Російсько-українська кібервійна

Російсько-українська кібервійна — складова протистояння між Росією та Україною, яке в 2014 році переросло у відкрите збройне протистояння російсько-українську війну (Треті визвольні змагання). У більш загальному значенні є частиною глобального протистояння Росії і Заходу та Другої холодної війни.

Російсько-українська кібервійна
Російсько-українська війна 2014—
Дата: 2013-наш час
Місце: кіберпростір
Результат:  
Сторони
 Україна та союзники  Росія
Військові сили


Перші атаки на інформаційні системи приватних підприємств та державні установи України фіксували під час масових протестів в 2013 році[1].

Російсько-українська кібервійна стала першим конфліктом в кіберпросторі, коли була здійснена успішна атака на енергосистему з виведенням її з ладу[2][⇨]. На думку Адміністрації Президента США хакерська атаки на Україну з боку Росії в червні 2017 року із використанням вірусу NotPetya стала найбільшою відомою хакерською атакою[3].

У лютому 2014 року розпочалась російська збройна агресія проти України, яка велась також і в кіберпросторі. Майбутній директор американського Агентства національної безпеки Майкл Роджерс з цього приводу зазначав, що разом з військовою операцією із захоплення Криму, Росія розпочала проти України кібервійну[4]. Кібервійною називають російські атаки і українські експерти[5].

Огляд

Початок конфлікту

Кіберзагрози Український державі та суспільству умовно можна розділити на два ключових рівні. Перший — «класичні» кіберзлочини — як абсолютно оригінальні, так і вже звичайні, для своєї реалізації вони потребують лише сучасних інформаційних технологій[6].

Другий — злочини, характерні для геополітичної боротьби (або такі злочини на місцевому рівні, які мають потенціал вплинути на політичне становище держави): хактивізм, кібершпигунство та кібердиверсії. Водночас техніки здійснення атак в обох випадках демонструють чимало спільного. Наприклад, фішингові техніки можуть бути використані як для заволодіння коштами громадян, так і з метою кібершпигунства[6].

Першим масованим випадком хактивізму, з яким зіткнулася Україна, були події довкола закриття файлообмінного сервісу ex.ua. Після спроб правоохоронних органів втрутитися в роботу файлообмінного сервісу було здійснено DDoS-атаки на понад 10 інтернет-сайтів органів державної влади, зокрема на сайт Президента України та сайт Міністерства внутрішніх справ України. Події довкола ex.ua вперше наочно продемонстрували, наскільки Українська держава не готова ані ідеологічно, ані технічно до подібних атак. Саме відсутність прямих економічних збитків стала причиною того, що реальних висновків тих подій так і не було зроблено, а країна виявилась непідготовленою до ефективного протистояння агресії Російської Федерації в кібернетичній сфері[6].

Наступна хвиля хактивізму сталась на тлі політичного протистояння в жовтні 2013 року — лютому 2014 року (події Революції гідності). Це протистояння активно відбувалось в соціальних мережах, де спостерігався значний сплеск зацікавленості проблемою. З першого дня Євромайдану невідомі особи почали масово використовувати нетботи з метою засмічення інформаційного поля, введення людей в оману та поширення чуток. Наприклад, у Twitter, де можна відслідковувати всі події за хештегом #євромайдан, десятки нетботів вкидали різноманітне інфосміття[6].

Також були використані механізми ускладнення традиційних комунікацій, зокрема мобільного зв'язку (через автоматичні дзвінки на телефони окремих активістів чи політиків, що унеможливило використання їхніх мобільних телефонів у роботі)[6].

Після початку збройної агресії Російської Федерації проти України, компанії, що спеціалізувалися на наданні послуг кібербезпеки, стали реєструвати зростання кількості кібератак на інформаційні системи в країні. Зазвичай, кібератаки були націлені на приховане викрадення важливої інформації, ймовірніше для надання Росії стратегічної переваги на полі бою. Жертвами російських кібератак ставали урядові установи України, країн ЄС, Сполучених Штатів, оборонні відомства, міжнародні та регіональні оборонні та політичні організації, аналітичні центри, засоби масової інформації, дисиденти[7].

З початком російсько-української війни стали з'являтись загони антиукраїнських хактивістів, які йменують себе «Кіберберкутом» та проукраїнська «Кіберсотня Майдану», «Анонімусами» з російською або українською «пропискою» тощо[6]. Попри складності у визначенні ступеню співпраці хакерських угрупувань з державними органами, спираючись на зібрані докази можна стверджувати, що проросійські хакерські угрупування перебувають на території Росії, і що їхня діяльність відбувається на користь кремлівського режиму[7].

Можна стверджувати, що з початку Російсько-української війни в середовищі дослідників кібербезпеки поліпшились можливості виявлення, відстеження, та захисту від угрупувань російських хакерів. Серед можливих пояснень можна навести те, що із загостренням протистояння, російським хакерам бракує часу на вчасне оновлення та вдосконалення тактики, технологій, та методів діяльності[7].

Дослідники компанії FireEye виокремили два угрупування російських хакерів, які активно проявили себе в Російсько-українській кібервійні: так звана APT29 (також відома як Cozy Bear, Cozy Duke) та APT28 (також відома як Sofacy Group, Tsar Team, Pawn Storm, Fancy Bear)[7].

В період між 2013 та 2014 роками деякі інформаційні системи урядових установ України були вражені комп'ютерним вірусом, відомим як Snake/Uroborus/Turla. Даний різновид шкідливого програмного забезпечення надзвичайно складний, стійкий до контрзаходів, та ймовірно створений в 2005 році[7][⇨].

Починаючи з 2013 року розпочалась «операція Армагедон» — російська кампанія систематичного кібершпигунства за інформаційними системами урядових установ, правоохоронних та оборонних структур. Здобута в такий спосіб інформація ймовірно могла сприяти Росії й на полі бою[7]. Істотним відхиленням від цього правила стала кібердиверсія атака на «Прикарпаттяобленерго».

Реформи сектору кібербезпеки України

В травні 2014 року змінами до закону «Про Державну службу спеціального зв'язку та захисту інформації України» був закріплений офіційний статус команди реагування на кіберзагрози в Україні CERT-UA. Раніше команда працювала при держслужбі на громадських засадах. Штат CERT-UA на той час становив 10 чоловік, керівником був Іван Соколов, існували наміри розширити команду[8][9].

Санкції проти російських розробників «антивірусів»

У вересні 2015 року після затвердження Президентом України вступило в силу рішення РНБО від 2 вересня 2015 року «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)». Згідно з рішенням, санкції вводяться строком на один рік і стосуються осіб та компаній причетних до анексії Криму і агресії на Донбасі. До переліку санкційних компаній потрапили і російські розробники антивірусного програмного забезпечення «Доктор Веб» і «Лабораторія Касперського». Даним рішенням державним органам влади було заборонено закуповувати ПЗ цих розробників. Головна причина — створення реальних або потенційних загроз національним інтересам, безпеці, суверенітету і територіальної цілісності, сприяння терористичній діяльності та/або діяльність що призвела до окупації території України[10]. А вже 25 вересня 2015 року Кабінет Міністрів України доручив Державній службі спеціального зв'язку та захисту інформації заборонити придбання, оновлення та використання в органах державної влади програмного забезпечення «Лабораторії Касперського»[11].

Стратегія кібербезпеки України

16 березня 2016 року Президент України Петро Порошенко підписав указ, яким увів в дію рішення Ради національної безпеки і оборони України від 27 січня «Про Стратегію кібербезпеки України». У концепції зазначається: «Економічна, науково-технічна, інформаційна сфера, сфера державного управління, оборонно-промисловий і транспортний комплекси, інфраструктура електронних комунікацій, сектор безпеки і оборони України стають все більш уразливими для розвідувально-підривної діяльності іноземних спецслужб у кіберпросторі. Цьому сприяє широка, подекуди домінуюча, присутність в інформаційній інфраструктурі України організацій, груп, осіб, які прямо чи опосередковано пов'язані з Російською Федерацією»[12].

Національний координаційний центр кібербезпеки

Указом № 242 від 7 червня 2016 року Президент України Петро Порошенко створив Національний координаційний центр кібербезпеки й призначив його керівником секретаря Ради національної безпеки й оборони Олександра Турчинова. На центр покладена відповідальність за аналіз стану кібербезпеки, готовності до протидії кіберзагрозам, фінансового й організаційного забезпечення програм і заходів із забезпечення кібербезпеки, прогнозування й виявлення потенційних і реальних погроз у сфері кібербезпеки, участь в організації й проведення міжнаціональних і міжвідомчих кібернавчань і тренінгів[13][14].

