Матеріали справи за фактом кібератаки на «Київстар» спрямують на розгляд до міжнародного кримінального суду

Матеріали справи за фактом кібератаки на «Київстар» спрямують на розгляд до міжнародного кримінального суду
Кібервійна з Росією набирає обертів. Якщо у 2020 році було зафіксовано 800 кібератак, то вже другий рік поспіль їх кількість не опускається нижче 4 тисяч.

Деякі з них сильно б’ють по цивільній інфраструктурі, як це було з «Київстаром», а більшість – постійно націлені на системи зв’язку Міноборони і критичну інфраструктуру країни.

Атаки росіян і їх союзників відбивають працівники Департаменту кібербезпеки СБУ. І не лише відбивають, а й проводять власні кібернаступальні операції та здобувають розвідінформацію про ворога.

Третій рік Департамент очолює бригадний генерал Ілля Вітюк.

В інтерв’ю Укрінформу він розповів про допомогу союзників у кібервійні, розкрив структуру і специфіку російських хакерських угрупувань, які працюють у штаті спецслужб, повідомив про розслідування справи за фактом кібератаки на «Київстар», а також про відбиті хакерські атаки на ресурси Міноборони, і відповів на запитання, що робити з месенджером Telegram.

РОСІЯ ГОТУЄТЬСЯ ДО ПЕРШОЇ СВІТОВОЇ КІБЕРВІЙНИ

- Пане Ілле, в одному зі своїх інтерв’ю ви сказали, що у нас триває перша кібервійна. У такому разі – хто у ній союзники, а хто противники? Звісно, окрім Росії, тут все й так зрозуміло…

- Союзники – це наші міжнародні партнери, які підтримують Україну. Основними партнерами є США і Велика Британія. Але є й інші держави з серйозною експертизою у кібернапрямку, наприклад, Нідерланди. Також активно співпрацюємо з країнами Балтії й зі Швецією.

Щодо Росії, то на сьогодні на її боці жодної спецслужби, окрім білоруської, немає. У білорусів є хакерське угруповання «Ghostwriter», яке ми неодноразово фіксували. Але і вони – це не більше одного відсотка від усієї кількості атак. Ми неодноразово їх відбивали і розуміємо, яку інфраструктуру вони використовують.

Наприкінці 2022 року спецслужби Білорусі направляли своїх хакерів на стажування в Росію. У них були спільні навчання, тренування, але вага білорусів у кібервійні незначна.

- Чи відомі вам імена білоруських хакерів, їхніх кураторів? Можете їх назвати?

- Більшу частину імен знаємо, але викривати публічно не варто. СБУ веде активні контррозвідувальні заходи і, у випадку оприлюднення імен, цих співробітників можуть перемістити, вони змінять свої дані, а це завадить нашій роботі. Війна триває, тому не можна розкривати свої козирі (посміхається – ред.).

- Ми знаємо, що Путіна з переобранням привітали президенти Бразилії, Індії, Ірану, Китаю і Північної Кореї. Чи можна вважати, що хакери з цих країн можуть бути потенційними союзниками Росії?

- У кожної з цих країн є свій ворог. Якщо ми візьмемо Північну Корею, то головним ворогом у них є Південна Корея. Туди буде спрямовано їх основний потенціал. Далі йдуть союзники Південної Кореї – це США та інші партнери.

Якщо ми беремо Китай, то він буде дивитися в бік Японії, Тайваню, Австралії, США… Ні для Північної Кореї, ні для Китаю Україна не є пріоритетом. Тому в них немає інтересу робити щось серйозне у нас, у них інший орієнтир.

Крім того, коли ти починаєш працювати по якійсь державі, треба вивчити інфраструктуру, знати мову, розуміти людей. Щоб проникнути кудись, є два основні шляхи. Перший – це експлуатація вразливостей якихось систем, наприклад, Windows чи Linux. Другий, найбільш популярний, це фішинг, тобто закинути лист умовному бухгалтеру, щоб він пройшов за посиланням, а ти отримав доступ до його комп’ютера, потім з нього надіслав шкідливий файл адміністратору, а потім уже рухаєшся собі мережею. Для того, щоб усі ці речі робити, треба знати мову, менталітет, спеціалізуватися на цьому. І навіщо? Ділитися цим з Росією? Ні для Китаю, ні для Північної Кореї в цьому немає сенсу, тому і їхніх хакерів тут наразі немає.

