“В інтернеті ми всі – Україна”. У США вийшла книжка про атаки хакерів Кремля на Київ

 

“Нещадне організоване хакерське угрупування з Росії, що намагалося зруйнувати Україну”.
Стаття з американського видання The Washington Post від 26 грудня 2019 року

Діна Темпл-Растон
переклав Борис Гліб

Щоб зрозуміти, яким є сьогодення схованого світу кібервійн, почнімо з України. «Ви не знайдете ані точки в Україні, яка б не зазначала [кібер]атаки, — слова посла НАТО на питання Енді Грінберга, кореспондента техночасопису Wired. — Оберніть будь-який камінь, і ви наштовхнетеся на комп’ютерну мережу в дії».

Від 2015 року Україна була на вістрі нищівних кібератак, які, що згодом підтвердили експерти, здійснювала РФ. Жорстокі атаки були націлені чи не на всі аспекти українського суспільства: сервери державних установ, ЗМІ, логістичні хаби. Українське кіберсередовище безпорадно спостерігало за виходом з ладу якоїсь системи: одного дня зникали розклади руху потягів, іншого — підвисали банкомати. Остаточний coup de grâce (останній удар ката – “Н”) настав у мить, коли хакери вразили електромережу, зануривши сотні осель у ніч.

«Вочевидь, за всім цим стояла одна група хакерів, — продовжує Грінберг. — І щодо результатів атак українці сказали, що виглядало так, наче привиди з інтернету позалазили до наших осель».

Це початок із книжки Е. Грінберга 2019 року Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers про нову еру кібервійн і полювання на найнебезпечніших хакерів Кремля. Книжка виходить за межі кампаній впливу та викупу, попереджаючи-лякаючи про буремний постстакнетовий світ, який творять «одержавлені» хакери. Грінберг захоплено та детально описує майбутні війни в кіберпросторі, маючи на це підстави, оскільки ми майже нічого не зробили, аби їх не допустити.

Дослідження автора приводить до ГРУ, головної розвідувальної установи Кремля, яке, на його думку, стало найпослідовнішою і найруйнівнішою кіберпотугою на планеті. Ви, вочевидь, чули щось про неї. Каліфорнійська кібербезпекова компанія CrowdStrike назвала угрупування Fancy Bear, що спеціалізується на кібершпигунстві, контрольованим ГРУ і звинуватила у втручанні на вибори президента США у 2016 році. Але експерти знають різні угрупування хакерів ГРУ, об’єднаних за назвою Sandworm – «піщаний хробак».

Для прихильників наукової фантастики і роману Dune («Дюна») Френка Герберта, «піщаний хробак» про дещо нагадує. Це величезна вигадана істота з планети Арракіс, яка відіграє ключову роль в романі Герберта. Скидається, що хакери цього ГРУшного угрупування є фанатами фантаста. Коли їхню програму BlackEnergy щодо збору даних «розібрав» програміст з кібербезпеки Дрю Робінсон, один із головних персонажів книги Грінберга, то виявив файл із назвою arrakis02.

«Виявивши програмний код arrakis02, Робінсон відчув, що натрапив на щось більше, ніж на єдину підказку про хакерів, які обрали це ім’я, — пише Грінберг. — Він наче побачив їх уяву та розум. Ба більше, він замислився, чи не може це стати своєрідним їх відбитком пальців. Можливо, вдасться щось нарити на інших місцях кіберзлочинів».

Так і сталося. Експерти почали пов’язувати хакерів по цілому світу з одним організованим хакерським угрупуванням (ОХУ) і через кілька років уже підтвердили, що «піщаний хробак» і хакери ГРУ, які використовують приховані вади безпеки у софті («вразливості нульового дня»), щоб спричинити повсюдний хаос, є тими самими. «Піщаний хробак» роками вводив в оману, залишаючи хибні сліди, аби думали на інших, що стоять у них за спиною. Проте експерти з кібербезпеки змогли викрити ці дії.

Під вмілим пером Грінберга програмні процедури позбавлені обтяженості та плутанини, натомість загадки виринають у підказках, наче з детективних історії. Читачів заводять до темних кімнат, де кібердетективи перебирають біти коду, пишучи програми для сканування відповідності зловмисних програм, мов інші детективи для відбитків пальців.

Хакери ГРУ через ширші цілі відмежувалися від інших спецслужб. «”Піщаний хробак” був зосереджений не лише на шпигунстві, — продовжує Грінберг, коли провина стає очевидною. — Розвідувальні операції не врізаються в системи управління в економіці. Скидалося на те, що “піщаний хробак” пішов далі, намагаючись вторгнутись у ті системи жертв, які потенційно могли уразити фізичну техніку з конкретними фізичними наслідками».

