Російські кібервійська — сплав криміналітету і спецслужб
Хакерська атака на найбільшого телеком-оператора в Україні "Київстар", що сталася наприкінці 2023 року, змусила знову пригадати, що Росія веде проти нашої держави гібридну війну, і кіберспростір — таке ж поле бою, просто менш публічне.
Які можливості нашкодити Україні мають російські хакери? Що ще вони можуть "покласти", окрім мобільного зв’язку? Чому небезпечно користуватися месенджером Telegram і додатком "ДіЯ", та чи можливо запровадити електронні повістки? На ці запитання в інтерв’ю "Телеграфу" відповів експерт з кібербезпеки, колишній керівник підрозділу по боротьбі з кіберзлочинністю в СБУ Костянтин Корсун.
— Костянтине, що сталося з "Київстаром"? Експерти зазначають, що програмні продукти для внутрішніх систем обліку компанії писала російська фірма. Зважаючи на такі російські зв’язки, успішна хакерська атака на "Київстар" була лише питанням часу?
— Ну, я б не був таким фаталістом. Не можна сказати, що це була невідворотна подія. Компанія дбала про кібербезпеку, але все одно стався цей випадок, мабуть, один з найгучніших за всю історію України в сфері телекому. Але чому це сталося і чи можна було уникнути?
Щоб говорити про це, треба більше інформації про характер атаки, а її досі нема. Технічний звіт або хоча б опис атаки потрібен. Я так розумію, точку входу теж ще не визначили. Сподіваюся, що колись хоча б загальний звіт буде, і тоді вже можна буде сказати, можна було уникнути атаки чи, може, все сталося через те, що є російські власники.
— Після цієї атаки гучнішими стали розмови про націоналізацію "Київстару". Як ставитесь до цього?
— Вважаю, що це дуже погана ідея. Взагалі я проти будь-яких націоналізацій. Я впевнений, що приватний бізнес завжди краще управлятиме компанією, тим більше компанією, що створена як приватна від самого початку. Націоналізація точно не вирішить внутрішніх проблем у менеджменті управління, якщо вони є в компанії. Прийдуть сторонні люди, можливо, з якимось досвідом в телекомі, але без знання особливостей роботи компанії, з постачальниками, з персоналом.
— Російські хакери стверджують, що отримали особисті дані користувачів "Київстару". Звісно, цю інформацію важко верифікувати, а в самій компанії її спростовують. Та все ж таки, якщо стався витік таких даних, чим це загрожує абонентам?
— Я не вірю, що всю базу злили. Це досить складно технічно: воно так організовано, що це майже неможливо зробити навіть з правами суперадміністратора.
— Частину бази…
— Ну які там можуть бути дані? Якщо це prepaid-абоненти (передплаченого зв’язку. — Ред.), то там жодних даних немає, окрім номера телефона, скільки ним користуються, який обсяг даних і яка кількість дзвінків. Це така знеособлена інформація, яка мало що кому дасть. Хіба що ви знаєте конкретний номер конкретного абонента, то можете подивитися, як довго він спілкується.
Якщо це контрактні абоненти, то там дані паспорта будуть і ідентифікаційного коду з прив'язкою до номеру телефона. Це важливі дані, наприклад для розвідки, щоб ідентифікувати і співставити: кому людина телефонувала, в який день, якої тривалості були ці дзвінки, з якою інтенсивністю, в Києві перебувала чи переміщалася, в зоні дії якої базової станції була. Та це вже конкретні особи, які мають конкретні номери, і здебільшого постраждати можуть політики, військові, топові персоналії.
Для пересічних громадян, яких абсолютна більшість у базі оператора мобільного зв'язку, ризик такий, що будуть приходити якісь SMS зі спамом чи фішингом, якщо цю базу продавати якимись шматками.
Але багато іншої інформації у нас в різних базах даних вже неодноразово зливали. Той самий "Приват Банк". Там також були і мобільні телефони вказані, і зовсім критична інформація якраз для шахраїв.