- А як складається співпраця України з кіберрозвідками країн-партнерів? Маю на увазі Об’єднаний центр передових технологій з кібероборони НАТО, Агентство США з питань захисту критичної інфраструктури й Агентство ЄС з мережевої та інформаційної безпеки…

- Досвід у наступальних деструктивних кіберопераціях у світі мають кілька держав, які можна перерахувати на пальцях однієї руки. Максимум, чим займаються спецслужби, це розвідувальними операціями, деструктивних речей вони не роблять. В тому числі це стосується й Об’єднаного центру передових технологій з кібероборони НАТО.

Якщо буде здійснена деструктивна кібератака, це може бути визнано як casus belli й стати приводом для початку війни.

Тому в наступальних операціях усе, чим можуть допомогти партнери, – це надати нам матеріальну допомогу для закупівлі якихось програмних засобів, апаратних комплексів. А безпосередньо в самих операціях партнери участі не беруть, це виключно наші операції.

Стосовно кіберзахисту. Тут, дійсно, партнери з 2014-го року надають нам серйозну підтримку. Це різноманітні тренінги, матеріальна допомога, спільний аналіз тих чи інших атак, що відбулися. З того часу ми пройшли кращі практики кіберзахисту. Але сьогодні ми вже пішли далі й навіть випередили. Кілька місяців тому я зустрічався з одним іноземним посадовцем і він прямо сказав, що вже не знає, чим допомогти, скоріше ми уже можемо поділитися своїм досвідом і знаннями. Сьогодні це позиція абсолютно всіх наших партнерів, тому що такого досвіду, як у нас, ні в кого немає. Єдине, для нашої роботи потрібна матеріально-технічна база. Це те, чим партнери можуть допомогти.

- Давайте поговоримо про російські хакерські угруповання, які пов’язують зі спецслужбами. Можете розповісти про їхню структуру? Кого курує ГРУ, а кого – ФСБ ?

- Хакерські угруповання, або їх ще називають АPТ-групи, діють безпосередньо в штаті спецслужб. Їх структура нам відома.

У Росії в цьому плані лідирують саме ГРУ і ФСБ.

У ГРУ є військові частини, які є спеціальними підрозділами. Наприклад, частина 74455 – це SandWorm, частина 26155 – це АРТ-28.

І таких багато. Кожна з них спеціалізується на конкретних напрямках. SandWorm – на атаках по енергетиці, на телекомі, інтернет-провайдерах, операторах зв’язку. Там є окремі люди, які пишуть шкідливі програмні засоби, рухаються мережею, надсилають фішингові листи тощо.

У ФСБ є «Армагеддон», «Turla», «Dragonfly».

Кожна спецслужба має по дві-три АРТ-групи.

- Говорять, що головним хакером Путіна є такий собі Євген Серебряков...

- Він не головний хакер Путіна. Це один із керівників військової частини ГРУ ГШ, яка є по-суті хакерським угрупованням SandWorm. Тобто це тільки одна із АРТ-груп, яких у російських спецслужб багато.

- Усіх кураторів ви знаєте?

- Значну більшість. У цьому плані в Росії відносно стабільно, кадрові зміни не дуже часто відбуваються, а коли й стаються, то люди на зразок Серебрякова хоч і переміщуються, але так чи інакше у цьому середовищі залишаються. До речі, до військової частини 74455, SandWorm, він проходив службу в частині 26155, АРТ-28.

Хакерські угруповання у Росії постійно розширюються, з’являються нові групи.

- Де вони беруть нових співробітників?

Якщо зараз у нас триває перша кібервійна, то Росія паралельно готується і до першої світової кібервійни

- У Росії запущена, як я це називаю, національна кібернаступальна програма. Вони, окрім того, що набирають і розширюють штат хакерських підрозділів у власних спецслужбах, також здійснюють вербувальну і навчальну кампанії. Офіцери ГРУ і ФСБ відряджені у військові вузи, в яких є ІТ-спеціальності, у цивільні політехнічні університети, де вводяться спеціальні кібернаступальні дисципліни для студентів старших курсів. Їх конкретно навчають, яким чином атакувати об’єкти критичної інфраструктури. Це стосується не лише України. Вивчають специфіку різних країн НАТО, країн Близького Сходу – держав, з якими потенційно Росія планує чи передбачає можливість військових дій. Якщо зараз у нас триває перша кібервійна, то Росія паралельно готується і до першої світової кібервійни! Вони дуже серйозно цим займаються.

