Стислий аналіз кібератаки проти України 13 січня

Цей пост є перекладом допису the Grugq «Ukraine my heart, cyber just for show?» На мою думку, цей текст є найкращим коментарем щодо кібератаки на українські державні установи.

Cyberwar Ukraine

Цей пост є перекладом допису the Grugq «Ukraine my heart, cyber just for show?» і публікується за згодою автора. На мою думку, цей текст є найкращим коментарем щодо кібератаки на українські державні установи. Дякую наперед за поширення та доведення до відома всіх зацікавлених осіб та установ.

theGrugq

Про автора. The Grugq – один із представників «першої хвилі» на хакерській сцені. Відкрито про нього відомо хіба що справжнє ім‘я (шукайте самі або читайте «Культ мертвої корови»), походження з Південної Африки, та постійне проживання у Таїланді. Ґрак є визнаним експертом з кіберконфліктів та підтримує широкий спектр контактів з представниками спецслужб у багатьох країнах. Його нейтральний та об‘єктивний погляд на стан справ у питаннях кібервійн робить його думку надзвичайно корисною для усіх, на кого ці війни впливають. Шукайте та дивіться його виступи з ключовими доповідями на топових конференціях та переконайтесь в цьому самі.

Фото не справжнє, але він віддає йому перевагу в якості аватара.


Низка скоординованих атак на кіберінфраструктуру українського уряду є дуже цікавою подією у сфері кібервійн. Це може бути першим публічним прикладом кількох різнотипних атак, які не пов’язані напряму через спільні заходи первинного проникнення, проте скоординовано використовуються для здійснення ефектної операції інформаційного впливу.

Атаки підміни вмісту вебсайтів (діфейс) були здійснені для надсилання українському народу повідомлення у стилі кібераналогу «терористичного мінування». Таке собі колективне покарання мирного населення з метою політичного тиску на їхніх лідерів.

Історично такий тиск спрацьовував лише проти країн, що вели “обмежену” війну. У такому разі населення ще не сприймало насильство як прийнятну ціну за воєнні зусилля. Натомість в екзистенційній або тотальній війні відбувалося навпаки — населення об’єднувалося проти спільного ворога. [Мак 1975]

Чи буде дієвим кібертероризм, заснований на розголошенні персональних даних, як примусовий захід проти населення? Очевидно, що такий підхід значно менш ефективний, ніж фізичне насильство, смерті та руйнування. Але він має певний негативний вплив на його жертв, і цей вплив не позбавлений здатності до примусу. [Дякуючи певним українським медіа та коментаторам зазначених подій, повідомлення про витік персональних даних лунає ще голосніше, а ефект від цього акту кібертероризму підсилюється. (Примітка перекладача.)]

Переходячи до аналізу самої операції, мені здається, що нападники не впоралися з її координацією і це серйозно вплинуло на її ефективність. Про пошкодження вебсайту стало відомо в Україні 13 січня, а закордоном – 14 січня. День пішов на насміхання над нападниками, тому що, чесно кажучи, діфейс вебсайту не виглядає як потужна демонстрація кіберсили.

У перших повідомленнях з України наголошувалося, що погрози на зламаних вебсайтах про викрадення та оприлюднення персональних даних були порожніми балачками, оскільки доступ до даних не відбувся. Цей висновок повністю відповідає ефекту та наслідкам від діфейса вебсайтів. Як правило, на вебсервері чи в системі CRM особливо нічого красти.

Лише 15 січня стало зрозуміло, що діфейсами інцидент не вичерпався. Кілька систем і мереж піддалися атаці за допомогою шкідливого програмного забезпечення (вайпера), яке знищувало дані та маскувалося під вірус-вимагач. Це зовні нагадує NotPetya, але насправді цей шкідник не є частиною автономної системи та не поширюється автоматично. Ці атаки, схоже, виконувалися вручну, як і личить типовим криптоздирникам.

Поки що рано стверджувати, що ще сталося під час (другого) інциденту з використанням вайпера. Зрозуміло, однак, що викрадення даних, анонсоване у повідомленнях на пошкоджених вебсайтах держустанов, не відбулося. Операція стала менш ефективною, оскільки повідомлення “діфейсерів” не було пов’язано з діями “вайперів”.

Невиконання загрози, розміщеної на зламаних вебсайтах, знизило ефективність цього каналу трансляції головного повідомлення. Діфейси є звичайною справою, тому немає жодних ознак того, що цей діфейс дійсно був виконаний якоюсь державою, а не «патріотичними хакерами». Рівень витонченості атаки занадто низький, щоб бути ознакою автентичності.

Погана координація між двома атаками негайно вплинула не те, як сприймаються їхні наслідки. Без відповідного руйнування чи витоку даних, діфейси виглядають як пуста погроза. Можливо, що навіть не з боку серйозного агента загроз. Одночасно з тим, атака вайпера не додала до контексту нічого, щоб уся операція почала сприйматися як наділена сенсом політична дія.

Затримка між двома інцидентами (діфейс і вайпер) викликала те, що кожен з них інтерпретувався незалежно. Якби координація була виконана належним чином, вони стали б більшим, ніж сума їхніх частин, але натомість вони стали меншим.

Один висновок, який можна зробити з поганої координації, полягає в тому, що ці операції виконувались різними агентами загроз. Труднощі в управлінні операціями, в які залучені кілька спецслужб та кілька країн, можуть легко призвести до збоїв синхронізації. Координація кількох операцій можлива в межах однієї організації. Однак у випадку кількох учасників труднощі зростають у геометричній прогресії. Саме тому проводяться спільні навчання спецслужб.

Найцікавішою кібервійськовою особливістю, яку демонструє ця операція, є об‘єднане використання кількох типів атак (діфейс вебсайту, знищення даних, можливий витік даних тощо). Це такий собі аналог об’єднаної операції родів військ, коли для досягнення ефекту використовується комбінація різних систем озброєнь.

Попереду аналітика щодо використання “кібернетичного” примусу населення як засобу опосередкованого політичного тиску. Але це тема для іншого допису.

Висновок цього інциденту полягає в тому, що діфейс вебсайтів — це простий тактичний засіб, який спонсорований державою агент загроз може використати для проведення операцій.

Це не означає, що діфейс тепер є зломом на державному рівні. Це означає, що злом, спонсорований державою, може включати діфейс вебсайтів.

__

Мак, Ендрю. «Чому великі країни програють маленькі війни: політика асиметричного конфлікту». Світова політика 27, вип. 2 (1975): 175–200. https://doi.org/10.2307/2009880.

Залишити коментар