Первая в мире кибервойна. Как СБУ отражает кибератаки на энергетику и блокирует фейки РФ

Украина отражает российские кибератаки с 2014 года, но началом войны в цифровом пространстве в СБУ считают январь 2022 года. Тогда в преддверии вторжения россияне атаковали сайты украинского правительства. Так началась первая в мире кибервойна.

Сейчас в среднем Украину атакуют 10 раз в день. 90% всех кибератак осуществляют российские спецслужбы, остальные – Беларусь и совсем небольшая часть других государств. Имеющиеся ресурсы позволяют Украине не только отражать атаки, но и проводить киберконтрнаступление и делиться опытом с партнерами.

Liga.Tech поговорила с главой департамента кибербезопасности СБУ Ильей Витюком о том, как россияне разгоняют фейки, о перехвате звонков оккупантов и операции по поиску хакеров.

– Как началась полномасштабная война для киберконтрразведки?

– Была высокая угроза осады Киева, здесь размещались наиболее критические реестры, переезжали министерства, была паника, ракетные обстрелы. "Критическое железо" государственных органов сотрудники департамента кибербезопасности СБУ физически вывозили из города.

В первые недели, когда киберконтрразведка вывозила ценную технику из Киевской области, на дороге произошел обстрел – пришлось буквально объезжать падающие на дорогу снаряды. Кроме того, с началом боевых действий созданы оперативно-боевые подразделения, выполняющие задачи по обеспечению кибербезопасности с оружием.

Также отдельные украинские IT-компании бесплатно помогали государству перевозить в безопасные локации и защищать критически важные реестры, базы данных.

– Изменился ли характер российских кибератак с февраля этого года? Российские спецслужбы готовились к войне в киберсфере?

– Киберагрессия в сторону Украины продолжается с 2014 года. Тогда начались кибератаки, в частности на украинские государственные ресурсы. С каждым годом количество атак росло, были очень мощные нападения – вирус Petya в 2017 году, когда пострадали десятки тысяч компаний и людей в Украине и других странах.

В 2016 году была атака Black Energy на энергетические объекты, в частности на Прикарпатьеоблэнерго – в течение шести часов не было света у 250 000 человек. Это была первая атака на объекты энергетики в нашем государстве. А вот началом кибервойны в профессиональном сообществе считают январь 2022 года, а именно атаки 13-14 января.

Каждый год росла и массированность атак. Если в 2020 году было зафиксировано около 800 кибератак, то в 2021-м – приблизительно 1400, а в этом году – уже более 3500. Мы уже ко всему готовы, нет ничего такого, что бы мы ни видели.

Приблизительно 90% всех кибератак, осуществляемых на наши государственные ресурсы, – это спецслужбы РФ. Есть еще небольшой процент кибератак – их наносят беларуские спецслужбы, способствующие РФ. До 1% – это остальные спецслужбы. Это обычно не деструктивные атаки, а попытки получить определенную разведывательную информацию.

– Что изменилось в действиях украинской стороны с началом полномасштабной агрессии?

- Украина начала киберконтрнаступление уже 24 февраля. До этого была лишь оборона и отражение кибератак, но полномасштабное наступление РФ "развязало руки". Мы должны были сбить волны кибератак, чтобы враг сосредоточился на собственной защите.

Ранее Украина не прибегала к кибернаступлению, потому что по международным нормам это могли признать поводом к войне. Сегодня наше контрнаступление развивается еще молниеноснее, чем на традиционном фронте. Часто пылает и кибербавовна.

Значительную роль играет и готовность простых украинцев приобщаться к борьбе на киберфронте. Фактически у нас есть своя украинская кибертероборона, насчитывающая сотни тысяч бойцов. Это дает нам дополнительный, очень мощный рычаг. И этой силе врагу нечего противопоставить.

- Насколько опасны российские спецслужбы?

– Это опасные преступные организации. Их невозможно сравнить даже с мафией или триадами (преступные организации в Китае. – Прим. ред.). Там работают опытные специалисты, у них есть фактически неограниченные ресурсы, зависящие только от бюджета страны (а Россия сейчас постоянно увеличивает бюджет спецслужб). Они имеют технические и агентурные возможности. Условную Аль-Каиду можно уничтожить, а для уничтожения спецслужбы нужно ликвидировать всю страну.

– С октября Россия начала обстреливать энергетическую инфраструктуру.  Сопровождаются ли эти обстрелы кибератаками?

– Энергетика, инфраструктура и логистика – это приоритетные цели для российских спецслужб. Последние обстрелы ТЭЦ сопровождались и кибератаками. Мы ожидали такого сценария, поэтому ни одна из них не была эффективной.

Иногда у нас есть информация, куда будет бить враг в ближайшие дни или недели, и наша задача – не допустить этого. Или мы пускаем врага по ложному следу, понимая, что не будет негативных последствий. О большинстве кибератак общество не знает, а Россия сегодня производит в среднем более 10 кибератак в сутки.

Если не отражать их, последствия были бы крайне серьезными. При отсутствии соответствующей защиты, кибератаки гораздо эффективнее и дешевле ракетных обстрелов. Ракеты в большинстве случаев сбиваются или прилетают куда-то не туда.

Одновременная атака на все облэнерго может выключить свет по всей стране, чтобы энергетики не смогли перебрасывать мощности между регионами. Враг хочет, чтобы мы оказались без света, воды, отопления, связи, интернета, средств оплаты. Но это уже совершенно невозможно при таком уровне нашей подготовки и реагирования.

