Плани змінилися: що готують російські хакери для України
Сенс кібератак 14 лютого був у тому, аби викликати паніку, спровокувати партизанський рух, і після спроб Заходу допомогти партизанам — звинуватити його в "окупації України". Думка
Нумо ще раз подумаємо, що як і навіщо зробили росіяни 14 січня, бо подібні атаки неминуче выдбуватимуться у майбутньому.
Міністерство цифрової трансформації наполегливо продовжує поширювати брехню про ту атаку: "В інтернеті постійно з'являлися оголошення щодо продажу даних, які нібито отримували під час кібератаки, що відбулася з 13 на 14 січня. основна мета ворога — підірвати довіру до влади фейками про вразливість критичної інформаційної інфраструктури та зливу даних українців".
Офіційна позиція українського уряду полягає в тому, що 14 січня було зламано близько 70 (!) урядових сайтів, включно із практично усіма міністерствами. У внутрішніх системах, не лише на сайтах, було встановлено програми-вайпери для видалення інформації, аби посіяти паніку, але наші хоробрі захисники все полагодили, і тепер Україна має "унікальний досвід".
Якщо у хакерів є доступ до системи, то вони не обмежуватимуться дефейсом. Спершу викачуються дані, а потім проводиться дефейс. Більше того: здійснити дефейс, заздалегідь не скачавши дані, у деяких випадках просто неможливо. Для чого росіяни це зробили?
Практично всі, і на Заході, і в Україні, і в Росії теж були впевнені, що у разі повномасштабного вторгнення, війна одразу перейде в партизанську фазу. Мета РФ легітимізувати вторгнення (наскільки це можливо) та придушити національно-визвольну боротьбу, про підтримку якої заздалегідь заявили країни Заходу. Це означало б, що зброю для партизанів треба доставити в Україну і організовано її роздати всім, кому потрібно. У цьому сценарії до України входить обмежений контингент, суто для логістики. РФ, у свою чергу, заявляє, що це "окупація" та "розподіл України". З цієї причини на дефейсах залишили "польський слід", тому Наришкін продовжував говорити про розподіл України і про "напад з боку Польщі" мало не до червня місяця. Він не божевільний, це частина нездійсненого плану, який нічим було замінити.
Але 14 січня відбувся фальстарт. Чи то дату вторгнення перенесли, чи ГРУ (а Британія та США впевнені в тому, що за атаками стоїть саме військова розвідка) виділили собі цілий місяць на інформаційну операцію. Друга частина, інформаційна, справді полягала в тому, щоб сіяти паніку, але не серед населення, а серед еліти, яка була б здатна організувати опір окупантам. І цей нехитрий факт Мінцифрі намагалися донести західні партнери протягом січня та лютого. Метою зливів даних із Мінцифри, МВС та інших міністерств було змусити чиновників, військових та спецслужбистів повірити в те, що у разі окупації їх швидко знайдуть та "відфільтрують". Зроблено було сяк-так, але російський план, гадаю, полягав саме у цьому.
Згодом на початку лютого вони змогли відновити доступ, використовуючи ДДоС-атаки для відвертання уваги. Якби Мінцифри не займалося порятунком своєї репутації, то зламати повторно ті самі системи у росіян не вийшло б. Але вони їх зламали, і 23 лютого "змогли повторити" початковий план, але цього разу ще погасили систему супутникового зв'язку "Tooway", якою через злиденність (та й без корупції теж напевно не обійшлося) користувалася наша армія.
З російського боку також не все пройшло чітко. Спершу їхня вигадана персона "Vaticano" (з Іоанном другим на аватарці, "Польща" ж) виклала не той дамп. Замість "Дія" виклали шматок даних із лікарні МВС. Переплутали, буває. Після цього їх наступна персона "Free Civilian" почала імітувати "продаж даних". Вони могли на вибір або заперечувати звинувачення у зламі, або зробити загрозу більш вагомою. Вибрали заперечення, що зробило інфо-(не кібер-) частину ще більш недолугою. І потім уже без жодного "продажу" виклали все у відкритий доступ.
Жодних сумнівів у тому, що це були бази порталу "Дія", "кабінету водія", МТСБУ, поліклініки МВС та інших відомств. Повторюся: жодних сумнівів у тому, що це справжні дані — немає. Вони справжні. Їх не можна було б підробити навіть за бажання. І дані, як і раніше, доступні всім бажаючим. Інтернет пам'ятає все.
Жодних сумнівів у тому, що це були бази порталу "Дія", "кабінету водія", МТСБУ, поліклініки МВС та інших відомств. Повторюся: жодних сумнівів у тому, що це справжні дані — немає. Вони справжні. Їх не можна було б підробити навіть за бажання. І дані, як і раніше, доступні всім бажаючим. Інтернет пам'ятає все.
Всупереч поширеній думці, російське ГРУ (воно ж "fancy bear") та ФСБ із СЗР ("cozy bear", "primitive bear") не найстрашніші звірі на кібер-полянці. Їм навіть до багатьох приватних компаній, як пішки до Місяця. Проте свою роботу вони знають, і продовжують довбати Україну щодня, а отже, за кілька місяців вони зможуть відновити ті можливості, які вони спалили в січні-лютому, і атаки повторюватимуться. Жодна USAID і жодні білі хакери з Багкрауда не допоможуть, тому що проблема не в грошах чи фахівцях. Проблема з навченістю, здатністю робити висновки після власних помилок і не повторювати ці помилки. Ось із цим у нас все дуже погано.