Атака на Киевстар, кибервойна, киберразведка и другое – начальник Департамента кибербезопасности СБУ дал развернутое интервью

Киберспециалисты и следователи Службы безопасности Украины собирают доказательную базу на хакеров игру, совершивших атаку на одного из национальных операторов мобильной связи «Киевстар». После проведения всех экспертиз и объявления подозрений материалы этого расследования будут переданы в Международный уголовный суд в Гааге. Об этом сообщил начальник Департамента кибербезопасности СБУ Илья Витюк в интервью информационному агентству "Укринформ".

В настоящее время СБУ установила, что атаку на «Киевстар» реализовала хакерская группировка SandWorm, которая является штатным подразделением российской игры.

Проводится ряд экспертиз по поводу пораженных хакерами систем и нанесенного ущерба. Также спецслужба направила запросы на получение дополнительной информации от международных партнеров.

Илья Витюк подчеркнул, что в рамках уголовного производства ГКИБ прорабатывает всех участников вертикали, причастных к этой атаке.

«Отвечать за содеянное должен не только конкретный хакер, но и, как минимум, руководитель воинской части и руководство спецслужбы, осуществляющей деструктивную деятельность», – заметил руководитель.

В то же время он подчеркнул, что в мире насчитывается всего три кейса, когда объявлялись подозрения хакерам за кибератаки на инфраструктуру. Причем один из них – как раз результат СБУ.

Также Витюк ответил на вопросы, касающиеся кибербезопасности.

– Господин Илья, в одном из своих интервью вы сказали, что у нас идет первая кибервойна. В таком случае – кто в ней союзники, а кто противники? Конечно, кроме России здесь все и так понятно…

– Союзники – это наши международные партнеры, поддерживающие Украину. Основными партнерами являются США и Великобритания. Но есть и другие государства с серьезной экспертизой по кибернаправлению, например, Нидерланды. Также активно сотрудничаем со странами Балтии и Швецией.

Что касается России, то на сегодняшний день на ее стороне никакой спецслужбы, кроме белорусской, нет. У белорусов есть хакерская группировка «Ghostwriter», которую мы неоднократно фиксировали. Но и они – это не больше одного процента от всего количества атак. Мы неоднократно отражали их и понимаем, какую инфраструктуру они используют.

В конце 2022 года спецслужбы Беларуси направляли своих хакеров на стажировку в Россию. У них были совместные учения, тренировки, но вес белорусов в кибервойне незначителен.

– Известны ли вам имена белорусских хакеров, их кураторов? Можете их назвать?

– Большую часть имен знаем, но разоблачать публично не стоит. СБУ ведет активные контрразведывательные мероприятия и в случае обнародования имен этих сотрудников могут переместить, они изменят свои данные, а это помешает нашей работе. Война продолжается, поэтому нельзя раскрывать свои козыри (улыбается – ред.).

– Мы знаем, что путина с переизбранием поздравили президенты Бразилии, Индии, Ирана, Китая и Северной Кореи. Можно ли считать, что хакеры из этих стран могут быть потенциальными союзниками России?

– У каждой из этих стран есть свой враг. Если мы возьмем Северную Корею, то главным врагом у них есть Южная Корея. Туда будет направлен их основной потенциал. Далее следуют союзники Южной Кореи – это США и другие партнеры.

Если мы берем Китай, то он будет смотреть в сторону Японии, Тайваня, Австралии, США… Ни для Северной Кореи, ни для Китая Украина не является приоритетом. Поэтому у них нет интереса делать что-нибудь серьезное у нас, у них другой ориентир.

Кроме того, когда ты начинаешь работать по какому-то государству, нужно выучить инфраструктуру, знать язык, понимать людей. Чтобы проникнуть куда-нибудь, есть два основных пути. Первый – это эксплуатация уязвимостей каких-либо систем, например, Windows или Linux. Второй, наиболее популярный, это фишинг, то есть забросить письмо условному бухгалтеру, чтобы он прошел по ссылке, а ты получил доступ к его компьютеру, потом с него послал вредоносный файл администратору, а потом уже двигаешься себе по сети. Для того чтобы все эти вещи делать, нужно знать язык, менталитет, специализироваться на этом. И зачем? Делиться этим с Россией? Ни для Китая, ни для Северной Кореи в этом нет смысла, поэтому и их хакеров здесь нет.

