Окно в комнате со спертым воздухом, наверное, вряд ли открывали за последнюю пару лет. Евгений Докукин сидит перед компьютером и говорит, тяжело дыша, о достижениях его группы хакеров.
Они воруют данные из Министерства иностранных дел России и из служб пророссийской так называемой Донецкой Народной Республики. Они отслеживают при помощи перехваченных камер слежения передвижения повстанческих и российских войск в Крыму и на востоке Украины. Они взламывали аккаунты сепаратистов в социальных сетях и останавливали денежные переводы.
Этими националистическими кибератаками руководят из обветшалого многоэтажного здания советских времен в столице Украины Киеве.
Украинец Докукин решил поступить иначе. Он два года возглавляет группу Ukrainian Cyber Forces, которая совершает кибератаки на сепаратистов на востоке Украины и России. Докукин считает, что вместе со своей группой он имеет право на то, чтобы вести кибервойну против агрессора.
Противники, или пророссийски настроенные хакеры на востоке Украины и в России, тоже активно действуют на киберфронте. Исследователи получили много доказательств того, что хакеры, поддерживаемые Россией, проводили операции в интернете в течение последних двух лет.
Россия захватила Крым весной 2014 года и вмешалась, используя вооруженные силы, в конфликт на востоке Украины.
Докукин говорит, что в начале своей активистской деятельности в интернете он знал, что станет бельмом на глазу пророссийских противников, но решил рискнуть.
«Они сутки напролет пытаются нанести мне удар. Мои пароли постоянно пытаются украсть. Личные данные и адреса, касающиеся меня и моей группы, публикуют в интернете. Тролли дискредитируют нас. Давят психологически: „Бойся нас. Мы придем тебя убить“. Я получал сотни подобных сообщений».
Несмотря на угрозы, Докукин не говорит, что боится за свою жизнь.
Большая часть работы группы заключается в информационном саботаже и саботаже денежных переводов повстанцев, поддерживаемых Россией. На практике целью является нарушение работы многих интернет-страниц, аккаунтов в социальных сетях и банковских счетов.
Докукин говорит, что большая часть деятельности группы законна, то есть им не нужно взламывать информационные системы.
Группа собирает информацию о причастности сепаратистов к военным действиям или просто подтверждения того, что они нарушили правила пользования PayPal и Twitter, которые запрещают, в том числе, угрозы, беспокойство и использование ложной информации. Жалобы администраторам служб часто приводят к закрытию аккаунтов и денежных счетов.
«За период с 2014 года до февраля этого года мы заблокировали больше 300 аккаунтов в различных платежных системах и банках. Это означает, что, по крайней мере, 12 миллионов долларов не дошли», — подсчитывает Докукин.
Проверить правильность суммы тяжело, но в любом случае группа Докукина видит проблему именно в закрытии счетов.
Практически всегда жалобы не учитываются. Говорят, что PayPal очень холодно относится к обращениям украинской группы, но одна организация, осуществляющая российские денежные переводы, закрыла много счетов.
Такие же способы использует противник. Докукин защищает правительство Украины, в то время как, например, группа, называющая себя «КиберБеркут», выступает против Украины и поддерживает действия России на востоке Украины.
Получается, одно из оружий интернет-войны — довольно обычное и не требует владения информационными технологиями. Правда, группа Докукина прибегает и к более серьезным методам. Если, например, закрытие интернет-страницы не удается посредством жалоб администрации сайта, группа взламывает страницу.
При помощи захваченных камер слежения шпионят за повстанцами
На востоке Украины ежедневно идут бои, несмотря на Минское соглашение о прекращении огня. В Киеве грохот оружия не слышен, но кибератаки случаются часто.
«На войне мы используем военные методы. Мы взламываем страницу и переворачиваем на ней все вверх дном. Иногда загружаем на страницу баннер „Stop Russian Aggression“», — говорит Докукин и показывает примеры на страницах, взломанных его группой.
Группа Докукина взламывала аккаунты в социальных сетях и для сбора информации. Переписку объектов — в терминологии Докукина, террористов — можно отслеживать долгое время.
