«В киберсреде начался глобальный шторм». Специалист по кибербезопасности Алексей Барановский ― чего ждать от российских хакеров в случае войны и как готовиться к атакам. Интервью

Автор:
Anton Semyzhenko
Редактор:
Dmytro Rayevskyi
Дата:
«В киберсреде начался глобальный шторм». Специалист по кибербезопасности Алексей Барановский ― чего ждать от российских хакеров в случае войны и как готовиться к атакам. Интервью

Oleg Petrasiuk / «Бабель»

В ночь на пятницу, 14 января, сразу на нескольких сайтах украинских министерств и госсервисов появились сообщения об их взломе и утечке личных данных украинцев. Это не самая разрушительная и масштабная кибератака на украинские сайты и объекты инфраструктуры. В 2014-м, незадолго до президентских выборов, неизвестные атаковали ЦИК, в 2015-м ― командный центр «Прикарпатьеоблэнерго», годом позже ― подстанцию в Киеве, в 2017-м запустили вирус notPetya, который стал крупнейшей кибератакой в мировой истории. В ней, как и в остальных, подозревают российские спецслужбы. С началом войны с Россией Украина стала одним из главных мировых полигонов для испытания кибероружия. Противодействовать этим угрозам помогают западные партнеры. В оперативном штабе, созданном месяц назад при Администрации президента США в связи с возможным масштабным вторжением России в Украину кибератака оценивается как одна из главных угроз. Корреспондент «Бабеля» Антон Семиженко следит за темой киберугроз в Украине уже более семи лет. В 2017-м, после атаки notPetya, он пообщался со специалистом по кибербезопасности Алексеем Барановским, компания которого как раз изучала вредоносный код. Спустя пять лет они встретились вновь. Барановский по-прежнему работает в сфере кибербезопасности, преподает на профильной кафедре в КПИ и сотрудничает с несколькими международными организациями, которые оценивают киберугрозы и помогают правительствам давать им отпор. Он рассказал, как Украина подготовилась к новым киберугрозам и чего нам стоит ожидать в случае начала полномасштабной войны.

Как оцениваете недавний взлом сайтов?

Сложно сказать на данный момент, был ли это исключительно взлом сайтов. Исследователи и компетентные органы сообщают о признаках более серьезной атаки. Пока известно следующее: по сайтам хакеры не смогли сделать ничего серьезного: временно заменили главную страницу, спровоцировали имиджевые потери. Что касается других ресурсов, то здесь были определенные потери функциональности и, возможно, данных. К примеру, у МТСБУ. Сейчас нет информации о связи между двумя атаками, но можно предположить, что одна могла произойти под прикрытием другой.

Сайты специалисты, конечно, могли бы восстановить и быстрее, но много времени занимают следственные действия.

По другим ресурсам пока ожидаем информацию.

Представим, что начинаются полномасштабные военные действия. Каких кибератак и на какие объекты стоит ожидать?

Давайте исходить из логики злоумышленника — это единственно возможный путь. Многие зловредные программы могут уже находиться в наших системах, оставаясь в спящем режиме, чтобы активизироваться в нужный момент.

И предположим, что все плохо. Что хакеры получили один доступ, второй, третий, укоренились в разных системах так, что их практически невозможно заметить, и ждут команды. Что они будут делать в случае атаки на Украину? Первое ― необходимо парализовать логистику. Переброска большого количества войск возможна только железнодорожным путем, автодороги этого не выдержат. Значит, надо блокировать железную дорогу, например, через энергетику, ведь большая часть локомотивов работает на электротяге. На электричестве работают и стрелочные переводы, которые дают возможность контролировать потоки движения.

Дальше, необходимо парализовать связь. Я не специалист в военной связи и спецсвязи, не могу сказать, что используется в наших системах и насколько это можно атаковать, но то, что точно будет атаковано ― это резервные каналы связи, то есть мобильная связь. Это можно осуществить как на уровне электроэнергетики, так и на уровне операторов связи.

У нас были случаи с начала войны, когда мобильная связь «ложилась» по причине кибератаки?

Мне об этом неизвестно, но я точно знаю, что во время захвата Крыма часть интернет-трафика начала проходить через российские мобильные сети. Скорее всего, происходил перехват данных. И если смогли осуществить это, могут «положить» и связь.

Дальше уже вопрос, в чем заинтересованы наши противники. Если они заинтересованы в полнейшем хаосе и уничтожении сопротивления, терроре, они будут бить по гражданскому населению. Это, например, система водопровода и канализации.

Которая у нас тоже оцифрована?

Насколько я знаю, частично.

