Кіберскладник російсько-української війни: уроки та оцінки міжнародної спільноти

Поділитися:

Кіберскладник російсько-української війни перебуває у фокусі особливої уваги урядів, військових та спеціальних відомств, міжнародних організацій, експертних груп тощо. Від початку конфлікту сприйняття цієї активності поступово еволюціонувало. У перші тижні після вторгнення (попри низку серйозних атак на об’єкти критичної інфраструктури в різних країнах світу) аналітики відзначали очевидну відсутність масованої кампанії, на яку очікували. Коли 8 квітня з’явилися повідомлення про АРТ-атаку[1] хакерської групи Sandworm (UAC-0082) з використанням Industroyer2 та програм-вайперів (wiper)[2] для виведення з ладу автоматизованих систем управління (АСУ) енергетичних систем України, експерти почали впевненіше заявляти, що у світі почалася кібервійна[3]. Таке саме визначення з’явилося й на сторінках світових ЗМІ[4].

Водночас і уряди, і експертні кола, очевидно, очікували від РФ усе-таки інтенсивніших і масштабніших дій у кіберпросторі. Про це, зокрема, може свідчити заява Президента США від 21 березня[5]. Деякі аналітики припустили, що в березні – травні в цілому спрацювали українські та західні стратегії стримування. Росія ж розглядає серйозніші кіберудари по країнах НАТО тільки як можливу резервну тактику в разі, коли ситуація загостриться до фази «екзистенційного конфлікту»[6].

Офіційні заяви (без слова «кібервійна») іноземних держав з’явилися в травні 2022 р. на конференції CYBERUK 2022 в Ньюпорті (Сполучне Королівство, Південний Вельс). Стосувалися вони переважно «зловмисної кіберактивності Російської Федерації проти України, спрямованої на супутникову мережу KA-SAT (належить Viasat), яка «сталася за годину до … вторгнення Росії в Україну 24 лютого 2022 року»[7]. Це саме оголосили представники Ради ЄС, США, Великої Британії, Канади, Австралії та Нової Зеландії[8] (останні п’ять держав становлять розвідувальний альянс Five Eyes[9]).

Перед тим, у квітні 2022 р., кібербезпекові служби цих самих держав оприлюднили спільну доповідь «Російські державні та кримінальні загрози критичній інфраструктурі» (Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure)[10], де подали актуальні дані щодо номенклатури, походження/приналежності, джерел фінансування, ресурсів/можливостей, історії та напрямків діяльності спонсорованих російською державою та злочинних кібергруп, а також стосовно загроз, які вони можуть становити для об’єктів критичної інфраструктури (КІ). Також запропоновано деталізовані рекомендації щодо реагування на ці загрози.

Інший документ з оцінками ситуації з кіберскладником «Спеціальний звіт: Україна. Огляд кібератак Росії в Україні» (Special Report: Ukraine. An Overview of Russia's Cyberattack Activity in Ukraine)[11] підготовлено за координаційної ролі компанії Microsoft спільно з українськими представниками й оприлюднено 27 квітня. Автори звіту оцінюють масштаби та глибину російських кібервоєнних дій проти України від початку вторгнення, надають номенклатуру використаного супротивником шкідливого ПЗ, потижневу хроніку кібератак, а також аналіз кореляції між конвенціональними (kinetic) і кібернетичними воєнними діями (вона є скоріше низькою). Надано рекомендації із забезпечення кібербезпеки в конкретних умовах війни. Один з важливих висновків звіту полягає в тому, що загроза різкої ескалації російських кібератак на українські активи є високою.

Ще одне джерело оцінок ситуації – матеріали групи Accenture. З 14 лютого її команди з кіберрозвідки (Accenture’s Cyber Threat Intelligence – ACTI) та з кібернетичної криміналістики й реагування (Cyber Investigation & Forensics Response) готують та публікують щотижневі інформативні хронологічні звіти про розвиток ситуації в кіберпросторі[12].

За оцінкою ACTI, на початок червня кремлівські та проросійські кіберзлочинні групи, імовірно, активно готуються до розв’язання чергової кампанії проти України та її союзників: адаптують свої плани та можливості до змін у ландшафті конфлікту й розраховують на можливе інтелектуально-психологічне та ресурсне «вигорання» спільноти своїх опонентів. У такому разі, на думку експертів ACTI, поновлення кібератак може бути прив’язане до:

  • моментів прийняття етапних рішень (вибори, обговорення санкцій, судові справи або рішення, пов’язані з членством у НАТО, і т. ін.);
  • важливих запланованих подій та заходів, з яких міжнародна спільнота виключила РФ, наприклад, спортивних змагань;
  • символічних дат (зокрема Дня Росії, 22 червня тощо);
  • прогресу альтернативної енергетики або інших галузей, розвиток яких може зменшити дохід Росії від експорту викопного палива.

