Зображення надано Джованною Флек
3 січня 2022 року Microsoft зафіксувала незвичайну активність двох серверів Microsoft Exchange: надсилання великого обсягу даних на IP-адреси. Розслідування засвідчило, що зловмисники, пізніше ідентифіковані як російські хакери, використали вразливість [1] у Microsoft для крадіжки вмісту кількох поштових скриньок користувачів у всьому світі, зокрема в Україні, США та Австралії. Це була перша із серії кібератак на Україну, зокрема проти урядових [2] веб-сайтів, на яких опублікували повідомлення з погрозами [2]. А також публікувались заклики до українців знімати [3] готівку в банкоматах. Відбувались DDoS-атаки [4] на банки. Були погрози підірвати вибухівку в школах і навіть видалення шкідливого ПЗ [5], яке зітре всі дані в мережі.
Росія ніколи не визнавала цих кібератак [4]; але є переконливі докази того, що Москва або винаймає, або заохочує російських хакерів [6] до атак.
Раніше Росія уже була причетна до кібератак в Україні, Естонії, Грузії та США. У 2014 році, за чотири дні до парламентських виборів [7], до центральної виборчої системи України потрапило шкідливе програмне забезпечення, яке зображало переможцем проросійського кандидата. Це шкідливе програмне забезпечення скомпрометувало і видалило важливі файли, а також вивело з ладу систему підрахунку голосів. Після закриття виборчих дільниць, Центральна виборча комісія України зіткнулася з DDoS-атаками, які вивели з ладу їхню мережу. У підсумку, вони не могли оголосити результати виборів протягом двох годин. Протягом цих двох годин, російські ЗМІ повідомили, що кандидат, якого вони підтримували, переміг на виборах [8], набравши 37 відсотків голосів.
У 2015 році російські кібервійська почали [9] дистанційно атакувати Україну шкідливим програмним забезпеченням. Об'єктом шкідливого програмного забезпечення, відомого як BlackEnergy [10], стали електронні листи співробітників різних енергетичних компаній. Як тільки ці люди відкривали файли у вкладенні до листів, вони активували руйнівне шкідливе програмне забезпечення KillDisk, яке стирає частини жорстких дисків комп'ютерів і запобігає перезавантаженню систем. Це призвело до відключення електроенергії в Україні. Хакери одночасно запустили атаку TDoS (телефонну відмову в обслуговуванні [11]), щоб завадити громадянам телефонувати в центр допомоги з електропостачання та повідомляти про відключення електроенергії. Ця подвійна атака викликала серйозне відключення електрики в Україні, від якого постраждали понад 225 тисяч громадян. Інцидент вважається [12] першою атакою на віддалену суспільну інфраструктуру з використанням кіберзброї.
Перевірена стратегія: кібератаки на сусідів Росії
У 2007 році під час суперечки між Росією та Естонією після рішення Таллінна перенести один із радянських військових меморіалів Другої світової війни [13] в інше місце, російські кібервійська зламали [14] банківську систему та систему державного управління Естонії після захоплення та використання мільйона комп'ютерів у всьому світі для операції під назвою BotNet [15]. За оцінками, у цій атаці Росія використала понад мільйон комп'ютерів [16] із 70 різних країн. Естонія попросила [17] допомоги у НАТО відповідно до статті V [18] про колективну оборону, проте Північноатлантичний альянс не зміг її надати, і в цій ситуації виникло питання про кібератаки, які потребують колективного захисту організації. Згодом, альянс ухвалив [17] стратегічну концепцію [19] «запобігання, виявлення та захисту від кібератак і відновлення після них, включаючи використання процесу планування НАТО для посилення та координації національних можливостей кіберзахисту, поставивши всі органи НАТО під централізований кіберзахист та покращуючи інтеграцію кіберобізнаності та попередження усіх членів Альянсу».
У серпні 2008 року, Росія та Грузія вступили у збройний конфлікт через Південну Осетію, територію, що відокремилася від Грузії. Проводячи військові операції, Росія влаштувала DDoS-атаки [14] на численні грузинські сайти, які серйозно вплинули на комунікаційні та фінансові послуги. У відповідь Національний банк Грузії 9 серпня [14] наказав усім банкам припинити надання електронних послуг. На жаль, фізична інфраструктура Грузії проходила через Росію та Азербайджан (крім єдиного оптоволоконного кабелю до Туреччини). Під час ескалації конфлікту, російські війська блокували оптичні кабелі міжнародного телефонного трафіку [20] та захопили як стільниковий, так і первинний міжнародний телефонний трафік. Це блокування викликало навантаження на інші канали, які використовували цивільні особи та неурядові організації.
