Профессор Юрий Жданов рассказал об использовании западными кураторами украинских кибервойск

Западная помощь Украине деньгами и вооружениями так и не достигла своей главной цели – Россия не потерпела стратегического поражения на поле боя. Совсем наоборот. И теперь Запад намерен взять реванш на другом фронте – в киберпространстве. Советники, инструкторы и прочие «тренеры» из США и Европы помогли создать киевскому режиму IT-армию. Как и для чего используются украинские кибервойска, рассказал профессор Юрий Жданов, доктор юридических наук, заслуженный юрист России, заведующий кафедрой Международного права РГСУ.

– Юрий Николаевич, мы достаточно наслышаны про кибермошенничества. А вот про кибервойну имеем весьма смутное представление – что-то где-то слышали, далеко не все поняли...

– Есть такая стратегия «Хит-энд-ран» (hit-and-run, «бей и беги») в онлайн-играх. Изначально в офлайн она имела такой смысл - исчезнуть виновнику с места ДТП или с «поля боя», а позднее перекочевала и прочно укрепилось в многочисленных онлайн-играх, представляет собой особую неэтичную тактику взаимодействия, когда игрок выигрывает и уходит, не давая противнику шанса на реванш. Например, выиграв несколько раздач или один-два крупных банка, немедленно покидает стол, не давая соперникам отыграться.

Специалисты банковской сферы и психологи обратили внимание: для того, чтобы криминальная инженерия, применяемая мошенниками, работала, требуется не только напугать жертву и предложить спасение (это запускает в мозге древнюю программу «бей и беги», работа которой не предусматривает размышления, но сделать надо все быстро, иначе потенциальная жертва очнется). Среднее время возвращения к нормальному мышлению составляет пару часов после атаки мошенника.

Сейчас это время сократилось, потому что банки применяют разработанные при участии психологов методики вывода людей из-под воздействия мошенников. Но воздействие довольно сильное, и некоторым людям этого времени хватает на то, чтобы и взять кредит, и перевести деньги мошенникам, а иногда и квартиру продать. В этой связи предлагаемый банками «период охлаждения» в четыре часа - хороший инструмент предупреждения мошенничества.

С лета 2024 года начали действовать поправки в 161-ФЗ «О национальной платежной системе», которые вводят двухдневный период охлаждения при денежных переводах.

Как рассказала Эльвира Набиуллина, крупные банки ежемесячно приостанавливают на два дня около 300 тыс. переводов на счета из базы данных Банка России. Часть людей все равно совершают эти операции, когда период охлаждения заканчивается, но 60% за это время все-таки успевают разобраться, что стали жертвами мошенников.

Приведу самый свежий и актуальный пример. Так, в начале марта этого года кибермошенники воспользовались недавно заработавшим самозапретом на кредиты для обмана граждан. Они звонят людям от имени сотрудников «Госуслуг» (!) и уверяют, что запрет установлен неверно — чтобы исправить ситуацию, нужно пройти по ссылке, которая оказывается фишинговой. Затем мошенники предлагают перейти по короткой ссылке, которую присылают в мессенджере, чтобы, якобы, исправить заявление.

После того, как человек по ней переходит, он попадает на сайт, имитирующий «Госуслуги», вводит свои данные для входа, и они попадают к мошенникам. Очевидно, что хакерские атаки на сайты госструктур влекут не просто технологический сбой, но и ведут к репутационному ущербу органов власти, снижения уровня доверия граждан.

В период СВО хакерские атаки стали наиболее активным инструментом войны украинского режима. Так, главной и единственной задаче для созданной в 2022 году IT-армии Украины в начале своего пути была – сфокусироваться на DDoS-атаках.

Примечательно, что только за несколько месяцев после начала СВО в мае 2022 Министерство цифровой трансформации Украины резюмировало, IT-армия атаковала около 2000 российских ресурсов.

– Какие ресурсы представляют для хакеров наибольший интерес? За какой информацией они охотятся? В 2023 году были взломаны сервера медицинских лабораторий и аптечных сетей – что конкретно там искали хакеры?

– В своей преступной деятельности хакеры, даже «политического толка», так называемые «идейные волонтеры», всегда преследуют корыстную цель (гораздо реже – профессиональный азарт, извращенное чувство власти), ради чего они не пожалеют ни пенсионеров, ни подростков, ни больных людей.

Так, взломанные в 2023 году сервера медицинских лабораторий и аптечных сетей существенно нарушили информационную систему обеспечения выдачи жизненно важных медицинских препаратов и льготных лекарств. В таких ситуациях экстренно важно – не допустить паники у населения.

