Перша у світі кібервійна. Як СБУ відбиває російські кібератаки на енергетику та блокує фейки

Україна відбиває російські кібератаки з 2014 року, але початком саме війни у цифровому просторі в СБУ вважають січень 2022 року. Тоді напередодні вторгнення росіяни атакували сайти українського уряду. Так почалася перша у світі кібервійна.

Зараз у середньому Україну атакують 10 разів на день. 90% всіх кібератак здійснюють російські спецслужби, решта – Білорусь і зовсім невелика частка інших держав. Наявні ресурси дають Україні змогу не тільки відбивати атаки, а й проводити кіберконтрнаступ і ділитися досвідом з партнерами.

Liga.Tech поговорила з очільником департаменту кібербезпеки СБУ Іллею Вітюком про те, як росіяни розганяють фейки, про перехоплення дзвінків окупантів та операції з пошуку хакерів.

– Як почалася повномасштабна війна для кіберконтррозвідки?

– Була висока загроза облоги Києва, тут розташовувалися найкритичніші реєстри, переїжджали міністерства, була паніка, ракетні обстріли. "Критичне залізо" державних органів співробітники департаменту кібербезпеки СБУ фізично вивозили з міста. 

У перші тижні, коли кіберконтррозвідка вивозила цінну техніку з Київської області, на дорозі стався обстріл – довелося буквально об’їжджати снаряди, що падали на дорогу. Крім того, з початком бойових дій створені оперативно-бойові підрозділи, які зі зброєю виконують задачі з забезпечення кібербезпеки.

Також окремі українські ІT-компанії безкоштовно допомагали державі перевозити в безпечні локації та захищати критично важливі реєстри, бази даних тощо. 

– Чи змінився характер російських кібератак з лютого цього року? Російські спецслужби якось готувалися до війни у кіберсфері?

– Кіберагресія в бік України триває з 2014 року. Тоді почалися кібератаки, зокрема, на українські державні ресурси. З кожним роком кількість атак зростала, були надзвичайно потужні напади – вірус Petya у 2017 році, коли постраждали десятки тисяч компаній і людей в Україні та інших країнах. 

У 2016 році була атака Black Energy на енергетичні обʼєкти, зокрема на Прикарпаттяобленерго – протягом шести годин не було світла у 250 000 осіб. Це була перша атака на обʼєкти енергетики у нашій державі. А от початком кібервійни у професійній спільноті вважають січень 2022 року, а саме атаки 13-14 січня. 

Щороку зростала і масованість атак. Якщо у 2020 році було зафіксовано близько 800 кібератак, то у 2021-му – майже 1400, а цього року – вже понад 3500. Ми вже до всього готові, немає нічого такого, що б ми не бачили. 

Приблизно 90% всіх кібератак, які здійснюються на наші державні ресурси, – це спецслужби РФ. Є ще невеликий відсоток кібератак – їх завдають білоруські спецслужби, які сприяють РФ. До 1% – це решта спецслужб. Це зазвичай не деструктивні атаки, а спроби отримати певну розвідувальну інформацію.

– Що змінилося у діях української сторони з початком повномасштабної агресії?

– Україна розпочала кіберконтрнаступ уже 24 лютого. До цього була лише оборона та відбиття кібератак, але повномасштабний наступ РФ "розвʼязав руки".  Ми мали збити хвилі кібератак, щоб ворог зосередився на власному захисті. 

Раніше Україна не вдавалася до кібернаступу, тому що за міжнародними нормами це могли визнати приводом до війни. Сьогодні наш контрнаступ розвивається ще блискавичніше, ніж на традиційному фронті. Часто палає і кібербавовна. 

Значну роль відіграє і готовність простих українців долучатися до боротьби на кіберфронті. Фактично у нас є своя українська кібертероборона, яка налічує сотні тисяч бійців. Це дає нам додатковий, надзвичайно потужний важіль. І цій силі ворогу немає чого протипоставити.

– Наскільки небезпечними є російські спецслужби?

– Це небезпечні злочинні організації. Їх неможливо порівняти навіть з мафією або тріадами (злочинні організації у Китаї. – Прим. ред.). Там працюють найдосвідченіші фахівці, у них є фактично необмежені ресурси, що залежать лише від бюджету країни (а Росія зараз постійно збільшує бюджет спецслужб). У них є технічні та агентурні можливості. Умовну Аль-Каїду можна знищити, а для знищення спецслужби треба ліквідувати всю країну. 

– З жовтня Росія почала обстрілювати енергетичну інфраструктуру. Чи супроводжуються ці обстріли кібератаками?

– Енергетика, інфраструктура і логістика – це пріоритетні цілі для російських спецслужб. Останні обстріли ТЕЦ супроводжувалися і кібератаками. Ми очікували на такий сценарій, тому жодна з них не була ефективною. 

Інколи ми маємо інформацію, куди битиме ворог найближчими днями чи тижнями, і наша задача – не допустити цього. Або ми пускаємо ворога хибним слідом, розуміючи, що не буде негативних наслідків. Про більшість кібератак суспільство не знає, а Росія сьогодні робить в середньому понад 10 кібератак на добу.

Якщо не відбивати їх, наслідки були б украй серйозними. За відсутності відповідного захисту, кібератаки набагато ефективніші та дешевші за ракетні обстріли. Ракети ж у більшості випадків збиваються або прилітають кудись не туди. 

Одночасна атака на всі обленерго може вимкнути світло у всій країні, щоб енергетики не змогли перекидати потужності між регіонами. Ворог прагне, щоб ми опинилися без світла, води, опалення, звʼязку, інтернету, засобів оплати. Але це вже абсолютно неможливо за такого рівня нашої підготовки та реагування.