На замовлення спецслужб у вузах проводяться науково-дослідні й дослідно-конструкторські роботи. Наприклад, яким чином отримати доступ до документів, як атакувати системи життєзабезпечення в тій чи іншій країні, того чи іншого регіону, яке обладнання використовується на системах логістики, і яким чином можна автоматизувати проникнення до якихось систем. У подальшому формуються списки кращих студентів, яких направляють на роботу безпосередньо до спецслужб, наприклад, до ГРУ. Це робиться, щоб максимально збільшити потенційну кількість і якість кібератак. Для цього і готують професіоналів, які здатні проводити деструктивні кібератаки, направлені на серце ІТ-системи. Також широко використовують профільних спеціалістів в тій чи іншій галузі. Яскравий приклад – атака на «Київстар».

Ми розуміємо, що тут було одне з двох. Або їм допомагали спеціалісти російської компанії «Beeline», адже у них із «Київстаром» інфраструктура побудована за одним принципом, вони фактично ідентичні.

Або є практика, коли у штат беруть ІТ-фахівців з конкретної галузі, які знають, як побудована система, як керувати певними процесами. Ми бачили це по тому, як вони рухалися всередині мережі «Київстар», де роками можна губитися, а вони чітко знали, куди йдуть.

- Відповідальність за атаку на «Київстар» взяло SandWorm?

- СБУ дуже швидко аргументувала, чому це SandWorm. Хоча відповідальність на себе взяла телеграм-група під назвою «Солнцепьок», а у подальшому був репост, здійснений телеграм-каналом «Джокер ДНР». Обидва ресурси вже давно були ідентифіковані нами, як такі, що працюють з російським ГРУ. Вони позиціонують себе як добровільних хакерів-активістів, що допомагають РФ. Насправді це просто легалізація діяльності ГРУ ГШ, такі канали є й у ФСБ.

Окрім цього, ми маємо інші докази – це певний почерк, використання спеціально створених програмних продуктів, інфраструктури, яка використовувалася для викачування файлів.

За всіма цими ознаками ми атрибували атаку саме до SandWorm.

- Як просувається слідство за фактом цієї хакерської атаки?

- У цьому кримінальному провадженні потрібно провести низку експертиз по отриманих збитках, по вражених системах. Адже була знищена інформація з великої кількості фізичних і віртуальних серверів, багато комп’ютерів було повністю витерто.

Крім того, спрямовані відповідні запити до наших міжнародних партнерів і спецслужб для отримання певної інформації.

На основі цих матеріалів у подальшому будуть оголошуватися підозри і направлятиметься обвинувальний вирок до суду. У нашому випадку буде також спрямування матеріалів до Міжнародного кримінального суду.

Є офіційна заява прокурора МКС Каріма Хана, де він говорить, що кібератаки по цивільній інфраструктурі, обленерго, газопостачальних станціях, операторах зв’язку можуть бути визнані воєнними злочинами. Тому ми працюємо, щоб за нашим законодавством оголосити підозри, а у подальшому передати ці справи в МКС. Воєнних злочинців мають судити на міжнародному рівні!

- Кому в даному випадку може бути повідомлено про підозру, якщо враховувати, що хакерські угруповання діють анонімно?

- Ми опрацьовуємо в наших провадженнях повністю всю вертикаль: починаючи від учасника АРТ-групи, її керівника на федеральному рівні, профільного заступника-куратора і директора ФСБ та керівництва Головного управління Генштабу Міністерства оборони РФ. Тому що це військові організації, а не хаотичний броунівський рух. Відповідати за скоєне має не лише конкретний хакер, а й, як мінімум, керівник військової частини і керівництво спецслужби, яка здійснює деструктивну діяльність.

- Тобто, у справі «Київстару» підозри будуть оголошені хакерам SandWorm?