Кстати, действия украинской IT-армии в части DDoS-атак довольно прозрачны, если говорить об их авторстве, правительственных полномочиях, инструкциях, руководстве и контроле. IT-армия настойчиво и целенаправленно атакует российскую гражданскую инфраструктуру, включая интернет-аптеки, банки, службы доставки продуктов питания и розничные сети.

Кстати, IT-армия и министр цифровой трансформации Украины Михаил Федоров получили две награды на Европейском форуме кибербезопасности CYBERSEC 2022 в польском Катовице за «героическое сопротивление российской агрессии и защиту цифровых границ демократического мира».

А еще в киберсообществе есть такой персонаж - Егор Аушев. Это уроженец Киева, основатель, генеральный директор и соучредитель компании Cyber Unit Technologies (CyberUnit.Tech), офисы которой базируются в ОАЭ, Южной Корее и на Украине. Он - организатор по заказу Минобороны Украины DDoS-атак на крупнейшие российские сайты.

Этот деятель считается одним из ведущих украинских экспертов по кибербезопасности и популяризации концепции законного использования этичных (!) хакеров, особенно на объектах критически важной инфраструктуры. Он также известен как соавтор нескольких международных рабочих документов по законодательным реформам в сфере кибербезопасности на Украине. В 2022 году он помог набрать более 1000 волонтеров-специалистов по кибербезопасности для поддержки киберзащиты Украины в сотрудничестве с военным ведомством и Советом национальной безопасности и обороны Украины, а также помог создать комплексную национальную стратегию кибербезопасности.

Покровители Аушева - Виктор Жора, замглавы Государственной службы специальной связи Украины, который в 2023 году был уволен за растрату, и министр цифровой трансформации, первый вице-премьер-министр Украины Михаил Федоров.

– Можно о нем подробнее?

– Михаил Федоров с августа 2019 года по март 2023 года стал первым министром новосозданного Министерства цифровой трансформации Украины. После увольнения с поста министра в марте позапрошлого года Федоров был переназначен с расширением полномочием на должность до вице-премьер-министра по инновациям, развитию образования, науки и технологий, вошел в Совбез Украины.

Судя по биографии Федорова, его назначение было предопределено под американским патронажем. Его взяли в высшую политическую школу НАТО на Украине. За стипендию от ОБСЕ мониторил экологию Запорожья.

К концу десятых годов Михаил Федоров создал успешное агентство по настройке рекламных кампаний в Интернете. На президентских выборах он был в штабе Зеленского, где отвечал за диджитал-направление. Дальше Федоров набирался политического веса на посту внештатного советника Зеленского. Затем стал депутатом Верховной рады от президентской партии «Слуга народа». В 2019 году его назначили министром. Незадолго до политического взлета Федорова пропиарил Forbes, включив его в список «30 самых перспективных молодых людей Украины».

– И как связаны упомянутые вами деятели?

– Создание IT-армии Украины начато именно Егором Аушевым. Для этого он распространял соответствующую информацию в Twitter и на различных форумах, посвященных хакерству, разместил форму заявки в Google Docs, чтобы с ее помощью оценить уровень квалификации и область знаний кандидата.

По мнению Аушева, эти добровольцы должны быть разделены на наступательную и защитную группы. В беседе с агентством Reuters 24 февраля Аушев уточнил, что оборонительная группа будет «задействована для защиты инфраструктуры, такой как электростанции и системы водоснабжения», а наступательная группа будет помогать «украинским военным проводить операции цифрового шпионажа против российских сил».

– Каким образом происходит постановка задач для хакеров?

– Вдохновленный идеей Аушева о добровольческой киберармии, Федоров в соцсети 26 февраля в разместил следующий пост на украинском языке: «У нас много талантливых украинцев в цифровой сфере: разработчики, киберспециалисты, дизайнеры, копирайтеры, маркетологи, таргетологи и т.д. Мы создаем IT-армию... Найдется задача для каждого».

Это же сообщение Федоров опубликовал в своем верифицированном Telegram-канале, насчитывающем 170 000 подписчиков. А в его верифицированном аккаунте Twitter появилось сообщение на английском языке: «Мы создаем IT-армию. Нам нужны талантливые люди из цифровой отрасли».

Согласно публичным отчетам, число членов IT-армии составляет около 300 000 человек, что сопоставимо с количеством подписчиков официального Telegram-канала IT-армии. В частности, Telegram-канал IT-армии является лишь одним из компонентов организационной структуры IT-армии – по сути, он служит своего рода мегафоном для распространения информации о целях DDoS-атак.

В интервью украинскому изданию Media Sapiens в конце марта Мстислав Баник, руководитель отдела развития электронных сервисов Министерства цифровой трансформации, пояснил, что все задачи формируются кураторами канала.