Блокування російських інтернет-сервісів в Україні

Наказом № 133/2017 від 15 травня 2017 року, Президент України Петро Порошенко ввів у дію рішення РНБО України від 28 квітня 2017 року «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)», яким заборонив інтернет-провайдерам надавати послуги з доступу користувачам мережі інтернет до низки російських інформаційних ресурсів та порталів, зокрема, й соціальних мереж ВКонтакте і Одноклассники. Також доступ був обмежений до порталів Mail.ru, Яндекс, російських компаній розробників-антивірусів «Лабораторія Касперського» і «Доктор Веб». Заблоковано доступ до сайту «Кинопоиск»[15][16].

Трастовий фонд НАТО

Трастовий фонд НАТО зі сприяння Україні в розбудові національної спроможності з кібернетичного захисту (далі — ТФ НАТО) започатковано рішенням Саміту НАТО у вересні 2014 року. Альянс визначив Румунію країною-лідером Фонду з боку НАТО. Інтереси української сторони представляє СБ України[17].

Станом на 1 липня 2017 року технічне обладнання та програмне забезпечення, передбачені для поставки в Україну у рамках першого етапу програми Трастового Фонду знаходяться в Україні (на базі СБ України, МЗС України і Держспецзв'язку) та проходять інтеграцію у загальну інфраструктуру Національної системи кібербезпеки відповідно до проекту. Результатом спільної роботи українських та румунських експертів стало створення в СБУ та Держспецзв'язку Ситуаційних центрів реагування на комп'ютерні загрози. Вони дозволять забезпечити аналіз інцидентів безпеки на об'єктах критичної інфраструктури та застосовувати першочергові заходи протидії[17].

Рішенням Координаційної ради Трастового фонду (липень 2017 року) українською стороною схвалено рішення про подальший напрямок розбудови національної системи кібербезпеки з урахуванням можливостей Трастового фонду, а саме:[17]

  • підвищення технічних можливостей України у сфері кібербезпеки об'єктів критичної інфраструктури шляхом їх оснащення автоматизованими датчиками подій та підключення до національної мережі ситуаційних центрів Держспецзв'язку та СБ України;
  • створення Центрів кібернетичної безпеки у системі Збройних Сил України та Національної поліції з їх подальшим інтегруванням у Національну мережу ситуаційних центрів.

26 січня 2018 року Служба безпеки України відкрила Ситуаційний центр забезпечення кібербезпеки створений на базі Департаменту контррозвідувального захисту інтересів держави в галузі інформаційної безпеки СБУ. Технічне обладнання і програмне забезпечення для роботи Центру було отримане СБУ в 2017 році в рамках виконання першого етапу Угоди про реалізацію трастового фонду Україна-НАТО з питань кібербезпеки[18].

Загрози кібербезпеці та заходи з їх нейтралізації

31 серпня 2017 року Президент Петро Порошенко підписав Указ № 254/2017, яким увів у дію рішення Ради національної безпеки і оборони України від 10 липня 2017 року «Про стан виконання рішення Ради національної безпеки і оборони України від 29 грудня 2016 року „Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації“, введеного в дію Указом Президента України від 13 лютого 2017 року № 32»[19].

Згідно з Указом, Уряд у тримісячний строк має врегулювати питання щодо заборони державним органам та підприємствам державної форми власності закуповувати послуги з доступу до інтернету у операторів телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації[20].

Також Кабінет міністрів має запровадити в рамках розвитку державно-приватного партнерства механізм залучення фізичних і юридичних осіб на умовах аутсорсингу до виконання завдань кіберзахисту державних електронних інформаційних ресурсів[20].

СБУ має підготувати та подати на розгляд парламенту законопроект щодо розмежування кримінальної відповідальності за злочини у сфері використання комп'ютерів і комп'ютерних мереж, вчинені щодо державних та інших інформаційних ресурсів, щодо об'єктів критичної інформаційної інфраструктури та інших об'єктів, а також відповідного розмежування підслідності[20].

Держспецзв'язку разом із Нацполіцією мають невідкладно активізувати співпрацю із закордонними партнерами щодо протидії кібератакам на критичну інформаційну інфраструктуру, проведення розслідувань таких кібератак, установлення причин і умов, що сприяли їх вчиненню, а також щодо залучення міжнародної технічної допомоги для забезпечення кіберзахисту державних електронних інформаційних ресурсів, об'єктів критичної інформаційної інфраструктури[20].

Протягом 2017 року, Уряд має забезпечити фінансування видатків на проектування захищеного центру обробки даних для розміщення державних електронних інформаційних ресурсів; вжити заходів щодо створення Національного центру оперативно-технічного управління мережами телекомунікацій України та забезпечення його функціонування; забезпечити безумовне виконання державними органами законодавства у сфері технічного захисту інформації, а також оперативно реагувати в установленому порядку на виявлені порушення[20].

Також рекомендовано НБУ за участю Держспецзв'язку та СБУ невідкладно вжити заходів, спрямованих на удосконалення кіберзахисту системно важливих банків України[20].

Уряд також повинен опрацювати питання щодо визначення Держспецзвя'зку органом, відповідальним за збереження резервних копій інформації та відомостей державних електронних інформресурсів, а також щодо встановлення порядку передачі, збереження і доступу до цих копій[20].

7 жовтня 2021 року, у рамках опанування кібердоменом збройного протиборства започатковано проєкт створення кібервійськ у системі МО України. Про це, під час брифінгу про стан та перспективи цифрової трансформації, оснащення Збройних Сил високотехнологічним озброєнням та військовою технікою, повідомив заступника Генерального директора – керівника експертної групи планування та впровадження політик Директорату політики цифрової трансформації та інформаційної безпеки у сфері оборони Міністерства оборони України полковник Сергій Галушко[21].

Ситуаційний центр забезпечення кібербезпеки

26 січня 2018 року Служба безпеки України відкрила Ситуаційний центр забезпечення кібербезпеки створений на базі Департаменту контррозвідувального захисту інтересів держави в галузі інформаційної безпеки СБУ. У 2017 році СБУ отримала технічне обладнання і програмне забезпечення для роботи Центру в рамках виконання першого етапу Угоди про реалізацію трастового фонду Україна-НАТО з питань кібербезпеки[18].

Ключовими відділами Центру стануть система виявлення і реагування на кіберінціденти і лабораторія комп'ютерної криміналістики. Вони дозволять попереджати кібератаки, встановлювати їх походження і аналізувати для вдосконалення протидії. За підтримки міжнародної спільноти в Україні буде створено мережу ситуаційних центрів кібербезпеки, базовим з яких стане київський[18].

Важливою особливістю роботи ситуаційного центру буде його відкритість для співробітництва з усіма суб'єктами забезпечення кібербезпеки: установами, організаціями, підприємствами та профільними фахівцями. За словами СБУ центр готовий надавати необхідний захист не тільки об'єктам критичної інфраструктури, державним установам і підприємствам — будь-який представник великого, середнього і навіть малого бізнесу може звернутись в центр за консультаціями і допомогою[18].

Кібератаки

Операція «Змія»

Дослідники британської фірми BAE Systems Applied Intelligence зафіксували в 2013—2014 роках сплеск виявлених випадків зараження інформаційних систем приватних підприємств та державних установ України комп'ютерним хробакомруткітом), який вони назвали «Змія» (англ. snake). Дослідники з німецької фірми GData назвали цього хробака «уроборос», англ. uroborus (також англ. ouroborus гадюка в грецькій міфології, або англ. sengoku та англ. snark). На думку дослідників обох фірм, цей хробак можливо пов'язаний та був створений на основі хробака Agent.BTZ, який в 2008 році вразив інформаційні системи Центрального Командування ЗС США[1][22][23].

Пік виявлення атак із використанням хробака «уроборос» збігся з розвитком масових протестів. Протягом січня 2014 року було зафіксовано 22 випадки інфікування інформаційних систем, при цьому протягом 2013 року «уроборос» був виявлений не більше 8 разів. В Україні зловмисники із застосуванням «уроборос» отримували повний доступ до вражених систем. На думку британських експертів, є всі підстави вважати, що за «уроборос» стоять спецслужби Російської Федерації[24].

Атака на «Вибори»

«Картинка Яроша» в репортажі російських пропагандистів
Зовнішні відеофайли
1 канал рос.ТВ сделал Яроша лидером выборов Президента Украины (рос.) (відеосюжет 1 каналу Росії). 5 канал, опубліковано 25.05.2014

Під час дочасних Президентських виборів в Україні 2014 фахівцями CERT-UA було знешкоджено атаки на автоматизовану систему «Вибори»[25].