– А как складывается сотрудничество Украины с киберразведками стран-партнеров? Имею в виду Объединенный центр передовых технологий по киберобороне НАТО, Агентство США по защите критической инфраструктуры и Агентство ЕС по сетевой и информационной безопасности.

– Опыт в наступательных деструктивных кибероперациях в мире имеет несколько государств, которые можно пересчитать по пальцам одной руки. Максимум, чем занимаются спецслужбы, это разведывательными операциями, деструктивных вещей они не делают. В том числе это относится и к Объединенному центру передовых технологий по киберобороне НАТО.

Если будет осуществлена ​​деструктивная кибератака, это может быть признано casus belli и стать поводом для начала войны.

Поэтому в наступательных операциях все, чем могут помочь партнеры, – это оказать нам материальную помощь для закупки программных средств, аппаратных комплексов. А непосредственно в самих операциях партнеры не участвуют, это исключительно наши операции.

Что касается киберзащиты. Здесь действительно партнеры с 2014-го года оказывают нам серьезную поддержку. Это разнообразные тренинги, материальная помощь, совместный анализ произошедших атак. С тех пор мы прошли лучшие практики киберзащиты. Но сегодня мы пошли дальше и даже опередили. Несколько месяцев назад я встречался с одним иностранным должностным лицом и он прямо сказал, что уже не знает, чем помочь, скорее мы уже можем поделиться своим опытом и знаниями. Сегодня это позиция абсолютно всех наших партнеров, потому что такого опыта, как у нас, ни у кого нет. Единственное, для нашей работы необходима материально-техническая база. Это то, чем партнеры могут помочь.

– Давайте поговорим о российских хакерских группировках, которые связывают со спецслужбами. Можете рассказать об их структуре? Кого курирует ГРУ, а кого – ФСБ?

– Хакерские группировки, или их еще называют АPT-группы, действуют непосредственно в штате спецслужб. Их структура нам известна.

В России в этом плане лидируют именно ГРУ и ФСБ.

В ГРУ есть воинские части, являющиеся специальными подразделениями. Например, часть 74455 – это SandWorm, часть 26155 – это АРТ-28.

И таковых много. Каждая из них специализируется на конкретных направлениях. SandWorm – на атаках по энергетике, телекому, интернет-провайдерам, операторам связи. Там есть отдельные люди, которые пишут вредоносные программные средства, двигаются по сети, присылают фишинговые письма и т.д.

В ФСБ есть "Армагеддон", "Turla", "Dragonfly".

Каждая спецслужба имеет две-три АРТ-группы.

– Говорят, что главным хакером путина является Евгений Серебряков…

– Он не главный хакер путина. Это один из руководителей воинской части ГРУ ГШ, которая, по сути, является хакерской группировкой SandWorm. То есть, это только одна из АРТ-групп, которых у российских спецслужб много.

– Всех кураторов вы знаете?

– Значительное большинство. В этом плане в России относительно стабильно, кадровые изменения не очень часто происходят, а если и случаются, то люди по типу Серебрякова хоть и перемещаются, но так или иначе в этой среде остаются. Кстати, в воинскую часть 74455, SandWorm, он проходил службу в части 26155, АРТ-28.

Хакерские группировки в России постоянно расширяются, появляются новые группы.

– Где они берут новых сотрудников?

– В России запущена, как я это называю, национальная кибернаступательная программа. Они кроме того, что набирают и расширяют штат хакерских подразделений в собственных спецслужбах, также осуществляют вербовочную и учебную кампании. Офицеры ГРУ и ФСБ отправлены в военные вузы, в которых есть ИТ-специальности, в гражданские политехнические университеты, где вводятся специальные киберпреступные дисциплины для студентов старших курсов. Их конкретно учат, каким образом атаковать объекты критической инфраструктуры. Это касается не только Украины. Изучают специфику разных стран НАТО, стран Ближнего Востока – государств, с которыми потенциально Россия планирует или предусматривает возможность военных действий. Если сейчас у нас идет первая кибервойна, то Россия параллельно готовится и к первой мировой кибервойне! Они очень серьезно этим занимаются.