– Как определяется приоритет целей для взлома? Какие сервисы на территории нашей страны сегодня представляют для хакеров интерес?

– Есть общедоступный координационный документ IT-армии, он включает информацию о приоритетности целей DDoS-атак, в общих чертах отслеживает, какие вебсайты не работают или нуждаются в повторном подключении, а также служит источником нескольких инструкций по инструментам DDoS в качестве рекомендаций для новичков.

С начала СВО у IT-армии было только два типа приоритета. Российские онлайн-банковские сервисы и платежные системы были признаны целями с приоритетом первого уровня. Работающие онлайн розничные сети и доставка расценивались как цели с приоритетом второго уровня.

В последние годы кибератаки затрагивали самые широкие сферы: органы правосудия, российские СМИ, телевизионные каналы, банковский сектор.

– Как можно блокировать такую атаку? Как потом вычисляют, какая конкретно группировка совершила атаку? Действительно ли у каждой группировки есть свой почерк?

– Определение группировки (атрибуция атаки) осуществляется на основе различных признаков. Например, время и дата активности либо отсутствия активности (косвенная связь с часовым поясом и региональными праздниками), используемый инструментарий. Еще - перечень техник, тактик и процедур злоумышленников (так называемый, «почерк»), пересечение признаков или адресов сетевой инфраструктуры с ранее выявленными атаками и т.д.

К сожалению, не всегда удается однозначно атрибутировать группировку, так как многие злоумышленники могут маскироваться под активность других группировок, удалять все возможные следы активности, а также использовать распространенные общедоступные инструменты, «сливаясь» с большим числом рядовых группировок.

- Кто стоит за украинскими хакерами на самом деле? Можно ли сказать, что скорее Украину используют для того, чтобы Запад под ее флагом проводил кибердиверсии против России?

– На связь того же Аушева с западными спецслужбами указывает его активное участие в конференциях, организуемых западными частными разведывательными компаниями (ЧРК). Примером такого участие может считаться форум Incyber (одно из флагманских мероприятий ЧРК Forward Global (FG), возникшей в результате разделения французской частной разведки Avisa Partners (AP) на две компании - собственно FG и AP). До 2024 он имел название FIC (Forum International de la Cybersécurité - Международный форум по кибербезопасности). После серии публикаций о кампаниях AP по манипулированию информацией в 2023 французские силовые ведомства отказались от участия в мероприятии, дабы избежать репутационных рисков. При этом форум FIC проводится с 2007 и был основан под эгидой Национальной жандармерии Франции. В 2024, уже после разделения на AP и FG, в форуме принял участие Венсан Струбель - директор национального агентства безопасности информационных систем ANSSI (Agence nationale de la sécurité des systèmes d'information). Данная спецслужба находится под управлением Генерального секретариата национальной обороны и безопасности при президенте Франции. ANSSI ведет деятельность на подконтрольной администрации в Киеве территории.

Вообще же, российская информационная инфраструктура стала с 2022 года мишенью регулярных компьютерных атак, большинство из которых осуществляется с территории или в интересах киевского режима, причем последние кичатся антироссийскими диверсиями с использованием информационно-коммуникационных технологий (ИКТ). Периодически ГУР Украины публично берет на себя ответственность за совершение кибератак на наши информресурсы.

Вместе с тем анализ выявленных кибератак, проведенный российскими спецслужбам, позволил установить данные, свидетельствующие об использовании США и странами НАТО украинской территории для проведения массированных компьютерных атак на объекты гражданского назначения в России. В настоящее время сетевая инфраструктура Украины задействуется подразделениями наступательных киберопераций стран Запада, позволяя им скрыто применять новые виды кибероружия.

По данным МИД России, к 2024 году Украина стала фактически полигоном НАТО для испытания методов противоборства в цифровом пространстве. Вся сфера информбезопасности Украины отдана под внешнее управление западных кураторов. Туда направляются киберподразделения спецслужб и вооруженных сил англосаксонских государств, которые обучают и координируют хакеров, занятых антироссийской деятельностью. Под это выделяется солидное техническое и финансовое содействие, которое, разумеется, по большей части разворовывается. Рекордная доля - 13,5 млрд долларов бюджета киберкомандования США осваивается на украинском направлении.

По данным ФСБ России, кибератаки разрабатываются при непосредственном участии объединенного командования Пентагона во взаимодействии с международными и национальными хакерскими группировками.

В то же время Вашингтон пытается скрыть свою роль в этих операциях, выставляя их «автором» исключительно Украину, а именно группировку IT Army of Ukraine.