В худшем случае благодаря кибератаке они могут, например, выключить электроэнергию на 5-10 минут или какие-нибудь сервисы не будут работать в течение непродолжительного времени. Мы работаем, чтобы даже этого не произошло.

– Помогают ли союзники в этом направлении так, как с оружием?

- Союзники помогают в основном информацией – разведданные, аналитические сведения от ведущих мировых компаний по кибербезопасности и пр.

Украина получает необходимое программное обеспечение, аппаратные комплексы для защиты критической инфраструктуры. Но в большинстве своем материальная помощь нужна не СБУ, а объектам, которые могут стать целями российских атак. Надо создавать и поддерживать безопасную киберсреду, так сказать, развернуть "высокие и крепкие киберзаборы", которые будут защищать государство.

- Перехват звонков – тоже ваша работа. Не является ли это нарушением законодательства?

– Все перехваты звонков на территории Украины происходят исключительно согласно законодательству, здесь нет хаоса. Есть уполномоченные органы, которые могут это делать. Есть разные методы – как через операторов связи, так и через специальные возможности СБУ.

Записи звонков, периодически публикуемые СБУ, – это лишь небольшая часть всего имеющегося массива. Мы показываем это обществу, когда нет риска следствия. Ведь весь собираемый массив информации идет в копилку доказательств документирования военных преступлений РФ для использования в международных уголовных судебных инстанциях.

– Россия регулярно вбрасывает фейки якобы о действиях Украины. Это одна из задач их спецслужб?

- СБУ ежемесячно фиксирует около тысячи дезинформационных кампаний и акций, обычно координируемых российскими спецслужбами.

Российская пропагандистская машина массированно генерирует фейки почти каждый день. Как работают эти кампании? Выбирается определенное направление нужного информационно-психологического действия. Специалисты формируют специальные нарративы, выбирают повод и т.д. Затем распространяют через подконтрольные спецслужбам Telegram-каналы, блогеров, политиков.

Есть агентурная сеть и за рубежом, ее цель – поддерживать запущенные месседжи в мировом информационном пространстве и влиять на решения других стран.

Что касается "грязной бомбы", минирования плотины Каховской ГЭС и прочего – это не просто какой-то вброс в Telegram-канале, о котором все потом забудут. Россияне уже политически подыгрывают своей лжи – обращаются в международные организации, чтобы этот фейк жил на самом высоком уровне.

– Какую роль в дезинформации играют анонимные Telegram-каналы? У них сотни тысяч подписчиков, но неясно, кто за ними стоит.

– Огромный массив неподтвержденной информации в Telegram-каналах – это серьезная проблема. С ней сложно бороться – серверы Telegram, где хранится информация, расположены не в Украине, и как юридическое лицо Telegram здесь не представлен. С точки зрения национального законодательства, механизм блокировки Telegram-каналов пока отсутствует.

- Так как происходит блокировка?

– СБУ официально обращается в администрацию Telegram с требованиями заблокировать определенные каналы с объяснением, почему это следует сделать. С начала войны мы передали на блокировку более 1500 Telegram-каналов, свыше 1500 аккаунтов в Instagram, Facebook и TikTok.

Иногда Telegram реагирует и блокирует, порой – нет. Важно понимать, что там даже на письма правоохранителей, как правило, реагирует не человек, а искусственный интеллект, настроенный, мягко говоря, не в нашу пользу.

Тогда мы применяем другие технические и агентурные методы, чтобы заблокировать часть каналов. Это довольно результативно, но не на 100%. Аналогично происходит и с Viber, но их с Telegram нельзя сравнить. Группы в Viber имеют гораздо меньшую популярность и охват.

В других соцсетях блокировка деструктивного контента тоже работает. В этом году СБУ уже прекратила деятельность 35 ботоферм мощностью около 1,5 млн фейковых аккаунтов и заблокировала приблизительно  500 пророссийских YouTube-каналов с аудиторией более 15 млн подписчиков.

- Заказчик всем известен – это российская власть. Есть ли возможность выйти конкретно на исполнителей этих кибератак?

- Осенью 2021 года СБУ объявила подозрения восьми членам штатной хакерской группировки ФСБ Armageddon, ответственной за 5000 кибератак с 2014 года. Украинской киберконтрразведке удалось проникнуть настолько глубоко, чтобы получить информацию о запланированных хакерских атаках. Перехватывали даже телефонные разговоры. Благодаря этому удалось объявить подозрения с конкретными фамилиями.

Эти люди работали из Крыма. Мы посадим их за решетку, когда вернем полуостров. Такая атрибуция, когда вина доказывается не в отношении какой-либо страны или организации, а конкретного исполнителя кибератак, удавалась лишь дважды, кроме СБУ – и это сделали США, ФБР вместе с Министерством юстиции. Мы же установили восемь конкретных хакеров, и по количеству выявленных исполнителей – СБУ вообще на первом месте.

У Украины есть уникальный опыт — сейчас нет другой страны в мире, у которой был бы такой уровень профессиональности. Те же США не имели дела со столь масштабными деструктивными кибератаками спецслужб, как это происходит с Украиной. Там актуальна другая проблема – их атакуют хакеры-вымогатели, а это совсем другой уровень угрозы, ведь в нашем случае цель врага – не деньги, а уничтожение нашего государства.

Мы участники первой в мире кибервойны. Наш враг – одни из самых мощных спецслужб и хакерских группировок в мире, и это официально признают на Западе. Отдельные партнеры вообще говорили, что кибервойска РФ, вероятно, снесут у нас все за три-четыре дня. Что ж, мы их приятно удивили.