По заказу спецслужб в вузах производятся научно-исследовательские и опытно-конструкторские работы. Например, как получить доступ к документам, как атаковать системы жизнеобеспечения в той или иной стране, того или иного региона, какое оборудование используется на системах логистики, и как можно автоматизировать проникновение в какие-то системы. В дальнейшем формируются списки лучших студентов, направляемых на работу непосредственно в спецслужбы, например, в ГРУ. Это делается, чтобы максимально увеличить потенциальное количество и качество кибератак. Для этого и готовят профессионалов, способных проводить деструктивные кибератаки, направленные на сердце ИТ-системы. Также широко используются профильные специалисты в той или иной отрасли. Яркий пример – атака на «Киевстар».

Мы понимаем, что здесь было одно из двух. Или им помогали специалисты российской компании Beeline, ведь у них с Киевстаром инфраструктура построена по одному принципу, они фактически идентичны.

Или есть практика, когда в штат берут ИТ-специалистов из конкретной отрасли, знающих, как построена система, как управлять определенными процессами. Мы видели это после того, как они двигались внутри сети «Киевстар», где годами можно теряться, а они четко знали, куда идут.

– Ответственность за атаку на «Киевстар» взяло SandWorm?

– СБУ очень быстро аргументировала, почему это SandWorm. Хотя ответственность на себя взяла телеграмма-группа под названием «Солнцепек», а в дальнейшем был репост, осуществленный телеграмм-каналом «Джокер ДНР». Оба ресурса уже давно были идентифицированы нами, как работающие с российским ГРУ. Они позиционируют себя как добровольных хакеров-активистов, помогающих РФ. На самом деле это просто легализация деятельности ГРУ ГШ, такие каналы есть и в ФСБ.

Кроме того, у нас есть другие доказательства – это определенный почерк, использование специально созданных программных продуктов, инфраструктуры, которая использовалась для скачивания файлов.

По всем этим признакам мы атаковали именно к SandWorm.

– Как продвигается следствие по факту этой хакерской атаки?

– В этом уголовном производстве нужно провести ряд экспертиз по полученным убыткам, по пораженным системам. Ведь была уничтожена информация с большого количества физических и виртуальных серверов, многие компьютеры были полностью вытерты.

Кроме того, направлены соответствующие запросы нашим международным партнерам и спецслужбам для получения определенной информации.

На основе этих материалов в дальнейшем будут оглашаться подозрения и будет направляться обвинительный приговор в суд. В нашем случае будет также направление материалов в Международный уголовный суд.

Есть официальное заявление прокурора МКС Карима Хана, где он говорит, что кибератаки по гражданской инфраструктуре, облэнерго, газоснабжающим станциям, операторам связи могут быть признаны военными преступлениями. Поэтому мы работаем, чтобы по нашему законодательству объявить подозрения, а в дальнейшем передать эти дела в МКС. Военных преступников должны судить на международном уровне!

– Кому в данном случае может быть поставлено в известность о подозрении, если учитывать, что хакерские группировки действуют анонимно?

– Мы прорабатываем в наших производствах полностью всю вертикаль: начиная от участника АРТ-группы, ее руководителя на федеральном уровне, профильного заместителя-куратора и директора ФСБ и руководства Главного управления Генштаба Министерства обороны РФ. Потому что это военные организации, а не хаотическое броуновское движение. Отвечать за содеянное должен не только конкретный хакер, но и как минимум руководитель воинской части и руководство спецслужбы, осуществляющей деструктивную деятельность.

– То есть в деле «Киевстара» подозрения будут объявлены хакерам SandWorm?

