Военный конфликт между Россией и Украиной уже несколько месяцев сопровождается новостями о постоянных кибератаках на госструктуры, банки, медиа и коммерческие компании со стороны проукраинских и пророссийских хакеров. Ученые из британских университетов — Кембриджа, Эдинбурга и Стратклайда — провели исследование и пришли к неожиданным выводам: вклад хакеров в конфликт России и Украины является незначительным, а их атаки — бессмысленными и тривиальными. Совместное исследование трех университетов изучил RTVI. Попытки хакеров навредить России ученые называют столь же эффективным способом повлиять на боевые действия, как и «поход в местный супермаркет в попытке спрятать водку под пакетом с замороженным горошком».

«Наш анализ бросает вызов представлениям о кибервойне [между Россией и Украиной], организованной сплоченными, мотивированными и технически квалифицированными хактивистами. Вместо этого мы обнаружили начинающих кибервоинов, которые использовали тривиальные атаки, чтобы уничтожить бессмысленные, второстепенные цели и, в основном, начинали скучать от этого уже через пару недель… Вопреки прогнозам некоторых экспертов, участие киберпреступного подполья в конфликте, по-видимому, было незначительным и недолгим; маловероятно, что оно будет увеличиваться дальше», — к таким выводам пришла группа ученых, чье исследование под названием «Заскучали от кибервойны: изучение роли киберпреступного подполья в российско-украинском конфликте» есть в распоряжении RTVI.

Ученые из университетов Кембриджа, Эдинбурга и Стратклайда собрали статистику за первое полугодие 2022 года по двум видам популярных компьютерных атак: DDoS (попытки вывести ресурс из строя большим объемом «мусорного» трафика) и Deface (взлом сайта с последующим изменением содержания его главной страницы). Кроме этого, они пообщались с представителями двух разных хакерских группировок, которые занимались Deface-атаками и придерживались разных политических взглядов: одна команда поддерживала Россию, а другая — Украину. Исследователи также проанализировали данные из телеграмм-канала «IT-армии Украины» — объединения хактивистов, созданного властями Украины. «Хотя атаки, отличные от DDoS-и Deface, исключены из нашего исследования, мы считаем, что наши подсчеты все же являются показательными, потому что это два вида атак с наиболее развитой экономикой. Например, цены на заказ DDoS в интернете составляют от $5 в месяц», — подчеркивают авторы.

Статистика по атакам

Согласно материалам исследования, за первое полугодие 2022 года на Россию было совершено 36,3 тыс. DDoS-атак, что составляет лишь 3,58% от общего кол-ва таких атак по всему миру за этот период. На Украину за этот период совершили 15,5 тыс. DDoS-атак — и это лишь 1,54% от мировых значений. Пик DDoS-а случился в марте — тогда Россию за месяц атаковали около 15 тыс. раз, а Украину — порядка 10 тыс. Однако затем показатели вернулись к тем, что наблюдались и до начала военного конфликта. Все эти цифры незначительны, если сравнить их с числом DDoS-атак на США — эта страна традиционно является целью номер один для киберпреступников, во многом из-за развитой IT-инфраструктуры. В первом полугодии 2022-го на нее пришлось порядка 250 тыс DDoS-атак (24,74% от мировых значений).

«Кампании по организации DDoS-атак, организованные киберпреступным андеграундом, внесли такой же вклад в военный конфликт [России и Украины], как поход в местный супермаркет в попытке спрятать водку под пакетом с замороженным горошком. Это были тривиальные акты солидарности, подростковое соперничество или просто преступления, а не какой-либо реальный вклад в вооруженный конфликт. Мы нашли очень мало поддающихся измерению доказательств тому, что киберпреступное подполье вносит какой-либо реально «жесткий» вклад в конфликт между двумя странами, в которых это подполье хорошо развито», — говорится в исследовании.

После начала военного конфликта между Россией и Украиной сообщалось о множестве кибератак политических активистов на ресурсы обеих стран. Например, хакерская группировка Anonymous объявила кибервойну российскому правительству и устроила DDoS-на сайт государственного телеканала RT, а также немецкую дочку «Роснефти». Кроме этого, множество российских сервисов — «Яндекс Еда», Delivery Club, «СДЭК» и др. — пострадало от утечек данных в результате кибератак. Президент России Владимир Путин заявлял о развязанной против страны кибервойне. Пророссийские хакеры, тем временем, сообщали об атаке на компанию-производителя систем залпового огня HIMARS, поставляемых на Украину, а также на правительственные сайты некоторых стран ЕС, выступающих против России.

По Deface-атакам статистика похожа: за первое полугодие 2022-го на Россию было совершено 3,6 тыс таких атак (1,6% от общемировых значений), а на Украину — 1,3 тыс. (0,61%). Из необычного: 25 мая исследователи зафиксировали невероятно высокий уровень Deface-атак на Россию — 771 за один день. При это 764 из них были выполнены одной группировкой — она просто скомпрометировала сервер, на котором были расположены 760 сайтов одновременно. Однако первенство по числу Deface-атак все равно занимает США — на нее за полгода было совершено около 66 тыс. атак (29,08%).