21 травня 2014 року зловмисники з угрупування КіберБеркут здійснили успішну кібератаку на інформаційну систему «Вибори» Центральної виборчої комісії України. Їм вдалось вивести з ладу ключові мережеві вузли корпоративної мережі та інші компоненти інформаційної системи ЦВК. Майже 20 годин поспіль програмне забезпечення, яке мало показувати поточні результати підрахунку голосів, не працювало як слід. В день виборів, 25 травня, за 12 хвилин до закриття виборчих дільниць (19:48 EET), зловмисники розмістили «картинку Яроша» на серверах ЦВК[26].

Увечері 25 травня фахівцями CERT-UA було отримано інформацію про те, що на російських телеканалах анонсували новину про нібито виграш Дмитра Яроша на «президентських перегонах». З метою підтвердження цієї інформації на російському ТБ була продемонстровано картинку, яку в мережі вже назвали як «Картинка Яроша». 25 травня, о 20:16:56 було зафіксоване перше звернення до вебсайту ЦВК виключно за IP-адресою внутрішнього веб-сервера з вказівкою в GET-запиті повного шляху до картинки «result.jpg» з IP-адреси 195.230.85.129. Ця адреса входить до діапазону IP-адрес телеканалу ОРТ[27].

В результаті атаки «Перший канал» російського телебачення повідомив своїм глядачам про те, що найбільшу кількість голосів виборців в першому турі на виборах президента України набрав лідер «Правого сектора» Дмитро Ярош. Про це йшлося у випуску вечірніх новин, присвяченому позачерговим виборам президента України. Ведуча повідомила, що незважаючи на дані екзит-полів, які свідчать про перемогу Петра Порошенка в першому турі, на сайті ЦВК з'явилася «дивна картинка» (так звана «Картинка Яроша»). За їхньою інформацією, Дмитро Ярош набрав 37,13 % голосів виборців, натомість за фаворита Петра Порошенка проголосувало лише 29,63 %[28].

Рано вранці наступного дня, 26 травня, сервери системи «Вибори», які приймали та обробляли дані про підрахунок голосів, зазнали розподіленої DoS-атаки, та були не доступні в проміжку між 1-3 годинами ранку[29].

Окрім інформаційної системи ЦВК, кібератак зазнали інші організації, які мали дуже віддалений зв'язок до виборів, жертвою міг стати сайт, який містив сторінку зі словом «вибори». Однак, більшість атак проти таких сайтів відрізнялись низьким рівнем технічної реалізації. Натомість, атака проти ЦВК відрізнялась високою складністю та технологічністю. За словами Миколи Коваля, тогочасного голови CERT-UA, атака на інформаційну систему ЦВК стала однією з найскладніших кібератак, які йому тоді довелось розслідувати[26].

І хоча відповідальність за атаки взяло на себе угрупування начебто хактивістів КіберБеркут, Микола Коваль припускає, що велика складність атаки може свідчити про те, що за нею стояли підрозділи іншої держави. Також в мережі ЦВК було виявлене шкідливе програмне забезпечення, яке пов'язують з угрупуванням APT28/Sofacy Group[26].

Опитані американською газетою Christian Science Monitor фахівці з комп'ютерної безпеки назвали атаку на інформаційною систему «Вибори» надзвичайно небезпечною, а також попередженням на майбутнє про вразливість комп'ютерних систем, залучених у виборчий процес[29]. Можливість зриву виборів, або маніпуляція результатами виборів, набула нової ваги під час виборів Президента США 2016 року після успішної кібератаки проти Демократичної партії[30][31].

Атаки на енергетичні компанії України

23 грудня 2015 року сталась перша у світі підтверджена атака, спрямована на виведення з ладу енергосистеми: російським зловмисникам вдалось успішно атакувати комп'ютерні системи управління в диспетчерській «Прикарпаттяобленерго», було вимкнено близько 30 підстанцій, близько 230 тисяч мешканців залишались без світла протягом однієї-шести годин. Атака відбувалась із використанням троянської програми BlackEnergy[2].

Водночас синхронних атак зазнали «Чернівціобленерго» та «Київобленерго», але з меншими наслідками. За інформацією одного з обленерго, підключення зловмисників до його інформаційних мереж відбувалося з підмереж глобальної мережі Internet, що належать провайдерам в Російській Федерації[32].

Загалом кібератака мала комплексний характер та складалась щонайменше з таких складових:[32]

  • попереднє зараження мереж за допомогою підроблених листів електронної пошти з використанням методів соціальної інженерії;
  • захоплення управління АСДУ з виконанням операцій вимикань на підстанціях;
  • виведення з ладу елементів ІТ-інфраструктури (джерела безперебійного живлення, модеми, RTU, комутатори);
  • знищення інформації на серверах та робочих станціях (утилітою KillDisk);
  • атака на телефонні номери кол-центрів, з метою відмови в обслуговуванні знеструмлених абонентів.

Перерва в електропостачанні склала від 1 до 3,5 годин. Загальний недовідпуск — 73 МВт·год (0.015 % від добового обсягу споживання України)[32].

Наступна кібератака сталась вночі з суботи на неділю, 17 на 18 грудня 2016 року: на підстанції «Північна» стався збій в автоматиці управління, через що споживачі північної частини правого берегу Києва та прилеглих районів області залишились без струму. Несправності були усунуті протягом 1 години 15 хвилин. Основною версією стала кібератака — зовнішнє втручання через мережі передачі даних[33]. Оператор підстанції, компанія «Укренерго» спочатку не стала підтверджувати кібератаку, проте залучені до розслідування фахівці з комп'ютерної безпеки підтвердили, що збій стався внаслідок кібератаки. Проміжні результати розслідування були представлені фахівцями Олексієм Ясінським від компанії Information Systems Security Partners (Україна) та Мариною Кротофіл від Honeywell Industrial Cyber Security Lab 10 січня 2017 року на конференції S4 у Флориді, США. Однак, нападники не стали завдавати істотної шкоди, натомість дана атака мала послужити «демонстрацією сили». Як і у попередніх випадках, дана атака була частиною масштабнішої фішингової операції проти державних установ України[34].

Операція «9 травня»

Українські хакери кіберальянсу анонімних груп FalconsFlame та Trinity з 00:00 9 травня 2016 року провели операцію #OpMay9, у рамках якої здійснили не менше 9 успішних зломів сайтів терористичної організації «ДНР», а також російських сайтів агресивної антиукраїнської пропаганди й ресурсів російських приватних військових компаній (ПВК), що діють під протекцією ФСБ РФ в Україні та Сирії.

На зламаних сайтах хакери залишили хештеги #OpMay9 #оп9Травня, а також по 3 коротких відео про Другу світову війну і внесок українського народу в перемогу над нацизмом[35].

Перед тим, 29 квітня 2016 року, ті самі групи хакерів припинили існування популярного сайту російських пропагандистів, який позиціював себе як мережеве інформаційне агентство «Anna News». Альянс хакерських груп Falcons Flame та Trinity записав відеозвернення і розмістив його на сайті після повного знищення інформації (статей, баз даних і бекапів). У відео також був згаданий мем «Львівське метро»[36].

Окрім зламу пропагандистських сайтів, групи хакерів спільно з волонтерами групи InformNapalm змогли знайти докази застосування російськими терористами сучасних засобів РЕБ у війні на сході України, зокрема Р-330Ж «Житель»[37].

Операція «Прикормка»

У травні 2016 року компанія ESET (з головним офісом в Братиславі) оприлюднила доповідь за результатами проведеного аудиту, в якому викрила компанію кібершпигунства українських хакерів (ймовірно афілійованих зі спецслужбами) за інформаційними системами маріонеткових утворень російських терористів на окупованому сході України. Доповідь була підготовлена вихідцем з Росії, випускником Південно-Уральського державного університету (Челябінськ, Росія) Антоном Черепановим. Автор дослідження виступив з доповіддю на форумі Positive Hack Days, який проходив 17-18 травня в Москві[38].

У третьому кварталі 2015 року спеціалісти ESET виявили раніше невідоме модульне сімейство шкідливих програм — Prikormka. Подальші дослідження показали, що дана загроза почала поширюватися щонайменше з 2008 року. За період активності найбільше шкідливих програм зафіксовано в Україні. Тривалий час Prikormka залишалася непоміченою через відносно низьке співвідношення загроз до 2015 року. Однак у 2015 році кількість цього небезпечного програмного забезпечення суттєво зросла[39].

