«Даже если у нас будет ядерная зима, я знаю, что пытаюсь помочь»: хакер-доброволец, который ведет кибервойну

Робин* слишком хорошо помнит начало российского вторжения в Украину. «Это было похоже на то, как будто вы смотрели по телевизору вторжение Гитлера в Польшу», — сказали они.

Глава отдела кибербезопасности крупной стокгольмской компании Робин имеет глубоко укоренившееся подозрение в отношении России и определенный опыт, который они хотят использовать, чтобы помочь Украине.

За несколько месяцев после вторжения шведы присоединились к огромной глобальной хакерской сети партизан, атакующих Россию со своих клавиатур. Из-за незаконного характера своих действий они обратились к Euronews Next на условиях анонимности.

Участие Робина началось с Signal, зашифрованного приложения для обмена сообщениями. Они добавлены в несколько групп Signal, которые объединяют самых высококвалифицированных специалистов по кибербезопасности Европы для обсуждения киберразвития в продолжающейся войне.

Но когда происходит вторжение, Робин хочет сделать больше, чем просто поговорить.

«Для меня это важно; зная, что через все это до сих пор я что-то сделал», — сказали они Euronews Next, вспоминая свои действия в начале этого года.

«Что бы ни случилось, даже если у нас будет ядерная зима, я знаю, что пытаюсь чем-то помочь».

Как тестер на проникновение, человек, нанятый для проверки систем на уязвимости путем их прямого взлома, Робин сказал, что они хотят принять немедленные меры против России после вторжения.

«Я видел, как кто-то в одной из этих групп пишет что-то странное и конкретное, поэтому ясно, что они имеют отношение к Украине», — сказал Робин.

«Я решил пойти на это и написал, что готов сделать что-то оскорбительное, и спросил, делает ли кто-нибудь здесь что-то оскорбительное».

Вскоре после этого с ними связался кто-то, известный только как «пиарщик» *, который хотел узнать, какие навыки Робин может привнести в игру.

Паранойя, проверка и первая цель

«Меня больше всего беспокоит, что это может быть русский шпион», — сказал Робин. «Поэтому я связался с некоторыми шведскими специалистами по кибербезопасности, которых я знаю, и они оба сказали, что знают этого человека, и это законно».

Они обнаружили, что PR является ведущим украинским исследователем безопасности, специализирующимся на промышленных системах управления, цифровых устройствах, которые контролируют критически важную инфраструктуру, производство и промышленность.

Проверка идет в обе стороны. PR задал Робину вопросы об их прошлом (бывшие военные, наступательные кибероперации), какими навыками они обладают (хакерство, безопасность) и с какими секторами они знакомы (телекоммуникации).

Как только они оба были удовлетворены, PR отправил Робину сообщение: «Вы можете саботировать систему?»

По словам Робина, хакеры могут относительно легко проникнуть в компьютерные системы из-за уязвимостей в программах обмена файлами, работающих в операционных системах Windows.

Итак, первое, что они сделали, — начали атаковать российские IP-адреса через эти уязвимости и удалили все, что смогли найти.

Спектр широк, как невод, — говорит Робин.

«Я запустил какой-то скрипт, который удалит все и оставит только один текстовый файл, говоря что-то вроде «Вы можете не поддерживать эту войну, но она будет продолжаться, пока вы не остановите своего диктатора»».

Снова и снова, говорит Робин, российские системы стирали другие хакеры, которые добрались туда первыми, и навигационные крошки показывают всплеск киберактивности, вызванный российским вторжением.

Кибер-шторм

Всплеск кибератак на Россию — редкое проклятие утверждение в апреле Министерством иностранных дел России, которое заявило, что еженедельно наблюдает за сотнями тысяч атак, исходящих в основном из Северной Америки, стран-членов ЕС и Украины.

Он обвинил Запад в поддержке злоумышленников и предупредил их, чтобы они не «искушали хакерское сообщество».

«Кто посеет кибер-ветер, пожнет кибер-бурю», — говорится в заявлении.

Примерно в то же время подразделение цифровой безопасности Microsoft выпустило отчет подробно описывает несколько киберопераций, которые российские правительственные хакеры провели против Украины за год до начала наземного вторжения.

С 27 февраля по 8 апреля исследователи Microsoft обнаружили доказательства «почти 40 отдельных деструктивных атак, которые безвозвратно уничтожили файлы на сотнях систем в десятках организаций в Украине».

Россия нередко использует разрушительные кибератаки против своих противников. Хотя отследить отдельные кибератаки на государственных субъектов практически невозможно, кибератака российских хакеров на Эстонию в 2007 году широко признана как первый пример использования кибероружия одним государственным субъектом против другого.

В последние годы российских хакеров также широко подозревали в причастности к попыткам вмешательства в выборы в западных странах, включая США, Германию и Францию.

«Задержать и создать хаос» в России

Второе задание Робина более конкретное и стратегическое. PR сообщил, что была проведена операция, направленная на то, чтобы помешать России использовать государственные железные дороги для перевозки оборудования на фронт.

«Нам нужно остановить их бизнес-процессы и запретить им пользоваться поездами», — говорится в сообщении PR от 28 февраля, которое попало в руки Euronews Next. «Цель — вторжение и уничтожение внутренней ИТ-инфраструктуры».

PR отправил Робину исчерпывающий файл о РЖД с информацией о владельце, IP-адресе, местоположении центра обработки данных и многом другом. Всякий раз, когда Робин получает доступ к системе администрирования, он отключает базу данных и впоследствии удаляет все файлы в системе.

«Это просто задержка и создание хаоса», — сказал Робин. «Это никогда не остановит вторжение, но задержит и усложнит его».

