Російсько-українська кібервійна

Матеріал з Разом
Перейти до навігації Перейти до пошуку

Шаблон:Поточні події

Шаблон:Російська збройна агресія проти України Шаблон:Не плутати Російсько-українська кібервійна — складова протистояння між Росією та Україною, яке в 2014 році переросло у відкрите збройне протистояння — російсько-українську війну (Треті визвольні змагання).

Перші атаки на інформаційні системи приватних підприємств та державні установи України фіксували під час масових протестів в 2013 році[1].

Російсько-українська кібервійна стала першим конфліктом в кіберпросторі, коли була здійснена успішна атака на енергосистему з виведенням її з ладу[2]Шаблон:Перехід. На думку Адміністрації Президента США хакерська атаки на Україну з боку Росії в червні 2017 року із використанням вірусу NotPetya стала найбільшою відомою хакерською атакою[3].

У лютому 2014 року розпочалась російська збройна агресія проти України, яка велась також і в кіберпросторі. Майбутній директор американського Агентства національної безпеки Майкл Роджерс з цього приводу зазначав, що разом з військовою операцією із захоплення Криму, Росія розпочала проти України кібервійну[4]. Кібервійною називають російські атаки і українські експерти[5].

Огляд

Початок конфлікту

Кіберзагрози Українській державі та суспільству умовно можна розділити на два ключових рівні. Перший — «класичні» кіберзлочини — як абсолютно оригінальні, так і вже звичайні, для своєї реалізації вони потребують лише сучасних інформаційних технологій[6].

Другий — злочини, характерні для геополітичної боротьби (або такі злочини на місцевому рівні, які мають потенціал вплинути на політичне становище держави): хактивізм, кібершпигунство та кібердиверсії. Водночас техніки здійснення атак в обох випадках демонструють чимало спільного. Наприклад, фішингові техніки можуть бути використані як для заволодіння коштами громадян, так і з метою кібершпигунства[6].

Першим масованим випадком хактивізму, з яким зіткнулася Україна, були події довкола закриття файлообмінного сервісу ex.ua. Після спроб правоохоронних органів втрутитися в роботу файлообмінного сервісу було здійснено DDoS-атаки на понад 10 інтернет-сайтів органів державної влади, зокрема на сайт Президента України та сайт Міністерства внутрішніх справ України. Події довкола ex.ua вперше наочно продемонстрували, наскільки Українська держава не готова ані ідеологічно, ані технічно до подібних атак. Саме відсутність прямих економічних збитків стала причиною того, що реальних висновків тих подій так і не було зроблено, а країна виявилась непідготовленою до ефективного протистояння агресії Російської Федерації в кібернетичній сфері[6].

Наступна хвиля хактивізму сталась на тлі політичного протистояння в жовтні 2013 року — лютому 2014 року (події Революції гідності). Це протистояння активно відбувалось в соціальних мережах, де спостерігався значний сплеск зацікавленості проблемою. З першого дня Євромайдану невідомі особи почали масово використовувати нетботи з метою засмічення інформаційного поля, введення людей в оману та поширення чуток. Наприклад, у Twitter, де можна відслідковувати всі події за хештегом #євромайдан, десятки нетботів вкидали різноманітне інфосміття[6].

Також були використані механізми ускладнення традиційних комунікацій, зокрема мобільного зв'язку (через автоматичні дзвінки на телефони окремих активістів чи політиків, що унеможливило використання їхніх мобільних телефонів у роботі)[6].

Після початку збройної агресії Російської Федерації проти України, компанії, що спеціалізувалися на наданні послуг кібербезпеки, стали реєструвати зростання кількості кібератак на інформаційні системи в країні. Зазвичай, кібератаки були націлені на приховане викрадення важливої інформації, ймовірніше для надання Росії стратегічної переваги на полі бою. Жертвами російських кібератак ставали урядові установи України, країн ЄС, Сполучених Штатів, оборонні відомства, міжнародні та регіональні оборонні та політичні організації, аналітичні центри, засоби масової інформації, дисиденти[7].

З початком російсько-української війни стали з'являтись загони антиукраїнських хактивістів, які йменують себе «Кіберберкутом» та проукраїнська «Кіберсотня Майдану», «Анонімусами» з російською або українською «пропискою» тощо[6]. Попри складності у визначенні ступеню співпраці хакерських угрупувань з державними органами, спираючись на зібрані докази можна стверджувати, що проросійські хакерські угрупування перебувають на території Росії, і що їхня діяльність відбувається на користь кремлівського режиму[7].

Можна стверджувати, що з початку Російсько-української війни в середовищі дослідників кібербезпеки поліпшились можливості виявлення, відстеження, та захисту від угрупувань російських хакерів. Серед можливих пояснень можна навести те, що із загостренням протистояння, російським хакерам бракує часу на вчасне оновлення та вдосконалення тактики, технологій, та методів діяльності[7].

Дослідники компанії FireEye виокремили два угрупування російських хакерів, які активно проявили себе в Російсько-українській кібервійні: так звана APT29 (також відома як Cozy Bear, Cozy Duke) та APT28 (також відома як Sofacy Group, Tsar Team, Pawn Storm, Fancy Bear)[7].

В період між 2013 та 2014 роками деякі інформаційні системи урядових установ України були вражені комп'ютерним вірусом, відомим як Snake/Uroborus/Turla. Даний різновид шкідливого програмного забезпечення надзвичайно складний, стійкий до контрзаходів, та ймовірно створений в 2005 році[7]Шаблон:Перехід.

Починаючи з 2013 року розпочалась «операція Армагедон» — російська кампанія систематичного кібершпигунства за інформаційними системами урядових установ, правоохоронних та оборонних структур. Здобута в такий спосіб інформація ймовірно могла сприяти Росії й на полі бою[7]. Істотним відхиленням від цього правила стала кібердиверсія — атака на «Прикарпаттяобленерго».

Реформи сектору кібербезпеки України

В травні 2014 року змінами до закону «Про Державну службу спеціального зв'язку та захисту інформації України» був закріплений офіційний статус команди реагування на кіберзагрози в Україні CERT-UA. Раніше команда працювала при держслужбі на громадських засадах. Штат CERT-UA на той час становив 10 чоловік, керівником був Іван Соколов, існували наміри розширити команду[8][9].

Санкції проти російських розробників «антивірусів»

У вересні 2015 року після затвердження Президентом України вступило в силу рішення РНБО від 2 вересня 2015 року «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)». Згідно з рішенням, санкції вводяться строком на один рік і стосуються осіб та компаній причетних до анексії Криму і агресії на Донбасі. До переліку санкційних компаній потрапили і російські розробники антивірусного програмного забезпечення «Доктор Веб» і «Лабораторія Касперського». Даним рішенням державним органам влади було заборонено закуповувати ПЗ цих розробників. Головна причина — створення реальних або потенційних загроз національним інтересам, безпеці, суверенітету і територіальної цілісності, сприяння терористичній діяльності та/або діяльність що призвела до окупації території України[10]. А вже 25 вересня 2015 року Кабінет Міністрів України доручив Державній службі спеціального зв'язку та захисту інформації заборонити придбання, оновлення та використання в органах державної влади програмного забезпечення «Лабораторії Касперського»[11].

Стратегія кібербезпеки України

16 березня 2016 року Президент України Петро Порошенко підписав указ, яким увів в дію рішення Ради національної безпеки і оборони України від 27 січня «Про Стратегію кібербезпеки України». У концепції зазначається: «Економічна, науково-технічна, інформаційна сфера, сфера державного управління, оборонно-промисловий і транспортний комплекси, інфраструктура електронних комунікацій, сектор безпеки і оборони України стають все більш уразливими для розвідувально-підривної діяльності іноземних спецслужб у кіберпросторі. Цьому сприяє широка, подекуди домінуюча, присутність в інформаційній інфраструктурі України організацій, груп, осіб, які прямо чи опосередковано пов'язані з Російською Федерацією»[12].

Національний координаційний центр кібербезпеки

Указом № 242 від 7 червня 2016 року Президент України Петро Порошенко створив Національний координаційний центр кібербезпеки й призначив його керівником секретаря Ради національної безпеки й оборони Олександра Турчинова. На центр покладена відповідальність за аналіз стану кібербезпеки, готовності до протидії кіберзагрозам, фінансового й організаційного забезпечення програм і заходів із забезпечення кібербезпеки, прогнозування й виявлення потенційних і реальних погроз у сфері кібербезпеки, участь в організації й проведення міжнаціональних і міжвідомчих кібернавчань і тренінгів[13][14].