Основним способом інфікування, який був визначений спеціалістами ESET в ході дослідження, стало поширення фішингових електронних листів з прикріпленими шкідливими файлами або з посиланнями для завантаження небезпечного файлу, розміщеного на віддаленому сервері. Після відкриття замаскованого небезпечного вкладення, Prikormka відображає документ-приманку для обману та відволікання уваги потенційної жертви, яка очікує безпосередньо відкриття документу, не підозрюючи про загрозу. Цей метод спрацьовує у випадках, коли користувачі не є технічно обізнаними та не дотримуються правил безпеки під час роботи за комп'ютером[39].

Зловмисники використовують прийоми соціальної інженерії для переконання жертви відкрити шкідливе вкладення, серед яких використання провокативних та привабливих назв вкладень електронної пошти. Приклади таких назв:[38]

  • Нацгвардейцы со шприцами сделали из донецкого мальчика мишень для ракет.exe
  • Последнее обращение командира бригады 'Призрак' Мозгового Алексея Борисовича к солдатам и офицерам ДНР и ЛНР.scr
  • Места дислокации ВСУ в зоне проведения АТО.scr

Також були виявлені ознаки, що операція «Прикормка» була спрямована і на інформаційні системи «Правого сектора» та інших організацій[38].

Слід зазначити, що антивірус розробки ESET досить поширений серед державних установ України, що може створити для компанії можливості отримувати доступ до інформації в цих системах[38].

Злам «Першого каналу»

На початку червня 2016 року волонтери команди Інформнапалм повідомили про успішний злам корпоративного сервера російського «Першого каналу» українським кібер-альянсом хакерів FalconsFlame, Trinity та Рух8. Операція почалася 25 травня, а перші результати з'явилися 5 червня. Внаслідок злому було опубліковано анкетні дані всіх співробітників «Першого каналу». Крім цього, з'явилась можливість зламати особисті поштові скриньки і хмарні сховища співробітників[40].

Першим російським пропагандистом, інформацію про якого розкрили активісти, став журналіст Сергій Зенін. Було з'ясовано, що російський пропагандист звертався за консультаціями до компанії ESET Russia при створенні проекту з головним завданням «Показати, як далеко зайшли США у своїй уявній боротьбі з тероризмом і наскільки небезпечні ігри АНБ із цифровими технологіями». В червні 2014 року відбулось перше відрядження Зеніна на захоплений російськими терористами Донбас. Отримав «акредитацію» в «ДНР» під номером 116[41].

Також було з'ясовано, що Зенін обговорював з журналістом московського офісу Reuters Антоном Звєрєвим (акредитація в «ДНР» під номером 232) різні версії збиття Боїнгу малайзійських авіаліній. При чому Звєрєв наводив уривки інтерв'ю з російськими бойовиками, з яких можна було дізнатись про надання Росією установки ЗРК «Бук», її маршрут, приблизне місце пуску ракети[42].

Паралізування роботи Держказначейства України

6 грудня 2016 року хакерська атака на урядові сайти (Держказначейства України та інших) і на внутрішні мережі держорганів призвела до масштабних затримок бюджетних виплат.[43][44] Вже 7 грудня (досить оперативно, як для державних органів) Кабмін виділив 80 млн гривень для захисту від хакерів.[44] Для виведення з ладу серверів використовувався вірус KillDisk. Атака відбувалась із використанням троянської програми BlackEnergy, тої самої, що і в атаці на Прикарпаттяобленерго.

Компрометація ArtOS

У грудні 2016 року фахівці фірми CrowdStrike оприлюднили результати власного дослідження зразків програми Попр-Д30.apt розробленої капітаном 55-ї окремої артилерійської бригади Ярославом Шерстюком десь в проміжку між 20 лютого та 13 квітня 2013 року. 28 квітня того ж року обліковий запис соціальної мережі ВКонтакті з ідентичним іменем став поширювати цю програму зі своєї сторінки «рос. Програмное обеспечение современного боя». Як запобіжник неконтрольованому розповсюдженню, після завантаження та встановлення програми користувач мав звернутись до розробника за ключем для розблокування її роботи[45][46].

При цьому, ймовірно, йдеться про програму ArtOS або його попередника — калькулятора артилерійських поправок. Програмно-апаратний комплекс із використанням цієї програми дозволяє скоротити час, потрібний на ідентифікацію та враження об'єкту в чотири рази — до двох хвилин. Крім того, комплекс здатен розв'язувати до 70 % тактичних та бойових завдань, які постають перед артилеристами[47][48].

Вже 21 грудня 2014 року було вперше помічено на українському військовому інтернет-форумі файл установки програми скомпрометований імплантатом X-Agent. Швидше за все, скомпрометований варіант був створений в проміжку між кінцем квітня 2013-початком грудня 2014 року — саме тоді, коли політична криза переросла у російсько-українську війну з анексією Криму та бойовими діями на сході України[45].

Імплантат (троянець) X-Agent не мав деструктивних функцій, проте міг бути використаний для викрадення інформації із адресної книжки смартфона, вмісту SMS-повідомлень, журналу дзвінків, тощо. Зокрема, зловмисники мали можливість із його допомогою встановити місце знаходження (координати) зараженого пристрою[45].

Відповідальність за операцію дослідники покладають на угрупування APT28 (також відоме як Fancy Bear, Sofacy Group).

Значення

Дослідники не змогли встановити точну кількість заражених пристроїв та наслідки цієї операції:[45] невідомо, чи були випадки виходу в інтернет з планшетів під час бойових дій, наскільки масовою була програма з інтернету, адже оригінальне ПЗ було поширене у закритий спосіб, тощо. Цілком може бути, що сам факт існування скомпрометованого варіанту програми ворожа сторона використовує для ускладнення використання важливої та ефективної артилерійської програми на планшетах ЗСУ, або навіть як чергову компанію «зради» для деморалізації супротивника[49].

Слід зазначити, що дослідження CrowdStrike було оприлюднене на тлі палких дискусій про вплив російських спецслужб на перебіг виборчої кампанії в США. Тому, навіть попри відсутність чітких доказів безпосереднього зв'язку між цією кібершпигунською операцією та бойовими втратами українських військових, на думку американських дослідників даний епізод важливий тим, що дозволяє стверджувати про прямі зв'язки між хакерами, які зламали системи Демократичної партії, та Головним розвідувальним управлінням ГШ РФ[50].

Соціальні мережі

Конфлікт відбувався і в інтернет-службах соціальних мереж.

Зокрема, окремі дослідження вказують, що вдалими маніпуляціями можливо впливати на громадську думку, а також викрадати приватну інформацію важливих осіб[51][52]. Російські силові відомства заздалегідь готувались до можливих конфліктів у соціальних мережах: так, наприклад, російський пропагандистський ресурс RT іще в 2012 році повідомляв про виділення Службою зовнішньої розвідки Російської Федерації близько $1 млн на створення трьох систем для спостереження за соціальними мережами та впливу на них. Система «Диспут» мала відстежувати поширення інформації в блогосфері, зокрема, виявляти популярні записи та авторів. Система «Монітор-3» покликана допомагати збирати дані для OSINT-розвідки. Система «Шторм-12» має сприяти поширенню інформацію та впливати на суспільну думку[52].

Принаймні з 2013 року була створена організація для впливу на суспільну думку, яка стала широко відомо як «тролі з Ольгіна». Вже в 2014 році ольгінські тролі стали активно працювати на формування на Заході суспільної думки необхідної кремлівському режиму. Навіть через два роки після початку війни, в 2016 році, була виявлена мережа ботів у соцмережах, які поширювали в інтернеті заклики до насилля проти української влади та заклики виходити на «Третій Майдан»[53].

Російські провладні Інтернет-ЗМІ та відповідні активісти в соціальних мережах показали дуже високу активність напередодні та під час анексії Криму. Низка російських сайтів, що займаються постійним інформаційно-психологічним протиборством на українському напрямі активно висвітлювали події, що відбуваються, розміщували публікації із неперевіреною та неправдивою інформацією, здійснювали активне поточне аналітичне коментування ходу подій. Ці новини або повністю формувались редакціями самих видань, або посилались на інформацію «дружніх активістів» в соцмережах. Зокрема, в соцмережі Facebook можна було побачити цілі групи (communities) людей, що свідомо поширювали панічні настрої та неправдиві відомості, які мали на меті створити образ «непереможної російської армії». Варто зазначити, що їх повідомлення в своїх новинних стрічках передруковували і Інтернет-ЗМІ, а подекуди — і більш традиційні ЗМІ[54].