– Так, в кейсе «Киевстара» будут подозрения членам группировки SandWorm, являющейся воинской частью 74455 ГРУ, руководителю этой воинской части, а также руководству ГРУ ГШ. Сейчас не могу вскрывать все карты.

– В предыдущие годы были атаки на энергетическую инфраструктуру Украины, тоже возбуждались дела, проводилось следствие… Выдвинули ли обвинения конкретным лицам?

– Как раз перед широкомасштабным вторжением, в 2021 году, мы объявили подозрения хакерам из группировки ФСБ «Армагедон», которая находится в Крыму. Это был всего-навсего второй или третий кейс в мире, когда государственным хакерам за атаки на инфраструктуру давали подозрения. До этого это дважды делали в США в отношении китайцев и россиян. Никакая другая страна подозрений именно сотрудникам спецслужб, членам АРТ-групп никогда не объявляла. Потому что доказать процессуально, кто именно и за что отвечает, почти невозможно.

– Как вы это сделали в «Армагедоне»?

– Мы технически проникли внутрь их инфраструктуры, в систему внутренней IP-телефонии, слушали их переговоры. Например, один хакер общается с другим и говорит, что "я сейчас "сижу" в Министерстве инфраструктуры, кладу ШПЗ (шифрованные программные закладки - ред.) туда-то в такую-то папку". Мы все это слушали, идентифицировали их по голосу. Долгое время шла операция, и в конце концов СБУ объявила подозрения конкретным людям. В противном случае доказать в рамках уголовного процесса, кто именно сидит за компьютером, без какого-либо инсайдера или установленной видеокамеры – это на грани фантастики.

– Эти хакеры теперь невыездные?

– Конечно. Они поданы на все санкции – европейские, американские. И по направлению Интерпола тоже работаем. Впоследствии, если кто-нибудь из них попытается уехать, то будет задержан.

– Господин Илья, какая вообще картина по кибератакам россиян?

– Кибервойна набирает обороты. Я напомню, что в 2015-2016 у нас были первые деструктивные атаки по объектам энергетики. Затем последовал вирус NotPetya, продолжались постоянные DDoS-атаки, были попытки проникновений. СБУ все это отражала и постоянно анализировала.

Россия долго создавала свой кибернаступательный потенциал и начала его проявлять уже после полномасштабного вторжения.

Например, в 2020 году мы заблокировали 800 кибератак, в 2021-м – 1400, а после начала полномасштабной войны – их стало уже по 4500 ежегодно.

Однако иногда важно не количество, а качество и противник работает над этим.

Однако СБУ остановила много опасных попыток проникнуть в системы связи наших Вооруженных Сил и Министерства обороны.

Те же группы, которые работали по «Киевстару», пытались получить разведывательную информацию и уничтожить наши военные системы. Но мы не дали этого сделать.

– В последнем интервью глава СБУ Василий Малюк сказал, что с начала войны работники службы обнаружили 1700 попыток враждебных технических проникновений в Сил обороны…

– Кстати, этот кейс – была первой официально признанной нашими партнерами кибероборонной операцией, которую осуществила Служба безопасности Украины по всем стандартам НАТО.

Это была операция по защите наших военных систем "Кропива", "Дельта", "Гризельда", "Графит" и некоторых других. Мы их изучали и обнаружили присутствие врага, то есть хакеров спецслужб РФ. СБУ вычистила их все и пресекла попытки получения важной развединформации. А именно эти 1700 враждебных проникновений, о которых говорил генерал Малюк – это количество устройств, которые могли быть потенциально заражены вредоносным программным обеспечением хакерской группировки SandWorm только в системе Крапива. Кстати, ее пытались поразить семью видами уникальных ШПЗ.

Группировка хакеров работала на территории Донецкой области, чтобы иметь необходимые доступы. Когда кого-то из наших защитников брали в плен, то забирали у них телефоны или планшеты с установленными «Кропивою» и «Дельтой», изучали, как работают эти системы и в дальнейшем разрабатывали под них вредоносное программное обеспечение, чтобы проникнуть в переписки и документы.