Блокування російських інтернет-сервісів в Україні

Наказом № 133/2017 від 15 травня 2017 року, Президент України Петро Порошенко ввів у дію рішення РНБО України від 28 квітня 2017 року «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)», яким заборонив інтернет-провайдерам надавати послуги з доступу користувачам мережі інтернет до низки російських інформаційних ресурсів та порталів, зокрема, й соціальних мереж ВКонтакте і Одноклассники. Також доступ був обмежений до порталів Mail.ru, Яндекс, російських компаній розробників-антивірусів «Лабораторія Касперського» і «Доктор Веб». Заблоковано доступ до сайту «Кинопоиск»[15][16].

Трастовий фонд НАТО

Трастовий фонд НАТО зі сприяння Україні в розбудові національної спроможності з кібернетичного захисту (далі — ТФ НАТО) започатковано рішенням Саміту НАТО у вересні 2014 року. Альянс визначив Румунію країною-лідером Фонду з боку НАТО. Інтереси української сторони представляє СБ України[17].

Станом на 1 липня 2017 року технічне обладнання та програмне забезпечення, передбачені для поставки в Україну у рамках першого етапу програми Трастового Фонду знаходяться в Україні (на базі СБ України, МЗС України і Держспецзв'язку) та проходять інтеграцію у загальну інфраструктуру Національної системи кібербезпеки відповідно до проєкту. Результатом спільної роботи українських та румунських експертів стало створення в СБУ та Держспецзв'язку Ситуаційних центрів реагування на комп'ютерні загрози. Вони дозволять забезпечити аналіз інцидентів безпеки на об'єктах критичної інфраструктури та застосовувати першочергові заходи протидії[17].

Рішенням Координаційної ради Трастового фонду (липень 2017 року) українською стороною схвалено рішення про подальший напрямок розбудови національної системи кібербезпеки з урахуванням можливостей Трастового фонду, а саме:[17]

  • підвищення технічних можливостей України у сфері кібербезпеки об'єктів критичної інфраструктури шляхом їх оснащення автоматизованими датчиками подій та підключення до національної мережі ситуаційних центрів Держспецзв'язку та СБ України;
  • створення Центрів кібернетичної безпеки у системі Збройних Сил України та Національної поліції з їх подальшим інтегруванням у Національну мережу ситуаційних центрів.

26 січня 2018 року Служба безпеки України відкрила Ситуаційний центр забезпечення кібербезпеки створений на базі Департаменту контррозвідувального захисту інтересів держави в галузі інформаційної безпеки СБУ. Технічне обладнання і програмне забезпечення для роботи Центру було отримане СБУ в 2017 році в рамках виконання першого етапу Угоди про реалізацію трастового фонду Україна-НАТО з питань кібербезпеки[18].

Загрози кібербезпеці та заходи з їх нейтралізації

31 серпня 2017 року Президент Петро Порошенко підписав Указ № 254/2017, яким увів у дію рішення Ради національної безпеки і оборони України від 10 липня 2017 року «Про стан виконання рішення Ради національної безпеки і оборони України від 29 грудня 2016 року „Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації“, введеного в дію Указом Президента України від 13 лютого 2017 року № 32»[19].

Згідно з Указом, Уряд у тримісячний строк має врегулювати питання щодо заборони державним органам та підприємствам державної форми власності закуповувати послуги з доступу до інтернету у операторів телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації[20].

Також Кабінет міністрів має запровадити в рамках розвитку державно-приватного партнерства механізм залучення фізичних і юридичних осіб на умовах аутсорсингу до виконання завдань кіберзахисту державних електронних інформаційних ресурсів[20].

СБУ має підготувати та подати на розгляд парламенту законопроєкт щодо розмежування кримінальної відповідальності за злочини у сфері використання комп'ютерів і комп'ютерних мереж, вчинені щодо державних та інших інформаційних ресурсів, щодо об'єктів критичної інформаційної інфраструктури та інших об'єктів, а також відповідного розмежування підслідності[20].

Держспецзв'язку разом із Нацполіцією мають невідкладно активізувати співпрацю із закордонними партнерами щодо протидії кібератакам на критичну інформаційну інфраструктуру, проведення розслідувань таких кібератак, установлення причин і умов, що сприяли їх вчиненню, а також щодо залучення міжнародної технічної допомоги для забезпечення кіберзахисту державних електронних інформаційних ресурсів, об'єктів критичної інформаційної інфраструктури[20].

Протягом 2017 року, Уряд має забезпечити фінансування видатків на проєктування захищеного центру обробки даних для розміщення державних електронних інформаційних ресурсів; вжити заходів щодо створення Національного центру оперативно-технічного управління мережами телекомунікацій України та забезпечення його функціонування; забезпечити безумовне виконання державними органами законодавства у сфері технічного захисту інформації, а також оперативно реагувати в установленому порядку на виявлені порушення[20].

Також рекомендовано НБУ за участю Держспецзв'язку та СБУ невідкладно вжити заходів, спрямованих на удосконалення кіберзахисту системно важливих банків України[20].

Уряд також повинен опрацювати питання щодо визначення Держспецзвя'зку органом, відповідальним за збереження резервних копій інформації та відомостей державних електронних інформресурсів, а також щодо встановлення порядку передачі, збереження і доступу до цих копій[20].

7 жовтня 2021 року, у рамках опанування кібердоменом збройного протиборства започатковано проєкт створення кібервійськ у системі МО України. Про це, під час брифінгу про стан та перспективи цифрової трансформації, оснащення Збройних Сил високотехнологічним озброєнням та військовою технікою, повідомив заступника Генерального директора — керівника експертної групи планування та впровадження політик Директорату політики цифрової трансформації та інформаційної безпеки у сфері оборони Міністерства оборони України полковник Сергій Галушко[21].

Ситуаційний центр забезпечення кібербезпеки

26 січня 2018 року Служба безпеки України відкрила Ситуаційний центр забезпечення кібербезпеки створений на базі Департаменту контррозвідувального захисту інтересів держави в галузі інформаційної безпеки СБУ. У 2017 році СБУ отримала технічне обладнання і програмне забезпечення для роботи Центру в рамках виконання першого етапу Угоди про реалізацію трастового фонду Україна-НАТО з питань кібербезпеки[18].

Ключовими відділами Центру стануть система виявлення і реагування на кіберінціденти і лабораторія комп'ютерної криміналістики. Вони дозволять попереджати кібератаки, встановлювати їх походження і аналізувати для вдосконалення протидії. За підтримки міжнародної спільноти в Україні буде створено мережу ситуаційних центрів кібербезпеки, базовим з яких стане київський[18].

Важливою особливістю роботи ситуаційного центру буде його відкритість для співробітництва з усіма суб'єктами забезпечення кібербезпеки: установами, організаціями, підприємствами та профільними фахівцями. За словами СБУ центр готовий надавати необхідний захист не тільки об'єктам критичної інфраструктури, державним установам і підприємствам — будь-який представник великого, середнього і навіть малого бізнесу може звернутись в центр за консультаціями і допомогою[18].

Центр НАТО з питань співробітництва в галузі кіберзахисту

16 травня 2023 року, Україна офіційно приєдналася до Центру НАТО з питань співробітництва в галузі кіберзахисту (CCDCOE), — про це повідомила пресслужба МЗС України. "Сьогодні в штаб-квартирі Центру НАТО з питань співробітництва в галузі кіберзахисту в Таллінні офіційно піднято державний прапор України, що знаменує офіційне приєднання України до центру", – йдеться у повідомленні. МЗС подякувало країнам-спонсорам CCDCOE за запрошення України і висловило особливу подяку уряду Естонії за підтримку і допомогу на шляху до CCDCOE НАТО. На сьогодні, CCDCOE – є одним з ключових елементів системи НАТО з розвитку спроможностей у сфері кібернетичної оборони. Керівництво діяльністю Об'єднаного центру передових технологій з кібероборони НАТО здійснює міжнародний Керівний комітет, який формується з представників Центру спонсорства націй. Повсякденне управління центром здійснюють директор полковник Артур Сьюзік і начальник штабу Єнс ван Лаак. В структуру Центру входять юридично-політичний, стратегічний, технічний, освітньо-підготовчий і допоміжний відділи.

Україна подала офіційний запит на приєднання до Центру ще 4 серпня 2021 року. На початку березня 2022 року представники 27 держав-членів НАТО прийняли рішення щодо надання Україні статусу країни-учасниці CCDCOE НАТО[22].