Їхніми завданнями були інтернет-трафік і шкідливе програмне забезпечення, які відкривали «задній вхід» на комп’ютері жертви для повного доступу для Sandworm. Кібератаки стали відомими з іменами BlackEnergy, Bad Rabbit і NotPetya (остання вважається найбільш згубним хробаком за відому історію). NotPetya початково мав атакувати Україну, її софт для наступних викупів, але затим поширився повсюдно, шифруючи комп’ютерні дані та вимагаючи платежів за розблокування. Але розшифрування не відбувалося вслід за викупом — дані залишалися знищеними.

«Висмоктуючи паролі з пам’яті комп’ютерів, вірус моментально переходить з машини на машину через загальні засоби управління Windows (ті, що для доступу адмінів до інших комп’ютерів у мережі)», — пише Грінберг.

«Наслідком стала “випалена земля” із файлів, що поширювалося автоматично, швидко та без розбору».

Щоб допомогти читачам зрозуміти, як «піщані хробаки» стали найагресивнішим ОХУ у світі, Грінберг повертає нас до війни Росії проти Грузії у 2008 році. Для Головного розвідуправління це стало переломним, адже, на думку Кремля, ГРУ зазнала фіаско під час конфлікту. Упущення її розвідки призвели до таких промахів, як бомбардування спорожнілої злітної смуги чи неспроможності завчасного викрити придбання Грузією зенітно-ракетних комплексів. І спроби ГРУ перехоплювати грузинські лінії зв’язку теж зазнали невдач. Лють Кремля проявилася у кадрових і посадових рішеннях. ГРУ відповіло «піщаним хробаком».

Уряду США просто уявити, як може розгорнутися всеохопне втручання у вибори злом у 2020 році — Україна «проводить» генеральну репетицію. За чотири дні до виборів у травні 2014 року проросійське ОХУ публічно заявило, що планує зірвати вибори. Затим угрупування зламало систему безпеки ЦВК та «обнулило» десятки комп’ютерів.

«Задум передбачав знищення системи, аби не дати їй висвітлити результати, щоби пізніше звинуватити так звану хунту в Україні, — поділився з Грінбергом відомий в Україні фахівець з кібербезпеки Віктор Жора. — Було задумано дискредитувати виборчий процес».

ІТ-відділ ЦВК спромігся відновити мережу ще до відкриття виборчих дільниць, при цьому виявивши на сервері загрозу: зображення сфальшованих результатів виборів.

Адміністратори видалили підроблені дані ще до публічного їх показу, але «російське телебачення, вочевидь, координуючи ефір з державним хакерським угрупуванням, видало помилкове повідомлення про те, що переміг Ярош, аби поставити під сумнів справжнього переможця, політично помірного шоколадного магната Петра Порошенка».

Аж не по собі від знайомого?

Ставало гірше. Наступного ранку ОХУ знову атакувало — Центрвиборчком «відмовив у наданні послуг» — сервери перевели в автономний режим, що ускладнило подвійне підтвердження легітимних результатів.

Може, щось подібне чекає нас у 2020-му? Грінберг застерігає, що якщо не поставимося до кібербезпеки серйозніше, то матимемо несподівані наслідки: «В інтернеті ми всі — Україна. Живемо всі на передовій».

* * *

Діна Темпл-Растон – колишня спецкор Національного громадського радіо NPR у США, ведуча авторської програми «Я спостерігатиму за тобою» на радіо Луїзіани «89.3 WRKF» про технології, що їх застосовують для стеження за людьми. Авторка чотирьох опублікованих досліджень.

Стакснет, win32/Stuxnet — комп’ютерний хробак, що виявлений у системах керування процесами корпорації «Сіменс» у 2010 році.

CrowdStrike — провідна американська компанія у сфері кібербезпеки, мала досвід подолання наслідків хакерської атаки на сервери Sony Pictures Entertainment, кібератаки на Національний комітет Демократичної партії США та атаки з викрадення партійної пошти.

Fancy Bear, “Модный мишка” — кіберугруповання ГРУ, що спеціалізується на кібершпигунстві, що почало свою діяльність правдоподібно у 2004–2007 рр.

Читайте також:
Джерела в ЦРУ: вірусом Petya Україну підривали російські військові хакери з ГУ ГШ

Кіберполіція дала поради, як відновити комп’ютер після вірусу Petya.A

В СБУ пояснили, чому вірус Petya.A прийшов із Росії

Редактор:

〉〉 Вподобали статтю? Найкращий лайк - переказ 50, 100, 200 грн. для гонорарів авторам "Новинарні". Наші рахунки – тут.

〉〉 Кожен читач "Новинарні" має змогу налаштувати щомісячний переказ на довільну суму через сервіс Patreon - на підтримку редакції.
Ми виправдовуємо довіру!

〉〉 Хочете читати більше якісних статей і цікавих новин про Україну, що воює? Підписуйтесь на "Новинарню" в соцмережах: Telegram, Facebook, Twitter, Instagram.

Україна