Робин сказал, что они никогда не получали никаких отзывов о результатах этого задания от PR или своих контактов в Украине. Но примерно в это время видео В социальных сетях начали появляться сообщения о том, что российские военные изо всех сил пытаются пополнить запасы боеприпасов и топлива, что, как надеется Робин, может быть отчасти связано с их действиями.

«Я не знаю, насколько это поможет, если поможет», — сказал Робин. «Может быть, задержка этого поезда еще на месяц дает гражданским лицам еще одно окно для выхода. Мне этого достаточно».

Преувеличение России

Поскольку Робин продолжал получать задания от PR, начиная от сбора информации о российских логистических компаниях и заканчивая взломом камер наблюдения, чтобы привлечь больше внимания к украинским силам на оккупированных территориях, они сказали, что были удивлены, обнаружив, насколько легко было проникнуть в российские системы. .

«Я не думаю, что Россия в целом готова к идее, что они станут кибер-полигоном для каждого хакера в мире, как только они начнут это вторжение», — сказал Робин.

«Это все так беззащитно, так открыто. И странно, что кибервойна продолжается так долго».

С самого начала вторжения эксперты и комментаторы неоднократно переоценивали возможности России на поле боя и за его пределами.

«Это один из важных уроков войны в Украине», — сказал Джеймс Льюис, старший вице-президент и директор программы стратегических технологий Центра стратегических и международных исследований (CSIS). «Россия не так компетентна, как мы думали».

Но, переоценивая Россию, Запад также недооценивает Украину и все уроки, которые Киев усвоил за многие годы, имея дело со своим враждебно настроенным соседом.

ИТ-волонтерский отряд

Одной из замечательных особенностей реакции Украины на российское вторжение была скорость, с которой она мобилизовала поддержку из-за пределов своих границ.

Через два дня после начала российского вторжения министр цифровой трансформации Украины Михаил Федоров написал в Твиттере призыв к киберспециалистам присоединиться к украинской «ИТ-армии».

В твите говорилось, что задачи будут назначаться через специальный канал Telegram, управляемый правительством, который быстро набрал более 300 000 участников.

По словам Льюиса, это первый случай, когда правительство обратилось за помощью к хакерам-добровольцам в условиях реальной войны.

«Украинский народ проделал большую работу по интеграции добровольных усилий хакерского сообщества и своих граждан», — сказал Льюис Euronews Next.

«Быстро это не сделаешь, поэтому я думаю, что они должны были подумать об этом (до российского вторжения)».

По словам Льюиса, Украина «получила небольшую помощь от Эстонии», которая создала добровольную Лигу киберзащиты после того, как ее цифровые системы были выведены из строя российской кибератакой в ​​2007 году.

Балтийское государство и член НАТО является мировым тяжеловесом в области кибербезопасности, занимая третье место в Глобальном индексе кибербезопасности ООН. Он также был одним из верных сторонников Украины задолго до последнего вторжения России.

Учитесь у Таллинна

Министр обороны Эстонии Ханно Певкур сказал Euronews Next, что Таллинн на протяжении многих лет делился с Киевом знаниями и информацией по различным вопросам, включая сотрудничество в области кибербезопасности.

«Украина извлекла уроки из нашего прошлого опыта», — сказал Певкур.

«Во-первых, для различных типов киберугроз мы также используем частный сектор и частных экспертов. Они могут увидеть, что это также один из лучших вариантов для них, потому что они не зависят от одного института, государства. . Вы должны быть гибкими».

Эстонская волонтерская Лига киберзащиты использует цифровые таланты, найденные в частном секторе, предоставляя правительствам доступ к специалистам, которые они обычно не могут себе позволить. Ключ к успеху, по словам Певкура, — сокращение бюрократии.

«Когда мы видим, что (кибер) угроза возрастает, у нас есть возможность связаться с волонтерами, и они могут нам помочь», — сказал Певкур.

«Мы стараемся все упрощать, не чрезмерно организовывать и не перегружать различные виды сотрудничества».

Поскольку в этом году Украина была принята в качестве «сотрудника» в Центре передового опыта НАТО в области кибербезопасности в Таллинне, вопрос о возможностях добровольцев в области киберзащиты может стать более заметной темой для обсуждения.

Размытие линии

Льюис считает, что война в Украине будет не последним разом, когда мы увидим, как стираются границы между гражданскими и военными кибероперациями.

«Это будет важно (интегрировать гражданских добровольцев), потому что есть разница между массами и солдатами», — сказал он.

«Толпа бегает и делает что-то, и это может быть невыгодно. Солдаты делают вещи, которые направлены на то, чтобы внести свой вклад в исход конфликта. Поэтому поиск способов организовать, интегрировать и направлять этих невоенных, большая его часть».

Что касается Робина, то ему почти пора повесить шляпу после месяцев бессонных ночей в погоне за российскими целями в сети.

«Летом я взял отпуск на несколько недель, потому что очень устал», — сказали они.

«Это трудно объяснить, но на какое-то время мне пришлось перестать волноваться. Мой партнер тоже был раздражен. А в последнее время я делаю шаг назад и пытаюсь полностью отстраниться».

Робин сказал, что это было настоящее чувство оторванности от миссии, которая занимала каждую свободную минуту, но они не беспокоились о будущих кибероперациях в Украине.

«Жить по эту сторону войны, как и раньше, это только сработает», — сказал Робин.

«В данный момент об этом вообще мало кто говорит. Это становится похоже на новости об обоях. Но, насколько я понимаю, рабочих активов еще много, поэтому я не думаю, что мой уход или уход что-то изменит. приливы».

* Имена в этом разделе изменены по просьбе интервьюируемого, чтобы уважать его желание остаться анонимным.