Кібератаки

Операція «Змія»

Дослідники британської фірми BAE Systems Applied Intelligence зафіксували в 2013—2014 роках сплеск виявлених випадків зараження інформаційних систем приватних підприємств та державних установ України комп'ютерним хробакомруткітом), який вони назвали «Змія» (Шаблон:Lang-en). Дослідники з німецької фірми GData назвали цього хробака «уроборос», Шаблон:Lang-en (також Шаблон:Lang-en — гадюка в грецькій міфології, або Шаблон:Lang-en та Шаблон:Lang-en). На думку дослідників обох фірм, цей хробак можливо пов'язаний та був створений на основі хробака Agent.BTZ, який в 2008 році вразив інформаційні системи Центрального Командування ЗС США[1][23][24].

Пік виявлення атак із використанням хробака «уроборос» збігся з розвитком масових протестів. Протягом січня 2014 року було зафіксовано 22 випадки інфікування інформаційних систем, при цьому протягом 2013 року «уроборос» був виявлений не більше 8 разів. В Україні зловмисники із застосуванням «уроборос» отримували повний доступ до вражених систем. На думку британських експертів, є всі підстави вважати, що за «уроборос» стоять спецслужби Російської Федерації[25].

Атака на «Вибори»

Шаблон:Seealso

Файл:Картинка Яроша на сайті ЦВК.jpg
«Картинка Яроша» в репортажі російських пропагандистів

Шаблон:External media

Під час дочасних Президентських виборів в Україні 2014 фахівцями CERT-UA було знешкоджено атаки на автоматизовану систему «Вибори»[26].

21 травня 2014 року зловмисники з угрупування КіберБеркут здійснили успішну кібератаку на інформаційну систему «Вибори» Центральної виборчої комісії України. Їм вдалось вивести з ладу ключові мережеві вузли корпоративної мережі та інші компоненти інформаційної системи ЦВК. Майже 20 годин поспіль програмне забезпечення, яке мало показувати поточні результати підрахунку голосів, не працювало як слід. В день виборів, 25 травня, за 12 хвилин до закриття виборчих дільниць (19:48 EET), зловмисники розмістили «картинку Яроша» на серверах ЦВК[27].

Увечері 25 травня фахівцями CERT-UA було отримано інформацію про те, що на російських телеканалах анонсували новину про нібито виграш Дмитра Яроша на «президентських перегонах». З метою підтвердження цієї інформації на російському ТБ була продемонстровано картинку, яку в мережі вже назвали як «Картинка Яроша». 25 травня, о 20:16:56 було зафіксоване перше звернення до вебсайту ЦВК виключно за IP-адресою внутрішнього вебсервера з вказівкою в GET-запиті повного шляху до картинки «result.jpg» з IP-адреси 195.230.85.129. Ця адреса входить до діапазону IP-адрес телеканалу ОРТ[28].

В результаті атаки «Перший канал» російського телебачення повідомив своїм глядачам про те, що найбільшу кількість голосів виборців в першому турі на виборах президента України набрав лідер «Правого сектора» Дмитро Ярош. Про це йшлося у випуску вечірніх новин, присвяченому позачерговим виборам президента України. Ведуча повідомила, що незважаючи на дані екзит-полів, які свідчать про перемогу Петра Порошенка в першому турі, на сайті ЦВК з'явилася «дивна картинка» (так звана «Картинка Яроша»). За їхньою інформацією, Дмитро Ярош набрав 37,13 % голосів виборців, натомість за фаворита Петра Порошенка проголосувало лише 29,63 %[29].

Рано вранці наступного дня, 26 травня, сервери системи «Вибори», які приймали та обробляли дані про підрахунок голосів, зазнали розподіленої DoS-атаки, та були не доступні в проміжку між 1-3 годинами ранку[30].

Окрім інформаційної системи ЦВК, кібератак зазнали інші організації, які мали дуже віддалений зв'язок до виборів, жертвою міг стати сайт, який містив сторінку зі словом «вибори». Однак, більшість атак проти таких сайтів відрізнялись низьким рівнем технічної реалізації. Натомість, атака проти ЦВК відрізнялась високою складністю та технологічністю. За словами Миколи Коваля, тогочасного голови CERT-UA, атака на інформаційну систему ЦВК стала однією з найскладніших кібератак, які йому тоді довелось розслідувати[27].

І хоча відповідальність за атаки взяло на себе угрупування начебто хактивістів КіберБеркут, Микола Коваль припускає, що велика складність атаки може свідчити про те, що за нею стояли підрозділи іншої держави. Також в мережі ЦВК було виявлене шкідливе програмне забезпечення, яке пов'язують з угрупуванням APT28/Sofacy Group[27].

Опитані американською газетою Christian Science Monitor фахівці з комп'ютерної безпеки назвали атаку на інформаційною систему «Вибори» надзвичайно небезпечною, а також попередженням на майбутнє про вразливість комп'ютерних систем, залучених у виборчий процес[30]. Можливість зриву виборів, або маніпуляція результатами виборів, набула нової ваги під час виборів Президента США 2016 року після успішної кібератаки проти Демократичної партії[31][32].

Атаки на енергетичні компанії України

23 грудня 2015 року сталась перша у світі підтверджена атака, спрямована на виведення з ладу енергосистеми: російським зловмисникам вдалось успішно атакувати комп'ютерні системи управління в диспетчерській «Прикарпаттяобленерго», було вимкнено близько 30 підстанцій, близько 230 тисяч мешканців залишались без світла протягом однієї-шести годин. Атака відбувалась із використанням троянської програми BlackEnergy[2].

Водночас синхронних атак зазнали «Чернівціобленерго» та «Київобленерго», але з меншими наслідками. За інформацією одного з обленерго, підключення зловмисників до його інформаційних мереж відбувалося з підмереж глобальної мережі Internet, що належать провайдерам в Російській Федерації[33].

Загалом кібератака мала комплексний характер та складалась щонайменше з таких складових:[33]

  • попереднє зараження мереж за допомогою підроблених листів електронної пошти з використанням методів соціальної інженерії;
  • захоплення управління АСДУ з виконанням операцій вимикань на підстанціях;
  • виведення з ладу елементів ІТ-інфраструктури (джерела безперебійного живлення, модеми, RTU, комутатори);
  • знищення інформації на серверах та робочих станціях (утилітою KillDisk);
  • атака на телефонні номери кол-центрів, з метою відмови в обслуговуванні знеструмлених абонентів.

Перерва в електропостачанні склала від 1 до 3,5 годин. Загальний недовідпуск — 73 МВт·год (0.015 % від добового обсягу споживання України)[33].

Наступна кібератака сталась вночі з суботи на неділю, 17 на 18 грудня 2016 року: на підстанції «Північна» стався збій в автоматиці управління, через що споживачі північної частини правого берегу Києва та прилеглих районів області залишились без струму. Несправності були усунуті протягом 1 години 15 хвилин. Основною версією стала кібератака — зовнішнє втручання через мережі передачі даних[34]. Оператор підстанції, компанія «Укренерго» спочатку не стала підтверджувати кібератаку, проте залучені до розслідування фахівці з комп'ютерної безпеки підтвердили, що збій стався внаслідок кібератаки. Проміжні результати розслідування були представлені фахівцями Олексієм Ясінським від компанії Information Systems Security Partners (Україна) та Мариною Кротофіл від Honeywell Industrial Cyber Security Lab 10 січня 2017 року на конференції S4 у Флориді, США. Однак, нападники не стали завдавати істотної шкоди, натомість дана атака мала послужити «демонстрацією сили». Як і у попередніх випадках, дана атака була частиною масштабнішої фішингової операції проти державних установ України[35].

Операція «9 травня»

Українські хакери кіберальянсу анонімних груп FalconsFlame та Trinity з 00:00 9 травня 2016 року провели операцію #OpMay9, у рамках якої здійснили не менше 9 успішних зломів сайтів терористичної організації «ДНР», а також російських сайтів агресивної антиукраїнської пропаганди й ресурсів російських приватних військових компаній (ПВК), що діють під протекцією ФСБ РФ в Україні та Сирії.

На зламаних сайтах хакери залишили хештеги #OpMay9 #оп9Травня, а також по 3 коротких відео про Другу світову війну і внесок українського народу в перемогу над нацизмом[36].

Перед тим, 29 квітня 2016 року, ті самі групи хакерів припинили існування популярного сайту російських пропагандистів, який позиціював себе як мережеве інформаційне агентство «Anna News». Альянс хакерських груп Falcons Flame та Trinity записав відеозвернення і розмістив його на сайті після повного знищення інформації (статей, баз даних і бекапів). У відео також був згаданий мем «Львівське метро»[37].

Окрім зламу пропагандистських сайтів, групи хакерів спільно з волонтерами групи InformNapalm змогли знайти докази застосування російськими терористами сучасних засобів РЕБ у війні на сході України, зокрема — Р-330Ж «Житель»[38].

