Хакеры на балансе спецслужб: кибератаки стали одним из ключевых методов войн. Вот примеры
Кибератаки стали обычным арсеналом современных войн. Это оружие, которое обуславливает огромный ущерб, а иногда и человеческие жертвы. Зачастую кибероперации могут становиться начальным этапом полноценного военного вторжения. Они способствуют возникновению кризисных ситуаций, хаоса, искусственных массовых антиправительственных мер. Подрывая доверие к государственным органам, они могут усиливать политическое давление на власть.
Насколько эффективны кибероперации в современных военных операциях и можно ли им эффективно противостоять?
Сначала был Таллинн
Во многом исторической стала кибероперация России против Эстонии, осуществленная в 2007 году в ответ на перенос памятника Бронзовому солдату в Таллинн. Тогда злоумышленникам удалось на несколько часов вывести из строя сайты эстонского парламента, нескольких министерств, банков, а также с помощью ботнетов запомнить комментарии крупнейших новостных изданий.
Среди методов атак были знакомые многие DDoS, а также дефейсмент — замена контента на вебстраницах органов власти и политических партий.
Напомню, что в январе 2022 года дефейс-атаки были совершены против вебпорталов украинских государственных органов.
Хотя кибератаки против Эстонии и не имели физического продолжения, они стали важным напоминанием о том, что военные операции могут производиться, в частности, и в киберпространстве. Иногда они сочетаются с искусственно созданными акциями общественного неповиновения с привлечением специально подготовленных групп протестующих граждан. Главная цель – создание контролируемого хаоса.
В результате анализа этого кейса родилось Таллиннское руководство по международному праву, применяемое к кибервойне (Tallinn Manual on the International Law Applicable to Cyber Warfare), а также Объединенный центр передовых технологий по киберобороне НАТО (NATO Cooperative Cyber Defence Center of Excellence (CCDCOE)). Они помогают защищать киберфронт государств-партнеров и сегодня как против "изолированных" в киберпространстве атак, так и против комплексных операций, которые имеют также физическое проявление.
О них и поговорим дальше.
Российское вторжение в Грузию
8 августа 2008 года Россия ворвалась на территорию Грузии. Одновременно с военным вторжением РФ осуществляла кибератаки для нарушения работы правительственных веб-сайтов и независимых медиа.
Как напоминает в своей монографии The Cyber Threat to Military Just-In-Time Logistics: Risk Mitigation and Return to Forward Basing офицер Армии США Сириус Бонтеа, за три недели до вторжения Россия начала осуществлять кибератаки на грузинские вебсайты.
Эти атаки были синхронизированы с использованием пехоты, бронетехники, бомбардировки и морской блокады.
А кибератаки на сайты независимых грузинских медиа препятствовали Грузии распространять правдивую информацию о российском вторжении. Таким образом, кибератаки стали одним из четырех ключевых направлений нападения, которые использовала Россия.
Израильские хакеры против сирийской ПВО
В 2007 году в Сирии состоялась операция, получившая название Orchard (также известная как Operation Outside the Box). Тогда израильским хакерам удалось выключить сирийский зенитный радар в Тель-Абиаде и нанести быстрый авиаудар. Благодаря киберспособностям израильских хакеров операция прошла успешно. Тогда удалось уничтожить ядерный полигон на севере Сирии.
Доктор Маттиас Шульц, заместитель председателя исследовательского отдела Немецкого института международных дел и вопросов безопасности (SWP), называет ее примером последовательного использования кибеспособностей для нанесения эффективного первого удара.
Киберсдерживание Северной Кореи
История современных войн знает и примеры "оборонительных" киберопераций, когда действия специалистов в киберпространстве мешают физическому нападению на определенную страну или ослабляют агрессора.
В частности, киберсдерживание использовали и Соединенные Штаты: в 2012 году, по поручению президента Джорджа Буша, военные и разведывательные службы США должны были сломать северокорейскую программу для запуска баллистических ракет, таким образом помешав ракетным испытаниям КНДР.
Доподлинно неизвестно, удалось ли американским специалистам помешать именно этим испытаниям, это было лишь блефом, однако это все равно подорвало уверенность Северной Кореи в ее способности запускать баллистические ракеты.
В 2019-м подобную кибероперацию провели по поручению тогда действующего президента США Дональда Трампа для обезвреживания иранских компьютерных систем, управлявших ракетными установками.
Украино-российская кибервойна
Война России против Украины длится уже более восьми лет. Несмотря на то, что российско-украинское противостояние в киберпространстве имеет даже более долгую историю, по крайней мере в десятилетие, обострилось оно в 2014 году.
