атаки проводити простіше, а відстежувати — набагато складніше.

АЛЕКСЕЙ СЕМЕНЯКА: Кібершпигунство — це не обов’язково злом

— Існує поширене оманливе уявлення, що кібершпигунство обов’язково пов’язане зі зламами систем або незаконним проникненням.

Насправді досить часто така інформація, яка не повинна бути доступною публічно, може бути отримана законними методами, наприклад, випадково або побічно. Це також є частиною кібершпигунства, коли інформація опиняється в відкритому доступі, або коли можна зробити висновки про непублічну інформацію, аналізуючи доступні дані.

Докладати сили, щоб проникнути в систему, можна. Все залежить від того, які зусилля потрібно докласти і наскільки ці зусилля реальні. Спеціалісти з безпеки прагнуть створити такі умови, при яких злом буде або неможливим, або економічно недоцільним. Зламати можна все, але при дотриманні всіх протоколів безпеки, якщо всі заходи захисту дотримані, процес зламу стає практично неможливим.

Стратегічною метою Росії є розхитування ситуації, що виходить за межі конфліктів на фронті. Кібератаки та інформація, отримана через такі засоби, використовуються для маніпулювання громадською думкою та для впливу на внутрішні конфлікти. Особливо цінним є доступ до інформації, яка може бути використана в майбутньому.