- Так, у кейсі «Київстару» будуть підозри членам угруповання SandWorm, яка є військовою частиною 74455 ГРУ, очільнику цієї військової частини, а також керівництву ГРУ ГШ. Зараз не можу розкривати всі карти.

- У попередні роки були атаки на енергетичну інфраструктуру України, теж порушувалися справи, проводилося слідство… Чи висунули звинувачення конкретним особам?

- Якраз перед широкомасштабним вторгненням, у 2021 році, ми оголосили підозри хакерам з угруповання ФСБ «Армагедон», яке знаходиться в Криму. Це був усього-на-всього другий чи третій кейс у світі, коли державним хакерам за атаки на інфраструктуру давали підозри. До цього це двічі робили у США щодо китайців і росіян. Жодна інша країна підозр саме співробітникам спецслужб, членам АРТ-груп ніколи не оголошувала. Тому що довести процесуально, хто саме і за що відповідає, майже неможливо.

- Як ви це зробили в «Армагедоні»?

- Ми технічно проникли всередину їхньої інфраструктури, в систему внутрішньої ІР-телефонії, слухали їхні переговори. Наприклад, один хакер спілкується з іншим і говорить, що "я зараз «сиджу» в Міністерстві інфраструктури, кладу ШПЗ (шифровані програмні закладки, – ред.) туди-то в таку-то папку". Ми це все слухали, ідентифікували їх по голосу. Довгий час тривала ця операція, і зрештою СБУ оголосила підозри конкретним людям. В іншому випадку довести в рамках кримінального процесу, хто саме сидить за комп’ютером, без якогось інсайдера чи встановленої відеокамери – це на грані фантастики.

- Ці хакери тепер невиїзні?

- Звичайно. Вони подані на всі санкції – європейські, американські. І за напрямком Інтерполу теж працюємо. Згодом, якщо хтось із них спробує виїхати, то буде затриманий.

- Пане Ілле, яка взагалі картина по кібератаках росіян?

- Кібервійна набирає обертів. Я нагадаю, що у 2015-2016 роках у нас були перші деструктивні атаки по об’єктах енергетики. Потім був вірус NotPetya, тривали постійні DDoS-атаки, були спроби проникнень. СБУ все це відбивала і постійно аналізувала.

Росія довго створювала свій кібернаступальний потенціал і почала його проявляти уже після повномасштабного вторгнення.

Наприклад, у 2020-му році ми заблокували 800 кібератак, у 2021-му – 1400, а після початку повномасштабної війни – їх стало вже по 4500 щороку.

Проте іноді важлива не кількість, а якість, і противник працює над цим.

Та СБУ зупинила багато небезпечних спроб проникнути в системи зв’язку наших Збройних Сил і Міністерства оборони.

Ті самі групи, які працювали по «Київстару», намагалися отримати розвідувальну інформацію і знищити наші військові системи. Але ми не дали цього зробити.

- В останньому інтерв’ю голова СБУ Василь Малюк сказав, що з початку війни працівники служби виявили 1700 спроб ворожих технічних проникнень до Сил оборони…

- До речі, цей кейс – був першою офіційно визнаною нашими партнерами кібероборонною операцією, яку здійснила Служба безпеки України за всіма стандартами НАТО.

Це була операція із захисту наших військових систем «Кропива», «Дельта», «Гризельда», «Графіт» та деяких інших. Ми їх вивчали і виявили присутність ворога, тобто хакерів спецслужб РФ. СБУ вичистила їх усі й припинила спроби отримання важливої розвідінформації. А саме ці 1700 ворожих проникнень, про які говорив генерал Малюк – це кількість пристроїв, які могли бути потенційно заражені шкідливим програмним забезпеченням хакерського угруповання SandWorm лише в системі «Кропива». До речі, її намагалися вразити сімома видами унікальних ШПЗ.

Угруповання хакерів працювало на території Донецької області, щоб мати потрібні доступи. Коли когось із наших захисників брали у полон, то забирали в них телефони чи планшети зі встановленими «Кропивою» і «Дельтою», вивчали як працюють ці системи й у подальшому розробляли під них шкідливе програмне забезпечення, щоб проникнути до листувань і документів.