Операція «Прикормка»

У травні 2016 року компанія ESET (з головним офісом в Братиславі) оприлюднила доповідь за результатами проведеного аудиту, в якому викрила компанію кібершпигунства українських хакерів (ймовірно афілійованих зі спецслужбами) за інформаційними системами маріонеткових утворень російських терористів на окупованому сході України. Доповідь була підготовлена вихідцем з Росії, випускником Південно-Уральського державного університету (Челябінськ, Росія) Антоном Черепановим. Автор дослідження виступив з доповіддю на форумі Positive Hack Days, який проходив 17-18 травня в Москві[39].

У третьому кварталі 2015 року спеціалісти ESET виявили раніше невідоме модульне сімейство шкідливих програм — Prikormka. Подальші дослідження показали, що дана загроза почала поширюватися щонайменше з 2008 року. За період активності найбільше шкідливих програм зафіксовано в Україні. Тривалий час Prikormka залишалася непоміченою через відносно низьке співвідношення загроз до 2015 року. Однак у 2015 році кількість цього небезпечного програмного забезпечення суттєво зросла[40].

Основним способом інфікування, який був визначений спеціалістами ESET в ході дослідження, стало поширення фішингових електронних листів з прикріпленими шкідливими файлами або з посиланнями для завантаження небезпечного файлу, розміщеного на віддаленому сервері. Після відкриття замаскованого небезпечного вкладення, Prikormka відображає документ-приманку для обману та відволікання уваги потенційної жертви, яка очікує безпосередньо відкриття документу, не підозрюючи про загрозу. Цей метод спрацьовує у випадках, коли користувачі не є технічно обізнаними та не дотримуються правил безпеки під час роботи за комп'ютером[40].

Зловмисники використовують прийоми соціальної інженерії для переконання жертви відкрити шкідливе вкладення, серед яких використання провокативних та привабливих назв вкладень електронної пошти. Приклади таких назв:[39]

  • Нацгвардейцы со шприцами сделали из донецкого мальчика мишень для ракет.exe
  • Последнее обращение командира бригады 'Призрак' Мозгового Алексея Борисовича к солдатам и офицерам ДНР и ЛНР.scr
  • Места дислокации ВСУ в зоне проведения АТО.scr

Також були виявлені ознаки, що операція «Прикормка» була спрямована і на інформаційні системи «Правого сектора» та інших організацій[39].

Слід зазначити, що антивірус розробки ESET досить поширений серед державних установ України, що може створити для компанії можливості отримувати доступ до інформації в цих системах[39].

Злам «Першого каналу»

Шаблон:Seealso

На початку червня 2016 року волонтери команди Інформнапалм повідомили про успішний злам корпоративного сервера російського «Першого каналу» українським кібер-альянсом хакерів FalconsFlame, Trinity та Рух8. Операція почалася 25 травня, а перші результати з'явилися 5 червня. Внаслідок злому було опубліковано анкетні дані всіх співробітників «Першого каналу». Крім цього, з'явилась можливість зламати особисті поштові скриньки і хмарні сховища співробітників[41].

Першим російським пропагандистом, інформацію про якого розкрили активісти, став журналіст Сергій Зенін. Було з'ясовано, що російський пропагандист звертався за консультаціями до компанії ESET Russia при створенні проєкту з головним завданням «Показати, як далеко зайшли США у своїй уявній боротьбі з тероризмом і наскільки небезпечні ігри АНБ із цифровими технологіями». В червні 2014 року відбулось перше відрядження Зеніна на захоплений російськими терористами Донбас. Отримав «акредитацію» в «ДНР» під номером 116[42].

Також було з'ясовано, що Зенін обговорював з журналістом московського офісу Reuters Антоном Звєрєвим (акредитація в «ДНР» під номером 232) різні версії збиття Боїнгу малайзійських авіаліній. При чому Звєрєв наводив уривки інтерв'ю з російськими бойовиками, з яких можна було дізнатись про надання Росією установки ЗРК «Бук», її маршрут, приблизне місце пуску ракети[43].

Паралізування роботи Держказначейства України

6 грудня 2016 року хакерська атака на урядові сайти (Держказначейства України та інших) і на внутрішні мережі держорганів призвела до масштабних затримок бюджетних виплат.[44][45] Вже 7 грудня (досить оперативно, як для державних органів) Кабмін виділив 80 млн гривень для захисту від хакерів.[45] Для виведення з ладу серверів використовувався вірус KillDisk. Атака відбувалась із використанням троянської програми BlackEnergy, тої самої, що і в атаці на Прикарпаттяобленерго.

Компрометація ArtOS

У грудні 2016 року фахівці фірми CrowdStrike оприлюднили результати власного дослідження зразків програми Попр-Д30.apt розробленої капітаном 55-ї окремої артилерійської бригади Ярославом Шерстюком десь в проміжку між 20 лютого та 13 квітня 2013 року. 28 квітня того ж року обліковий запис соціальної мережі ВКонтакті з ідентичним іменем став поширювати цю програму зі своєї сторінки «Шаблон:Lang-ru». Як запобіжник неконтрольованому розповсюдженню, після завантаження та встановлення програми користувач мав звернутись до розробника за ключем для розблокування її роботи[46][47].

При цьому, ймовірно, йдеться про програму ArtOS або його попередника — калькулятора артилерійських поправок. Програмно-апаратний комплекс із використанням цієї програми дозволяє скоротити час, потрібний на ідентифікацію та враження об'єкту в чотири рази — до двох хвилин. Крім того, комплекс здатен розв'язувати до 70 % тактичних та бойових завдань, які постають перед артилеристами[48][49].

Вже 21 грудня 2014 року було вперше помічено на українському військовому інтернет-форумі файл установки програми скомпрометований імплантатом X-Agent. Швидше за все, скомпрометований варіант був створений в проміжку між кінцем квітня 2013-початком грудня 2014 року — саме тоді, коли політична криза переросла у російсько-українську війну з анексією Криму та бойовими діями на сході України[46].

Імплантат (троянець) X-Agent не мав деструктивних функцій, проте міг бути використаний для викрадення інформації із адресної книжки смартфона, вмісту SMS-повідомлень, журналу дзвінків, тощо. Зокрема, зловмисники мали можливість із його допомогою встановити місце знаходження (координати) зараженого пристрою[46].

Відповідальність за операцію дослідники покладають на угрупування APT28 (також відоме як Fancy Bear, Sofacy Group).

Значення

Дослідники не змогли встановити точну кількість заражених пристроїв та наслідки цієї операції:[46] невідомо, чи були випадки виходу в інтернет з планшетів під час бойових дій, наскільки масовою була програма з інтернету, адже оригінальне ПЗ було поширене у закритий спосіб, тощо. Цілком може бути, що сам факт існування скомпрометованого варіанту програми ворожа сторона використовує для ускладнення використання важливої та ефективної артилерійської програми на планшетах ЗСУ, або навіть як чергову компанію «зради» для деморалізації супротивника[50].

Слід зазначити, що дослідження CrowdStrike було оприлюднене на тлі палких дискусій про вплив російських спецслужб на перебіг виборчої кампанії в США. Тому, навіть попри відсутність чітких доказів безпосереднього зв'язку між цією кібершпигунською операцією та бойовими втратами українських військових, на думку американських дослідників даний епізод важливий тим, що дозволяє стверджувати про прямі зв'язки між хакерами, які зламали системи Демократичної партії, та Головним розвідувальним управлінням ГШ РФ[51].

Соціальні мережі

Шаблон:Seealso

Конфлікт відбувався і в інтернет-службах соціальних мереж.

Зокрема, окремі дослідження вказують, що вдалими маніпуляціями можливо впливати на громадську думку, а також викрадати приватну інформацію важливих осіб[52][53]. Російські силові відомства заздалегідь готувались до можливих конфліктів у соціальних мережах: так, наприклад, російський пропагандистський ресурс RT іще в 2012 році повідомляв про виділення Службою зовнішньої розвідки Російської Федерації близько $1 млн на створення трьох систем для спостереження за соціальними мережами та впливу на них. Система «Диспут» мала відстежувати поширення інформації в блогосфері, зокрема, виявляти популярні записи та авторів. Система «Монітор-3» покликана допомагати збирати дані для OSINT-розвідки. Система «Шторм-12» має сприяти поширенню інформацію та впливати на суспільну думку[53].

Принаймні з 2013 року була створена організація для впливу на суспільну думку, яка стала широко відомо як «тролі з Ольгіна». Вже в 2014 році ольгінські тролі стали активно працювати на формування на Заході суспільної думки необхідної кремлівському режиму. Навіть через два роки після початку війни, в 2016 році, була виявлена мережа ботів у соцмережах, які поширювали в інтернеті заклики до насилля проти української влади та заклики виходити на «Третій Майдан»[54].

Російські провладні Інтернет-ЗМІ та відповідні активісти в соціальних мережах показали дуже високу активність напередодні та під час анексії Криму. Низка російських сайтів, що займаються постійним інформаційно-психологічним протиборством на українському напрямі активно висвітлювали події, що відбуваються, розміщували публікації із неперевіреною та неправдивою інформацією, здійснювали активне поточне аналітичне коментування ходу подій. Ці новини або повністю формувались редакціями самих видань, або посилались на інформацію «дружніх активістів» в соцмережах. Зокрема, в соцмережі Facebook можна було побачити цілі групи (communities) людей, що свідомо поширювали панічні настрої та неправдиві відомості, які мали на меті створити образ «непереможної російської армії». Варто зазначити, що їх повідомлення в своїх новинних стрічках передруковували і Інтернет-ЗМІ, а подекуди — і більш традиційні ЗМІ[55].

Залучення платних тролів, мереж ботів, створення сайтів з викривленими «новинами» стало невід'ємною частиною російської пропаганди, оскільки, як свідчать експерименти, вплив пропаганди на людину тим ефективніший, чим більше джерел надходження інформації, чим більшою підтримкою вона користується серед решти членів спільноти, тощо[56].

Приклад координації деяких російських інтернет-пропагандистів був здобутий альянсом українських хакерів FalconsFlame, Trinity, Рух8 та КиберХунта[57].

Служби соціальних мереж стали інструментом координації не лише російських пропагандистів, а й російських шпигунів на території України, бойовиків з Росії, та загальної організації діяльності терористичних організацій керованих російськими спецслужбами. Завдяки вдалому використанню (серед іншого) методів соціальної інженерії активістам центру «Миротворець» вдалось взяти під контроль обліковий запис російської терористки Олени Гейштерової в соціальній мережі «Однокласники». В результаті проведеної операції «Гейша» були викриті російські шпигуни, бойовики, терористи як в Україні, так і за її межами[58].

Російські підрозділи вторгнення, встановлені в результаті OSINT-розвідки соціальних мереж російських військових активістами групи Інформнапалм

Соціальні мережі стали важливим джерелом інформації для OSINT-розвідки. Серед відомих прикладів — фільм Симона Островського Шаблон:Lang-en, де на основі оприлюднених в соціальних мережах фотографій простежений шлях кадрового російського військового Бато Домбаєва з Росії на Донбас, під Дебальцево, і назад, до дому[59]. Стали з'являтись осередки волонтерів-активістів (зокрема: Інформнапалм, Bellingcat, та інші), які на основі добутих із соціальних мереж OSINT-даних викривали облуду російської пропаганди, навіть розслідували Збиття Boeing 777 рейсу MH17 біля Донецька.

Блокування російських інтернет-сервісів

Наказом № 133/2017 від 15 травня 2017 року Президент України Петро Порошенко ввів у дію рішення РНБО України від 28 квітня 2017 року «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)» яким заборонив інтернет-провайдерам надавати послуги з доступу користувачам мережі інтернет до низки російських інформаційних ресурсів та порталів, зокрема, й соціальних мереж ВКонтакте і Одноклассники[15][16]. Згідно думки аналітиків, прямий доступ до бази даних соціальних сервісів із надзвичайною легкістю дозволяє російським спецслужбам виявити якнайширший спектр інформації, яку звичайні громадяни і військовослужбовці завантажують до соцмереж.[60][61]. Крім того, для блокування доступу до російських інформаційних ресурсів і порталів Національний центр оперативно-технічного управління мережами телекомунікацій (НЦУ) запровадив спеціальну автоматизовану систему. Крім того, для блокування доступу до російських інформаційних ресурсів і порталів Національний центр оперативно-технічного управління мережами телекомунікацій (НЦУ) запровадив спеціальну веб-сторінку, на якій користувачі можуть перевірити, чи заблокований доступ до певного сайту. Сайт містить список усіх блокованих сайтів, а також інформацію про те, з якої причини вони були заблоковані.[62][63]

Масова хакерська атака 2017 року

27 червня 2017 року на підприємства різної форми власності та розміру, державні та недержавні установи була здійснена масштабна хакерська атака із використанням комп'ютерного хробака сімейства Petya. Новий зразок шкідливого програмного забезпечення отримав різні назви від різних дослідників, зокрема: Diskcoder.C, ExPetr, PetrWrap, Petya, або NotPetya та інші[64].

На думку дослідників фірми ESET, дана атака була здійснена угрупуванням TeleBots, яке має певні зв'язки з угрупуванням BlackEnergy-«Sandworm», відповідального за кібератаку на енергетичні підприємства України в грудні 2015 року. Попередні атаки цього угрупування були помічені іще в грудні 2016 року, коли проти фінансових компаній та об'єктів критичної інфраструктури України були здійснені атаки з використанням, в тому числі, варіанту програми KillDisk для ОС Linux[64].

Програму KillDisk угрупування використовувало для повного знищення даних. Здирництво ніколи не стояло на порядку денному, ані в першу хвилю атак в грудні 2016 року, ані в другу хвилю того ж місяця, коли до програми було додане повідомлення про сплату викупу у сумі 222 біткоіна (близько $250 тисяч на той час)[64].

В 2017 році атаки угрупування стали зухвалішими та витонченішими: в проміжку між січнем та березнем 2017 року зловмисникам вдалось отримати несанкційований доступ до комп'ютерних мереж українського розробника програмного забезпечення та з використанням VPN-тунелів звідти отримати доступ до комп'ютерних мереж фінансових установ. При атаці угрупування скористалось, серед іншого, бекдором Python/TeleBot.A, який був переписаний з мови Python мовою Rust та використовує Telegram для обміну командами з оператором. Другий бекдор був написаний на VBScript та використовував шлюз Tor з доменним іменем transfinance.com[.]ua та IP-адресою 130.185.250[.]171 для спілкування з оператором. Для горизонтального поширення угрупування скористалось утилітами CredRaptor, модифікованим Mimikatz, та PsExec[64].

Останнім кроком атаки стало шифрування файлів із використанням алгоритмів AES-128 та RSA-1024. Також для серверів під управлінням не Windows, угрупування створило програму Python/Filecoder.R яке шифрувало дані із використанням алгоритмів RSA-2048 та AES-256[64].

18 травня 2017 року розпочалась атака із використанням програми XData (також відома як Win32/Filecoder.AESNI.C). Початковим вектором атаки стала програма M.E.Doc. Хробак XData мав здатність автоматичного поширення із використанням Mimikatz та PsExec. Однак невдовзі зловмисники оприлюднили ключі дешифрування файлів на форумі BleepingComputer, й атака досить швидко зійшла нанівець та не привернула великої уваги[64].

У зв'язку з інцидентом компанія-розробник M.E.Doc впустила офіційну заяву. В ній компанія стверджувала, що поширення вірусу одразу після оновлення їхнього програмного забезпечення є лише випадковим збігом. Розробник M.E.Doc «стежить за безпекою власного коду». Для цього компанія уклала угоди з «великим антивірусними компаніями» та надає їм бінарні файли програм для аналізу й підтвердження безпеки. Розробники запевнили, що так відбувається перед кожним оновленням[65].

Повідомлення, що показується після завершення шифрування головної таблиці файлів файлової системи NTFS

Натомість атака 27 червня 2017 року вже привернула увагу своїм масштабом та наслідками як в Україні так і за кордоном. Початковим вектором зараження новою модифікацією вірусу Petya (також відомий як Diskcoder.C, ExPetr, PetrWrap, або NotPetya) знову став сервер оновлень програми M.E.Doc. Саме завдяки її поширеності та набору методів горизонтального поширення атака набула такого масштабу[64].

Новий хробак використовував три методи для горизонтального поширення:[64]

На відміну від хробака WannaCry цей вірус шукав жертв лише в середині локальних мереж.

Також на відміну від XData новий Petya має значні вади, які або унеможливлюють відновлення зашифрованих даних, або ж значно ускладнюють процес дешифрування. Для шифрування даних були використані алгоритми AES-128 та RSA-2048, а для шифрування таблиць файлів у файловій системі — Salsa20[64].

