Планы изменились: что готовят русские хакеры для Украины
Суть кибератак 14 февраля была в том, чтобы посеять панику, спровоцировать партизанское движение, и после попыток Запада помочь партизанам — обвинить его в "оккупации Украины". Мнение
Давайте еще раз подумаем, что, как и зачем сделали россияне 14 января. Иначе подобные атаки неизбежно повторятся в будущем.
Министерство цифровой трансформации настойчиво продолжает распространять ложь о той атаке: "В інтернеті постійно з’являлися оголошення щодо продажу даних, нібито отриманих під час кібератаки, що відбулася з 13 на 14 січня. Такі оголошення мали на меті не тільки залякати суспільство, а й дестабілізувати ситуацію в Україні, зупинивши роботу державного сектору. Основна мета ворога — підірвати довіру до влади фейками про вразливість критичної інформаційної інфраструктури та злив даних українців"
Официальная позиция украинского правительства заключается в том, что 14 января было взломано около 70 (!) правительственных сайтов, включая практически все министерства, во внутренних системах, не только на сайтах были установлены программы-вайперы для удаления информации, чтобы посеять панику, но наши бравые защитники все починили, и теперь у Украины есть уникальный опыт о̶т̶м̶о̶р̶о̶з̶и̶т̶ь̶с̶я̶ ̶и̶ ̶п̶р̶и̶т̶в̶о̶р̶и̶т̶ь̶с̶я̶ ̶м̶е̶р̶т̶в̶ы̶м̶ resilience.
Если у хакеров есть доступ к системе, то им совершенно незачем ограничивать себя дефейсом. Сперва выкачиваются данные, а потом проводится дефейс. Более того, провести дефейс предварительно не скачав данные в определенных случаях просто невозможно. Зачем россияне это сделали?
Практически все, и на Западе, и в Украине, и в Росси тоже были уверены в том, что в случае полномасштабного вторжения, война сразу перейдет в партизанскую фазу. Цель РФ легитимизировать вторжение (насколько это возможно) и подавить национально-освободительную борьбу, о поддержке которой заранее заявили страны Запада. Это бы значило, что оружие для партизан нужно доставить в Украину и организованно его раздать всем, кому нужно. В этом сценарии в Украину заходит ограниченный контингент, сугубо для логистики. РФ же заявляет, что это "оккупация" и "раздел Украины". По этой причине на дефейсах был оставлен "польский след", поэтому Нарышкин продолжал говорить о разделе Украины и о "нападении со стороны Польши" чуть ли не до июня месяца. Он не безумен, это часть неосуществившегося плана, который нечем оказалось заменить.
Но 14 января произошел фальстарт. То ли дату вторжения перенесли, то ли ГРУ (а Британия и США уверены в том, что за атаками стоит именно военная разведка) выделили себе целый месяц на информационную операцию. Вторая часть, информационная, действительно заключалась в том, чтобы сеять панику, но не среди населения, а среди элиты, которая была бы способна организовать сопротивление оккупантам. И этот нехитрый факт Минцифры пытались донести западные партнеры весь январь и февраль. Цель сливов данных из Минцифры, МВД и других министерств — заставить чиновников, военных и спецслужбистов поверить в то, что в случае оккупации их быстро найдут и "отфильтруют". Сделано было на тяп-ляп, но российский план, думаю, был именно таков.
Затем в начале февраля они смогли восстановить доступ, используя ДДоС-атаки для отвлечения внимания. Если бы Минцифры не занималось спасением своей репутации, то взломать повторно те же самые системы у россиян не получилось бы. Но они их взломали, и 23 февраля "сумели повторить" первоначальный план, только в этот раз еще погасили систему спутниковой связи "Tooway", которой по бедности (и без коррупции тоже наверное не обошлось) пользовалась наша армия.
С российской стороны тоже не все прошло гладко. Сперва их вымышленная персона "Vaticano" (с Иоанном вторым на аватарке, "Польша" же) выложили не тот дамп. Вместо "Дія" выложили кусок данных из больницы МВД. Перепутали, бывает. После этого, их следующая персона "Free Civilian" начала изображать "продажу данных". Они могли на выбор или отрицать обвинения во взломе или сделать угрозу более весомой. Выбрали отрицание, что добавило бардака в инфо- (не кибер-) части. И потом уже безо всякой "продажи" выложили все в открытый доступ.
Никаких сомнений в том, что это были базы портала "Дія", "кабинета водителя", МТСБУ, поликлиники МВД и прочих ведомств. Повторюсь: ни малейших сомнений в том, что это подлинные данные, — нет. Они настоящие. Их нельзя было бы подделать даже при всем желании. И данные по-прежнему доступны всем желающим. Интернет помнит все.
Никаких сомнений в том, что это были базы портала "Дія", "кабинета водителя", МТСБУ, поликлиники МВД и прочих ведомств. Повторюсь: ни малейших сомнений в том, что это подлинные данные, — нет. Они настоящие. Их нельзя было бы подделать даже при всем желании. И данные по-прежнему доступны всем желающим. Интернет помнит все.
Вопреки распространенному мнению, российское ГРУ (оно же "fancy bear") и ФСБ с СВР ("cozy bear", "primitive bear") не самые страшные звери на кибер-полянке. Им даже до многих частных компаний как пешком до Луны. Тем не менее свою работу они знают, и продолжают долбить по Украине ежедневно, а значит за несколько месяцев они смогут восстановить те возможности, которые они спалили в январе-феврале, и атаки повторятся. Никакой USAID и никакие белые хакеры с Багкрауда тут не помогут, потому что проблема не в деньгах или специалистах. Проблема с *обучаемостью*, способностью извлекать уроки из собственных ошибок и не повторять их. Вот с этим у нас все очень плохо.