Також у одного ШПЗ була спеціальна мета – отримати конфігурації зі Старлінків. Таким чином вони могли знати точні дані про кількість підʼєднаних до них пристроїв, з’ясувати розташування штабів, орієнтовну кількість осіб у певному місці, а тоді коригувати туди артилерійські чи ракетні удари.

Зараз Збройні сили України та Міністерство оборони – наш пріоритет у кіберзахисті. Співробітники ДКІБ на постійній основі працюють у військових частинах, штабах, їздять на передову, перевіряють пристрої та системи на предмет несанкціонованого втручання. Спроби втручань є постійно.

Однією із загроз є розсилка фішингових повідомлень для зламу месенджерів конкретних військових. Розсилає їх хакерське угруповання «Армагедон». Такі повідомлення йдуть тисячами. Коли їм вдається «зламати» пристрій, то ворог отримує доступ до месенджерів, до комп’ютерів через пошти. Часто це призводить до трагічних наслідків. У ході розслідування однієї з атак, під час якої загинуло понад 30 наших військовослужбовців, ми знайшли, що на один із пристроїв, на якому був месенджер Signal, прийшло повідомлення про конкретну дату і місце шикування військовослужбовців, куди в подальшому й прилетіла ракета.

- Ви маєте на увазі справу за фактом загибелі військових 128 окремої гірсько-штурмової Закарпатської бригади під час обстрілу в Запорізькій області?

- Так. Зараз одна із основних версій, що наведення стало можливим саме через технічне проникнення. Цей випадок наочно показує, наскільки небезпечним є використання кіберзасобів у військових діях.

БЕЗПЕЧНОГО МЕСЕНДЖЕРА НЕ ІСНУЄ

- Останнім часом тривають дискусії стосовно російського месенджера Telegram. Чи варто в Україні його заборонити або певним чином обмежити?


- Сьогодні загальне правило таке, що безпечного месенджера не існує. Є технічні рішення, які дозволяють отримати доступ не лише до Telegram, але й до Signal, Viber та інших. А якщо взяти більш дорожчі й складні технічні рішення, то можна отримати доступ загалом до пристрою, і тоді абсолютно все, що там є, буде у зловмисника. Можна включити мікрофон чи камеру, хоч по якому б месенджеру ви спілкувалися. У нас у СБУ діє одне правило: заборонено пересилати чутливу, службову інформацію будь-якими месенджерами. За це передбачена відповідальність.

Стосовно Telegram-каналів. Дійсно, Telegram активно використовується в дезінформаційних кампаніях Російської Федерації. Є низка вже створених і постійно додаються нові під виглядом українських, які нібито знаються на внутрішній ситуації у провладних кабінетах. Але насправді ці канали є російськими, через них спеціально запускається дезінформація, щоб впливати на наших людей. Але в принципі точно така сама діяльність ведеться і через Facebook, і через Twitter або «Х», як він тепер називається. До речі, нещодавно була публікація, що в Німеччині у соцмережі «Х» викрили, якщо я не помиляюсь, 50 тисяч фейкових ботів, які щоденно продукували 200 тисяч повідомлень про те, як неправильно і небезпечно продовжувати військову підтримку України.

Водночас у Telegram працюють багато проукраїнських патріотичних каналів, які є публічними, тобто їх адміністратори чи власники є відомими. І вони, навпаки, протидіють російській пропаганді.

Небезпечність Telegram в Україні підкреслюється, тому що він популярний саме у нас. Але заблокувати його технічно важко, як і будь-який інший месенджер. Якщо навіть частково й зробити це, то з використанням VPN та інших технологій заборону можна буде обійти.

Навіть у Китаї, де сьогодні побудований так званий Великий китайський фаєрвол, у межах якого заборонені Facebook і Google, через VPN це все обходять. Хоча на побудову цієї інфраструктури витрачаються мільярди. Тобто технічної можливості повністю все заблокувати немає.

- На початку березня стало відомо, що компанія Telegram отримала від української влади перелік «потенційно проблемних» каналів і їх аналізує. Про це розповідав представник платформи Ремі Вонг. Чим закінчилася ця історія?

- У нас із ними постійно йдуть перемовини, я б не хотів розкривати деталі, але певні зрушення у цьому напрямку є. Деякі Telegram-канали в Україні уже заблоковані, якісь можуть бути заблоковані незабаром.

