Украинская «IT-армия»: между ударом и пиаром

Киберпространство стало полноценным полем битвы в украинском конфликте: Киев действует агрессивно и напористо, нанося удары по российской критической информационной инфраструктуре (КИИ), в то время как Москва предпочитает делать ставку на цифровую оборону. Противостояние в цифровом измерении по своим масштабам и привлекаемым украинским правительством ресурсам не уступает баталиям в мире физическом и, несмотря на «теневой» характер операций, пользуется повышенным вниманием.

По состоянию на сентябрь 2023 г., украинской «IT-армией» и лояльными ей «вспомогательными силами» реализовано порядка 800 атак разной масштабности, порядка 2/3 из них пришлось на первые месяцы конфликта. При этом некоторая часть атак относится к категории атак грубой силы (Brute-force attack), не требующих высокого уровня квалификации. Всего же, по данным ФСБ России, количество киберударов, нанесенных по российской КИИ с начала 2023 г., превысило отметку в 5 тысяч; общее количество киберинцидентов – 8,5 тысяч.

Значительная часть кибератак против российской КИИ реализуется западными спецслужбами под «ложным флагом». Об этом заявляют многие российские публичные лица, в том числе секретарь Совбеза России Н. Патрушев.

Тезис «всякое действие рождает противодействие» актуален и для российско-украинского цифрового противостояния. По мере наращивания украинской «IT-армией» частоты ударных акций в отношении российской КИИ Россия активизирует работу в публичном пространстве — например, по линии Союзного государства (СГ). Так, в июне 2023 г. Москва и Минск договорились совместно совершенствовать систему защиты объектов критической информационной инфраструктуры от кибератак, подразумевая, в первую очередь, возможные выпады со стороны Киева и его «внешних консультантов».

Аналогичные усилия предпринимаются и в рамках ОДКБ и ШОС, где цифровой фактор безопасности также становится одним из скрепляющих. Однако, в отличие от СГ, первоочередный упор делается не на защиту КИИ как таковой, а на противодействие деструктивному влиянию в цифровой среде (включая борьбу с фейками).

В целом позиция России по отношению к киберпространству, несмотря на попытки Киева искусственно «раскачать» ситуацию и спровоцировать Москву на контрудар, продолжает оставаться неизменной: ударные акции (включая «проактивную» оборону) не получают приоритета.

Киберпространство стало полноценным полем битвы в украинском конфликте: Киев действует агрессивно и напористо, нанося удары по российской критической информационной инфраструктуре (КИИ), в то время как Москва предпочитает делать ставку на цифровую оборону. Противостояние в цифровом измерении по своим масштабам и привлекаемым украинским правительством ресурсам не уступает баталиям в мире физическом и, несмотря на «теневой» характер операций, пользуется повышенным вниманием.

Тем важнее обратить внимание на основную «ударную единицу» Киева — так называемую украинскую «IT-армию». Сформированная якобы на добровольных началах, данная структура — серьезный противник, недооценка уровня квалификации и мотивированности которого может в будущем привести к определенным сложностям.

На этом фоне представляется важным сформировать комплексное представление о деятельности украинской «IT-армии», ее бэкграунде и возможных «точках роста», а также о контрмерах со стороны Москвы.

Украинская «IT-армия»: «цифровые сердюки» Зеленского

Артур Хетагуров:
КиберУкраина. Спецпроект (2020)

Раскрутка бренда IT-сопротивления началась фактически с первых дней СВО. Украинская «IT-армия», якобы возникшая спонтанно с подачи предпринимателя Егора Аушева, позиционировалась как «сокрушительный народный ответ» на действия Москвы и поначалу подавалась исключительно как «инициатива снизу».

Впрочем, несмотря на то, что «Цифровое ополчение» упорно отсчитывает свою историю с февраля 2022 г., определенные намеки на намерение Киева создать подобную структуру звучали и ранее, задолго до СВО. Так, уже в 2020 г. украинские власти позиционировали «КиберУкраину» (цифровое измерение украинской государственности — прим.) в качестве «форпоста свободного мира», указывая на необходимость развития (с вовлечением западных специалистов) цифровой составляющей обороны, включая ее «ударные элементы». Более того, чтобы «бороться с сильным соперником на равных», внешние стратеги рекомендовали Киеву сделать ставку именно на «патриотический» аспект.

Кроме того, начиная еще с 2014 г. постепенно складывалась система лояльных хакерских и пропагандистских ячеек под общим брендом «Информационного сопротивления» («Інформаційний спротив»), развиваемым нардепом Дмитрием Тымчуком. Отчасти именно на базе этих полудобровольческих хактивистских команд и волонтерских ячеек впоследствии выстроилась нынешняя модель украинской цифровой борьбы, а «продолжатели» дела первых киберкоманд влились в ряды украинской «IT-армии».

