Тексти

«У кіберсередовищі почався глобальний шторм». Фахівець із кібербезпеки Олексій Барановський — чого чекати від російських хакерів у разі війни і як готуватися до атак. Інтервʼю

Автори:
Антон Семиженко, Дмитро Раєвський
Дата:

Oleg Petrasiuk / «Бабель»

У ніч на пʼятницю, 14 січня, одразу на кількох сайтах українських міністерств та держсервісів зʼявилися повідомлення про їхній злам і витік особистих даних українців. Це не найруйнівніша та наймасштабніша кібератака на українські сайти та обʼєкти інфраструктури. У 2014-му, незадовго до президентських виборів, невідомі атакували ЦВК, 2015-го — командний центр «Прикарпаттяобленерго», за рік ― підстанцію в Києві, 2017-го запустили вірус notPetya, який став найбільшою кібератакою у світовій історії. У ній, як і в решті, підозрюють російські спецслужби. Від початку війни з Росією Україна стала одним із головних світових полігонів для випробування кіберзброї. Протидіяти цим загрозам допомагають західні партнери. У оперативному штабі, створеному місяць тому при Адміністрації президента США у звʼязку з можливим масштабним вторгненням Росії в Україну, кібератака оцінюється як одна з головних загроз. Кореспондент «Бабеля» Антон Семиженко стежить за темою кіберзагроз в Україні вже понад сім років. У 2017-му, після атаки notPetya, він поспілкувався із фахівцем з кібербезпеки Олексієм Барановським, компанія якого вивчала шкідливий код. Через пʼять років вони зустрілися знову. Барановський, як і раніше, працює у сфері кібербезпеки, викладає на профільній кафедрі в КПІ та співпрацює з кількома міжнародними організаціями, які оцінюють кіберзагрози та допомагають урядам давати їм відсіч. Він розповів, як Україна підготувалася до нових кіберзагроз і чого варто чекати у разі початку повномасштабної війни.

Як оцінюєте недавній злам сайтів?

Складно сказати на даний момент, чи був це суто злам сайтів. Дослідники та компетентні органи повідомляють про ознаки серйознішої атаки. Поки що відомо наступне: по сайтах хакери не змогли зробити нічого серйозного. Вони тимчасово замінили головні сторінки, спровокували іміджеві втрати. Однак у частини ресурсів виявили втрати функціональності й, можливо, даних. Наприклад, у МТСБУ. Зараз немає інформації про звʼязок між цими двома атаками, однак можна припустити, що одна могла відбутись під прикриттям іншої.

Сайти спеціалісти, звісно, могли б відновити й швидше — однак чималий час займають слідчі дії.

Щодо інших ресурсів поки що чекаємо інформації.

Уявімо, що починаються повномасштабні воєнні дії. Яких кібератак і на які обʼєкти варто чекати?

Давайте виходити з логіки зловмисника — це єдиний можливий шлях. Багато шкідливих програм можуть непомітно перебувати в наших системах, залишаючись у сплячому режимі, щоб активізуватися в потрібний момент.

І припустимо, що все погано. Що хакери отримали один доступ, другий, третій, укорінилися в різних системах так, що їх практично неможливо помітити, і чекають на команди. Що вони робитимуть у разі атаки на Україну? Перше — необхідно паралізувати логістику. Перекидання великої кількості військ можливе лише залізничним шляхом, автошляхи цього не витримають. Отже треба блокувати залізницю, наприклад, через енергетику — адже більшість локомотивів працюють на електротязі. На електриці працюють і стрілочні переводи, які дають змогу контролювати потоки руху.

Далі необхідно паралізувати звʼязок. Я не фахівець із військового звʼязку та спецзвʼязку, не можу сказати, що використовується в наших системах і наскільки це можна атакувати, але те, що точно буде атаковано, — це резервні канали звʼязку, тобто мобільний звʼязок. Це можна зробити як на рівні електроенергетики, так і на рівні операторів звʼязку.