В марте 2014 года российские хакеры повредили работу украинских государственных систем благодаря кибероружию под названием "Змея". В мае того же года российские кибератаки были ориентированы на то, чтобы сорвать президентские выборы в Украине. Тогда хакеры пытались изменить результаты голосования и оттянуть оглашение результатов.
В 2017 году вирус NotPetya атаковал многие компании и учреждения во всем мире. Были зашифрованы и уничтожены данные на 10% всех персональных компьютеров в Украине, а некоторые международные компании потеряли катастрофические суммы – убытки только одного логистического оператора Maersk составили около $300 млн.
В Украине от этого вредоносного ПО пострадали ряд банковских учреждений, энергетические компании, сайты медиахолдингов и компания "Новая Почта". Заражение компьютерных систем происходило в несколько этапов из-за использования популярного бухгалтерского программного обеспечения (кибератака через цепочку поставок).
Не всегда военные кибероперации направлены на ресурсы государственных органов власти: враг вполне может направлять удар и на частные компании, практически парализуя целые отрасли экономики. Мишенью становятся не только органы власти и операторы критической инфраструктуры, но и частные промышленные компании, финансовый и банковский сектор, телеком и другие индустрии.
В зону риска входят медицинские системы телеметрии и телемедицины.
Атаки 14 января 2022-го: новый виток кибервойны
14 января 2022-го, за месяц до начала полномасштабного военного вторжения России в Украину, россияне совершили ряд кибератак на украинские вебсайты. На страницах был размещен текст на украинском, русском и ломаном польском языке, который осуждал деятельность ОУН-УПА. Тогда, согласно официальному сообщению Госспецсвязи, пострадали 22 сайта органов государственной власти, а еще 70 были отключены, по указанию Государственной службы специальной связи и защиты информации Украины и Службы безопасности Украины.
15 февраля 2022 началась новая волна атак, от которой, в частности, пострадали вебсервисы ПриватБанка и Ощадбанка, а также сайты Минобороны и Вооруженных сил Украины. В дальнейшем и количество атак, и вариативность методов только возрастали. Так, только к 16 марта было зафиксировано более 3000 DDoS-атак, а также массовый фишинг и рассылка вредоносного ПО, среди которого CaddyWiper.
О чем говорят специалисты Microsoft
В конце апреля этого года Microsoft опубликовала результаты нового исследования о связи между кибератаками и военными операциями российской армии в Украине. Эксперты отмечают, что Россия планировала полномасштабное вторжение еще в 2021 году. Тогда правительственные службы безопасности России сконцентрировали свои силы в Украине, чтобы следить за организациями, которые могли бы предоставить разведывательные данные по украинским военным, гуманитарной помощи и тому подобное.
Также в отчете Microsoft пишут об атаках 23 февраля 2022-го, накануне полномасштабного вторжения РФ. Эта активность, по данным экспертов, была призвана уничтожить, разрушить или проникнуть в сети государственных учреждений и широкого круга критически важных инфраструктурных организаций, на которые российские военные в некоторых случаях нацелились с помощью наземных и ракетных ударов.
Также Россия использует кибератаки для координации ракетных ударов.
1 марта 2022-го началась масштабная кибератака на украинского теле- и радиовещателя. Тогда же российские военные нанесли ракетный удар по телевышке в Киеве.
Более 40% разрушительных атак были направлены на организации в критически важных секторах инфраструктуры, которые могли бы оказать негативное влияние на функциональность правительства, состояние войска, экономику и людей. 32% разрушительных инцидентов затронули украинские государственные организации на национальном, региональном и городском уровнях.
Как мы видим, масштабные кибератаки могут представлять угрозу не только безопасности данных органов власти, но и жизни людей.
Часто атаки в киберпространстве становятся составной частью крупных операций, которые затем получают продолжение в виде военных вторжений на территории стран и/или террористических актов.
Именно поэтому нужно беспокоиться о безопасности своего цифрового пространства как нераздельной части с физическим пространством, устройств и данных — как своих, так и компаний, с которыми вы сотрудничаете, особенно если ваш бизнес предоставляет продукты или услуги государственным учреждениям.
Помните, кибератаки со временем будут только усиливаться и могут быть направлены на меньшие компании, которые тем или иным образом соединены с органами власти, критической инфраструктурой, финансовыми, телекоммуникационными, медицинскими, коммунальными службами.
Такой феномен, как организованная киберпреступность, которая финансируется отдельным государством и может использоваться как часть военных операций, уже является нашей новой реальностью. Это требует совместного скоординированного противодействия на уровне межгосударственного, государственно-частного и активного общественного взаимодействия.