До того ж (принаймні за збереження поточних стратегічних векторів зовнішньої політики РФ) системна й масштабна кіберзлочинна діяльність афілійованих з Росією хакерських груп з високою ймовірністю триватиме як складник холодної війни навіть «якщо/коли» закінчиться теперішня гаряча фаза[13].

До оцінок кіберпротистояння долучається й наукова спільнота. Професор Скотт Дж. Шекелфорд (Scott J. Shackelford) у травневій статті «Вплив війни в Україні на перспективи кібермиру» (The Impact Of The War In Ukraine On The Prospects For Cyber Peace), зокрема, зазначає: «урок війни полягає в тому, що давно перевірених стандартів та стратегій кібербезпеки» виявилося недостатньо для «стримування амбіцій Владіміра Путіна», який розв’язав кібервійну паралельно з конвенціональною, а також для повноцінного захисту України та її союзників від кібератак[14]. Автор уважає це очікуваним і наголошує, що «кібермир, як і всі форми миру, є не налаштуванням за замовчуванням, а перманентним процесом», базованим на принципах уважності, обачності та управління ризиками[15]. У наші дні його оптимальну (бажану) архітектуру можна визначити як поліцентричну систему, яка: (1) поважає права і свободи людини; (2) поширює доступ до інтернету «в пакеті» з найактуальнішими методами кібербезпеки; (3) зміцнює механізми управління, сприяючи залученню й співробітництву багатьох зацікавлених стейкхолдерів, і (4) сприяє стабільності та, відповідно, сталому розвитку. Далі треба прагнути саме такої моделі[16].

Перші наслідки та уроки російсько-української війни обговорювали 10 – 11 травня на вже згаданій конференції CYBERUK 2022 в Ньюпорті – головному щорічному заході з проблем кібербезпеки під егідою уряду Великої Британії[17]. Модераторами дискусії були: генеральний директор Національного центру кібербезпеки Сполученого Королівства (NCSC) Л. Кемерон і директор Агентства національної безпеки США (NSA) Р. Джойс. Також у заході взяли участь голова Австралійського центру кібербезпеки Е. Бредшоу та виконавчий директор Агентства кібербезпеки ЄС Ю. Лепассаар. Учасники обговорень висловили такі основні тези[18].

  • Зафіксовано значне зниження кількості атак програм-вимагачів (ransomware) – імовірно, унаслідок накладених на РФ санкцій, які сповільнюють та зменшують грошовий обіг. Водночас із незрозумілих причин різко збільшилася кількість «вразливостей нульового дня» (zero-day vulnerabilities) (Р. Джойс).
  • Доречними та своєчасними в умовах війни виявилися нещодавні ініціативи керівництва США, а саме: Указ Президента США щодо вдосконалення кібербезпеки нації (Executive Order on Improving the Nation’s Cybersecurity)[19] і прийнятий Конгресом США Закон про звітування про кіберінциденти для [організацій] критичної інфраструктури (Cyber Incident Reporting for Critical Infrastructure Act of 2021)[20]. Підходи до кібербезпеки, закладені в цих актах, у майбутньому «матимуть великий вплив» (Е. Бредшоу).
  • Наразі «побічні ефекти» від кібератак, пов’язаних з війною, є не настільки значними проти очікуваного (Ю. Лепассаар).
  • Водночас несподівано високим виявився «рівень, масштаб та вплив хактивізму», причому в обох напрямах – антивоєнному/проукраїнському (кампанії Anonymous) і прокремлівському (діяльність груп, що підтримують російські кампанії дезінформації). Це прояв «громадянського самосуду» (civil vigilantism), який є «надзвичайно непередбачуваним» і, зокрема, здатен «порушити ті глобальні норми, які ми так цінуємо». Ця тенденція спричиняє «занепокоєння» (Ю. Лепассаар, Е. Бредшоу).
  • «Українська держава виявила значну стійкість у збереженні комунікативної відкритості». Приклад – здатність проводити пресконференції в обложених містах. З іншого боку, за допомогою партнерів українці також будують «розподілені кіберсистеми, які важко знищити та атакувати», що «є уроком для всіх нас» (Ю. Лепассаар).
  • Україна продемонструвала «приголомшливу кіберстійкість» під час цього конфлікту. Можна говорити про щонайменше вісім унікальних різновидів програм-вайперів (wiper), за допомогою яких було атаковано активи України, але українці «успішно відреагували, утримали та перебудували свої системи»: на тлі безперервних російських кібератак від 2014 р. «вони змогли навчитися й нині розуміють, як реагувати на інциденти». Окрім того, надійний кіберзахист українців увиразнив важливість партнерства між державою та промисловістю в цьому просторі (Р. Джойс, Л. Кемерон).
  • Усі учасники дискусії відзначили: спричинені війною кіберзагрози значно збільшили зацікавленість керівників бізнесу, національних урядів та деяких політиків кардинально зміцнити кібербезпеку, а також посилили їхню готовність до стратегічних кроків у цьому напрямі.
  • Констатовано, що нині провідним державам-націям доведеться робити те, що вони мали зробити ще 10 – 20 років тому для належного розвитку й «забезпечення ресурсами ІТ та збройних систем, які в наш час, власне, і є комп’ютерами» (Р. Джойс).