Служба безпеки України спільно з Міністерством цифрової трансформації і Центром протидії дезінформації постійно аналізують медіапростір, виокремлюють небезпечні джерела інформації як в Telegram, так і на інших ресурсах. Ми регулярно зв’язуємося з усіма платформами стосовно блокування або видалення небезпечного контенту. На жаль, є проблема. Жодна з них – ні Telegram, ні Facebook або Meta, ні Google офіційно не представлені в Україні, не мають юридичної особи. Вони не зобов’язані виконувати наші запити, вимоги, навіть рішення суду їх не стосуються, тому що юридично вони не перебувають на нашій території. Ми працюємо над вирішенням цього питання. Служба безпеки подала відповідну ініціативу, щоб усі міжнародні платформи протягом визначеного законом часу відкрили в Україні свої офіційні представництва, а в перспективі також перенесли сюди інфраструктуру, яка обслуговує саме нашу територію. У такому випадку вони будуть зобовʼязані виконувати рішення українського суду.

- Під час аналізу медіапростору з’ясували, які дискредитаційні кампанії найчастіше запускають росіяни?

- Кількість інформаційних атак величезна. Тут працюють усі спецслужби Росії та їхні підрозділи, які займаються агресивною пропагандистською діяльністю, проводять свої ІПСО. Був місяць, коли, за нашими підрахунками, росіяни запустили понад тисячу різноманітних інформаційних атак на різних майданчиках. Що наш Президент уже втік, що Харків і Суми уже взяли, біолабораторії та брудна бомба в Україні, й так далі…

СБУ неодноразово отримувала інформацію про фізичну загрозу життю і здоров’ю своїх співробітників. Їм на пошту часто приходять листи про вербування і з погрозами. Дехто перебуває під охороною.

Постійно відбуваються ІПСО стосовно керівництва держави і командування ЗСУ. Було багато інформаційних атак і спроб зламу акаунтів Валерія Залужного. Як тільки президент призначив головкомом Сирського, ми одразу виявили і блокували десятки фейкових сторінок, що видавали себе за його офіційні акаунти.

Регулярно фіксуємо інформаційні кампанії, які намагаються дискредитувати Службу безпеки. Знаю, що й по мені особисто зараз готується інформатака. Хтось дуже хоче зманіпулювати моїми персональними даними стосовно місця проживання, нерухомості й діяльності моєї дружини, яка є приватним підприємцем, батьків. Хоча я подаю декларацію, яка перевіряється в НАЗК, з бізнесу дружини сплачуються всі податки, тобто вся інформація є прозорою і відкритою для перевірки.

Ще раніше по мені й низці співробітників СБУ були вкиди на сайті під назвою «Берегиня». Це ФСБешний майданчик, де легалізується певна інформація, яку отримують хакери. Там були розміщені наші біографічні дані. Щодо мене – знайшли фотографії ще 2010-2011 років у «ВКонтакте» з моєю дружиною, повиставляли якісь номери телефонів, марки машин, яких у мене ніколи не було.

Такою інформацією дуже просто маніпулювати, щоб спробувати вплинути на когось, проте ми готові й до таких методів ведення війни.

До речі, був у практиці цікавий кейс: коли дискредитуючі документальні матеріали по українських діячах, які ми знаходили, зламуючи пристрої високопосадовців ФСБ, згодом у точно такій же формі поширювали в Україні місцеві лідери громадської думки. Коли ми перевірили цю інформацію, то зрозуміли, що наші активісти були використані ворогом «в темну», навіть не усвідомлюючи цього. Тобто Росія навчилася якісно «запаковувати» будь-які фейкові матеріали, коли бере 5 відсотків фактажу і розбавляє його 95 відсотками інтерпретації та маніпуляцій.

Росія систематично атакує Україну не лише на фронті, а й на інформаційному полі. За день можуть бути десятки атак. СБУ робить усе можливе, щоб ворогу не вдалося розхитати ситуацію всередині країни, але людям треба бути напоготові, вмикати критичне мислення й аналізувати інформацію.

Алла Шершень, Київ
Мультиплатформа відкритих даних Clarity Project