Возможна атака на отдельные гражданские объекты. Плюс, конечно же, это финансовая система. Например, давайте возьмем расчеты внутри страны. Какое количество расчетов делается с карты на карту? Я уверен, что большинство. И большая часть из них проходит через всего несколько крупнейших банков и систем. Их блокировка в принципе парализует финансовую систему.

Банки это понимают?

Уверен, что да. И уверен, что за прошедшие годы их готовность к кибератакам увеличилась. Они могут быть готовы к инцидентам среднего и высокого уровня критичности, может быть, к мощным атакам, но к тотальной войне ― сомневаюсь. К ней никто никогда не бывает готов. Если наши противники решат обрушить один или другой банк ― они это сделают. У них есть на это ресурс, а любая война ― это соревнование ресурсов. И комбинирование подходов: не смогут «положить» банк программным образом, в дело пойдет подрыв дата-центра или повреждение линий связи.

Oleg Petrasiuk / «Бабель»

Со времени атаки notPetya ничего подобного по масштабам украинские специалисты не замечали? Не было ничего подозрительного?

По крайней мере, мне о таких случаях не известно. Хотя вот текущий attack13/BleedingBear потенциально может быть таким. В коммерческом секторе редко разглашают, какие системы атаковал противник и где он уже может присутствовать.

Бывали ли в мировой практике случаи, когда в войне была активная киберсоставляющая?

Я не историк, но мне кажется, с 1945 года у нас именно тотальных войн не было. Были какие-то локальные конфликты, которые напоминали бои на шпагах в спортивных соревнованиях. Говоря о кибератаках ― возьмите пример Stuxnet. Это вирус, который вывел из строя иранскую ядерную программу. Но будем честными ― надолго ли он ее вывел из строя? На какое-то количество лет. Остановил ли он ее полностью? Нет. Чтоб уничтожить иранскую ядерную программу, нужно было не просто уничтожить центрифуги, как это сделал Stuxnet, а разорвать все каналы поставки того же обогащенного урана, выкрасть или уничтожить ученых, взорвать ключевые объекты. Насколько известно, этого сделано не было. Так что и это, скорее всего, был точечный, локальный, упреждающий удар, который только обозначил возможности.

То же пока было и в Украине с атаками на энергосистему 2015-2016 годов. Возможно, демонстрация силы. Возможно, отработка техники. Да, мы знаем, что противник силен. Да, мы не знаем, где он сейчас может присутствовать. Что делать в такой ситуации? Повышать свою готовность. Я поддерживаю подход большей части коллег, что рано или поздно инцидент произойдет, предотвратить его на 100 процентов невозможно — значит, нужно быть готовым быстро среагировать, минимизировать ущерб, как можно быстрее восстановить функциональность.

Об этом немало говорят как украинские чиновники, так и наши международные партнеры. Насколько мы готовы к серьезным кибератакам?

Этим вопросом в Украине сейчас занимаются много международных фондов и организаций. И ОБСЕ, и посвященный безопасным избирательным системам фонд IFES, и USAID, и фонд CRDF Global. Они помогают и организационно, и финансово, закупая оборудование и программное обеспечение. Сотрудничают с ГСЗИ ― Госслужбой защиты информации, с СБУ, Киберполицией. Долгое время в Украине была проблема обмена информацией касательно кибербезопасности между разными ведомствами. Сейчас при СНБО создан Национальный координационный центр по кибербезопасности. В его задачи входит, в частности, взаимосвязь и общие действия различных госструктур и объектов, которые попадают в перечень объектов критической инфраструктуры.

Отдельно стоит банковская система ― Нацбанк еще с конца 1990-х координирует цифровую безопасность банков, сейчас при нем действует CSIRT — Команда реагирования на киберугрозы. Нацбанк во многом задает тон в сфере кибербезопасности, он давно вынужден быть эффективным, ведь речь о самом привлекательном для хакеров ресурсе ― о деньгах. Плюс у банков еще множество международных стандартов, которым они должны соответствовать. Поэтому в 2017 году, во время атаки notPetya, мне известно лишь о трех компаниях в Украине, где вирус проник в систему, но его быстро изолировали. Все это были финансовые организации. Там он запустился на компе с бухгалтерским ПО, сунулся в одну сторону ― нельзя, в другую ― нельзя. Система увидела: ух ты, гадость какая-то суется, «то тут ти і вмреш».

Судя по тем многочисленным тренингам и курсам, на которых я побывал в последние годы, уровень наших специалистов и организаций действительно растет. Есть и позитивные изменения в законодательстве. В прошлом году наконец приняли Национальную стратегию кибербезопасности. В процессе создания государственные кибервойска ― в том же 2017-м эта деятельность вообще законом не разрешалась.