У найгіршому разі завдяки кібератаці вони можуть, наприклад, вимкнути електроенергію на 5-10 хвилин або якісь сервіси не працюватимуть протягом нетривалого часу. Ми працюємо, щоб навіть цього не трапилось.

– Чи допомагають союзники у цьому напрямі так, як зі зброєю?

– Союзники допомагають здебільшого інформацією – розвіддані, аналітичні зведення від провідних світових компаній з кібербезпеки тощо. 

Україна отримує потрібне програмне забезпечення, апаратні комплекси для захисту критичної інфраструктури. Але здебільшого матеріальна допомога потрібна не СБУ, а обʼєктам, які можуть стати цілями російських атак. Треба створювати та підтримувати безпечне кіберсередовище, так би мовити, розгорнути "високі та міцні кіберпаркани", які захищатимуть державу.

– Перехоплення дзвінків — теж ваша робота. Чи не є це порушенням законодавства?

– Всі перехоплення дзвінків на території України відбуваються виключно згідно з законодавством, тут немає хаосу. Є уповноважені органи, які можуть це робити. Є різні методи – як через операторів зв’язку, так і через спеціальні можливості СБУ. 

Записи дзвінків, які періодично публікує СБУ, – це лише невелика частина всього наявного масиву. Ми показуємо це суспільству, коли немає ризику для слідства. Адже весь масив інформації, який ми збираємо, лягає в скарбничку доказів документування воєнних злочинів РФ для використання в міжнародних кримінальних судових інстанціях.

– Росія регулярно вкидає фейки нібито про дії України. Це одне із завдань їхніх спецслужб?

– СБУ щомісяця фіксує близько тисячі дезінформаційних кампаній та акцій, які зазвичай координуються російськими спецслужбами.  

Російська пропагандистська машина масовано генерує фейки майже щодня. Як працюють ці кампанії? Обирається певний напрям необхідного інформаційно-психологічного впливу. Фахівці формують спеціальні наративи, обирають привід тощо. Потім розповсюджують через підконтрольні спецслужбам Telegram-канали, блогерів, політиків. 

Є агентурна мережа і за кордоном, її мета – підтримувати запущені меседжі у світовому інформаційному просторі та впливати на рішення інших країн.

Щодо "брудної бомби", мінування греблі Каховської ГЕС та іншого – це не просто якийсь вкид у Telegram-каналі, про який всі потім забудуть. Росіяни вже політично підіграють своїй брехні – звертаються до міжнародних організацій, щоб цей фейк жив на найвищому рівні.

– Яку роль у дезінформації відіграють анонімні Telegram-канали? Вони мають сотні тисяч підписників, але незрозуміло, хто за ними стоїть.

– Величезний масив непідтвердженої інформації у Telegram-каналах — це серйозна проблема. З нею складно боротися – сервери Telegram, де зберігається інформація, розташовані не в Україні, і як юридична особа Telegram тут не представлений. З погляду національного законодавства, механізм блокування Telegram-каналів наразі відсутній. 

– То як відбувається блокування?

– СБУ офіційно звертається до адміністрації Telegram з вимогами заблокувати певні канали з поясненням, чому це слід зробити. З початку війни ми передали на блокування понад 1500 Telegram-каналів, більш як 1500 акаунтів в Instagram, Facebook і TikTok.

Інколи Telegram реагує і блокує, деколи – ні. Важливо розуміти, що там навіть на листи правоохоронців, зазвичай, реагує не людина, а штучний інтелект, налаштований, м’яко кажучи, не на нашу користь.

Тоді ми застосовуємо інші технічні та агентурні методи, щоб заблокувати ще частину каналів. Це доволі результативно, але не на 100%. Аналогічно відбувається і з Viber, але їх з Telegram не можна порівняти. Групи у Viber мають значно меншу популярність та охоплення. 

В інших соцмережах блокування деструктивного контенту теж працює. Цього року СБУ вже припинила діяльність 35 ботоферм потужністю близько 1,5 млн фейкових акаунтів і заблокувала майже 500 проросійських YouTube-каналів з аудиторією більше ніж 15 млн підписників.

– Замовник всім відомий – це російська влада. Чи існує можливість вийти конкретно на виконавців цих кібератак? 

– Восени 2021 року СБУ оголосила підозри вісьмом членам штатного хакерського угруповання ФСБ Armageddon, яке відповідальне за 5000 кібератак з 2014 року. Українській кіберконтррозвідці вдалося проникнути настільки глибоко, щоб отримати інформацію про заплановані атаки хакерів. Перехоплювали навіть їхні телефонні розмови. Завдяки цьому вдалося оголосити підозри з конкретними прізвищами.  

Ці люди працювали з Криму. Ми посадимо їх за ґрати, коли повернемо півострів. Така атрибуція, коли провина доводиться не відносно якоїсь країни чи організації, а до конкретного виконавця кібератак, вдалася лише двічі, крім СБУ – і це зробили США, ФБР разом з Міністерством юстиції. Ми ж встановили вісім конкретних хакерів, і за кількістю виявлених виконавців – СБУ взагалі на першому місці. 

Україна має унікальний досвід — зараз немає іншої країни у світі, в якої був би такий рівень фаховості. Ті самі США не мали справи з такими масштабними деструктивними кібератаками спецслужб, як це відбувається з Україною. Там актуальною є інша проблема – їх атакують хакери-вимагачі, а це зовсім інший рівень загрози, адже в нашому випадку мета ворога – не гроші, а знищення нашої держави.

Ми — учасники першої у світі кібервійни. Наш ворог – одні з найпотужніших спецслужб і хакерських угруповань у світі, і це офіційно визнають на Заході. Окремі  партнери взагалі говорили, що кібервійська РФ, ймовірно, знесуть у нас все за три-чотири дні. Що ж, ми їх приємно здивували.