Найбільші кібератаки в Україні від 2015 року

Двадцять другого грудня 2015 року не за планом пішла робота компанії «Прикарпаттяобленерго». На одному з компʼютерів контрольного пункту курсор мишки раптом почав самовільно рухатися. Відкривши потрібне меню, невідомий оператор одну за одною відключав підстанції від мережі. Наслідком хвилинної операції стало відключення від електрики 230 тисяч людей на кілька годин.

Подібна подія сталася у грудні наступного року в Києві на підстанції «Північна». Тоді вже було зрозуміло, що обидва інциденти — результат кібератак. У першому випадку вірус отримав назву BlackEnergy, у другому — InDestroyer. Розслідування встановило, що в обох випадках вірус потрапив до мережі через електронну пошту та кілька місяців «освоювався» у системі. Зловмисники не завдавали максимально можливого удару, просто продемонстрували свої сили. Такий вірус універсальний та небезпечний для всього світу. Тільки якщо в Україні багато систем ще не автоматизовані і можна відновити подачу енергії за допомогою рубильника — що й сталося, – у багатьох інших країнах, включно зі США, атака призвела б до серйозніших наслідків.

Про українські інциденти писали провідні світові технічні видання, іноземні уряди спрямовували в Україну матеріальну допомогу, центр протидії кіберзагрозам НАТО запустили низку спільних з Україною програм.

У липні 2017 року стався notPetya. Потрапивши на сотні компʼютерів через український бухгалтерський онлайн-сервіс M.E.Doc, у червні 2017 року notPetya вивів їх із ладу. Він шифрував інформацію, видаляв її та перетворював компʼютери на непотрібну купу заліза. Атака торкнулася всього світу, збитки обчислюються десятками мільярдів доларів. Через рік і Україна, і США офіційно звинуватили в атаці Росію.

У нас були випадки від початку війни, коли мобільний звʼязок «лягав» через кібератаки?

Мені про це невідомо, але точно знаю, що під час захоплення Криму частина інтернет-трафіку почала проходити через російські мобільні мережі. Скоріш за все, відбувалося перехоплення даних. І якщо змогли зробити це, можуть «покласти» і звʼязок.

Далі вже питання, у чому зацікавлені наші супротивники. Якщо їм потрібен повний хаос та знищення опору, терор, вони битимуть по цивільному населенню. Це, наприклад, система водогону й каналізації.

Яка в нас також оцифрована?

Наскільки я знаю, частково.

Можлива атака на окремі цивільні обʼєкти. Плюс, звісно, це фінансова система. Наприклад, візьмімо розрахунки всередині країни. Яка кількість розрахунків робиться з картки на картку? Я впевнений, що більшість. І більшість із них проходить через кілька найбільших банків та систем. Їхнє блокування в принципі паралізує фінансову систему.

У банках це розуміють?

Впевнений, що так. І впевнений, що за минулі роки їхня готовність до кібератак збільшилася. Хоча вони можуть бути готові до інцидентів середнього й високого рівня критичності, можливо, до потужних атак, але до тотальної війни — сумніваюся. До неї ніхто ніколи не готовий. Якщо наші супротивники вирішать обвалити один чи інший банк, вони це зроблять. Вони мають на це ресурс, а будь-яка війна — це змагання ресурсу. І комбінування підходів: не зможуть «покласти» банк програмним шляхом, у справу піде підрив дата-центру чи пошкодження ліній звʼязку.

Oleg Petrasiuk / «Бабель»

Від часу атаки notPetya нічого схожого за масштабами українські фахівці не помічали? Не було нічого підозрілого?

Принаймні, мені про такі випадки невідомо. Хоча от поточна атака attack13/BleedingBear потенційно може такою бути. У комерційному секторі рідко розголошують, які системи атакував ворог і де він уже може бути присутнім.

Чи були у світовій практиці випадки, коли у війні була активна кіберскладова?