 

Отримуйте якісну та актуальну аналітику від НІСД у зручному для вас форматі:

- читайте нас у Telegram 
- слухайте на Google Podcast 
- дивіться на YouTube

Фото: НІСД

[1] Стала загроза підвищеної складності (advanced persistent threat – APT) – різновид кібератак високого класу складності та ефективності з метою отримати несанкціонований доступ до інформаційних систем жертви та встановлення прихованого доступу до неї з метою використати або контролювати в майбутньому. Більше див.: URL: https://csrc.nist.gov/glossary/term/advanced_persistent_threat

[2] Wiper (букв. – склоочисник, від wipe – протирати) – клас шкідливого ПЗ, призначеного знищити дані на жорсткому диску інфікованого ним комп’ютера.

[3] Див.: URL: https://www.ukrinform.ua/rubric-technology/3455370-v-ukraini-zapobigli-masstabnij-kiberataci-na-elektricni-pidstancii.html; https://acn-marketing-blog.accenture.com/wp-content/uploads/2022/06/Global-incident-report-Russia-Ukraine-Crisis-June-10-Accenture.pdf

[4] Див.: URL: https://www.reuters.com/world/europe/factbox-the-cyber-war-between-ukraine-russia-2022-05-10/; https://www.chathamhouse.org/2022/05/war-ukraine-disinformation-and-cyber-war; https://www.theguardian.com/world/2022/apr/01/russia-ukraine-cyberwar

[5] Див.: URL: Statement by President Biden on our Nation’s Cybersecurity | The White House

[6] Див.: URL: https://www.nytimes.com/2022/05/03/world/europe/russia-ukraine-war-nato.html

[7] Див.: URL: https://www.consilium.europa.eu/en/press/press-releases/2022/05/10/russian-cyber-operations-against-ukraine-declaration-by-the-high-representative-on-behalf-of-the-european-union/; https://www.gov.uk/government/news/russia-behind-cyber-attack-with-europe-wide-impact-an-hour-before-ukraine-invasion; https://www.state.gov/attribution-of-russias-malicious-cyber-activity-against-ukraine/

[8] Див.: URL: https://www.cyberscoop.com/viasat-hack-russia-uk-eu-us-ukraine/

[9] Див.: URL: https://www.wikiwand.com/uk/Five_Eyes; https://www.fiveeyesconnect.com/

[10] Див.: URL: https://www.cisa.gov/uscert/ncas/alerts/aa22-110a

[11] Див.: URL: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd

[12] Див.: URL: https://www.accenture.com/us-en/blogs/cyber-defense/ukraine-russia-2022

[13] Див.: URL: https://acn-marketing-blog.accenture.com/wp-content/uploads/2022/06/Global-incident-report-Russia-Ukraine-Crisis-June-10-Accenture.pdf P.4.

[14] Див.: URL: http://www.cambridgeblog.org/2022/05/the-impact-of-the-war-in-ukraine-o…

[15] Там само.

[16] Там само.

[17] Див.: URL: https://www.cyberuk.uk/website/7174/

[18] Див.: URL: https://www.infosecurity-magazine.com/news/cyber-trends-russia-ukraine-…

[19] Див.: URL: https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/1…

[20] Див.: URL: https://www.congress.gov/bill/117th-congress/house-bill/5440

Експертна аналітика в форматі pdf: