Тактика України проти російських хакерів: як Київ і досі витримував великі кібератаки
Переклад статті Мехул Шрівастава і Анни Гросс у «Financial Times»
Протягом багатьох років невелика та розрізнена українська команда, що включає ІТ-фахівців, співробітників розвідки та прокурора у кримінальних справах, стежила за групою хакерів на прізвисько Армагеддон.
Хакери базувалися в Криму, прикривалися російським урядом, який захопив регіон у 2014 році, та поза досяжністю Служби безпеки України.
Натомість українська команда спостерігала за Армагеддоном здалеку, щоб дізнатися про шляхи свого ворога. Вони непомітно вивчали кіберзброю групи хакерів, перехоплювали телефонні дзвінки і навіть викривали її передбачуваних лідерів.
«Армагеддон» — не найвитонченіша із пов’язаних із російським урядом хакерських груп, що атакували Україну, але одна з найактивніших. У ході 5000 різних спроб він випустив ще більш ефективне шкідливе ПЗ, заховане в майстерно створених електронних листах, щоб шпигувати за українськими державними органами.
Але після російського вторгнення в лютому її останні атаки були паровані, багато в чому завдяки тому, що Україна добре знала характерні кроки Армагеддону.
«У який час найкраще вивчати свого ворога? Задовго до бою», – сказав західний чиновник, який попросив не називати його імені. «Це особливо вірно, коли ви не маєте іншого вибору, крім як реагувати».
За словами західних та українських офіційних осіб, а також експертів з кібербезпеки, тривале відстеження та боротьба з Армагеддоном — лише один із прикладів «наполегливого захисту», який дозволив Україні відобразити разючу кількість кібератак за останні тижні.
Це дозволило країні продемонструвати таку ж стійкість у мережі, як і її війська на місцях. Ця жорсткість зумовлена роками підготовки, а іноді й відновлення після витончених російських кібератак, у тому числі тієї, яка відключила електропостачання деяких передмість Києва у 2015 році.
Через рік відставний адмірал ВМС США Майкл Роджерс, який керував Кіберкомандуванням США і колишній глава Агентства національної безпеки, направив перші групи американських солдатів, щоб допомогти зміцнити український кіберзахист. Він сказав, що місії дозволили американцям одночасно «подивитися на російську комерційну хитрість, подивитися на російське шкідливе програмне забезпечення, подивитися на особливості того, як російські кіберструктури схильні працювати».
Раніше цього місяця ця підготовка окупилася. Українські чиновники за сприяння західних компаній, що займаються кібербезпекою, виявили висококласне шкідливе програмне забезпечення від іншої хакерської групи, що отримала назву Sandworm, яка ховається всередині комп’ютерів на електростанції, що обслуговує мільйони людей.
Він був запрограмований на видалення файлів 8 квітня, що повторює успішні зломи українських електромереж у 2015 та 2016 роках, зокрема компанією Sandworm, яка пов’язана з ГРУ, російською військовою розвідкою.
“Це була важлива віха, коли Піщаний хробак нарешті підняв голову”, – сказав Макс Хайнемейєр, колишній хакер, який зараз працює в Darktrace, фірмі з кібербезпеки.
З Армагеддоном українці застосували таку саму тактику: спостерігай, вивчай і готуйся.
“Вам потрібно знати своїх ворогів роками, щоб ви могли передбачити їхні дії”, – сказав Шмуель Гіхон, дослідник безпеки в ізраїльській компанії CyberInt. Армагеддон – серйозний противник, сказав він, “з найталановитіших”.
Якоїсь миті українська команда перехопила і опублікувала на YouTube телефонні розмови між двома чоловіками, яких вони пізніше ідентифікували як офіцерів внутрішньої безпеки Росії, які скаржилися на свої річні премії, на те, що не отримували медалі, і обговорювали конкретний злом. який дозволив їм отримати дані. із зашифрованого USB-накопичувача за кілька секунд, поки він був підключений до комп’ютера. Два західні чиновники підтвердили справжність дзвінків.
Тактика Armageddon полягала в тому, щоб об’єднати старий трюк – заманити когось в урядовій мережі, щоб клацнути вкладення електронної пошти – з витонченими версіями шкідливого ПЗ. Мета хакерської групи – не знищити. Це ховатися всередині організацій та збирати інформацію. За минулі роки “Армагеддон” націлився на 1500 українських установ. Київські чиновники не кажуть, скільки їх було успішним.
За словами українських офіційних осіб, за останні кілька тижнів електронні листи, імовірно відправлені з Армагеддону, імітували офіційні комюніке про кораблі, що заходять у кримські порти; списки військової техніки, яку запитує Україна; та список російських військових злочинців, виявлених українською владою.
В одному підозрілому випадку, який все ще розслідується, додаток обіцяв відкрити завісу над однією з державних таємниць України та заспокоїти всіх, хто має сім’ю, яка бере участь у військових діях.
Додаток був під назвою «Відомості про втрати української армії», повідомив голова Державної служби спеціального зв’язку та захисту інформації України Юрій Щеголь. “Це інформація, яку сьогодні читатимуть практично всі, хто бере участь у бойових діях”, – сказав він.
Відповідно до аналізу шкідливого ПЗ, проведеного Диком для Financial Times, при натисканні на ці електронні листи раніше невидиме шкідливе ПЗ на прізвисько Pseudosteel таємно захоплювало текст, PDF-файли, PowerPoint та інші файли та надсилало копії на віддалений сервер. О’Брайєн, головний аналітик розвідувальної інформації американської команди Symantec Threat Hunter.
Symantec виявила, наприклад, що той, хто створив шкідливе ПЗ, був ретельним сміттярем. Зловмисник знав, наприклад, що деякі заражені комп’ютери могли розбити свої жорсткі диски на розділи і таким чином навчити шкідливе програмне забезпечення шукати файли в цих обгороджених областях.
Тим не менш, Pseudosteel має явні вади. Його творці забули, що на кожному зараженому комп’ютері є конкретний файл, необхідний успішного запуску шкідливої програми. Насправді, за словами О’Брайена, лише деякі з них зроблять це, що зробить шкідливе програмне забезпечення менш ефективним, ніж планувалося.
Крім того, реверс-інжиніринг Symantec Pseudosteel означає, що, наприклад, з меншою ймовірністю вдасться обійти антивірусне програмне забезпечення.
Але останнім часом Армагеддон став винахідливішим. Хакери нещодавно написали 100 різних версій “троянського бекдору” або шкідливого програмного забезпечення, призначеного для надання небажаного доступу для запуску віддаленої атаки. Схоже, що вони також намагалися заразити той самий комп’ютер різними шкідливими програмами, щоб їх не виявили.
“Це кібер-еквівалент спроби знищити оборону за допомогою однієї лише чисельної сили”, – сказав О’Брайєн.
Але оборона України продемонструвала здатність протистояти швидкострільним методам угруповання, подібного до Армагеддону.
“Ви бачили, що [українці] згодом набувають більше досвіду, можливостей, знань та досвіду”, – сказав Роджерс, колишній глава Кібернетичного командування США. – “І ви бачите, що це відбувається зараз. Ви повинні віддати їм належне: вони витримали велику активність Росії проти них».
Оригінал публікації «Financial Times»