Про наявність проблем з безпекою в системі оновлень M.E.Doc вже було відомо. Також, вже після атаки фахівцям фірми ESET вдалось знайти бекдор у вигляді зашифрованої PHP програми medoc_online.php на цьому сервері[64]. Аналіз інформації вже після атаки, 3 липня, показав, що на сервері було встановлене застаріле програмне забезпечення з численними вразливостями, для якого вже були добре відомі методи атак[66][67]. Начальник Департаменту кіберполіції Національної поліції України полковник Сергій Демедюк в інтерв'ю журналістам Associated Press заявив, що розробникам M.E.Doc «багато разів говорили про це творці антивірусів. Така недбалість може послужити причиною початку кримінального розслідування»[68][69]. Крім всього іншого сервер оновлень upd.me-doc.com.ua (IP адреса 92.60.184[.]55) фізично знаходився у хостинг-провайдера WNet (ТОВ «Дабл-ю нет Україна»), в якого лише на початку червня того ж року Служба безпеки України проводила обшуки та вилучала обладнання через надання компанією телекомунікаційних послуг ФСБ РФ в Криму, Воєнтелеком РФ та псевдодержавним підприємствам зв'язку. За інформацією спецслужби, через незаконну маршрутизацію трафіку до анексованого Криму ФСБ РФ планувало отримати доступ та знімати інформацію з українського сегменту мережі провайдера[70][71].

Існують всі підстави стверджувати, що сервер оновлень M.E.Doc був використаний зловмисниками не лише для атак 18 травня та 27 червня з XData та Petya відповідно. Тим самим шляхом зловмисники мали можливість отримати несанкційований доступ до критично важливих установ: про це свідчить використаний сервер управління з іменем bankstat.kiev[.]ua[64].

Відповідальність за атаку на Росію поклали всі п'ять країн-членів союзу FVEY: Австралія[72], Велика Британія[73], Канада[74], Нова Зеландія[75], Сполучені Штати[3], а також уряди Данії[76] та України[77]. Адміністрація Президента США назвала цю атаку найбільшою хакерською атакою в історії[3].

Bad Rabbit (жовтень 2017)

В жовтні 2017 року сталась доволі масова атака вірусом-хробаком BadRabbit. Спочатку зараження жертв відбувалось через низку скомпрометованих вебсайтів. Дослідники вважають, що за цим вірусом можуть стояти розробники вірусу NotPetya. Дещо згодом голова кіберполіції України Сергій Демедюк заявив, що атака із застосуванням вірусу Bad Rabbit послужила прикриттям для набагато витонченішої атаки на підприємства-користувачів російських програм сімейства .

Справжньою метою атаки було отримання несанкційованого доступу до конфіденційних та фінансових даних. Атака хробаком була лише яскравим прикриттям для відволікання уваги. І попри більше поширення хробака в Росії, друга, прихована, частина атаки служить доказом того, що основною мішенню були українські підприємства. Користувачі ПЗ 1С отримували фішингові листи начебто від імені розробників цієї програми. Всього відомо про 15 підприємств, що постраждали від цієї частини атаки[78].

Псевдозамінування

Протягом 2018—2019 років в Україні зафіксована хвиля масових повідомлень про замінування низки об'єктів: вокзалів, аеропортів, торгових центрів, навчальних закладів, лікарень, урядових установ та інших місць, які передбачають велике скупчення людей. Зокрема у червні 2019 року надійшло 211 електронних повідомлень та викликів про закладення вибухових пристроїв за різними адресами міста. Схожа ситуація відбулася у Харкові, де зафіксовано 42 неправдивих виклики про замінування та м. Київ — 12 викликів[79]. За даними міністерства внутрішніх справ дані повідомлення надходять з території Російської Федерації та ОРДЛО з використанням тимчасових електронних скриньок та інтернет-телефонії[80].

Массові кібербої (січень-лютий 2022)

Атака на українські державні та банківські сайти

Під час російсько-української кризи було атаковано близько 22 державні органи та 70 українських вебсайтів 14 січня 2022 року[81]. На вражених сайтах було розміщено дефейс, у якому було подано текст про засудження українського націоналізму польською, українською та російською мовами. На зображені було джерело атаки, яке вказує на Польщу, однак в тексті польською є суттєві граматичні помилки. Вважається, що це була типова російська хакерська атака з метою залякування та компрометації Польщі[82].

15 лютого 2022 року о 20:21 відбулася подібна DDoS-атака українських сайтів за якою, як вважають українські посадовці, стоїть Росія[83]. Сайти близько 15 банків, а також з доменом gov.ua не працювали 5 годин[84]. Було атаковано сайти «ПриватБанку» та «Ощадбанку», а також Міноборони, Збройних сил та Міністерства з питань реінтеграції тимчасово окупованих територій[83]. На думку міністра Михайла Федорова, 15 лютого відбулася найбільша в історії України кібератака, що коштувала мільйони доларів[85]. Однак на думку деяких експертів вартість цієї атаки не перевищує декілька тисяч доларів[86].

Атака на українські сайти під час вторгнення

23 лютого 2022 року, за день до російського вторгнення в Україну, відбулися чергові атаки на державні та банківські сайти[87]. Приблизно о 16:00, було пошкоджено сайти Верховної Ради, Кабінету Міністрів України та Міністерства закордонних справ, СБУ та інші. Міністерство освіти і науки з метою запобігання кібератаці закрило доступ до свого вебсайту[88]. Посадовці зі США пов'язують атаку з Росією[89]. За даними компанії ESET, атака стала можливою через зараження сотень комп'ютерів вірусом HermeticWiper, який був скомпільований ще 28 грудня 2021 року[90].

24 лютого вночі та вранці під час російського наступу було атаковано сайт Київської ОДА, деякі інші ресурси були відключенні для збереження даних[91]. На сайтах i.ua та meta.ua, за інформацією Державної служби спеціального зв'язку та захисту інформації розсилаються численні електронні листи з фішинговими посиланнями на приватні адреси українських військових та їхніх родичів[92]. Дослідження компанії Google показало, що фішингова кампанія проходила з території БІлорусі[93]. Крім того, фішингові листи надсилали також українським посадовцям, а також польським військовим з моменту появи українських біженців на польському кордоні.

26 лютого 2022 року, о 16:31, Служба безпеки України повідомила, що заблокувала 7 тис. ботів із Росії, які поширювали неправдиву інформацію про бойові дії. Основними майданчиками для поширення дезінформації, за її словами, були Telegram, WhatsApp і Viber[94].

2 січня 2023 року, Державна служба спеціального зв'язку та захисту інформації України повідомила, що від початку російського вторгнення в Україну, урядова команда реагування на компʼютерні надзвичайні події CERT-UA зареєструвала та дослідила понад 1 500 атак. Більшість із них відбулася – з боку Росі́йської Федерації. Було зазначено, шо в період від вересня по грудень 2022 року в Україні діяли такі російські та проросійські хакерські угрупування:

  • ARMAGEDDON/GAMAREDON/PRIMITIVE BEAR (ФСБ рф, активність відслідковується за ідентифікатором UAC-0010);
  • SANDWORM (ГУ ГШ ЗС рф (ГРУ), активність відслідковується за ідентифікатором UAC-0082);
  • APT28/FANCY BEAR (ГУ ГШ ЗС рф (ГРУ), активність відслідковується за ідентифікатором UAC-0028);
  • АРТ29/COZY BEAR (СЗР рф, активність відслідковується за ідентифікатором UAC-0029);
  • UNC1151/ GHOSTWRITER (Міністерство оборони рб, активність відслідковується за ідентифікатором UAC-0051);
  • XAKNET, KILLNET, Z-TEAM, CYBERARMYOFRUSSIA_REBORN (проросійські кібертерористи, активність відслідковується за ідентифікаторами UAC-0106, UAC-0108, UAC-0109, UAC-0107 відповідно)[95][96].

Атаки IT-армії України

У відповідь на попередні атаки Михайло Федоров оголосив створення IT-армії, до якої увійдуть спеціалісти різних галузей для блокування дезінформації в Інтернеті, а також для атак на російські сайти[97]. Через декілька годин були атаковані десятки російських банків, державних і новинних сайтів та інших ресурсів. Деякі російські канали почали транслювати українські пісні[98].

1 березня 2022 року українські хакери повідомили про свої дії. Було виведено з ладу критично важливі інформаційні системи окупанта. Попри опір російських кібер військ, завдано значної шкоди інформаційній інфраструктурі.[99] Ще 24 лютого була виведена з ладу розробка «Систематики» — автоматизована система «Вибори», через яку Путін фальсифікував вибори і нечесним шляхом ставав президентом. Були виведені з ладу інші розробки «Систематики» — системи електронного документообігу окупаційної влади на території АР Крим, «ДНР» та «ЛНР». Списки тих, хто підтримував окупацію направили в правохоронні органи. 25 лютого було знищено систему управління Федерального казначейства РФ разом з бекапами. Російська влада замовчує результати атаки і сам факт кібератак з боку України, щоб не руйнувати міф про «непереможність російської армії».[99]

Інше

  • 29 липня 2014 року потужної DDoS-атаки зазнав офіційний сайт Президента України, протягом кількох годин він був недоступний і прес-служба глави держави була змушена розсилати власну інформацію через інформагентства. Відповідальність за атаку взяли на себе хакери з так званої групи «КіберБеркут»[100].