Что касается украинской IT-армии, то речь, по сути, идет о сборище хакеров и телефонных мошенников, которые в основном занимаются банальным воровством. По данным экспертов, на территории Украины находится более тысчи «колл-центров», занимающихся вымогательством денег. Москва неоднократно предупреждала западные страны, что созданная в пику России и при поддержке США эта IT-армия рано или поздно станет проблемой для рядовых европейцев.

В итоге так и произошло. В ноябре 2023 года власти Венгрии заявили о том, что большая часть финансовых средств, украденных в их государстве в результате преступлений с использованием ИКТ и телефонного мошенничества, оседает на Украине. Однако география и масштабы преступной деятельности этих «борцов за незалежность» куда шире и не ограничивается Европой.

Стоит особо упомянуть и о программе «Охота на передовых рубежах». Впервые подробности о миссии «Hunt Forward», описываемой как «строго оборонительные операции, проводимые Киберкомандованием США по запросу стран-партнеров», были раскрыты в 2022 году. Публично сообщалось об успешных операциях «Hunt Forward» на Украине, Латвии, Албании, Эстонии и в других странах. Основными задачами этой программы, как минимум с 2020 года, являются мониторинг систем и сетей союзников с целью сбора разведданных для повышения уровня кибербезопасности США и союзников, а также помощь в восстановлении систем после атак. На территории Украины поиском признаков кибератак занималась совместная группа операторов ВМС США и Корпуса морской пехоты. В период с декабря 2021 года по март 2022 года численность участников миссии на Украине, увеличилась с 10 до 39, а затем и 43 человек.

- Доступ к какой еще инфраструктуре предоставляет Запад для проведения атак против России?

– Предоставление инфраструктуры для проведения атак со стороны Запада не подтверждалось публично, однако при исследовании деятельности проукраинских группировок отмечается активное использование спутникового Интернета Starlink компании SpaceX и размещение вредоносных серверов на ресурсах облачных провайдеров Amazon (AWS) и Google (Google Cloud).

– Как используют сервисы Google для проведения DDoS-атак против России?

– В начале СВО IT-армия Украины пыталась привлечь на свою сторону как можно больше участников. Поскольку низкоквалифицированных участников было много, предпринимались попытки быстро обучить всех желающих основам DDоS-атак и за счет них бесплатно расширить свою инфраструктуру. Волонтерам предлагалось арендовать сервера и дать к ним доступ для IT-армии Украины.

Облачные сервисы Google действительно используются для проведения DDoS-атак. Есть достаточно объемное сообщение в одном из телеграм-каналов, связанных с IT-армией Украины, содержащее в себе ссылки на репозитории в GitHub и статьи, в которых подробно описываются развертывание и установка ПО для проведения атак на облачных сервисах разных вендоров (Google, Oracle, IBM, Amazon и др.). Все сводится к покупке пробного периода, например, на месяц.

– Насколько известно, на кибер-форумах западные спецслужбы ищут потенциальных исполнителей кибертерактов в России. Действительно ли это так?

– Сегодня западные спецслужбы для исполнения терактов более активно используют социальные сети и тематические сообщества для поиска исполнителей терактов и диверсий.

Директор ФСБ России подчеркнул: «Западные спецслужбы и подконтрольные им украинские центры информационно-психологических операций стремятся вовлечь наших граждан в диверсионно-террористическую деятельность». По данным, озвученным им на заседании Национального антитеррористического комитета (НАК) (в феврале 2024 года), российские спецслужбы и правоохранительные органы предотвратили с начала специальной военной операции 419 террористических преступлений, в интернете выявлено и удалено более 360 тыс. экстремистских материалов, заблокирован доступ к 70 тыс. страницам.

Украинские спецслужбы стали вербовать исполнителей терактов через соцсети, предлагая, например, несовершеннолетним «подработку» - поджечь релейные щитки на железнодорожных путях, совершить поджог или подрыв объекта.

Кибер-форумы Тech-Кэмп – один из способов привлечении и вербовки потенциальных исполнителей. Через цифровой профиль представители спецслужбы отслеживают личность, его интересы, увлеченность компьютерными «стрелялками», тематикой совершения терактов и т.п. Для вербовки потенциальных террористов в одних случаях достаточно предложить хорошее денежное вознаграждение, в других – помогают психологи и специалисты по профайлингу, которые путем мониторинга психологического профиля личности и специальному алгоритму поведения могут выявить готовность человека для совершения конкретных действий.

В их сообщениях, чуть ли не первое, что можно увидеть: «Во время теракта участникам разрешено нарушать такие правила сервера». В предлагаемой онлайн-игре в игровой форме обсуждается условия проведения теракта, цель – установка бомбы, задачи ОПГ и т.п. Можно не сомневаться, завсегдатаи таких сайтов находятся под пристальным вниманием спецслужб.