Залучення платних тролів, мереж ботів, створення сайтів з викривленими «новинами» стало невід'ємною частиною російської пропаганди, оскільки, як свідчать експерименти, вплив пропаганди на людину тим ефективніший, чим більше джерел надходження інформації, чим більшою підтримкою вона користується серед решти членів спільноти, тощо[55].

Приклад координації деяких російських інтернет-пропагандистів був здобутий альянсом українських хакерів FalconsFlame, Trinity, Рух8 та КиберХунта[56].

Служби соціальних мереж стали інструментом координації не лише російських пропагандистів, а й російських шпигунів на території України, бойовиків з Росії, та загальної організації діяльності терористичних організацій керованих російськими спецслужбами. Завдяки вдалому використанню (серед іншого) методів соціальної інженерії активістам центру «Миротворець» вдалось взяти під контроль обліковий запис російської терористки Олени Гейштерової в соціальній мережі «Однокласники». В результаті проведеної операції «Гейша» були викриті російські шпигуни, бойовики, терористи як в Україні, так і за її межами[57].

Російські підрозділи вторгнення, встановлені в результаті OSINT-розвідки соціальних мереж російських військових активістами групи Інформнапалм

Соціальні мережі стали важливим джерелом інформації для OSINT-розвідки. Серед відомих прикладів — фільм Симона Островського англ. Selfie Soldiers, де на основі оприлюднених в соціальних мережах фотографій простежений шлях кадрового російського військового Бато Домбаєва з Росії на Донбас, під Дебальцево, і назад, до дому[58]. Стали з'являтись осередки волонтерів-активістів (зокрема: Інформнапалм, Bellingcat, та інші), які на основі добутих із соціальних мереж OSINT-даних викривали облуду російської пропаганди, навіть розслідували Збиття Boeing 777 рейсу MH17 біля Донецька.

Блокування російських інтернет-сервісів

Наказом № 133/2017 від 15 травня 2017 року Президент України Петро Порошенко ввів у дію рішення РНБО України від 28 квітня 2017 року «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)» яким заборонив інтернет-провайдерам надавати послуги з доступу користувачам мережі інтернет до низки російських інформаційних ресурсів та порталів, зокрема, й соціальних мереж ВКонтакте і Одноклассники[15][16]. Згідно думки аналітиків, прямий доступ до бази даних соціальних сервісів із надзвичайною легкістю дозволяє російським спецслужбам виявити якнайширший спектр інформації, яку звичайні громадяни і військовослужбовці завантажують до соцмереж.[59][60]

Масова хакерська атака 2017 року

27 червня 2017 року на підприємства різної форми власності та розміру, державні та недержавні установи була здійснена масштабна хакерська атака із використанням комп'ютерного хробака сімейства Petya. Новий зразок шкідливого програмного забезпечення отримав різні назви від різних дослідників, зокрема: Diskcoder.C, ExPetr, PetrWrap, Petya, або NotPetya та інші[61].

На думку дослідників фірми ESET, дана атака була здійснена угрупуванням TeleBots, яке має певні зв'язки з угрупуванням BlackEnergy-«Sandworm», відповідального за кібератаку на енергетичні підприємства України в грудні 2015 року. Попередні атаки цього угрупування були помічені іще в грудні 2016 року, коли проти фінансових компаній та об'єктів критичної інфраструктури України були здійснені атаки з використанням, в тому числі, варіанту програми KillDisk для ОС Linux[61].

Програму KillDisk угрупування використовувало для повного знищення даних. Здирництво ніколи не стояло на порядку денному, ані в першу хвилю атак в грудні 2016 року, ані в другу хвилю того ж місяця, коли до програми було додане повідомлення про сплату викупу у сумі 222 біткоіна (близько $250 тисяч на той час)[61].

В 2017 році атаки угрупування стали зухвалішими та витонченішими: в проміжку між січнем та березнем 2017 року зловмисникам вдалось отримати несанкційований доступ до комп'ютерних мереж українського розробника програмного забезпечення та з використанням VPN-тунелів звідти отримати доступ до комп'ютерних мереж фінансових установ. При атаці угрупування скористалось, серед іншого, бекдором Python/TeleBot.A, який був переписаний з мови Python мовою Rust та використовує Telegram для обміну командами з оператором. Другий бекдор був написаний на VBScript та використовував шлюз Tor з доменним іменем transfinance.com[.]ua та IP-адресою 130.185.250[.]171 для спілкування з оператором. Для горизонтального поширення угрупування скористалось утилітами CredRaptor, модифікованим Mimikatz, та PsExec[61].

Останнім кроком атаки стало шифрування файлів із використанням алгоритмів AES-128 та RSA-1024. Також для серверів під управлінням не Windows, угрупування створило програму Python/Filecoder.R яке шифрувало дані із використанням алгоритмів RSA-2048 та AES-256[61].

18 травня 2017 року розпочалась атака із використанням програми XData (також відома як Win32/Filecoder.AESNI.C). Початковим вектором атаки стала програма M.E.Doc. Хробак XData мав здатність автоматичного поширення із використанням Mimikatz та PsExec. Однак невдовзі зловмисники оприлюднили ключі дешифрування файлів на форумі BleepingComputer, й атака досить швидко зійшла нанівець та не привернула великої уваги[61].

У зв'язку з інцидентом компанія-розробник M.E.Doc впустила офіційну заяву. В ній компанія стверджувала, що поширення вірусу одразу після оновлення їхнього програмного забезпечення є лише випадковим збігом. Розробник M.E.Doc «стежить за безпекою власного коду». Для цього компанія уклала угоди з «великим антивірусними компаніями» та надає їм бінарні файли програм для аналізу й підтвердження безпеки. Розробники запевнили, що так відбувається перед кожним оновленням[62].

Повідомлення, що показується після завершення шифрування головної таблиці файлів файлової системи NTFS

Натомість атака 27 червня 2017 року вже привернула увагу своїм масштабом та наслідками як в Україні так і за кордоном. Початковим вектором зараження новою модифікацією вірусу Petya (також відомий як Diskcoder.C, ExPetr, PetrWrap, або NotPetya) знову став сервер оновлень програми M.E.Doc. Саме завдяки її поширеності та набору методів горизонтального поширення атака набула такого масштабу[61].

Новий хробак використовував три методи для горизонтального поширення:[61]

На відміну від хробака WannaCry цей вірус шукав жертв лише в середині локальних мереж.

Також на відміну від XData новий Petya має значні вади, які або унеможливлюють відновлення зашифрованих даних, або ж значно ускладнюють процес дешифрування. Для шифрування даних були використані алгоритми AES-128 та RSA-2048, а для шифрування таблиць файлів у файловій системі Salsa20[61].

Про наявність проблем з безпекою в системі оновлень M.E.Doc вже було відомо. Також, вже після атаки фахівцям фірми ESET вдалось знайти бекдор у вигляді зашифрованої PHP програми medoc_online.php на цьому сервері[61]. Аналіз інформації вже після атаки, 3 липня, показав, що на сервері було встановлене застаріле програмне забезпечення з численними вразливостями, для якого вже були добре відомі методи атак[63][64]. Начальник Департаменту кіберполіції Національної поліції України полковник Сергій Демедюк в інтерв'ю журналістам Associated Press заявив, що розробникам M.E.Doc «багато разів говорили про це творці антивірусів. Така недбалість може послужити причиною початку кримінального розслідування»[65][66]. Крім всього іншого сервер оновлень upd.me-doc.com.ua (IP адреса 92.60.184[.]55) фізично знаходився у хостинг-провайдера WNet (ТОВ «Дабл-ю нет Україна»), в якого лише на початку червня того ж року Служба безпеки України проводила обшуки та вилучала обладнання через надання компанією телекомунікаційних послуг ФСБ РФ в Криму, Воєнтелеком РФ та псевдодержавним підприємствам зв'язку. За інформацією спецслужби, через незаконну маршрутизацію трафіку до анексованого Криму ФСБ РФ планувало отримати доступ та знімати інформацію з українського сегменту мережі провайдера[67][68].

Існують всі підстави стверджувати, що сервер оновлень M.E.Doc був використаний зловмисниками не лише для атак 18 травня та 27 червня з XData та Petya відповідно. Тим самим шляхом зловмисники мали можливість отримати несанкційований доступ до критично важливих установ: про це свідчить використаний сервер управління з іменем bankstat.kiev[.]ua[61].