Также у одного ШПЗ была специальная цель – получить конфигурации из Старлинков. Таким образом, они могли знать точные данные о количестве подключенных к ним устройств, выяснить расположение штабов, ориентировочное количество лиц в определенном месте, а затем корректировать туда артиллерийские или ракетные удары.

В настоящее время Вооруженные силы Украины и Министерство обороны – наш приоритет в киберзащите. Сотрудники ГКИБ на постоянной основе работают в воинских частях, штабах, ездят на передовую, проверяют устройства и системы на предмет несанкционированного вмешательства. Попытки вмешательств постоянно.

Одна из угроз - рассылка фишинговых сообщений для взлома мессенджеров конкретных военных. Рассылает их хакерская группировка "Армагедон". Такие сообщения уходят тысячами. Когда им удается «взломать» устройство, враг получает доступ к мессенджерам, к компьютерам через почты. Зачастую это приводит к трагическим последствиям. В ходе расследования одной из атак, в ходе которой погибли более 30 наших военнослужащих, мы нашли, что на одно из устройств, на котором был мессенджер Signal, пришло сообщение о конкретной дате и месте построения военнослужащих, куда в дальнейшем и прилетела ракета.

– Вы имеете в виду дело по факту гибели военных 128 отдельной горно-штурмовой Закарпатской бригады во время обстрела в Запорожской области?

– Да. Сейчас одна из основных версий, что наведение стало возможно именно из-за технического проникновения. Этот случай наглядно показывает, насколько опасно использование киберсредств в военных действиях.

БЕЗОПАСНОГО МЕСЕНДЖЕРА НЕ СУЩЕСТВУЕТ

– В последнее время продолжаются дискуссии по поводу российского мессенджера Telegram. Следует ли в Украине его запретить или определенным образом ограничить?

– Сегодня общее правило таково, что безопасного мессенджера не существует. Есть технические решения, позволяющие получить доступ не только к Telegram, но и к Signal, Viber и другим. А если взять более дорогие и сложные технические решения, то можно получить доступ в целом к ​​устройству, и тогда все, что там есть, будет у злоумышленника. Можно включить микрофон или камеру, по какому бы мессенджеру вы ни общались. У нас в СБУ действует одно правило: запрещено пересылать чувствительную, служебную информацию любыми мессенджерами. За это предусмотрена ответственность.

Что касается Telegram-каналов. Действительно, Telegram активно используется в дезинформационных кампаниях Российской Федерации. Есть ряд уже созданных и постоянно добавляются новые под видом украинских, якобы разбирающихся в внутренней ситуации в провластных кабинетах. Но на самом деле эти каналы русские, через них специально запускается дезинформация, чтобы влиять на наших людей. Но в принципе точно такая же деятельность ведется и через Facebook, и через Twitter или Х, как он теперь называется. Кстати, недавно была публикация, что в Германии в соцсети «Х» разоблачили, если я не ошибаюсь, 50 тысяч фейковых ботов, ежедневно продуцировавших 200 тысяч сообщений о том, как неправильно и опасно продолжать военную поддержку Украины.

В то же время в Telegram работают многие проукраинские патриотические каналы, которые являются публичными, то есть их администраторы или владельцы известны. И они, напротив, противодействуют российской пропаганде.

Опасность Telegram в Украине подчеркивается, потому что он популярен именно у нас. Но заблокировать его технически тяжело, как и любой другой мессенджер. Если даже частично и это сделать, то с использованием VPN и других технологий запрет можно будет обойти.

Даже в Китае, где сегодня построен так называемый Великий китайский файерволл, в рамках которого запрещены Facebook и Google, через VPN это все обходят. Хотя на строительство этой инфраструктуры тратятся миллиарды. То есть технической возможности все полностью заблокировать нет.

– В начале марта стало известно, что компания Telegram получила от украинских властей перечень «потенциально проблемных» каналов и их анализирует. Об этом рассказывал представитель платформы Реми Вонг. Чем кончилась эта история?

– У нас с ними постоянно идут переговоры, я бы не хотел раскрывать детали, но определенные сдвиги в этом направлении есть. Некоторые Telegram-каналы в Украине уже заблокированы, некоторые могут быть заблокированы в скором времени.