Oleg Petrasiuk / «Бабель»

Как изменилась ситуация в сфере кибербезопасности со времен notPetya?

Сейчас у нас в принципе постоянный шторм. Любая компания или организация рано или поздно попадет под атаку. Разница только в типе атаки: будет она целевой или «по площадям».

«По площадям» это как?

К примеру, вредоносные рассылки тех же вымогателей. Когда, например, электронный адрес в какой-то базе утек или его еще каким-то образом получили злоумышленники. Почему бы не отправить на него письмо в ходе массовой рассылки зловредного кода и при успехе потребовать выкуп? Такое постоянно происходит, я сейчас консультирую зарубежные компании — все время разные атаки. Сейчас происходит то, о чем «мечтали» все специалисты по безопасности, начиная с 1996—1997 года — глобальный шторм.

Когда это началось?

Четко можно сказать, когда этого стало больше ― когда упростилась монетизация результатов шантажа. То есть с развитием криптовалют. Раньше любая кража денег с финансовых счетов подразумевала, что их нужно как-то вывести, обналичить. А это вовлечение не только банковских счетов, но и банковских карточек, менеджеров и так далее. Легче засветиться. С криптовалютами же существует огромнейшее количество автоматизированных бирж для «отмывки» средств ― так называемых «мешалок». Деньги уходят в кошелек и сразу оттуда в другой, потом еще дальше, еще дальше. Отследить путь можно попробовать, но это очень тяжело. А еще есть так называемые анонимные криптовалюты, которые вообще отследить невозможно.

«Бабель» выпустил сборник советов, как обезопасить себя и свое жилище на случай атаки России. Что можно еще сделать, учитывая правила кибербезопасности?

Будем честными: если начнутся боевые действия, обычные гражданские компьютеры ― последнее, о чем стоит беспокоиться. Но я бы сделал резервные копии важной информации. Ее стоит залить в «облако» и на отдельный жесткий диск. Этот жесткий диск ― ваш «тревожный чемоданчик». Например, есть у вас важные документы ― отсканируйте их, скопируйте в «тревожный чемоданчик», который стоит защитить шифрованием.

Про заряженный мобильный, запасную батарейку к нему и пауэрбанк вы, думаю, говорили. А все остальное уже не так важно.

Oleg Petrasiuk / «Бабель»

А если наши читатели ― собственники бизнесов?

Если вы на своем предприятии делаете резервные копии информации и установили хорошие антивирусы ― это уже хорошо. Появилась новая дисциплина ― кибергигиена, которая становится все более важной. Как коронавирус дал нам усиление правил гигиены, приучил чаще мыть руки и так далее ― так и здесь. К спам-письмам и фишинговым рассылкам относитесь чуть более серьезно. И, конечно, базовое правило: donʼt click shit — не клацайте всякую гадость. Лучше не допустить, чем потом разгребать.

В 2017 году вы рассказывали, что ваш коллега взломал смарт-чайник и смог управлять им в обход официального программного обеспечения. Прошло пять лет ― и «интернет вещей» стал намного более распространен, смарт-техника доступна многим.

Да, сейчас все намного хуже. Вот вам пример: в 2019 году одна девушка, системный администратор, купила себе автоматическую кормушку для животных, компании Xiaomi. Начала анализировать, что эта кормушка делает ― в итоге она получила возможность либо накормить 11 тысяч котиков и собачек, либо заморить их голодом.

Получила доступ ко всем кормушкам Xiaomi мира?

Да. Причем девушка не хакер ― просто, работая системным администратором, она решила разобраться в функциях устройства. Или другой пример ― взлом казино через аквариум. В одном из зарубежных казино в аквариуме был термостат, через который можно было делать рыбкам теплее или холоднее. На нем было устаревшее программное обеспечение, его взломали, получили доступ в сеть казино ― и украли данные.

А вы сами системы смарт-дома используете?

Не особо. Я живу в частном доме, он у меня не «смарт». Часть моих коллег установили себе системы умных домов ― отопление, вентиляция, холод, вода. Я боюсь. У меня для того, чтобы включить отопление, нужно подойти к котлу и включить его. И я не буду делать себе систему отопления частного дома оцифрованной. Рубильник менее комфортен, но надежен. А вот видеокамеры ― да, у меня есть. Но только снаружи дома.

Пока ваш чайник не хакнул ваш кошелек ― отправьте нам донат. Можно в криптовалюте.

Oleg Petrasiuk / «Бабель»