При этом важной частью Deface-атак является послание, которое хакеры оставляют на взломанном сайте — возможность высказаться делает Deface одной из самых подходящих атак для политических активистов. Ученые из британских университетов утверждают, что большая часть Deface-атак, совершенных на Россию и Украину за время военного конфликта, вообще не содержала политических посланий. Около 2,2 тыс. были сделаны «для развлечения или укрепления репутации» взломщика. Еще 1,2. тыс. — для самовыражения, 139 атак касались других конфликтов (например, Израиля и Палестины), 46 — несли патриотические призывы, а 89 были просто финансово мотивированы. И только 179 атак содержали высказывания в поддержку Украины, а еще 103 — в поддержку России. Что необычно — некоторые хакеры взламывали сайты той страны, которую поддерживают, и оставляли на них соответствующие сообщения.

«Привет, Владимир Зеленский. Прости, что взломал этот сайт. Я просто хочу сказать, что людям нужен такой президент как ты. Мы поддерживаем Украину», — говорилось на одном из взломанных украинских сайтов, согласно данным исследования.

Вклад “IT-армии Украины” в военный конфликт тоже оказался несущественным. «Хваленая роль координационной группы IT-армия Украины неоднозначна; цели для атак, которые они продвигали среди хакеров, редко были подвержены Deface-атакам, но DDoS им удавался чаще», — говорится в исследовании. Ученые подсчитали, что с момента формирования IT-армия Украины продвигала в своем официальном телеграм-канале 3,8 тыс. целей для атак на российскую инфраструктуру. Однако только 59 (1,53%) из них действительно подверглись Deface-атакам и 707 (30,86%) — DDoS-атакам, выяснили исследователи.

«За последние пару месяцев исследуемого нами периода [перед “IT-армией Украины”] было поставлено много целей, однако добровольцы, которые проявляли высокую активность в первые несколько недель после вторжения России на Украину, к тому моменту значительно потеряли интерес», — утверждают ученые.

В качестве заключения исследователи подчеркнули, что не считают роль кибератак в военном конфликте России и Украины совсем неважной. «Они скорее имеют отношение к сфере культурного самовыражения, а не «жесткой силы». Кибератаки в больше степени являются частью информационной войны», — заключили ученые.

Подводная часть айсберга

Опрошенные RTVI специалисты по информационной безопасности не вполне согласны с выводами авторов исследования. Директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Алексей Павлов говорит, что исследователи, скорее всего, не обладали полной картиной, так как многие атаки были непубличными.

«Волна массовых атак продолжала нарастать с первых дней конфликта вплоть до конца апреля, сейчас объем атак находится на стабильно высоком уровне. Хакеры сконцентрировались на целевых и более подготовленных ударах по конкретным организациям и отраслям, а DDoS скорее носит событийный характер», — говорит Павлов. Он отмечает, что некоторые виды опасных кибератак просто не вошли в исследование британских ученых.

«Растет популярность вирусов-шифровальщиков. Причем с февраля в десятки раз увеличилось число атак, которые не преследуют своей целью монетизацию — злоумышленники безвозвратно шифруют данные, не требуя при этом выкуп», — говорит Павлов. По его словам, хакеры также активно используют фишинг (массовые рассылки с вредоносными вложениями и ссылками) и веб-атаки, целью которых становится внедрение вредоносного софта на сайт и последующее заражение пользователей.

Главный эксперт «Лаборатории Касперского» Сергей Голованов подтверждает, что «весной стало больше инцидентов с утечками данных, а также атак шифровальщиков, причем часто их целью является не финансовая выгода, а уничтожение данных и остановка работы компаний». Мы видим, что количество сложных атак увеличилось, говорит Голованов.

«У киберпреступников есть задачи, которые приносят им деньги — это для них более интересно, чем хактивизм. Хактивизмом сейчас занимаются только низкоуровневые специалисты, поэтому и цели они выбирают тривиальные. Высококлассные злоумышленники, как правило, деньги «зарабатывают», а не политикой занимаются», — говорит генеральный директор компании по информационной безопасности Zecurion Алексей Раевский. По этой причине, говорит он, растет число атак, из которых хакеры могут извлечь выгоду — например, атак с использование вирусов-шифровальщиков, а также просто краж баз с персональными данными.

«Конечно, у многочисленных утечек персональных данных, которые в последнее время произошли у российских компаний, могут быть и политические причины, а скорее даже причины разведывательного характера. Если иметь много разных баз данных, например, банка, доставки еды, сотового оператора, ГИБДД, то при сопоставлении их всех можно извлечь совершенно новую, уникальную информацию. По этой причине число атак с утечкой данных могло увеличиться — и виной всему тут, вероятно, даже не хактивисты, а спецслужбы, но об этом мы наверняка никогда не узнаем», — говорит Раевский.