«Мы собираем данные, которые нам нужны, без ведома пользователей и передаем их системе безопасности Украины СБУ».
Докукин говорит, что не получает финансирование от Украины, хотя считает, то переданные им данные привели к задержанию большого количества людей.
Ukrainian Cyber Forces также много времени посвящает тому, чтобы взломать камеры слежения на востоке Украины, в Крыму и России и следить за передвижениями солдат и военной техники на востоке Украины и в Крыму.
Россия не подтверждает присутствие своих войск на Украине, хотя были опубликованы многочисленные подтверждения присутствия российских солдат на территории страны. Докукин показывает на своем компьютере видеоклип, в котором три человека, одетых в военную форму, покупают парфюм в Луганске во время войны в 2014 году.
«Материал был заснят на камеру, находящуюся на сепаратистской территории Восточной Украины. По внешнему виду мужчин, акценту и солдатским беретам ясно видно, что они русские. Наверное, они покупали парфюм для своих подруг или для себя. Террористам тоже нужен парфюм», — смеется он.
На видеоматериалах Докукин также обращает внимание на то, что в небогатых территориях Восточной Украины некоторые солдаты заходят в ювелирные магазины и тратят там много денег. Он утверждает, что это свидетельствует о финансировании сепаратистов.
Ежедневно продлеваю антиросийские санкции
Взлом аккаунтов в социальных сетях — не очень сложное дело. Умеющий человек может быстро провести перехват изображения с камер слежения. Группа Докукина, однако, преуспела и в непростых взломах информационных источников.
Он особенно гордится кражей данных из российских источников и сепаратистских источников на востоке Украины.
«Мы смогли заполучить сотни гигабайтов информации со взломанных серверов российского МИД. Мы также взломали сервера Донецкой Народной Республики, с которых получили большое количество секретной информации сепаратистов», — говорит он.
Докукин демонстрирует документы, которые, по его мнению, свидетельствуют о том, что депутаты Донецкой Народной Республики получают большое вознаграждение. У него также есть большой список личных данных сепаратистов с фотографиями и адресами.
Хакер считает, что каждый, даже маленькая интернет-атака — палка в колеса повстанцев, поддерживаемых Россией.
«Восстановление доступа к услуге стоит денег. США и ЕС продлевают санкции раз в год, но я продлеваю санкции каждый день».
Приходится еще раз спрашивать, действительно ли Докукин не боится за свою жизнь после всего того, что он сделал, и после угроз, которые он получил.
«Если бы они хотели меня убить, они бы уже сделали это еще два года назад. Это происходит не так легко, как в России, где Путин может подослать киллера к представителю оппозиции, и никто не будет изучать этот вопрос».
Группа Докукина, бесспорно, делает все, чтобы помешать деятельности России и сепаратистов. Он, тем не менее, подтверждает, что у стороны противника, то есть у российских интернет-шпионов, очень большое количество ресурсов.
Он, например, абсолютно уверен, что хакеры, выступающие на стороне противника, получают прямую поддержку от России, и Россия причастна к кибератаке, которая привела к прекращению работы части электросети Украины.
«Ни у кого другого таких ресурсов нет», — обосновывает он.
Слушая Докунина, важно помнить, что он, несмотря на то, что является специалистом, тоже человек, который причастен к конфликту. Он — политически мотивированный хакер-активист, или хактивист. Поэтому спрашивать оценку нужно у других, то есть у специалистов по вопросам информационной безопасности, изучающих кибератаки.
У хакеров на стороне противника больше сил
Хактивисты, конечно, есть и на стороне противника. Одна из важнейших группировок — «КиберБекрут». Она выступает против нынешнего правительства Украины и поддерживает присоединение Восточной Украины к России. Для них люди, подобные Докукину, — враги.
На своей интернет-странице и в своих сообщениях группа также говорит, что борется с «западными захватчиками» и с НАТО. В своей пропаганде она подчеркивает, что нынешнее правительство Украины притесняет людей Восточной Украины, и демонстрирует на своих видео гражданских, ставших жертвами нападений украинской армии.
Свое имя группа получила по названию бывшего спецподразделения МВД Украины «Беркут». Подразделение помнят по жестоким столкновениям на Майдане во время разгона демонстрантов и по стрельбе по демонстрантам в феврале 2014 года.
Пророссийские хакеры «КиберБеркут» гордятся своими атаками и продвигают свою пропаганду, например, на взломанных страницах в социальных сетях.
Когда россиянин Руслан Левиев, входящий в состав группы Bellingcat, изучающей конфликт на Украине, опубликовал историю о раненном на Украине российском солдате, с которым встретился Сергей Шойгу, «КиберБеркут» начал оказывать на него давление. Группа хакеров взломала компьютер Левиева и украла его личные данные.
«Они украли данные моего паспорта, номер телефона, домашний адрес и опубликовали эту информацию. После этого я постоянно получаю угрозы: мы знаем, где ты живешь, мы придем завтра, готовься к своей смерти», — говорит Левиев, который опубликовал и другие данные о присутствии российских войск на Украине.
«Они также украли мои фотографии с моими подругами и опубликовали их, утверждая, что я встречаюсь с несовершеннолетними девочками и насилую их. Самой молодой моей подруге 21 год», — рассказывает Левиев и говорит, что каждый человек в его окружении находится под угрозой.
Группа также взломала страницы группы Bellingcat и оставила на них угрожающее пропагандистское сообщение, в котором очернялся образ Левиева и Bellingcat. В состав группы Bellingcat входят исследователи-добровольцы со всего мира, и она особенно известна за исследования, проведенные по делу сбитого пассажирского самолета на Украине в июле 2014 года.
Самая заметная атака «КиберБеркута» на данный момент — взлом системы подсчета голосов на выборах президента Украины в 2014 году. Специалисты по вопросам информационной безопасности внимательно следили за ходом кибератаки и разместили по теме новую информацию в публикации киберцентра НАТО «Кибервойна в перспективе: Российская агрессия против Украины» (Cyber War in Perspective: Russian Aggression against Ukraine).
В день выборов программа, которая должна была показывать в режиме реального времени информацию о подсчете голосов, не работала в течение 20 часов.
За 12 минут до закрытия избирательных участков хакеры загрузили на страницу Центральной избирательной комиссии фотографию не победившего в действительности кандидата — главы украинского Правого сектора. Фотографию непосредственно показали на российских телеканалах.
В отчете киберцентра НАТО пришли к выводу, что активисты «КиберБеркута» взломали системы подсчета голосов не самостоятельно, а при помощи «финансируемых государством» инструментов и специалистов.
Yle получили и от других источников, занимающихся вопросами информационной безопасности, отчеты о том, что группа действовала в тесном сотрудничестве с выдающимися интернет-шпионами России. Очень похоже на то, что речь идет не только о группе хакеров-добровольцев, а о части более масштабной системы по ведению государственного интернет-шпионажа и гибридной войны.
В целом, по отчетам организаций, занимающихся информационной безопасностью, таких как Symantec, Kaspersky, F-Secure и Trend Micro, можно прийти к выводу о том, что Россия или пророссийские силы господствуют в интернет-пространстве Украины.
Исследователи по вопросам информационной безопасности обнаружили на компьютерах правительства Украины, предприятий, армии и граждан продвинутые вредоносные программы, такие как Black Energy, Turla/Uroburos, Dukes и Sofacy/APT28/Sednit.
Программы являются настолько продвинутыми, что их разработка требует затрат большого количества ресурсов.
Эти программы для интернет-атак нельзя купить на свободном рынке, и ими не пользуются обычные интернет-преступники, которые хотят денег. Поэтому присутствие программы на компьютере представителей армии, правительства или предприятия свидетельствует о том, что объект является жертвой интернет-шпионажа.
Журналисты Yle взяли интервью у исследователей по вопросам информационной безопасности из компании Trend Micro, которые изучили кампании интернет-шпионов, действующих на Украине. Кроме того, журналисты запросили информацию у других специалистов в этой области, часть которых предпочла остаться неизвестными.
Государственный интернет-шпионаж продолжается в течение десятка лет
Очевидно, самая активная кампания по проведению интернет-атак на Украине — группировка Pawn Storm. По отношению к этой кампании также употребляются названия Sofacy, APT 28 и Sednit, по названиям вредоносных программ, используемых интернет-шпионами.
В отличие от «КиберБеркута», группировка Pawn Storm не делает результаты атак общедоступными. Специалисты в сфере вопросов информационной безопасности считают группу частью государственной разведки. Первые интернет-атаки группы были зафиксированы в 2004 году.
Интернет-шпионы взламывают компьютеры правительства, вооруженных сил, предприятий и политиков Украины. За пределами Украины объектами кибератак являются страны НАТО, США и многие страны Европы. В России, в свою очередь, группа следила за противниками правительства Путина, активистами и СМИ. Об атаках сообщалось в отчетах Trend Micro и других организаций по вопросам информационной безопасности.
В последние годы объектами атак стали и другие страны. Когда арабские страны стали критиковать действия России в Сирии в прошлом году, интернет-шпионы совершали атаки на страны, выступающие с критикой, и на компьютеры политиков сирийской оппозиции, находящихся в изгнании. В прошлом году группа совершила атаку на парламент Германии, а этой весной жертвами стали турецкие СМИ.
Последняя атака была совершена в апреле: объектом интернет-шпионов стала партия Христианско-демократического союза Германии, которую возглавляет федеральный канцлер Германии Ангела Меркель.
В мае служба разведки Германии подтвердила новостному агентству Reuters, что Sofacy/Pawn Storm год назад совершили атаку на парламент Германии. Служба разведки обвинила в атаке Россию.
Шпионаж за российскими инакомыслящими активно продолжался этой весной, сообщает Фейке Хакеборд (Feike Hacquebord), старший исследователь по вопросам информационной безопасности, специализирующийся на кампаниям по кибератакам. Он не разрешает публиковать свою фотографию, но рассказывает в интервью Yle о многочисленных анализах, которые он провел.
«Очевидно, что Pawn Storm выбирает объекты, которые могут представлять угрозу политике и интересам России. Исследователи располагают большими ресурсами, и у них есть много объектов нападения», — говорит он.
Бывший премьер-министр России — объект слежки
Хакеборд говорит, что в большинстве случаев взламываются почтовые адреса жертв и, к тому же, обеспечивается и дальнейшее получение почты шпионами.
Выглядит очевидным, что именно группы, подобные Pawn Storm, играют важную роль в гибридной войне России: шпионы получают информацию, которая может пригодиться в политике страны.
Hacquebord говорит, что Trend Micro также изучил и то, может ли за Pawn Storm стоять не Россия, а какая-нибудь другая сила. Являются ли объектами атак не только противники России?
«Мы заметили, что, например, военный атташе России в НАТО был объектом атаки, а также СМИ, поддерживающие линию правительства Путина. Даже известный бывший премьер-министр был объектом слежки, а также один депутат Думы, не являющийся противником Путина. Эти находки, тем не менее, не свидетельствуют о других заказчиках, кроме России, а помогают составить картину внутренних кампаний по слежке в России.
Историческая кибератака прервала работу электросети
После продолжительной интернет-слежки Россия, похоже, зашла в своих кибератаках дальше, то есть дошла до атак, приносящих физический урон и вред гражданскому населению. Первая атака произошла в конце 2015 года.
В канун Рождества ответственные за работу электросети в Ивано-Франковске на западе Украины были поражены. Они не могли больше контролировать работу электросети со своих компьютеров.
Они видели на своих мониторах, что кто-то со стороны перемещал курсор, а затем профессионально отключил электричество. Программа Ghost Mouse была лишь одним из многочисленных инструментов взломщиков.
Подготовка атаки началась, по крайней мере, за несколько месяцев, когда были получены пароли. После этого хакеры смогли взломать системы, при помощи которых осуществляется управление электросетью.
Способности хакеров были исключительными. Кроме того, что они смогли взломать многоступенчатые информационные системы, они знали, как управлять электросетью. Электричество у 225 тысяч человек не отключить нажатием одной кнопки, и они точно знали, что делать.