Відповідальність за атаку на Росію поклали всі п'ять країн-членів союзу FVEY: Австралія[69], Велика Британія[70], Канада[71], Нова Зеландія[72], Сполучені Штати[3], а також уряди Данії[73] та України[74]. Адміністрація Президента США назвала цю атаку найбільшою хакерською атакою в історії[3].

Bad Rabbit (жовтень 2017)

В жовтні 2017 року сталась доволі масова атака вірусом-хробаком BadRabbit. Спочатку зараження жертв відбувалось через низку скомпрометованих вебсайтів. Дослідники вважають, що за цим вірусом можуть стояти розробники вірусу NotPetya. Дещо згодом голова кіберполіції України Сергій Демедюк заявив, що атака із застосуванням вірусу Bad Rabbit послужила прикриттям для набагато витонченішої атаки на підприємства-користувачів російських програм сімейства .

Справжньою метою атаки було отримання несанкційованого доступу до конфіденційних та фінансових даних. Атака хробаком була лише яскравим прикриттям для відволікання уваги. І попри більше поширення хробака в Росії, друга, прихована, частина атаки служить доказом того, що основною мішенню були українські підприємства. Користувачі ПЗ 1С отримували фішингові листи начебто від імені розробників цієї програми. Всього відомо про 15 підприємств, що постраждали від цієї частини атаки[75].

Псевдозамінування

Протягом 2018—2019 років в Україні зафіксована хвиля масових повідомлень про замінування низки об'єктів: вокзалів, аеропортів, торгових центрів, навчальних закладів, лікарень, урядових установ та інших місць, які передбачають велике скупчення людей. Зокрема у червні 2019 року надійшло 211 електронних повідомлень та викликів про закладення вибухових пристроїв за різними адресами міста. Схожа ситуація відбулася у Харкові, де зафіксовано 42 неправдивих виклики про замінування та м. Київ — 12 викликів[76]. За даними міністерства внутрішніх справ дані повідомлення надходять з території Російської Федерації та ОРДЛО з використанням тимчасових електронних скриньок та інтернет-телефонії[77].

Массові кібербої (січень-лютий 2022)

Атака на українські державні та банківські сайти

Під час російсько-української кризи було атаковано близько 22 державні органи та 70 українських вебсайтів 14 січня 2022 року[78]. На вражених сайтах було розміщено дефейс, у якому було подано текст про засудження українського націоналізму польською, українською та російською мовами. На зображені було джерело атаки, яке вказує на Польщу, однак в тексті польською є суттєві граматичні помилки. Вважається, що це була типова російська хакерська атака з метою залякування та компрометації Польщі[79].

15 лютого 2022 року о 20:21 відбулася подібна DDoS-атака українських сайтів за якою, як вважають українські посадовці, стоїть Росія[80]. Сайти близько 15 банків, а також з доменом gov.ua не працювали 5 годин[81]. Було атаковано сайти «ПриватБанку» та «Ощадбанку», а також Міноборони, Збройних сил та Міністерства з питань реінтеграції тимчасово окупованих територій[82]. На думку міністра Михайла Федорова, 15 лютого відбулася найбільша в історії України кібератака, що коштувала мільйони доларів[83]. Однак на думку деяких експертів вартість цієї атаки не перевищує декілька тисяч доларів[84].

Атака на українські сайти під час вторгнення

23 лютого 2022 року, за день до російського вторгнення в Україну, відбулися чергові атаки на державні та банківські сайти[85]. Приблизно о 16:00, було пошкоджено сайти Верховної Ради, Кабінету Міністрів України та Міністерства закордонних справ, СБУ та інші. Міністерство освіти і науки з метою запобігання кібератаці закрило доступ до свого вебсайту[86]. Посадовці зі США пов'язують атаку з Росією[87]. За даними компанії ESET, атака стала можливою через зараження сотень комп'ютерів вірусом HermeticWiper, який був скомпільований ще 28 грудня 2021 року[88].

24 лютого вночі та вранці під час російського наступу було атаковано сайт Київської ОДА, деякі інші ресурси були відключенні для збереження даних[89]. На сайтах i.ua та meta.ua, за інформацією Державної служби спеціального зв'язку та захисту інформації розсилаються численні електронні листи з фішинговими посиланнями на приватні адреси українських військових та їхніх родичів[90].

Атаки IT-армії України

У відповідь на попередні атаки Михайло Федоров оголосив створення IT-армії, до якої увійдуть спеціалісти різних галузей для блокування дезінформації в Інтернеті, а також для атак на російські сайти[91]. Через декілька годин були атаковані десятки російських банків, державних і новинних сайтів та інших ресурсів. Деякі російські канали почали транслювати українські пісні[92].

1 березня 2022 року українські хакери повідомили про свої дії. Було виведено з ладу критично важливі інформаційні системи окупанта. Попри опір російських кібер військ, завдано значної шкоди інформаційній інфраструктурі.[93] Ще 24 лютого була виведена з ладу розробка "Систематики" — автоматизована система "Вибори", через яку Путін фальсифікував вибори і нечесним шляхом ставав президентом. Були виведені з ладу інші розробки "Систематики" — системи електронного документообігу окупаційної влади на території АР Крим, "ДНР" та "ЛНР". Списки тих, хто підтримував окупацію направили в правохоронні органи. 25 лютого було знищено систему управління Федерального казначейства РФ разом з бекапами. Російська влада замовчує результати атаки і сам факт кібератак з боку України, щоб не руйнувати міф про "непереможність російської армії".[93]

Інше

  • 29 липня 2014 року потужної DDoS-атаки зазнав офіційний сайт Президента України, протягом кількох годин він був недоступний і прес-служба глави держави була змушена розсилати власну інформацію через інформагентства. Відповідальність за атаку взяли на себе хакери з так званої групи «КіберБеркут»[94].

Станом на середину червня 2016 року, СБУ повідомляла, що протягом 2016 року заблоковано низку інформаційних спецоперацій, розроблених російськими спецслужбами у рамках «гібридної війни» проти України. Зокрема:[95]

  • вдалось запобігти спробі масового встановлення у державних органах російських антивірусних програм. Фахівці спецслужби встановили, що російські антивіруси не «помічали» шпигунські програми, розроблені спецслужбами РФ. Завдяки втручанню СБУ використання цих програм у державному секторі заборонено.
  • за зверненням Служби безпеки міжнародні платіжні системи також заблокували дванадцять електронних гаманців, які використовувалися для фінансування терористичних організацій «ДНР/ЛНР».
  • співробітники спецслужби ліквідували низку каналів зв'язку бойовиків «ДНР/ЛНР» із кураторами з російських спецслужб. Спільники терористів, використовуючи спеціалізоване телекомунікаційне обладнання, організували маршрутизацію міжнародного трафіку поза міжнародними центрами комутації. За допомогою ІР-телефонії вони маскували виклик під звичайні місцеві телефонні розмови з підміною оригінального номера абонента.
  • завдяки співпраці з українськими провайдерами та операторами СБУ розробила механізми блокування інформаційних ресурсів, що пропагують сепаратистські ідеї та підтримують терористів з «ДНР/ЛНР». Розпочато двадцять три кримінальні провадження за статтями 109, 110 та 258-3 Кримінального кодексу України. Засуджено чотирнадцять адміністраторів сепаратистських інтернет-спільнот.
  • під час обшуків у «інтернет-спільників» терористів співробітники спецслужби отримали докази збору ними персональних даних, адрес, номерів телефонів представників патріотичних організацій та проукраїнських діячів. Вони пересилали до терористичних організацій відео- та фотоматеріали з детальним описом охорони та слабких місць стратегічних та оборонних об'єктів. За оперативними даними, інформація використовувалася для підготовки диверсій на території мирних регіонів України.
  • співробітники спецслужби встановили факти зламів офіційних сайтів низки обласних державних адміністрацій. За незаконне втручання в роботу інформаційних систем відкрито двадцять п'ять кримінальних проваджень, двом «хакерам» оголошено про підозру, чотирьох — уже засуджено.

30 червня 2017 року, вже після масштабної хакерської атаки із використанням вірусу Petya 27 червня того ж року, Служба безпеки України повідомила, що у період з 25 травня до 6 червня у чіткій взаємодії з іноземними партнерами припинила використання української мережевої інфраструктури для цілеспрямованого розповсюдження з боку спецслужб Російської Федерації шкідливого програмного забезпечення з метою ураження інформаційних мереж об'єктів критичної інфраструктури нашої держави та інших країн світу. За результатами скоординованих процесуальних заходів, спільно з іноземними партнерами припинено розгалужену міжнародну мережеву інфраструктуру, побудовану спецслужбами Росії. За допомогою цієї інфраструктури приховано, з використанням серверного обладнання, у тому числі українського хостингу, здійснювались цільові кібернетичні атаки (так звані АРТ-атаки — Advanced Persistent Threat) та зараження спеціальними видами шкідливих комп'ютерних програм об'єктів критичної інфраструктури України та інших держав[96].