Служба безопасности Украины совместно с Министерством цифровой трансформации и Центром противодействия дезинформации постоянно анализируют медиапространство, выделяют опасные источники информации как в Telegram, так и других ресурсах. Мы регулярно связываемся со всеми платформами по блокированию или удалению опасного контента. К сожалению, есть проблема. Ни одна из них – ни Telegram, ни Facebook или Meta, ни Google официально не представлены в Украине, не имеют юридического лица. Они не обязаны выполнять наши запросы, требования, даже решения суда их не касаются, потому что они юридически не находятся на нашей территории. Мы работаем над решением этого вопроса. Служба безопасности подала соответствующую инициативу, чтобы все международные платформы в течение определенного законом времени открыли в Украине свои официальные представительства, а в перспективе также перенесли сюда инфраструктуру, обслуживающую нашу территорию. В таком случае, они будут обязаны выполнять решения украинского суда.

– При анализе медиапространства выяснили, какие дискредитационные кампании чаще всего запускают россияне?

– Количество информационных атак огромно. Здесь работают все спецслужбы России и их подразделения, занимающиеся агрессивной пропагандистской деятельностью, проводят свои ИПСО. Был месяц, когда, по нашим подсчетам, россияне запустили более тысячи различных информационных атак на разных площадках. Что наш Президент уже сбежал, что Харьков и Сумы уже взяли, биолаборатории и грязная бомба в Украине и так далее…

СБУ неоднократно получала информацию о физической угрозе жизни и здоровью своих сотрудников. Им на почту часто приходят письма о вербовке и с угрозами. Некоторые находятся под охраной.

Постоянно проходят ИПСО в отношении руководства государства и командования ВСУ. Было много информационных атак и попыток взлома аккаунтов Валерия Залужного. Как только президент назначил главкомом Сырского, мы сразу обнаружили и блокировали десятки фейковых страниц, выдававших себя за его официальные аккаунты.

Регулярно фиксируем информационные кампании, пытающиеся дискредитировать Службу безопасности. Знаю, что и по мне лично сейчас готовится информатака. Кто-то очень хочет манипулировать моими персональными данными относительно места жительства, недвижимости и деятельности моей жены, являющейся частным предпринимателем, родителей. Хотя я подаю декларацию, которая проверяется в НАПК, с бизнеса жены уплачиваются все налоги, то есть вся информация прозрачна и открыта для проверки.

Еще раньше по мне и ряду сотрудников СБУ были вбросы на сайте под названием «Берегиня». Это ФСБешняя площадка, где легализуется определенная информация, получаемая хакерами. Там были размещены биографические данные. Что касается меня – нашли фотографии еще 2010-2011 годов во «ВКонтакте» с моей женой, выставили какие-то номера телефонов, марки машин, которых у меня никогда не было.

Такой информацией очень просто манипулировать, чтобы попытаться повлиять на кого-то, однако мы готовы к таким методам ведения войны.

Кстати, был в практике интересный кейс: когда дискредитирующие документальные материалы по украинским деятелям, которые мы находили, взламывая устройства чиновников ФСБ, впоследствии в такой же форме распространяли в Украине местные лидеры общественного мнения. Когда мы проверили эту информацию, поняли, что наши активисты были использованы врагом «в темную», даже не осознавая этого. То есть Россия научилась качественно «упаковывать» любые фейковые материалы, когда берет 5 процентов фактажа и разбавляет его 95 процентами интерпретации и манипуляций.

Россия систематически атакует Украину не только на фронте, но и информационном поле. В день могут быть десятки атак. СБУ делает все возможное, чтобы врагу не удалось расшатать ситуацию внутри страны, но людям нужно быть начеку, включать критическое мышление и анализировать информацию.

Напомним, 12 декабря оператор мобильной связи "Киевстар" стал объектом мощной кибератаки.

По данному факту СБУ открыла уголовное производство. Одной из версий следствия была названа причастность российских спецслужб.