С началом активной фазы украинского конфликта «в ружье», по заявлениям официального Киева, было поставлено до 300 тыс. хактивистов. При этом значительную часть формируемой структуры составили не граждане Украины, а «вольные стрелки» из числа иностранных специалистов, рекрутированных украинским оборонным ведомством на специализированных форумах [1]. Следует отметить, что именно перспектива стать солдатом «первой цифровой» во многом поспособствовала притоку кадров на начальном этапе: в период «максимального подъема» (первые полгода СВО — прим.) в акциях участвовало, по данным исследовательских агентств, до 400 тыс. хакеров различного уровня квалификации — от «зеленых шляп» (начинающие хакеры) до профессионалов высокого уровня.

Однако на фоне затягивания кризиса движение постепенно выдохлось, и ближе к началу 2023 г. многие хактивисты отошли от дел. С другой стороны, в рядах украинской «IT-армии» остались наиболее мотивированные и лояльные специалисты, что позволило Киеву перейти к более сложным операциям и вывести противостояние на новый уровень.

Пан и его «цифровой план»

В своей деятельности проукраинские хакеры используют классический набор акций: дефейс (размещение материалов провокационного и деморализующего характера), фишинг, распространение вредоносного ПО и DDoS-атаки. Кроме того, на первых этапах активно применялся доксинг — поиск и публикация персональной или конфиденциальной информации.

По состоянию на сентябрь 2023 г., украинской «IT-армией» и лояльными ей «вспомогательными силами» реализовано порядка 800 атак разной масштабности, около 2/3 из них пришлось на первые месяцы конфликта (см. Диаграмму 1). При этом некоторая часть атак относится к категории атак грубой силы (Brute-force attack), не требующих высокого уровня квалификации. Всего же, по данным ФСБ России, количество киберударов, нанесенных по российской КИИ с начала 2023 г., превысило отметку в 5 тысяч; общее количество киберинцидентов — 8,5 тысяч.

Диаграмма 1. Распределение акций за период активности украинских хакеров (включая приписываемые атаки), %. Составлено по открытым источникам.

Деятельность украинских хакеров широко освещается в СМИ, а каждая успешная операция позиционируется в медиа как «стратегический успех» или «коренной перелом» в борьбе между Москвой и Киевом, даже если реальный ущерб от удара оказывался ниже планируемого. Более того, для закрепления медийного успеха украинское правительство начало работу над постепенной интеграцией «кибервойска» в состав национальных вооруженных сил. Бравурная информационная кампания, в свою очередь, является частью усилий по наработке репутации проукраинского хакерского движения и вывод его на один уровень с «громкими именами» цифрового подполья.

Леонид Цуканов:
«Киберянычары»: пять лет на службе Турции

Налицо также отдельные попытки раскачать «дубину кибервойны», представив борьбу в киберпространстве в качестве «всенародной»: помимо широко раскрученного ресурса «** *** **» [2], где каждый желающий может получить «боевую задачу» в киберпространстве, Киев регулярно знакомит общественность с «новинками цифрового оборонпрома». Так, например, в январе 2023 г. было представлено приложение для смартфонов «****** *******» для автоматических DDoS-атак российских сайтов. По замыслу создателей, подобные приложения должны расширить географию атак и усилить давление на российскую КИИ.

При этом в вопросах дальнейшего развития формата «IT-армии» Киев отчасти «смотрит на Восток»: так, «двухуровневый» формат («ядро» из профессиональных хакеров и «внешний периметр» из низкоквалифицированных добровольцев) армии был, с высокой долей вероятности, подсмотрен у турок, а «патриотический базис» атак, к которому регулярно апеллируют украинские пропагандисты, отчасти перенят от иранских хакерских группировок.

Внешний контур и «джентльменский интерес»

Противостояние Москвы и Киева в киберпространстве интересно и тем, что за время СВО вокруг обоих акторов сформировались «группы лоялистов» из числа международных хакерских группировок, и если Москва не демонстрировала стремления использовать «пророссийских хакеров» в качестве ударной единицы (более того, официальная позиция России построена на недопустимости политизации и вепонизации киберпространства), в случае с Киевом атаки освещались под брендом «единой киберармии» (см. Схему 1), а также использовались в пропаганде для иллюстрации тезиса о «всемирной» поддержке позиции Украины в конфликте. Кроме того, по сообщению ряда СМИ, на стороне России и Украины какое-то время также сражались прокси-группировки зарубежных стран. Однако данные сообщения, как правило, не находят подтверждения ни у официальных лиц, ни в хакерской среде.

