Кибервойна. Как Украина и Россия воюют в интернете

Недавно министр обороны России Сергей Шойгу сообщил о том, что было создано специальное подразделение информационных войск. В том, что эти войска существовали уже до заявления Шойгу, успел убедиться целый мир: российские хакеры будто бы объявили войну всем и каждому. От докладов ФБР до заявлений Германии —  всё указывает на вмешательство российских провокаторов.

“Мы можем смело утверждать, что все так называемые “шалтаи-болтаи” (якобы независимая хакерская организация из России, - ред) это подразделения, которые финансируются, курируются администрацией президента России. У них нет независимых групп”, - рассказал Еспресо.TV Михаил Макарук, пресс-секретарь информационно-аналитической организации InformNapalm, которая постоянно публикует полученную хакерами информацию.

Украинский ответ Кремлю

В украинских реалиях было создано волонтерское движение “Украинский киберальянс”. По сути это хакеры, объединенные общей национальной идеей. В этот альянс входят такие команды как: “Falcons Fame”,  “Trinity”, “ruh8” и “Киберхунта”.

И хотя обычно хакеров приравнивают к преступникам, участники движения считают, что действуют в рамках статьи 17 Конституции Украины: каждый военнообязанный человек должен соблюдать информационную безопасность Украины.

“Они не действуют против украинских граждан, а действуют против реального врага - администрации РФ и всех силовых ведомственных структур, а также против террористических организаций в информационном поле”, - рассказывает Макарук для Еспресо.TV.

По сути, это обыкновенные граждане, которые вносят свой вклад в рамках информационной войны. Они никак не сопоставляют себя с нынешней властью. Информация передаётся через частные каналы в СБУ и Минобороны.

На счету сообщества множество успешных операций, включая получение личной переписки помощника президента России, Владислава Суркова. Про инструменты, которые используют хакеры, они умалчивают. Добыча этой информации началась еще в 2014 году. Тогда все ежедневно собиралось по крупинке, прятались следы утечки информации, и вот только сейчас есть возможность представить это широкой публике.

Пока что было представлено лишь 5 процентов всей полученной информации. По словам Макарука, удалось получить около 14 терабайт информации.

Как российские хакеры свет отключали

Однако российские кибервоины также не сидят на месте. По заявлению президента Петра Порошенко, в ноябре и декабре 2016 года Украина подвергалась кибератакам 6500 раз. Помимо информационной пропаганды и кражи важной информации, российские кибервойска добрались и до электрики столицы Украины.

17 декабря 2016 года в Киеве ненадолго отключился свет. После проведенного расследования предприятие “Укрэнерго” заявило, что эта атака связана с другими: взломом железнодорожной системы, Министерства финансов и Пенсионного фонда.

Это не первое вмешательство в энергосистемы Украины. В декабре 2015 года без света ненадолго осталось 230 000 киевлян. Специалисты по кибербезопасности из Information Systems Securit Partners (ISSP), которые проводили расследования для “Укрэнерго”  связывают эти два взлома.

Последствия атак удалось легко устранить. Марина Кротофил, эксперт Honeywell Industrial Cyber Security Lab в интервью для Motherboard высказала предположение, что эти атаки проводились лишь с целью демонстрации своих возможностей. Украина превратилась в тестовый полигон для российских хакеров.

Михаил Макарук считает, что это были показательные выступления от российских хакерских сообществ в связи с последними сливами писем Суркова.

“Сейчас мы публикуем дампы (содержимое рабочей памяти информационной области, например почты) помощников российского депутата Затулина, и реакция в российских кругах была незамедлительной. Компания, которая занималась кибербезопасностью при ФСБ, напрямую связанная с компанией Касперского, была уволена, а некоторые даже посажены”, - поясняет Макарук.

Таким образом существует предположение, что в российском “департаменте хакеров” и информационной безопасности произошла смена кадров, и начались новые тестирования сотрудников.

BugDrop

BugDrop — еще одна кибератака, произошедшая в Украине в феврале. До сих пор неизвестны инициаторы этого взлома. Кибератаку удалось обнаружить международной компания в сфере безопасности CyberX, которая на своем сайте опубликовала официальное расследование происшедшего.

При помощи фишинговых писем, разным пользователям было разослано вредоносное программное обеспечение, которое делало снимки экрана компьютера, записывало аудио с микрофона и отсылало всю эту информацию на облачные сервисы, например DropBox. Такие известные сервисы обычно не блокируются операционными системами.  

Владельцами инфицированных компьютеров чаще всего оказывались разработчики программного обеспечения для удаленного мониторинга нефте- и газопроводов, организаторы по борьбе за права человека, научно-исследовательские институты и некоторые журналисты газетных изданий.

Было похищено более 600 гигабайт информации у 70 разных компаний.

Фишинговые письма

Пока что очень сложно установить вредоносное программное обеспечение на компьютер без разрешения пользователя, поэтому многие хакеры стараются замаскировать свои программы под привычные и безопасные программы. Например, очень часто используется интерфейс программы Microsoft Office.

Технология фишинга такая: на почту приходит письмо, к которому прикреплен якобы текстовый документ Word. Открывая его, жертва видит привычный дизайн окна загрузки документа, в котором незамедлительно выскакивает сообщение.

Текст сообщения чаще всего такой: “Внимание! Файл создан в более новой версии программы Микрософт Office. Необходимо включить Макросы для корректного отображения содержимого документа”.

После этого сообщения пользователь, как правило, соглашается на “включение” макросов, так и происходит установка вредоносного программного обеспечения.

Так выглядит вредоносное ПО, маскирующееся по Microsoft Office

Именно так была реализована операция BugDrop. Однако, это не единственный метод фишинга. Иногда злоумышленники присылают ссылки с якобы срочной информацией.

Переходя по ней, жертва попадает, например, на почтовый сервис Google, который предлагает для продолжения загрузки, вновь заполнить данные логина и пароля. Если бы пользователь был более внимателен, он бы заметил, что ссылка в адресной строке отличается, и логин и пароль требует не почтовый сервис Google, а какой-то другой сайт. Именно так произошел взлом почтового ящика демократической партии США.

Чем так плохи Касперский, Вконтакте и Яндекс

Другим методом получения информации для хакеров, является сбор баз данных различных компаний.  Чтобы обезопасить собственное информационное поле от кибератак следует помнить, что государственные органы Российской Федерации имеют прямой доступ к любым шифрованным или незашифрованным базам данных компании, расположенных на территории России.

Так называемый “пакет Яровой”, который был принят летом 2016 года, официально разрешил доступ к любым интересующим правительство базам данных российских компаний. А так же сделал возможным арест граждан за действия информационно-террористического характера, к коим причисляются публикации постов в Facebook и Вконтакте.

Таким образом, регистрируясь в любом из российских сервисов, пользователь автоматически предоставляет всю информацию российским правоохранительным органам. Этих данных иногда бывает достаточно, чтобы узнать информацию (логин и пароль), от других сайтов.

Если этот пользователь является высокопоставленным лицом, то рискует стать жертвой кибератаки, вплоть до скрытой установки вредоносного программного обеспечения.

“Я сторонник блокировки всех российских сервисов как новостных, так и развлекательных. Это ненормально, когда наши чиновники сидят на почтовых сервисах таких как mail.ru и Яндекс. Например, в Вконтакте все сохраняется. Зачем, мне нужно, чтобы дяди из Москвы читали мою личную переписку”, - говорит Макарук.