— А для спецслужб ворога? Як він це може використати?
— Для спецслужб важлива постійна актуалізація даних щодня, щохвилини. Без такої живої актуалізації дані сильно втрачають цінність. Саме тому одне з ключових питань: чому ж вони вирішили "вбити" це все? Якщо вони мали такий доступ до даних, то він був набагато цінніший, поки вони мали живий доступ до бази. А якщо вони злили і забрали дані, ну, це історична архівна інформація.
— Наскільки серйозною є хакерська загроза з Росії? Розуміємо, що гроші там є, а як щодо інтелектуальної спроможності їхніх фахівців?
— Топ-рівень хакерської майстерності в більшості країн приблизно однаковий. Чарівників нема ні у нас, ні "за поребриком", ні в США. Це приблизно одні й ті самі технології, підходи, методи і вони всі більш-менш стандартні і зрозумілі.
Подібну атаку на "Київстар" могла підготувати група з 5-10 людей найвищої кваліфікації. Це дійсно був топ-рівень: покласти одного з найбільших телеком-операторів країни — серйозне досягнення. Я думаю, що виконавці цієї атаки свої медальки за це отримали.
Однак все фахове середовище Україні і відповідні служби знають, що є такі групи. До речі, вони не змогли у лютому-березні 2022-го року покласти все. Хоча атаки спостерігалися, вони лише розпорошували сили. Можливо, їм бракувало людей, ресурсів, чи одразу надто багато цілей хотіли взяти слабкими, недостатньо підготовленими атаками. А от якщо сконцентруватися на одному великому об'єкті, який може викликати великий суспільний резонанс, то не потрібна велика група і великі кошти.
— Правильно розумію, що всі російські хакери на зарплаті у спецслужб РФ?
— Так. Та частина, про яку відомо, вони під контролем спецслужб. Мозковий центр — 16-й або 18-й центр ФСБ (центр радіоелектронної розвідки, центр інформаційної безпеки ФСБ відповідно. — Ред.). Там є 200-300 більш-менш підготовлених офіцерів, які є штатними працівниками спецслужби, але у кожного з офіцерів чи багатьох на зв'язку перебуває ще кілька людей з андеграунду — "чорних" хакерів, злочинців, які займаються комерційним хакінгом, тобто, крадуть гроші. Їх взяли на компроматі, завербували і вони або безкоштовно працюють, або якусь частину часу приділяють виконанню завдань офіцерів спецслужб за гроші. Деякі з цих хакерів взагалі можуть не знати на кого конкретно, на яку спецслужбу вони працюють. Їх колись завербували на компроматі і періодично до них звертаються. А деяких людей знаходять в Даркнеті для виконання якоїсь задачі за повну ціну. Тож це сплав держави і кіберкриміналітету.
— Що ще можуть покласти в Україні російські хакери, окрім телекому? Які об’єкти під загрозою?
— По-перше, виділяємо об'єкти критичної інфраструктури: транспорт, фінанси, енергетику, постачання води, продуктів, виробництва. Далі виділяємо з цих об’єктів найбільш критичні, наприклад, топ-100: Енергоатом, Ощадбанк тощо. Тобто системні об’єкти, зупинка роботи яких буде показовою, максимально резонансною, адже хакери спецслужб полюють не на гроші, а на політичний резонанс, дестабілізацію суспільства. Із цих 100 об'єктів виділяємо ті, які широко використовують або дуже залежні від інформаційних технологій. Ті ж мобільні оператори, інтернет-провайдери — це повністю залежний бізнес від мереж, від кіберскладової (у травні 2023 року столичний провайдер "Корбіна" також зазнав російської хакерської атаки. — Ред.)