Схема 1. Кибергруппировки, поддержавшие акции Украины (в более широком смысле — украинская «IT-армия»). Составлено автором по открытым источникам.

Существенные подчас различия в «почерках» приписываемых Киеву кибератак (и разном уровне их исполнения при одинаковой атрибуции) не раз вызывали ожесточенные дискуссии в экспертной среде. В конечном счете, это привело к закреплению идеи, что значительная часть кибератак против российской КИИ реализуется западными спецслужбами под «ложным флагом». Об этом, в частности, заявляет секретарь Совбеза России Н. Патрушев.

Следует отметить, что «внешний вклад» в украинскую киберсистему прослеживается не первый год. Начиная со второй половины 2010-х гг. на Украине функционирует система профильных фондов (самый известный из ныне действующих — NATO Trust Fund Ukraine — Command, Control, Communications and Computers, C4), а в подготовке кадровых национальных специалистов в области информационной безопасности принимают участие представители США, Канады, Литвы, Эстонии, Польши, Румынии, Хорватии и Нидерландов. Кроме того, в мае 2023 г. Украина официально присоединилась к Центру передового опыта совместной киберзащиты НАТО (NATO CCDCOE), что существенно расширило возможности Киева получать «оперативные консультации» по вопросам реагирования на цифровой вызов.

В целом Киев активно использует помощь внешних акторов с целью форсированной накачки собственной цифровой системы и сокращения итогового разрыва между Москвой и Киевом [3].

Цифровая оборона Москвы

Леонид Цуканов:
Проиранские хакеры: «пояс безопасности» Тегерана?

Тезис «всякое действие рождает противодействие» актуален и для российско-украинского цифрового противостояния. По мере наращивания украинской «IT-армией» частоты ударных акций в отношении российской КИИ Россия активизирует работу в публичном пространстве — например, по линии Союзного государства (СГ). Так, в июне 2023 г. Москва и Минск договорились совместно совершенствовать систему защиты объектов критической информационной инфраструктуры от кибератак, подразумевая, в первую очередь, возможные выпады со стороны Киева и его «внешних консультантов».

Аналогичные усилия предпринимаются и в рамках ОДКБ и ШОС, где цифровой фактор безопасности также становится одним из скрепляющих. Однако, в отличие от СГ, первоочередный упор делается не на защиту КИИ как таковой, а на противодействие деструктивному влиянию в цифровой среде (включая борьбу с фейками).

Важно отметить, что активизация проукраинских хакеров порождает противодействие и со стороны киберкоманд, не поддержавших Киев в конфликте. Несмотря на то, что антиукраинские команды позиционируют свои акции в качестве «ударов возмездия», они действуют в отрыве от российских государственных институтов и не имеют публичных контактов с властями. Более того, часть хакерских группировок, де-факто занявших в конфликте сторону Москвы, ранее проявляла аналогичную лояльность Пекину и Тегерану и вела борьбу под лозунгом «реакции на экспансионизм США».

Попытки же «оседлать патриотическую волну» и представить хакеров как полноценную боевую единицу в России носят редкий и, скорее, популистский характер. Так, например, предложение «Справедливой России» присваивать хакерам воинские звания за удачные атаки в интересах Москвы, звучавшее осенью 2022 г., не получило серьезной поддержки, после чего аналогичные инициативы не выносились на повестку. В этом вопросе Москва предпочитает делать ставку на официальные структуры и общественные движения, развивая оборонительный, а не «ударный» киберпотенциал.

В целом позиция России по отношению к киберпространству, несмотря на попытки Киева искусственно «раскачать» ситуацию и спровоцировать Москву на контрудар, продолжает оставаться неизменной: ударные акции (включая «проактивную» оборону) не получают приоритета.

Примечания

1. Уже в конце февраля 2022 г. на хакерских ресурсах появились многочисленные призывы от лица оборонного ведомства Украины присоединиться к «отражению российской агрессии». Кандидатам предлагалось, посредством заполнения веб-формы, присоединиться к «IT-армии» и начать выполнять задачи в соответствии с квалификацией.

2. Здесь и далее — названия и адреса ресурсов и приложений не публикуются, чтобы не содействовать распространению информации.

3. Согласно данным последнего опубликованного «Глобального индекса кибербезопасности», издаваемого МСЭ, Россия занимает 5-е место в мире по уровню цифровой готовности. Украина – 78-е.