Станом на середину червня 2016 року, СБУ повідомляла, що протягом 2016 року заблоковано низку інформаційних спецоперацій, розроблених російськими спецслужбами у рамках «гібридної війни» проти України. Зокрема:[101]

  • вдалось запобігти спробі масового встановлення у державних органах російських антивірусних програм. Фахівці спецслужби встановили, що російські антивіруси не «помічали» шпигунські програми, розроблені спецслужбами РФ. Завдяки втручанню СБУ використання цих програм у державному секторі заборонено.
  • за зверненням Служби безпеки міжнародні платіжні системи також заблокували дванадцять електронних гаманців, які використовувалися для фінансування терористичних організацій «ДНР/ЛНР».
  • співробітники спецслужби ліквідували низку каналів зв'язку бойовиків «ДНР/ЛНР» із кураторами з російських спецслужб. Спільники терористів, використовуючи спеціалізоване телекомунікаційне обладнання, організували маршрутизацію міжнародного трафіку поза міжнародними центрами комутації. За допомогою ІР-телефонії вони маскували виклик під звичайні місцеві телефонні розмови з підміною оригінального номера абонента.
  • завдяки співпраці з українськими провайдерами та операторами СБУ розробила механізми блокування інформаційних ресурсів, що пропагують сепаратистські ідеї та підтримують терористів з «ДНР/ЛНР». Розпочато двадцять три кримінальні провадження за статтями 109, 110 та 258-3 Кримінального кодексу України. Засуджено чотирнадцять адміністраторів сепаратистських інтернет-спільнот.
  • під час обшуків у «інтернет-спільників» терористів співробітники спецслужби отримали докази збору ними персональних даних, адрес, номерів телефонів представників патріотичних організацій та проукраїнських діячів. Вони пересилали до терористичних організацій відео- та фотоматеріали з детальним описом охорони та слабких місць стратегічних та оборонних об'єктів. За оперативними даними, інформація використовувалася для підготовки диверсій на території мирних регіонів України.
  • співробітники спецслужби встановили факти зламів офіційних сайтів низки обласних державних адміністрацій. За незаконне втручання в роботу інформаційних систем відкрито двадцять п'ять кримінальних проваджень, двом «хакерам» оголошено про підозру, чотирьох — уже засуджено.

30 червня 2017 року, вже після масштабної хакерської атаки із використанням вірусу Petya 27 червня того ж року, Служба безпеки України повідомила, що у період з 25 травня до 6 червня у чіткій взаємодії з іноземними партнерами припинила використання української мережевої інфраструктури для цілеспрямованого розповсюдження з боку спецслужб Російської Федерації шкідливого програмного забезпечення з метою ураження інформаційних мереж об'єктів критичної інфраструктури нашої держави та інших країн світу. За результатами скоординованих процесуальних заходів, спільно з іноземними партнерами припинено розгалужену міжнародну мережеву інфраструктуру, побудовану спецслужбами Росії. За допомогою цієї інфраструктури приховано, з використанням серверного обладнання, у тому числі українського хостингу, здійснювались цільові кібернетичні атаки (так звані АРТ-атаки — Advanced Persistent Threat) та зараження спеціальними видами шкідливих комп'ютерних програм об'єктів критичної інфраструктури України та інших держав[102].

25 травня 2018 року компаія CISCO після спільного дослідження з урядами США та України оприлюднила звіт, згідно якого не менше 500 тисяч роутерів у 50 країнах можуть бути інфікованими російськими хакерами. Ці роутери можуть використовуватись для збору приватної інформації користувачів (зокрема, паролів та даних кредитних карток, що вводяться на сайтах), а також для участі у глобальному ботнеті, який використовується для атак на державні та комерційні установи США та України.[103]

Див. також

Примітки

Джерела

Про Російсько-українську кібервійну
Соціальні мережі та інтернет-медіа

Посилання

https://www.wired.com/story/russian-hackers-attack-ukraine/
http://www.reuters.com/article/us-cyber-attack-ukraine-idUSKBN1AH35A

Відео

  • Шаблон:YouTube: інтерв'ю із засновником волонтерської організації «Українські Кібер Війська» Євгеном Докукіним

Документи

Шаблон:Російське вторгнення в Україну (2022)

  1. 1,0 1,1 http://www.techworld.com/news/security/invisible-russian-cyberweapon-stalked-us-ukraine-since-2005-new-research-reveals-3505688/

  2. 2,0 2,1 http://texty.org.ua/pg/article/newsmaker/read/66125/Hakerska_ataka_Rosiji_na_ukrajinsku_jenergosystemu_jak

  3. 3,0 3,1 3,2 https://www.whitehouse.gov/briefings-statements/statement-press-secretary-25/

  4. http://ain.ua/2014/03/17/515999

  5. https://jamestown.org/program/russian-electronic-warfare-ukraine-real-imaginable/
  6. 6,0 6,1 6,2 6,3 6,4 6,5 Шаблон:Cite book
  7. 7,0 7,1 7,2 7,3 7,4 7,5 Шаблон:Cite book
  8. http://ain.ua/2014/05/21/525126

  9. http://zakon4.rada.gov.ua/laws/show/3475-15

  10. http://watcher.com.ua/2015/09/17/ukrayina-vvela-sanktsiyi-proty-rosiyskyh-rozrobnykiv-antyvirusiv-doktor-veb-i-laboratoriya-kasperskoho/

  11. http://ukranews.com/news/183641.Kabmin-poruchil-Gosspetssvyazi-zapretit-priobretenie-obnovlenie-i-ispolzovanie-programmnogo-obespecheniya-Laboratorii-Kasperskogo-v-organah-vlasti.uk

  12. http://www.day.kiev.ua/uk/news/160316-poroshenko-zatverdyv-strategiyu-kiberbezpeky-ukrayiny

  13. http://texty.org.ua/pg/news/textynewseditor/read/68176/Za_kiberbezpeku_Ukrajiny_vidpovidatyme_Turchynov

  14. http://www.president.gov.ua/documents/2422016-20141

  15. 15,0 15,1 https://day.kyiv.ua/uk/news/160517-poroshenko-pidpysav-nakaz-pro-vvedennya-sankciy-proty-yandeks-vkontakte-y-odnoklassnyky

  16. 16,0 16,1 http://watcher.com.ua/2017/05/17/ukaz-pro-blokuvannya-vkontakte-yandeks-ta-mail-ru-opublikovano-i-vin-nabrav-chynnosti/

  17. 17,0 17,1 17,2 https://www.ssu.gov.ua/ua/news/1/category/2/view/3668#sthash.HyQHCPYY.Hlhyss1o.dpuf

  18. 18,0 18,1 18,2 18,3 https://itc.ua/news/sbu-otkryila-v-kieve-situatsionnyiy-tsentr-obespecheniya-kiberbezopasnosti-s-sistemoy-reagirovaniya-na-kiberintsidentyi-i-laboratoriey-kompyuternoy-kriminalistiki/

  19. http://www.president.gov.ua/news/prezident-uviv-u-diyu-rishennya-rnbou-shodo-posilennya-zahod-43006

  20. 20,0 20,1 20,2 20,3 20,4 20,5 20,6 http://watcher.com.ua/2017/08/31/poroshenko-vviv-u-diyu-rishennya-rnbo-schodo-kardynalnoho-posylennya-zahodiv-kiberbezpeky-derzhavy/

  21. https://www.mil.gov.ua/news/2021/10/07/u-sistemi-minoboroni-ukraini-zapochatkovano-proekt-stvorennya-kibervijsk/

  22. Україна вступила до кіберцентру при НАТО: що це. // Автор: Дар'я Звягіна. 16.05.2023, 22:18
  23. http://www.baesystems.com/en/cybersecurity/feature/the-snake-campaign

  24. https://public.gdatasoftware.com/Web/Content/INT/Blog/2014/02_2014/documents/GData_Uroburos_RedPaper_EN_v1.pdf

  25. http://ain.ua/2014/03/11/515577

  26. http://www.dstszi.gov.ua/dstszi/control/uk/publish/article?art_id=114116&cat_id=112509

  27. 27,0 27,1 27,2 Шаблон:Cite book
  28. http://watcher.com.ua/2014/05/29/rozsliduvannya-yak-kartynka-yarosha-potrapyla-na-ort-v-den-vyboriv/

  29. http://ipress.ua/news/pershyy_kanal_rosii_povidomlyaie_shcho_na_vyborah_prezydenta_ukrainy_peremagaie_yarosh_66383.html

