Викрадені IP-адреси як зброя: як Росія використовує український цифровий ресурс у війні

У час, коли кіберзагрози стали новою зброєю, Європа опинилася перед непомітною, але реальною небезпекою. Росія використовує українські цифрові ресурси, викрадені під час окупації частини територій, для кібератак і операцій дезінформації. Йдеться не про абстрактні технології, а про конкретні IP-адреси — цифрові “паспорти” мереж, через які проходить увесь інтернет-трафік. Про це йдеться у матеріалі “Укрінформ”.

Унаслідок російської окупації частини територій України у 2014 та 2022 роках низка українських провайдерів разом зі своїм майном втратила також і свої IP-адреси, якими заволоділи російські компанії. Формально ці ресурси перереєстрували через міжнародну неприбуткову організацію RIPE NCC, штаб-квартира якої розташована в Амстердамі. Попри звернення від українських юристів та Інтернет асоціації України, RIPE відмовляється реагувати, прикриваючись “нейтралітетом” і гаслом “інтернет поза політикою”.

Що таке IP-адреса і чому це важливо  

IP-адреса — це унікальний цифровий “паспорт” кожного пристрою або мережі, підключеної до інтернету. Вона визначає, звідки надходить трафік, куди передаються дані, і дозволяє системам комунікувати між собою.

Кожна адреса належить до певного діапазону, який розподіляє RIPE NCC — регіональний інтернет-реєстр для Європи, Близького Сходу та Центральної Азії. IP-адреси не безмежні, й отримати нові сьогодні напрочуд важко.

“Будь-яка числова послідовність у цих цифрових ідентифікаторах — обмежена. Вільних IP-адрес у світі практично не залишилося, тому вони набувають значної цінності. Їх уже сприймають не просто як технічний ресурс, а як економічний актив, який можна монетизувати”, — пояснив у коментарі “Укрінформу” народний депутат, екскерівник Інтернет асоціації України Олександр Федієнко. 

Тож IP — це обмежений економічний актив, схожий на землю або частоти мобільного зв’язку. За оцінками фахівців ринку IP-ресурсів, на тіньових або напівофіційних біржах одна IPv4-адреса нині коштує від 35 до 50 євро. Великі телеком-компанії володіють сотнями тисяч таких адрес, тому втрати навіть кількох тисяч одиниць означають мільйонні збитки.

Крім економічної, IP-адреси мають і стратегічну цінність. Через них проходять державні комунікації, банківські операції, сигнали критичної інфраструктури. Тож контроль над ними — питання національної безпеки.

Саме тому викрадення українських IP-адрес створює ризики не лише для України.

Через ці ресурси російські структури можуть маскувати свої кібератаки під українські або європейські, ускладнюючи відстеження джерела. Це ставить під загрозу цифрову безпеку всього континенту.

Як працює RIPE NCC

RIPE NCC — це один із п’яти регіональних інтернет-реєстрів у світі. Організація задумувалася як технічна спільнота, незалежна від політики, але саме цим принципом сьогодні користуються держави-агресори.

Після отримання IP-адрес компанія стає учасником системи RIPE, отримує доступ до технічної платформи та може брати участь у голосуваннях і виборах керівних органів організації. Саме цей принцип, за словами Федієнка, дозволяє російській стороні впливати на рішення RIPE, адже вона контролює значну кількість IP-ресурсів.

Україна довгий час залишалася пасивною у процесах RIPE, натомість Росія системно будувала свій вплив.

“За багато років росіяни фактично захопили RIPE. Вони завели туди в правління своїх людей — зокрема громадян країн ЄС, афілійованих із Росією. Ми, зі свого боку, теж намагалися завести туди свого представника ще до повномасштабної війни, але жодного разу не вдалося. Бо ті ж самі росіяни одразу починали нав’язувати наратив: мовляв, Україна — маленька країна, у неї мало ресурсів, а Росія — велика, їй належить більше”, — додав депутат.

Федієнко наголошує: викрадення IP-адрес — це прямий наслідок окупації, який супроводжувався тортурами та примусом. Оператори зв’язку на захоплених територіях, які законно отримали ці “цифрові паспорти” через RIPE NCC, були позбавлені їх силоміць.

“Я знаю, в Херсоні була ситуація, коли силоміць забирали ці ресурси у наших операторів зв’язку, катували. Бо там його не просто так забрати. Треба отримати відповідні логін та пароль”, — розповідає Федієнко.

Отримавши доступ, росіяни подали до RIPE заявки на переоформлення, і міжнародний реєстратор, посилаючись на свою “аполітичність”, вніс зміни. Депутат акцентує, що це становить пряму загрозу безпеці.