Я не історик, але мені здається, що від 1945 року у нас саме тотальних воєн не було. Були якісь локальні конфлікти, що нагадували бійку на шпагах у спортивних змаганнях. Говорячи про кібератаки, візьміть, наприклад, Stuxnet. Це вірус, який вивів із ладу іранську ядерну програму. Але будемо чесними — чи надовго він її вивів з ладу? На якусь кількість років. Чи зупинив її повністю? Ні. Щоб знищити іранську ядерну програму, потрібно було не просто знищити центрифуги, як це зробив Stuxnet, а розірвати всі канали постачання того ж таки збагаченого урану, викрасти або знищити вчених, підірвати ключові обʼєкти. Наскільки відомо, цього не було. Тож і це, скоріш за все, був точковий, локальний, попереджувальний удар, який лише позначив можливості.

Те саме поки що було і в Україні з атаками на енергосистему 2015-2016 років. Можливо, демонстрація сили. Можливо, відпрацювання техніки. Так, ми знаємо, що противник сильний. Так, ми не знаємо, де він зараз може бути присутнім. Що робити у такій ситуації? Підвищувати готовність. Я підтримую підхід більшості колег, що рано чи пізно інцидент відбудеться, запобігти йому на 100 відсотків неможливо — отже, треба бути готовим швидко зреагувати, мінімізувати втрати, якомога швидше відновити функціональність.

Про це чимало говорять як українські чиновники, так і наші міжнародні партнери. Наскільки ми готові до серйозних кібератак?

Цим питанням в Україні зараз займаються багато міжнародних фондів та організацій. І ОБСЄ, і присвячений безпечним виборчим системам фонд IFES, USAID, і фонд CRDF Global. Вони допомагають і організаційно, і фінансово, закуповуючи обладнання та програмне забезпечення. Співпрацюють із ДСЗІ ― Держслужбою захисту інформації, із СБУ, Кіберполіцією. Тривалий час в Україні була проблема обміну інформацією щодо кібербезпеки між різними відомствами. Наразі при РНБО створено Національний координаційний центр з кібербезпеки. До його завдань входить, зокрема, взаємозвʼязок та спільні дії різних держструктур та обʼєктів, які потрапляють до переліку обʼєктів критичної інфраструктури.

Окремо стоїть банківська система — Нацбанк ще з кінця 1990-х координує цифрову безпеку банків, нині при ньому діє CSIRT — Команда реагування на кіберзагрози. Нацбанк багато в чому задає тон у сфері кібербезпеки, він давно змушений бути ефективним, адже мова про найпривабливіший для хакерів ресурс — гроші. Плюс у банків ще безліч міжнародних стандартів, яким вони мають відповідати. Тому в 2017 році, під час атаки notPetya, мені відомо лише про три компанії в Україні, де вірус потрапив у систему, але його швидко ізолювали. Усе це були фінансові організації. Там він запустився на компʼютері з бухгалтерським ПЗ, поткнувся в один бік — не можна, в інший — не можна. Система побачила: ух ти, гидота якась сунеться, «то тут ти і вмреш».

Судячи з тих численних тренінгів та курсів, на яких я побував останніми роками, рівень наших фахівців та організацій справді зростає. Є й позитивні зміни у законодавстві. Минулого року нарешті ухвалили Національну стратегію кібербезпеки. У процесі створення державні кібервійська — у тому ж 2017-му ця діяльність взагалі законом не дозволялася.

Oleg Petrasiuk / «Бабель»

Як змінилася ситуація у сфері кібербезпеки з часів notPetya?

Нині у нас у принципі постійний шторм. Будь-яка компанія чи організація рано чи пізно потрапить під атаку. Різниця тільки в типі атаки: буде цільовою або «по площах».

«По площах» це як?

Наприклад, шкідливі розсилки тих самих здирників. Коли, наприклад, електронна адреса в якійсь базі зʼявилася або його іще якимось чином отримали зловмисники. Чому б не відправити на неї листа в ході масової розсилки шкідливого коду й у разі успіху вимагати викупу? Таке постійно відбувається, я зараз консультую зарубіжні компанії — весь час різні атаки. Зараз відбувається те, про що «мріяли» всі безпекові фахівці починаючи від 1996-1997 року — глобальний шторм.