25 травня 2018 року компаія CISCO після спільного дослідження з урядами США та України оприлюднила звіт, згідно якого не менше 500 тисяч роутерів у 50 країнах можуть бути інфікованими російськими хакерами. Ці роутери можуть використовуватись для збору приватної інформації користувачів (зокрема, паролів та даних кредитних карток, що вводяться на сайтах), а також для участі у глобальному ботнеті, який використовується для атак на державні та комерційні установи США та України.[97]

Див. також

Примітки

  1. John E Dunn (7 березня 2014). Invisible Russian cyberweapon stalked US and Ukraine since 2005, new research reveals. Techworld. Процитовано 10 травня 2016.
  2. Кім Зеттер, Wired (17 березня 2016). Хакерська атака Росії на українську енергосистему: як це було. ТЕКСТИ. Процитовано 18 березня 2016.
  3. Statement from the Press Secretary. The White House. 15 лютого 2018.
  4. Мая Яровая (17 березня 2014). Американский адмирал подтвердил, что Россия ведет кибервойну против Украины. AIN.UA. Процитовано 11 травня 2016.
  5. Russian Electronic Warfare in Ukraine: Between Real and Imaginable - Jamestown. Jamestown (амер.). Процитовано 27 травня 2017.
  6. Д. В. Дубов (2014). Розділ 4. Забезпечення національних інтересів України в глобальному та національному кіберпросторах. Кіберпростір як новий вимір геополітичного суперництва Монографія. Київ: Національний інститут стратегічних досліджень. ISBN 978-966-554-240-7.
  7. Jen Weedon, FireEye (2015). Beyond ‘Cyber War’: Russia’s Use of Strategic Cyber Espionage and Information Operations in Ukraine. У Kenneth Geers. Cyber War in Perspective: Russian Aggression against Ukraine. Tallinn: NATO CCD COE Publications. ISBN 978-9949-9544-5-2. Архів оригіналу за 16 серпня 2016. Процитовано 10 травня 2016.
  8. В Украине узаконили кибервойска. АИН. 21 травня 2014 року.
  9. Закон України. Про Державну службу спеціального зв’язку та захисту інформації України. Офіційний сайт ВРУ.
  10. Ольга Мінченко (17 вересня 2015). Україна ввела санкції проти російських розробників антивірусів «Доктор Веб» і «Лабораторія Касперського». Watcher.
  11. Кабмін заборонив органам влади співпрацювати з російською "Лабораторією Касперського". http://ukranews.com/. Українські новини. 25 вересня 2015.
  12. Порошенко затвердив стратегію кібербезпеки України. Газета «День». 16 березня 2016. Процитовано 16 березня 2016.
  13. За кібербезпеку України відповідатиме Турчинов. Тексти. 8 червня 2016.
  14. Указ Президента України №242/2016. Про Національний координаційний центр кібербезпеки.
  15. Порошенко підписав наказ про заборону "Яндекс", "Вконтакте" й "Одноклассники". День. 16 травня, 2017.
  16. Олег Дмитренко (17 Травня 2017). Указ про блокування ВКонтакте, Яндекс та Mail.Ru опубліковано, і він набрав чинності. Watcher.
  17. У СБУ відбулася церемонія завершення першого етапу Трастового фонду НАТО зі сприяння Україні в зміцненні кіберзахисту. CБУ. 4 липня 2017.
  18. Сергей Кулеш (26 січня 2018). СБУ открыла в Киеве Ситуационный центр обеспечения кибербезопасности с системой реагирования на киберинциденты и лабораторией компьютерной криминалистики. ITC.ua.
  19. Президент увів у дію рішення РНБОУ щодо посилення заходів із кібербезпеки держави. 31 серпня 2017 року.
  20. Олег Дмитренко (31 Серпня 2017). Порошенко ввів у дію рішення РНБО щодо кардинального посилення заходів кібербезпеки держави. Watcher.
  21. У системі Міноборони України започатковано проєкт створення кібервійськ.07.10.2021, 15:16
  22. The Snake Campaign. BAE Systems. 2014.
  23. Uroburos. Highly complex espionage software with Russian roots. G Data SecurityLabs. 2014-02.
  24. Майя Яровая (11 березня 2014). Британский эксперт: Россия развязала против Украины кибервойну. AIN.UA. Процитовано 11 травня 2016.
  25. Прес-служба Держспецзв’язку (23 травня 2014). Коментар Держспецзв’язку щодо інциденту в ЦВК. Архів оригіналу за 1 червня 2014. Процитовано 26 травня 2014.
  26. Nikolay Koval (2015). Revolution Hacking. У Kenneth Geers. Cyber War in Perspective: Russian Aggression against Ukraine. Tallinn: NATO CCD COE Publications. ISBN 978-9949-9544-5-2. Архів оригіналу за 16 серпня 2016. Процитовано 10 травня 2016.
  27. Розслідування: Як «Картинка Яроша» потрапила на ОРТ в день виборів. Watcher. 29 травня 2014. Процитовано 22 березня 2016.
  28. "Перший канал" Росії повідомляє, що на виборах президента України перемагає Ярош. iPress.ua. Процитовано 10 серпня 2016.
  29. Mark Clayton (17 червня 2014). CS Monitor Looks at Russia’s Cyber-Attack on Ukraine’s Election System. International Republican Institute. Christian Science Monitor.
  30. Pam Fessler (1 серпня 2016). Hacking An Election: Why It's Not As Far-Fetched As You Might Think. NPR.
  31. Ben Wofford (5 серпня 2016). How to Hack an Election in 7 Minutes. Politico. «With Russia already meddling in 2016, a ragtag group of obsessive tech experts is warning that stealing the ultimate prize—victory on Nov. 8—would be child’s play.»
  32. Міненерговугілля має намір утворити групу за участю представників усіх енергетичних компаній, що входять до сфери управління Міністерства, для вивчення можливостей щодо запобігання несанкціонованому втручанню в роботу енергомереж. Міністерство енергетики та вугільної промисловості України. 12 лютого 2016.
  33. Основной версией недавнего отключения электричества в Киеве названа кибератака хакеров. ITC.ua. 19 грудня 2016.
  34. Kim Zetter (10 січня 2017). The Ukrainian Power Grid Was Hacked Again. Vice Motherboard.
  35. 9 зломів 9 травня: українські хакери успішно провели операцію #OpMay9. InformNapalm.org. 9 травня 2016. Процитовано 11 травня 2016.
  36. Хакери знищили сайт російських пропагандистів «Anna News» і розмістили відеозвернення. InformNapalm.org. 29 квітня 2016. Процитовано 11 травня 2016.
  37. ЗС РФ використовували станцію Р-330Ж у боях за Дебальцеве. Знімки робочого терміналу. InformNapalm.org. 2 травня 2016. Процитовано 11 травня 2016.
  38. Alexey Minakov (1 червня 2016). Антивірусна компанія ESET на службі терористів Донбасу. Інформнапалм.
  39. Антон Черепанов (18 травня 2016). Операція Groundbait («Прикормка»): Аналіз інструментарію спостереження. ESET.
  40. Українські хакери зламали російський “Перший канал”. Інформнапалм. 9 червня 2016.
  41. Злом пропагандистів РФ. Частина 1. Зенін: сприяння терористам, офшори та відпочинок у Європі. Інформнапалм. 6 червня 2016.
  42. Взлом пропагандистов РФ. Часть 2: переписка о МН17. Інформнапалм. 14 червня 2016.
  43. Щодо роботи інформаційно-телекомунікаційної системи Казначейства. Урядовий портал. 6 грудня 2016. Процитовано 11 грудня 2016.
  44. Україна програє кібервійну. Хакери атакують державні фінанси. Економічна правда. 9 грудня 2016. Процитовано 11 грудня 2016.
  45. CROWDSTRIKE GLOBAL INTELLIGENCE TEAM (22 грудня 2016). Use of Fancy Bear Android malware in tracking of Ukrainian field artillery units. CrowdStrike.
  46. Евгения Фаенкова (08.11.2015). Артиллерийская математика. История разработчика Ярослава Шерстюка. Українська Правда. Життя.