  30. 30,0 30,1 http://www.iri.org/resource/cs-monitor-looks-russia’s-cyber-attack-ukraine’s-election-system

  31. http://www.npr.org/2016/08/01/488264073/hacking-an-election-why-its-not-as-far-fetched-as-you-might-think

  32. http://www.politico.com/magazine/story/2016/08/2016-elections-russia-hack-how-to-hack-an-election-in-seven-minutes-214144

  33. 33,0 33,1 33,2 http://mpe.kmu.gov.ua/minugol/control/uk/publish/article?art_id=245086886&cat_id=35109

  34. http://itc.ua/news/osnovnoy-versiey-nedavnego-otklyucheniya-elektrichestva-v-kieve-nazvana-kiberataka-hakerov/

  35. https://motherboard.vice.com/read/ukrainian-power-station-hacking-december-2016-report

  36. https://informnapalm.org/ua/hakery-uspishno-provely-operatsiyu/

  37. https://informnapalm.org/ua/hakery-znyshhyly-sajt-anna-news/

  38. https://informnapalm.org/ua/r-330zh-u-boyah-za-debaltseve/

  39. 39,0 39,1 39,2 39,3 https://informnapalm.org/ua/eset-na-sluzhbi-terorystiv/

  40. 40,0 40,1 https://eset.ua/download_files/marketing/Operation_Groundbait_ukr.pdf

  41. https://informnapalm.org/ua/ukrayinski-hakery-zlamaly-rosijskyj-pershyj-kanal/

  42. https://informnapalm.org/ua/zlom-propagandystiv-rf-chastyna-1-zenin/

  43. https://informnapalm.org/23880-mh17-forbidden-interview/

  44. http://www.kmu.gov.ua/control/publish/article?art_id=249559690&timestamp=1481039596000
  45. 45,0 45,1 http://www.epravda.com.ua/publications/2016/12/9/613957/
  46. 46,0 46,1 46,2 46,3 https://www.crowdstrike.com/wp-content/brochures/FancyBearTracksUkrainianArtillery.pdf

  47. http://life.pravda.com.ua/society/2015/11/8/202830/view_print/

  48. http://ain.ua/artos-v-ukraine-sozdali-programmnyj-kompleks-upravleniya-ognyom-artillerii

  49. http://iz.com.ua/zaporoje/83623-zaporozhskiy-artillerist-predstavil-unikalnyy-pk-artos.html

  50. http://texty.org.ua/pg/news/textynewseditor/read/73373/Je_gipoteza_shho_rosijski_khakery_za_dopomogoju

  51. https://www.washingtonpost.com/world/national-security/cybersecurity-firm-finds-a-link-between-dnc-hack-and-ukrainian-artillery/2016/12/21/47bf1f5a-c7e3-11e6-bf4b-2c064d32a4bf_story.html

  52. Schelling Thomas C. Micromotives and macrobehavior. New York: W.W. Norton and Co.; 1978.
  53. 53,0 53,1 Шаблон:Cite book
  54. Московський слід колорадського Жука, або Хто і як готує «Майдан-3» . Укрінформ. 21.01.2016
  55. http://www.niss.gov.ua/articles/1476/

  56. http://www.rand.org/pubs/perspectives/PE198.html

  57. https://informnapalm.org/ua/shema-koordynatsiyi-rosijskyh-propagandystiv/

  58. https://psb-news.org/otchet-o-provedennoj-spetsoperatsyy-gejsha/

  59. https://news.vice.com/video/selfie-soldiers-russia-checks-in-to-ukraine

  60. https://www.facebook.com/ptico/posts/10211582049679686

  61. https://www.facebook.com/ptico/posts/10211582049679686

  62. https://uablocklist.com/

  63. http://www.nrcu.gov.ua/news.html?newsID=48408

  64. 64,00 64,01 64,02 64,03 64,04 64,05 64,06 64,07 64,08 64,09 64,10 https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against-ukraine/

  65. https://ain.ua/2017/05/24/vse-pro-xdata-poka

  66. https://www.theverge.com/platform/amp/2017/7/3/15916060/petya-medoc-vulnerability-ransomware-cyberattack

  67. http://blog.uk.fujitsu.com/information-security/petya-medoc-and-the-delivery-of-malicious-software/#.WVu4cSdgHq4

  68. http://fakty.ictv.ua/ua/ukraine/20170704-virus-petya-kompaniyi-m-e-doc-zagrozhuye-kryminalna-sprava/

  69. https://apnews.com/8b02768224de485eb4e7b33ae55b02f2

  70. https://ssu.gov.ua/ua/news/1/category/2/view/3451

  71. https://www.5.ua/suspilstvo/internet-dlia-fsb-shpyhunstvo-ta-ihnoruvannia-ukazu-prezydenta-sbu-poiasnyly-obshuky-v-wnet-146878.html

  72. http://minister.homeaffairs.gov.au/angustaylor/Pages/notpetya-russia.aspx

  73. https://www.ncsc.gov.uk/news/russian-military-almost-certainly-responsible-destructive-2017-cyber-attack

  74. https://www.cse-cst.gc.ca/en/media/2018-02-15

  75. https://www.gcsb.govt.nz/publications/news/new-zealand-joins-international-condemnation-of-notpetya-cyber-attack/

  76. https://www.business.dk/digital/claus-hjort-rusland-stod-bag-cyberangreb-mod-maersk
  77. https://www.ssu.gov.ua/ua/news/1/category/21/view/3660

  78. http://www.reuters.com/article/us-cyber-summit-ukraine-police-exclusive/exclusive-ukraine-hit-by-stealthier-phishing-attacks-during-badrabbit-strike-idUSKBN1D2263

  79. https://www.ukrinform.ua/rubric-society/2502145-mintot-pro-psevdominuvanna-policiu-smikaut-kozni-23-godini.html

  80. Повідомлення про мінування стали активними, вони надходять з РФ і окупованих територій — МВС
  81. https://cip.gov.ua/ua/news/vid-kiberataki-14-sichnya-postrazhdali-22-derzhavnikh-organi

  82. https://tech.liga.net/ua/ukraine/article/kak-hakery-smogli-vzlomat-70-pravitelstvennyh-saytov-i-kto-za-etim-mojet-stoyat
  83. 83,0 83,1 https://ain.ua/2022/02/16/shho-vidomo-pro-ddos-ataku-15-lut/

  84. https://cip.gov.ua/ua/news/shodo-kiberataki-na-saiti-viiskovikh-struktur-ta-derzhavnikh-bankiv

  85. https://thedigital.gov.ua/news/mikhaylo-fedorov-ukraina-zmogla-vidbiti-naybilshu-za-vsyu-istoriyu-kraini-kiberataku

  86. https://dev.ua/news/not-a-big-deal-attack

  87. https://cip.gov.ua/ua/news/chergova-kiberataka-na-saiti-derzhavnikh-organiv-ta-banki

  88. https://www.ukrinform.ua/rubric-technology/3410542-sajti-bankiv-ta-organiv-vladi-zaznali-masovoi-ddosataki.html

  89. https://www.ukrinform.ua/rubric-polytics/3410802-stati-povazuut-ostanni-kiberataki-v-ukraini-z-diami-rf-bilij-dim.html

  90. https://www.welivesecurity.com/2022/02/24/hermeticwiper-new-data-wiping-malware-hits-ukraine/

  91. https://www.ukrinform.ua/rubric-technology/3411812-sajt-kiivskoi-oda-atakuut-hakeri.html

  92. https://www.ukrinform.ua/rubric-technology/3412829-emailadresi-ukrainskih-vijskovih-atakuut-hakeri.html

  93. https://www.washingtonpost.com/technology/2022/03/07/russia-belarus-conducted-widespread-phishing-campaigns-ukraine-google-says/
  94. https://www.radiosvoboda.org/a/news-sbu-boty-rf/31725112.html

  95. Які російські та проросійські хакери атакують Україну. 02.01.2023, 12:12
  96. Стало відомо, скільки ворожих кібератак зареєстрували в Україні. 02.01.2023, 14:06
  97. https://suspilne.media/211480-ukraina-stvorue-it-armiu-fedorov/?

  98. https://suspilne.media/211432-hakeri-atakuvali-sajti-kremla-roskomnadzora-i-jmovirno-zlamali-rosijski-telekanali/?

  99. 99,0 99,1 Як борються українські кібервійська , УП, 1 березня 2022
  100. http://na.mil.gov.ua/8905-ukraїnska-realnist-neogoloshena-kibervijna

  101. https://ssu.gov.ua/ua/news/1/category/21/view/1228

  102. https://www.ssu.gov.ua/ua/news/1/category/2/view/3654#sthash.Vjm9vmI8.PjrbZInr.dpuf

  103. https://tokar.ua/read/24806