Коли це розпочалося?

Чітко можна сказати, коли цього стало більше — коли спростилася монетизація результатів шантажу. Тобто із розвитком криптовалют. Раніше будь-яка крадіжка грошей з фінансових рахунків передбачала, що їх потрібно якось вивести, перевести в готівку. А це залучення не лише банківських рахунків, а й банківських карток, менеджерів тощо. Легше засвітитися. Із криптовалютами існує велика кількість автоматизованих бірж для «відмивання» грошей ― так званих мішалок. Гроші йдуть в один гаманець, тоді одразу до іншого, потім ще далі, ще далі. Відстежити шлях можна спробувати, але дуже важко. А ще є так звані анонімні криптовалюти, які взагалі відстежити неможливо.

«Бабель» випустив збірку порад, як убезпечити себе та своє житло на випадок атаки Росії. Що ще можна зробити, враховуючи правила кібербезпеки?

Будемо чесними: якщо почнуться бойові дії, звичайні цивільні компʼютери — останнє, про що варто турбуватися. Але я зробив би резервні копії важливої інформації. Її варто залити в «хмару» й на окремий жорсткий диск. Цей жорсткий диск ― ваша «тривожна валізка». Наприклад, є у вас важливі документи ― відскануйте їх, скопіюйте у «тривожну валізку», яку варто захистити шифруванням.

Про заряджений мобільний, запасну батарейку до нього і павербанк ви, думаю, згадували. А все інше вже не таке важливе.

Oleg Petrasiuk / «Бабель»

А якщо наші читачі — власники бізнесів?

Якщо ви на своєму підприємстві робите резервні копії інформації та встановили хороші антивіруси — це вже добре. Зʼявилася нова дисципліна — кібергігієна, яка стає все більш важливою. Як коронавірус дав нам посилення правил гігієни, привчив частіше мити руки й так далі — так і тут. До спам-листів і фішингових розсилок ставтеся трохи серйозніше. І, звичайно, базове правило: donʼt click shit — не клацайте на будь-яку гидоту. Краще не допустити, аніж потім розгрібати.

У 2017 році ви розповідали, що ваш колега зламав смарт-чайник і зміг керувати ним в обхід офіційного програмного забезпечення. Минуло пʼять років — і «інтернет речей» став набагато поширенішим, смарт-техніка доступна багатьом.

Так, зараз усе набагато гірше. Ось вам приклад: у 2019 році одна дівчина, системний адміністратор, купила собі автоматичну годівницю для тварин компанії Xiaomi. Почала аналізувати, що ця годівниця робить — і в результаті вона отримала можливість або нагодувати 11 тисяч котиків та собачок, або заморити їх голодом.

Отримала доступ до всіх годівниць Xiaomi світу?

Так. Причому дівчина не хакер — просто, працюючи системним адміністратором, вона вирішила розібратися в функціях пристрою. Або інший приклад — злам казино через акваріум. В одному із закордонних казино в акваріумі був термостат, через який можна було робити рибкам тепліше або холодніше. На ньому було застаріле програмне забезпечення, його зламали, отримали доступ до мережі казино і вкрали дані.

А ви сам системи смарт-будинку використовуєте?

Не особливо. Я живу у приватному будинку, він у мене не «смарт». Частина моїх колег встановили собі системи розумних будинків — опалення, вентиляція, холод, вода. Я боюся. У мене для того, щоб увімкнути опалення, необхідно підійти до котла і увімкнути його. І я не робитиму собі систему опалення приватного будинку оцифрованою. Рубильник менш комфортний, але надійний. А ось відеокамери — так, у мене є. Але лише ззовні будинку.

Поки ваш чайник не хакнув ваш гаманець — відправте нам донат. Можна у криптовалюті.

Oleg Petrasiuk / «Бабель»