Інформаційна експансія Москви на тимчасово окупованих територіях проводиться через конкретні “державні” унітарні підприємства зв’язку та телекомунікаційні провайдери, створені окупаційними адміністраціями. Саме вони використовують найбільші пули викрадених IP-адрес.

До списку таких структур входять:

• “Державне унітарне підприємство Донецької народної республіки “Вуглетелеком”;
• “Державне унітарне підприємство Донецької народної республіки “Комтел””;
• “Республіканський оператор зв’язку “Фенікс””;
• “Державне унітарне підприємство Луганської народної республіки “Республіканські цифрові комунікації”.

Це лише частина переліку підприємств, залучених в інформаційній експансії.

Прихований щит для російської кіберагресії 

Андрій Пилипенко, адвокат юридичної фірми, що захищала інтереси України у судовому процесі в Нідерландах щодо повернення Україні колекції Скіфського золота та у кримінальній справі в Італії щодо нацгвардійця Віталія Марківа), нині у складі спеціальної групи допомагає формувати правову позицію України щодо примусового блокування викрадених IP-адрес. Він стверджує, що ці структури виконують ключову роль в інформаційній підтримці окупаційного режиму, через що вже давно знаходяться під санкціями, чого очевидно не помічає RIPE NCC.

“Вони не просто експропріювали IP-адреси, а й під виглядом забезпечення доступу до “свого інтернету” брали активну участь у незаконному проведенні референдумів та виборів на окупованих територіях, публічно закликали до їх проведення та в різних формах агітують за підтримку дій агресора. Вони також забезпечують доступ до цифрової координаційної інфраструктури окупаційній владі та її “органам” і збройним формуванням, поширення російської пропаганди та проведення кібератак проти України”, — пояснив юрист.

Окрім цього, вищевказані структури також отримують кошти від населення окупованих територій за надання доступу до мережі інтернет, які потім використовують, зокрема, для подальшого наповнення бюджетів незаконних утворень “ДНР” та “ЛНР” та окупаційної влади на місцях, фінансування терористичної та підривної діяльності, направленої на шкоду суверенітету і національній безпеці України.

“Питання того, що RIPE не розриває відносини з цими підприємствами, які знаходяться на окупованій території, російська пропаганда використовує для своєї легітимізації цих територій і каже: дивіться, нас Європа визнає”, — акцентує народний депутат.

Цей викрадений ресурс стає прихованим щитом для російської кіберагресії. Якщо Україна заблокувала більшість російських цифрових ідентифікаторів, то крадені —  ні.

“Вкрадені українські цифрові ідентифікатори росіянами у нас не заблоковані. Вони можуть їх використовувати. Це як автівка з українськими номерами, якою керує росіянин і намагається її підірвати. Що буде потім у ЗМІ? Що українська автівка підірвалась. Але ніхто не згадає, хто ж був водієм. Приблизно та сама історія і тут відбувається”, — проводить аналогію Федієнко, пояснюючи механізм маскування кібератак.

Кримінальна відповідальність за “аполітичність” 

Бездіяльність RIPE NCC вже давно вийшла за межі технічної площини і перейшла в юридичну. Юрист Пилипенко пояснює, що ще у 2018 році інтернет-асоціація України попередила RIPE про співпрацю з “Л/ДНР”, проте тоді організація відмовилася реагувати, заявивши, що IP-адреси нібито не є “економічним ресурсом” і тому не підпадають під санкції ЄС.

Це тривало доти, доки МЗС Нідерландів —  державний орган, відповідальний за тлумачення санкцій, не надав чітке роз’яснення.

“МЗС надало роз’яснення RIPE NCC, що IP-ресурси — це економічний ресурс, який має бути заблокований. Коли вони це зрозуміли, вони вигадали новий аргумент: ми не бачимо, кому ми тут із підсанкційних осіб надаємо послуги. Вони вимагали: “Покажіть нам, де ДНР/ЛНР у списках наших членів”. Звісно, незаконні квазідержавні утворення не можуть бути членами, але членами є підконтрольні їм суб’єкти господарювання — ті ж “міністерства” та “державні установи”, створені окупантами”, — пояснює юрист. 

І це попри той кричущий факт, що навіть в офіційній базі даних RIPE ці незаконні структури безкарно і без будь-яких для себе наслідків вказують повну інформацію про те, що вони “державні підприємства” так званих “ДНР” або “ЛНР”.

У 2021 році президент України взяв це питання під особистий контроль, доручивши розробити механізми для повернення чи відключення IP-ресурсів незаконних квазідержавних утворень на окупованих територіях.

Наприкінці 2021-го обговорювався механізм звернення до компетентних органів Королівства Нідерланди, але процес зупинило повномасштабне вторгнення.

З літа 2022 року повернулися до цього питання. 