І таким аналізом приблизно можна окреслити наступні об'єкти атак. Це будуть об'єкти, зупинка роботи яких зачепить величезну кількість людей, — та ж енергетика в опалювальний сезон. Або фінтех, який залежить від технологій, і банківський додаток у кожного зараз в смартфоні. "ДіЯ"! Вона також може бути наступною ціллю.
— В цій війні українські можливості співставні з російськими?
— Сказати однозначно "так" або однозначно "ні" неможливо, бо це все дуже непублічне поле. Але дуже грубо можна сказати, що можливості співставні. Та я б хотів думати, що все ж таки на нашому боці світлої сили все ж таки більше, тому що за нами колективний Захід і технології, нам дають будь-який софт для захисту, безкоштовно навчають. Тобто потужна міць західного технологічного суспільства стоїть за нами.
З іншого боку, Москва готувалася. Такі кібервійська у вигляді сплаву спецслужб і кіберзлочинців, існують з початку 2000-х. Були створені відповідні підрозділи у спецслужбах, понад 20 років вони готувалися, навчали свої кадри і у них теж є певні переваги. Тому з урахуванням цих чинників можливості співставні.
— Ви систематично виступаєте проти використання месенджера Telegram. Назвіть головні аргументи, чому його прямо зараз потрібно видалити зі смартфона?
— По-перше, це російська розробка. Цього вже мало б бути достатньо. Це росіяни, це Дуров (Павло Дуров, розробник Telegram. — Ред.) Він наче виїхав, але тримає сервери на території Росії, співпрацює з російською владою, обмежує якісь канали, видаляє їх.
По-друге, Дуров брав гроші від кремлівських олігархів — мільярд доларів. Російська влада блокувала-блокувала, боролася-боролася з Дуровими, а потім раз! і перестала, і навіть стала дружити, і Роскомнадзор створив свій Telegram-канал. Хіба це не прямий доказ того, що з ним домовилися, але просто не афішують.
Ми зараз воюємо проти Росії, захищаємо свою країну від всього російського, але багато хто користується Telegram і вважає це прийнятним.
— А з технічної точки зору що не так з Telegram?
— Месенджер практично незахищений. Це не зовсім та й месенджер, а, радше, соціальна мережа. Всі нормальні месенджери: Signal, Threema, Wire і навіть Viber використовують наскрізне шифрування. Це така опція, яка не дозволяє розробнику месенджера читати і бачити повідомлення своїх користувачів. Тому це стало міжнародним стандартом у всіх захищених месенджерах.
Крім того, Threema, Wire використовують протокол Signal. Він відкритий. Це означає, що будь-який фахівець може зайти, подивитися його код, пошукати там "чорні ходи". А Дуров не показує свій протокол. Він каже, що це секрет, це наша розробка і все. Хоча в сучасному світі такі практики вже давно не працюють. Правило security through obscurity, тобто безпека через невизначеність (якщо не знати як влаштована система, то її важче зламати. — Ред.), вже давно спростовано. Це міф.
— Тоді як донести людям, що заради безпеки краще відмовитись від Telegram? Він же такий "гарненький та зручненький".
— Найбільша проблема в тому, що наші державні органи використовують Telegram як офіційний канал комунікації. Це мене просто жахає, я не можу ніяк це зрозуміти. Тому перший крок, який можна легко реалізувати, без проблем, просто заборонити державним структурам використовувати Telegram як офіційний канал комунікації. Наприклад, РНБО не має Telegram. Респект, молодці. Тобто на рівні уряду, президента, Верховної Ради просто заборонити цей російський месенджер.
А виходить так, що люди користуються, і хтось думає: ой, Telegram — російський, мабуть з ним не все гаразд, а потім дивляться: наші державні структури мають Telegram-канали. А якщо наші державні структури ним користуються, то чому я не можу? Державні структури, мабуть, перевірили і переконалися, що це не несе загрозу нікому.
Тому перший крок — простий і логічний і легко його виконати. Відмова державних структур використовувати Telegram автоматично зменшить кількість користувачів.