Измученные отсутствием электричества, граждане пытались сообщить о сбое, но звонки не проходили. Проведенная хакерами DoS-атака — на практике, искусственно созданная перегрузка телефонной сети — помешала сетевым компаниям увидеть масштабы проблемы. Прошло несколько часов, прежде чем работники электросети смогли вернуть электричество.
Информационные системы, тем не менее, не работали, потому что программа KillDisk, перезаписывающая все данные на жестком диске, повредила программное обеспечение. Первая в мире кибератака, направленная на гражданское население, удалась.
В мировых масштабах об атаке сообщили в январе. Началась активная работа по выяснению того, кто совершил атаку и почему. Весной журналисты Yle брали интервью у специалистов, изучавших атаку для выяснения того, что стояло за произошедшим.
Вредоносная программа сделана в России
Американские специалисты по вопросам информационной безопасности сообщают, что изощренность и мотив атаки говорят о том, что за ней стоит хорошо организованная группа с большими ресурсами. Кроме того, исследователи выяснили, какую технику для совершения атаки, и какую вредоносную программу использовали хакеры.
Важную роль во взломе играла вредоносная программа BlackEnergy3 и ее дополнительный компонент KillDisk, уничтожающий жесткий диск. Кроме того, они входят в арсенал известных российских интернет-шпионов.
Старший исследователь японского предприятия, занимающегося вопросами информационной безопасности, Кайл Уилхойт (Kyle Wilhoiti), говорит, что невозможно заявить с полной уверенностью о том, кто стоит за атакой, но многие детали указывают на Россию.
«На основании поведения хакеров, использования программы BlackEnergy и объектов атаки, хакеры в этом случае были из России. На самом деле, код BlackEnergy, разрабатываемый годами, начали составлять в России», — говорит он.
Уилхойт много лет изучал кибератаки, совершенные именно на системы управления промышленных предприятий. Он считает, что при помощи этой же вредоносной программы была нарушена работа железных дорог и горнодобывающей промышленности. Кроме того, госструктура Украины Cert. ua, ответственная за кибербезопасность государства, сообщила, что подобные вредоносные программы были найдены в компьютерах Киевского аэропорта.
В этих случаях взломы не зашли дальше шпионажа. Хакеры не смогли или не захотели причинить физический урон. Отсутствие электричества в течение часа — довольно слабый результат для очень дорогостоящей кибератаки, к которой было привлечено много специалистов высокого уровня.
Уилхойт, тем не менее, относится к этой кибератаке очень серьезно. Он считает, что речь может идти о подготовке атак на критически важные объекты.
«Хакеры могли взять под контроль объекты критической инфраструктуры страны. Они могли остановить железнодорожное сообщение, остановить работу в шахтах и работу аэропортов», — говорит он.
Прекращение работы электричества на час — слабый результат для дорогостоящей кибератаки. Почему тогда Россия пошла на это?
Хакеры необязательно преследовали цель причинить максимально большой физический урон. Вполне возможно, что дорогостоящая и сложная атака была просто произведена в рамках военной исследовательской работы.
Так же, как Россия протестировала новое оружие в Сирии, она сейчас сделала пробный запуск кибероружия на Украине.
Хакер Евгений Докукин, проворачивающий свои трюки на Украине, считает, что подобные атаки не повторятся еще долго.
«Я считаю, что атаки будут, но не такие сложные. Скорее обычные DoS-атаки и взлом данных. И, конечно, российская пропаганда, информационная война. Это дешевле, чем кибервойна».
В России и США уже давно обсуждают возможность совершения подобных атак; например, рисуются ужасающие картины взлома систем распределения электроэнергии и воды.
Тем не менее, сдерживающий эффект остается неполным, поскольку государства не используют все свои возможности, и кибероружие нельзя показать на параде на Красной площади.
Теперь, когда западные исследователи подтвердили, что атака была проведена весьма искусно, Россия продемонстрировала, чего при желании она может достичь, участвуя в кибервойне. Бойся нас.