“Тоді ми вже провели прямі консультації з головою RIPE та керівництвом їхнього юридичного департаменту. Ми пояснювали: тепер, після повномасштабного вторгнення, політична кон’юнктура світу просто змушує вас діяти… Вам ніхто нічого не зробить, якщо ви заблокуєте їм [росіянам на окупованій території] IP-адреси, а лише будуть аплодувати, тим більше всі юридичні підстави у вас є”, — згадує Пилипенко.

Це спілкування з керівництвом RIPE NCC та їхніми юридичними службами продовжувалось у різних форматах протягом 2023 р., але позиція організації залишалася незмінною.

Натомість у відповідь RIPE NCC опублікувала статтю про “спірні території”, підтвердивши, що продовжить приймати документи від “ДНР/ЛНР” під приводом захисту “свободи доступу до інтернету”.

“Ми їм неодноразово пояснювали, як застосовується законодавство ЄС, яке чітко говорить: якщо “Л/ДНР” включені в санкції, то всі підконтрольні їм суб’єкти також підпадають автоматично. Це як якщо включили в санкції мене, то й моя рука теж під санкціями”, — продовжує юрист.

RIPE NCC навіть відмовилася внести до своїх внутрішніх правил заборону приймати документи, видані окупаційними адміністраціями, попри те, що згідно із законодавством Нідерландів, такі документи не мають жодної юридичної сили. Фактично, укладаючи з підсанкційними суб’єктами договори та надаючи їм економічний ресурс, RIPE NCC порушувала санкційний режим ЄС, що є підставою для кримінальної відповідальності керівництва організації. Натомість в організації не визнають напряму співпрацю з підсанкційними особами і перекладають відповідальність на аутсорсингову компанію, яка нібито надає послуги з перевірки членів спільноти.

Водночас Україна успішно надала ЄС документально підтверджену базу даних про суб’єктів на окупованих територіях, після чого вони один за одним вносяться ЄС у санкційні списки (наприклад, “Комтел”, “Фенікс” та інші були безпосередньо включені до санкційних списків ЄС, зокрема, у 16-му, 17-му та 19-му пакетах санкцій). Це означає, що ЄС отримав достатньо доказів, які свідчать про шкоду державним інтересам, національній безпеці та суверенітету України, що будь-яка співпраця з такими суб’єктами не тільки заборонена, але і має наслідком сувору відповідальність, включно на рівні держав-членів ЄС, зокрема, в Нідерландах.

“Наскільки ми розуміємо, у них [RIPE] на сьогодні вже не може бути такої відмовки. Єдиний шлях для них — це заморозити відповідні IP-адреси та обмежити доступ до них підсанкційних суб’єктів. До того ж керівник установи, яка порушила санкційний механізм, зазвичай несе кримінальну відповідальність. У Нідерландах це обтяжливий злочин (aggravated crime)”, — наголошує Пилипенко.

У Нідерландах неодноразово ініціювалися кримінальні справи щодо порушення або обходу санкцій ЄС. За останні три роки там було притягнуто до відповідальності щонайменше 70 компаній та осіб за звинуваченням у порушенні санкцій, введених ЄС проти РФ через повномасштабну війну Росії в Україні.

Нещодавно прокуратура Нідерландів офіційно порушила кримінальну справу проти однієї з найбільших суднобудівних компаній країни — Damen Shipyards, а також проти її нинішнього голови правління та двох колишніх членів правління, через корупцію та порушення міжнародних санкцій проти Росії.

Україна бореться не лише за суверенітет у кіберпросторі, а й за позбавлення агресора фінансового ресурсу.

“Ми у росіян забираємо величезні гроші (мається на увазі у разі повернення нашого вкраденого ІР ресурсу, — ред.), які вони можуть отримати, продавши ці ІР-адреси. По факту, це не заборонено. Ми боремося не тільки за інформаційні ресурси, ми боремося ще й за те, щоб вони не використовували потім ці гроші, отримані таким шляхом, проти нас”, — наголошує Федієнко.

Експерти, опитані “Укрінформом”, зазначають, що діяльність RIPE NCC у поєднанні з певними політичними впливами та підходами до “ліберальності” може створювати ризики для національної безпеки України в умовах гібридної війни.

“Я впевнений, що все-таки ми зможемо насамперед підсвітити європейському безпековому сектору, що RIPE треба брати під ковпак європейських регуляторних і державних установ. Бо зараз він нікому не підзвітний. Тобто ми, українці, навіть можемо стати такими першопрохідцями в цьому питанні”, — впевнений депутат.

Він вважає, що RIPE NCC, яка фактично тримає в руках “червону кнопку” для частини європейського інтернет-простору, має бути взята під контроль. Інакше бездіяльність у кіберпросторі, який НАТО у 2016 році визнало сферою військових операцій, стає прямою загрозою для всього континенту.