Через деградацію своїх каналів зв'язку, уряд Грузії вирішив запровадити цензуру російських новин та повідомлень, а також відфільтрувати російські IP-адреси [21] зі своєї мережі, щоб зупинити DDoS-атаки. Це тимчасово призупинило DDoS-атаки, але згодом хакери почали маскувати свої IP-адреси та атакувати грузинські сервіси на іноземних хостах. Наприклад, російські хакери атакували сервери у США за допомогою DDoS після того, як уряд Грузії переніс їхній сервер на приватний веб-сервер в Атланті [21].
Після російської DDoS-атаки, багато прогрузинських хакерів [14] розпочали контратаки на російські сервери, зокрема на кілька російських медіа-сайтів. Але через те, що російські веб-сайти, месенджери та новини було заблоковано, громадяни Грузії незабаром потонули в інформаційній блокаді. Цензура ЗМІ та інтернет-фільтрація викликали паніку та сприяли поширенню чуток й дезінформації про перемогу Росії [20].
Уряд Грузії не зміг спростувати неправдиві новини або зв'язатися зі своїми громадянами. Стан розгубленості та підозрілості істотно вплинув на бойовий дух і це позначилося на полі бою [21].
У цій війні Росія здобула перемоги, контролюючи потоки, інтернет та наратив, відключаючи державні служби, веб-сайти, фінансові сервери та відмовляючи громадянам Грузії у доступі до інформації.
Уроки для України
Із цього можна винести уроки для вирішення поточних проблем України. Коли в лютому 2022 року розпочалися російські кібератаки проти України, анонімний проукраїнський хакерський колектив атакував російські телеканали, демонструючи там проукраїнські повідомлення. А також було створено Telegram-канал [5], в якому тисячі учасників борються в Інтернеті за Україну.
На відміну від Грузії у 2008 році, Україна користується [22] електронною підтримкою НАТО та її сусідів. Після того, як Росія відправила свої війська до Києва, НАТО підписала [2] з Україною угоду про посилення її кіберможливостей та надання доступу до платформи обміну інформацією про шкідливе ПЗ. Білий дім також запропонував [23] українському уряду кіберпідтримку. Ілон Маск запропонував [24] свою послугу супутникового широкосмугового зв'язку Starlink для запуску державних серверів. Крім того, Європейський Союз сформував групу швидкого реагування [4] у кіберпросторі (CRRT), яку очолила Литва. До цієї команди входять 12 експертів [25] з приватних та державних структур [22] Литви, Хорватії, Польщі, Естонії, Румунії та Нідерландів. Румунія також запустила партнерство для надання безкоштовної технічної підтримки та інформації про загрози уряду, підприємствам та громадянам України.
Незважаючи на спроби України відбити атаку, їхню успішність оцінити складно. Одна з можливих ознак може бути датована 9 травня, коли хакери перервали виступ Путіна [26] на телебаченні під час святкування Дня Перемоги. Того дня російські користувачі смарт-ТВ та онлайн-глядачі побачили, що назви їхніх телепередач змінилися [27] на такі: «На ваших руках кров тисяч українців та сотень їхніх дітей. Телебачення та влада брешуть. Ні війні».
Хронологія, що показує основні події російської атаки на український Інтернет. Зображення надано Джованною Флек.
Дивно, але, незважаючи на свої можливості, російські хакери завдали лише помірної шкоди цифровій інфраструктурі України. Обидві сторони припустилися помилок, подібних до тих, що сталися в Грузії. Путін нещодавно заблокував [28] усі веб-сайти західних ЗМІ та соціальні мережі Facebook, Instagram й Twitter, щоб наситити своїх співгромадян російським дискурсом. Російські спецслужби також почали вибірково обшукувати [29] мобільні телефони громадян на вулицях у пошуках антивоєнних постів, фотографій, відео чи повідомлень.
Водночас, ЄС вирішив заблокувати [30] такі російські пропагандистські інструменти, як Sputnik і Russia Today. Президент України також заборонив [31] 20 березня 11 лівих опозиційних партій, які звинувачуються у підтримці Росії; ці партії мають 10 відсотків місць у національному парламенті.
Крім санкцій, росіянам відмовляють у доступі до інтернет-послуг іноземних провайдерів [32], що робить російську цензуру ефективнішою. Водночас український уряд заборонив та заблокував деякі опозиційні телеканали. Урок із російсько-грузинської війни полягає в тому, що потік інформації до громадян може стати вирішальним фактором.