  47. Олеся Блащук (04 Мая 2016). ArtOS: в Украине создали программный комплекс управления огнем артиллерии. AIN. Архів оригіналу за 23 грудня 2016. Процитовано 12 січня 2017.
  48. Коваленко Богдана (03-11-2015). Запорожский артиллерист сделал коллегам подарок на миллион. Индустриалка.
  49. Є гіпотеза, що російські хакери за допомогою трояну намагаються відстежити дії української артилерії. Texty.org.ua. 22/12/2016. Процитовано 22/12/2016.
  50. Ellen Nakashima (22 грудня 2016). Cybersecurity firm finds evidence that Russian military unit was behind DNC hack. Washington Post.
  51. Schelling Thomas C. Micromotives and macrobehavior. New York: W.W. Norton and Co.; 1978.
  52. Shakarian, Paulo; Shakarian, Jana; Ruef, Andrew (2013). 9. Losing Trust in Your Friends: Social Network Exploitation. Introduction to cyber-warfare: a multidisciplinary approach. Amsterdam ; Boston: Syngress. ISBN 978-0-12-407814-7.
  53. Московський слід колорадського Жука, або Хто і як готує «Майдан-3». Укрінформ. 21.01.2016
  54. Щодо інформаційно-психологічної складової агресії Російської Федерації проти України (за результатами подій 1-2 березня 2014 року). Національний інститут стратегічних досліджень. Архів оригіналу за 19 серпня 2016. Процитовано 15 липня 2016.
  55. Christopher Paul, Miriam Matthews (2016). The Russian "Firehose of Falsehood" Propaganda Model. Perspectives. RAND Corporation. doi:10.7249/PE198.
  56. Зламана схема координації російських пропагандистів: завдання, оплата, звіти. Інформнапалм. 8 липня 2016.
  57. Роман Зайцев (27 липня 2016). Отчет о проведенной Центром Миротворец спецоперации “Гейша”. PSB-News. Архів оригіналу за 27 липня 2016. Процитовано 28 липня 2016.
  58. Selfie Soldiers: Russia Checks in to Ukraine. Vice. 16 червня 2015.
  59. Andrey Savchenko. www.facebook.com (укр.). Процитовано 19 травня 2017.
  60. Andrey Savchenko. Про блокування соціальних мереж.
  61. Anton Cherepanov, ESET (30 червня 2017). TeleBots are back: Supply-chain attacks against Ukraine. We Live Security.
  62. Павел Красномовец (24 травня 2017). Все, что известно про вирус-вымогатель XData: кто под угрозой и что делать. AIN.
  63. Russell Brandom (July 3, 2017). Ukranian company that spread Petya could face criminal charges for vulnerability. The hack was easier than we thought. The Verge.
  64. Paul McEvatt (30 червня 2017). Petya, Medoc and the delivery of malicious software. Fujitsu Information Security.
  65. Вірус Petya: компанії M.E.Doc загрожує кримінальна справа. Факти.ICTV. 4 липня 2017.
  66. Raphael Satter (4 липня 2017). Official: firm at center of cyberattack knew of problems. Associated Press.
  67. СБУ викрила українського Інтернет-провайдера на незаконній маршрутизації трафіку до Криму в інтересах російських спецслужб (відео). Служба безпеки України. 1 червня 2017.
  68. Інтернет для ФСБ, шпигунство та ігнорування указу Президента: СБУ пояснили обшуки в Wnet. 5 канал. 1 червня 2017.
  69. Australian Government attribution of the ‘NotPetya’ cyber incident to Russia. The Hon Angus Taylor MP. Minister for Law Enforcement and Cybersecurity. 16 лютого 2018. Архів оригіналу за 16 лютого 2018. Процитовано 16 лютого 2018.
  70. Russian military ‘almost certainly’ responsible for destructive 2017 cyber attack. National Cyber Security Centre. 15 лютого 2018.
  71. Greta Bossenmaier (15 лютого 2018). CSE Statement on the NotPetya Malware. Communications Security Establishment.
  72. New Zealand joins international condemnation of NotPetya cyber-attack. Government Communications Security Bureau. 16 лютого 2018.
  73. Claus Hjort: Rusland stod bag cyberangreb mod Mærsk. Berlingske Business. 15 лютого 2018.
  74. СБУ встановила причетність спецслужб РФ до атаки вірусу-вимагача Petya.A. СБУ. 01-07-2017.
  75. Exclusive: Ukraine hit by stealthier phishing attacks during BadRabbit strike Pavel Polityuk, Alessandra Prentice. Reuters. 2 листопада 2017.
  76. МінТОТ — про псевдомінування: поліцію «смикають» кожні 2-3 години
  77. Повідомлення про мінування стали активними, вони надходять з РФ і окупованих територій — МВС
  78. Від кібератаки 14 січня постраждали 22 державних органи. cip.gov.ua. 24 січня 2022. Процитовано 28 лютого 2022.
  79. Шевченко, Лев (14 січня 2022). Розбір | Хакери змогли зламати 70 урядових сайтів, зокрема сайт "Дії". Як це вдалося?. liga.net. Процитовано 28 лютого 2022.
  80. Що відомо про DDoS-атаку на держсайти та банки: пік до 150 Гбіт/с, ймовірно з РФ. AIN.UA (укр.). 16 лютого 2022. Процитовано 28 лютого 2022.
  81. Щодо кібератаки на сайти військових структур та державних банків. cip.gov.ua. 15 лютого 2022. Процитовано 28 лютого 2022.
  82. Що відомо про DDoS-атаку на держсайти та банки: пік до 150 Гбіт/с, ймовірно з РФ. AIN.UA (укр.). 16 лютого 2022. Процитовано 28 лютого 2022.
  83. Михайло Федоров: «Україна змогла відбити найбільшу за всю історію країни кібератаку». thedigital.gov.ua (укр.). Процитовано 28 лютого 2022.
  84. «Ніякої «найпотужнішої кібератаки в історії України» не було». Інтернет-бізнесмени тролять Мінцифри і Міноборони. dev.ua (uk-UA). Процитовано 28 лютого 2022.
  85. Державна служба спеціального зв’язку та захисту інформації України. cip.gov.ua. 15 лютого 2022. Процитовано 28 лютого 2022.
  86. Сайти банків та органів влади зазнали масової DDoS-атаки. www.ukrinform.ua (укр.). Процитовано 28 лютого 2022.
  87. Штати пов’язують останні кібератаки в Україні з діями РФ – Білий дім. www.ukrinform.ua (укр.). Процитовано 28 лютого 2022.
  88. HermeticWiper: New data‑wiping malware hits Ukraine. WeLiveSecurity (амер.). 24 лютого 2022. Процитовано 28 лютого 2022.
  89. Сайт Київської ОДА атакують хакери. www.ukrinform.ua (укр.). Процитовано 28 лютого 2022.
  90. Email-адреси українських військових атакують хакери. www.ukrinform.ua (укр.). Процитовано 28 лютого 2022.
  91. Павлюк, Олег (26 лютого 2022). Україна створює ІТ-армію — Федоров. Суспільне | Новини (укр.). Процитовано 28 лютого 2022.
  92. Павлюк, Олег (26 лютого 2022). Хакери атакували російські сайти і, ймовірно, зламали російські телеканали. Суспільне | Новини (укр.). Процитовано 28 лютого 2022.
  93. Як борються українські кібервійська, УП, 1 березня 2022
  94. Іван СТУПАК (11 серпня 2014). УКРАЇНСЬКА РЕАЛЬНІСТЬ: НЕОГОЛОШЕНА КІБЕРВІЙНА. Народна Армія. Міністерство Оборони України. Архів оригіналу за 10 червня 2016. Процитовано 13 травня 2016.
  95. СБУ заблокувала сотні інформаційних атак російських спецслужб. Служба безпеки України. 17-06-2016.
  96. СБУ припинила розповсюдження шкідливого програмного забезпечення з боку спецслужб РФ. Служба безпеки України. 30 червня 2017.
  97. Більше 500 тисяч роутерів у світі можуть бути заражені російським вірусом. Tokar.ua (uk-UA). 26 травня 2018. Процитовано 28 травня 2018.

Джерела

Про Російсько-українську кібервійну
Соціальні мережі та інтернет-медіа

Посилання

Відео

Документи

  • Доктрина інформаційної безпеки Російської Федерації (рос. Доктрина информационной безопасности Российской Федерации), затверджена 9 вересня 2000 року.
  • Текст наказу № 133/2017 з додатками яким було заблоковано доступ до популярних російських інтернет-порталів
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.