А з усіма іншими треба роз'яснювання. Я не вважаю, що заборона для людей є ефективним інструментом, а блокування — тим більше. І технологічно це складно виконати, і з точки зору демократичних цінностей не дуже.
— Питання про "Дію". В чому головні претензії експертного середовища до неї?
— Ми виділили з колегами 22 найбільші претензії до "Дії", і викладали окремим документом: "22 гріхи "Дії".
Якщо коротко: там безліч проблем з точки зору захисту персональних даних. Якби у нас був професійний незалежний орган захисту персональних даних, він банально не допустив би запуску подібного додатку. По-друге, додаток використовує як основу ідентифікації банківські системи.
— А що тут не так? Хіба це не надійно?
— Електронні документи — це максимально можливий рівень, який не повинен допускати помилок. Цей рівень має гарантувати, що конкретний документ видано конкретній людині. А додаток використовує для ідентифікації нижчий рівень — банківський. Тобто просто сліпа довіра банкам, а у банків є відсоток шахрайських дій, зловживань і вони закладені в розрахунки ведення бізнесу. Але якщо держава проводить ідентифікацію, видає офіційні електронні документи, відсоток має бути нуль. А власний механізм ідентифікації розробники не передбачили.
— А хакнути "Дію" можливо?
— Це вже було у січні 2021-го року. Був величезний скандал, коли росіяни через одного з постачальників "Дії" взяли веб-кеш.
— Поясніть для не-фахівців.
— Один з постачальників "Дії" виконував якісь роботи і використовував для цього свою мережу. Постачальника хакнули і забрали досить великий шматок даних "Дії". Тому вже такий випадок був і хоча його і заперечують розробники.
Зараз ми у стані повномасштабної війни, діяльність більшості держорганів закрита, нічого не відомо, не публікують дані по атаках. Можливо, і знову було щось подібне, але нам про це не кажуть. Думаю, якщо або коли "Дію" все ж таки серйозно хакнуть, як "Київстар", і наприклад, отримають доступ до адмінських прав і відправлять всім клієнтам "Дії" шкідливий код, який зруйнує, зітре весь смартфон, то це неможливо буде приховати. Але я сподіваюся, що усі попередні помилки розробники "Дії" врахували і до подібного сценарію готуються.
І зрештою "Дія" — добровільний електронний браслет для кожного користувача. Так чи інакше розробник отримує дані, активний клієнт чи неактивний, які він документи завантажив. Зрозуміло, що технічний персонал "Дії" має якийсь зворотній зв'язок з кожним телефоном, де встановлена "Дія". І якщо злочинним хакерам вдасться отримати такий адмінський доступ, то наслідки будуть просто катастрофічними. Але сподіваюся, що такого не станеться.
— Для росіян це надзвичайно ласий шматок?
— Надзвичайно. Там заявлено 18 мільйонів користувачів. Але відсутність зв'язку, як у випадку з "Київстаром", це одне, а коли у тебе знищено дані на телефоні, це зовсім інше.
— Електронне голосування і електронна мобілізація. Ці проекти можливо реалізувати?
— В Україні я не бачу перспектив інтернет-голосування ще років десять. З існуючими підходами до державного регулювання і розвитком цього напряму. Молдова 20 років цим займалася і відмовилася. Ще багато країн займалися, а в Німеччині на рівні парламенту заборонили. В Штатах фахівці писали величезні петиції про заборону такого голосування, що сучасні технології не дозволяють забезпечити прозорість, демократичність цього процесу.
А стосовно електронних повісток, то це дуже просто зробити. Через "Дію" це елементарно. Саме технологічно, підкреслюю, а не юридично чи політично. Просто до "Дії" можна "прикрутити" ще один функціонал і повідомляти про повістку, адже кожен користувач "Дії" ідентифікований з ніг до голови. Якщо ситуація з мобілізацією погіршиться, то запустити цю функцію — це справа кількох днів.