Не лише DDoS-атаки. Як працює українська ІТ Армія із 300 тисяч фахівців
Після розв’язання росією повномасштабної війни в Україні сформувалося волонтерське об’єднання понад 300 тисяч фахівців, які ведуть повноцінну війну з окупантами у кіберпросторі — ІТ Армія. Журналістка DOU розпитала Міністерство цифрової трансформації України, яке курує ІТ-армію, а також її безпосередніх кібербійців про діяльність спільноти та «внутрішню кухню».
ІТ Армія: з чого усе почалося
Про створення ІТ-армії 26 лютого повідомив глава Мінцифри Михайло Федоров.
Того ж дня російські медіа написали про «безпрецедентні за масштабом кібератаки на портал Госуслуги, сайти Кремля, Госдумы, Первого канала, Роскосмоса та Российские железные дороги, які налічували понад 50 DDoS-атак [з загальними запитами] у понад 1 ТБ». З того часу ІТ-військо продовжує свою роботу, щоденно успішно атакуючи все нові й нові цілі серед російських та білоруських ресурсів.
У Мінцифри розповідають, що атаки ІТ Армії спрямовані на ресурси державних установ, великих корпорацій, операторів зв’язку, банків, кредитних спілок, сервісів електронного цифрового підпису та низки їх ЗМІ тощо.
При цьому ІТ Армія не займається безпосередньо зламом інформаційних систем. Всі атаки спрямовані на порушення доступу до визначених цілей, поширення серед росіян правдивої інформації про війну тощо.
«Ключовою метою у перші дні війни було паралізувати ресурси державних установ та великих корпорацій росії. Але, враховуючи той факт, що і російське населення, і бізнес всіляко підтримували дії керівництва рф, ми частково змістили вектор атак на ресурси, якими користується населення та бізнес. Лише так можна змусити росіян замислитись, чи все правильно робить керівництво країни-агресора», — коментують у Міністерстві.
Приєднатися до ІТ-армії може кожен охочий, і не лише з України — серед учасників є й іноземці. Нові цілі для атак командування кіберструктури публікує в офіційному Telegram-каналі, який нині налічує понад 300 тисяч учасників. Саме ж командування ІТ-армії — це технічна команда фахівців, які аналізують ситуацію, результативність тих чи інших атак, способи обходу методів захисту росіян та підбирають нові завдання. Будь-які інші подробиці щодо їхньої роботи не розкриваються.
«Всього за кілька хвилин ми припинили роботу порталу російських державних сервісів, біржі, сайтів ТАСС, Коммерсанта, Фонтанки та інших провідних ЗМІ Росії. Українські кібервійська працюють, російські сайти «відпочивають», — звітують у Мінцифри.
Про деталі кібербоїв на ІТ-фронті нам на анонімних засадах розповіли два розробники.
Software Engineer у компанії Innovation Group
Щоб ефективно допомагати у лавах ІТ-армії з погляду атак на портали, треба щонайменше бути на рівні сисадміна чи DevOps, мати розуміння, як працюють мережі. Максимальний ефект — якщо ви чинний PenTest Engineer або практикуєте CTF для покращення своїх навичок.
Та є і легші варіанти. Ви, певно, чули про сайти, куди треба тільки зайти й тицьнути на кнопку або грати в форк (відгалуження, — ред.) гри 2048? І все, ти вже в команді. Бути в ІТ-армії може кожен, всі можуть бути ефективними. Це залежить тільки від бажання. Достатньо мати пристрій, з яким будеш працювати (стаціонарний ПК, ноутбук, планшет, телефон).
Ми проводимо не лише DDoS-атаки. В арсеналі — скарги на Telegram-канали, боти, YouTube-канали, Instagram, TikTok-ресурси, які розповсюджують російську пропагандистську інформацію. Також написання листів на email, повідомлення в соцмережах або телефонні дзвінки рідним окупанта чи й самим оркам, котрі хочуть прийти на нашу з вами землю, аби застерегти їх від найбільшої та невиправної помилки.
Також проводимо інформаційні кампанії проти світових брендів, котрі ще не припинили роботу на території «оркостану». Інформуємо світових зірок, пишемо в Direct або публікуємо пости з відповідними хештегами до лідерів думок, які мають вплив на свою аудиторію. Робимо все можливе для максимального розголосу ситуації в Україні.
Процес з боку класичного бійця ІТ-війська виглядає просто: отримуємо або знаходимо ціль — і починаємо роботу. Алгоритми та методи є, кожен має можливість обирати те, що краще працює в його умовах. Головне — кінцевий результат.
На питання про те, як відбувається координація ІТ-Армії, наявні у ній підструктури та хто саме визначає ресурси для блокування я не можу відповісти з міркувань безпеки — це надто чутлива інформація. Але можу підтвердити, що ми узгоджуємо завдання з іншими волонтерськими групами. Максимальний та майже миттєвий ефект від дій IT Армії досягається, якщо операцію проводять всі разом, майже як військову.
Також ми (різні волонтерські групи, — ред.) постійно ділимося знайденими цілями, по яких треба провести операцію. Адже самостійно інколи не встигаєш все відстежувати.
Team Lead (Infrastructure Team) у компанії Brainstack
Зараз є досить багато різних каналів із назвами IT ARMY, які висилають домени для ударів. Для себе ми обрали IT ARMY of Ukraine (єдиний офіційний канал від Мінцифри, — ред.) як основний канал, через який отримуємо цілі та час атак.
Організатори каналу регулярно відправляють список цілей (домени, IP-адреси, порти), на які запускаємо DDoS. Тривалість атаки залежить від того, наскільки швидко росіяни збагнуть, що їх «поклали», та почнуть блокувати наші IP.
З технічного боку все виглядає так: у нас є великий парк серверів в різних країнах, а також у різних «хмарах». На кожному сервері встановлений HAProxy, що дозволяє перенаправляти через нього весь потік запитів.
Наш DevOps написав розподілену систему з централізованим керуванням, яка дає змогу динамічно змінювати цілі і асинхронно виконувати DDoS-атаки. По кожній атаці збирається статистика (через який проксі, яку ціль ми атакували, скільки запитів, які відповіді тощо). Інформація обробляється в реальному часі, і система сама обирає найоптимальніші шляхи для атаки. Аби краще розуміти ефективність атак, всю статистику візуалізуємо в Grafana.
Також ми всіма можливими методами шукаємо відкриті російські проксі, оскільки атаки через них максимально ефективні.
В ході атак ми помітили, що дуже мало сервісів в росії використовують CloudFlare і вельми слабко захищені, тож деякі сайти можна «покласти» з домашнього ноутбука, запустивши DDoS на рівні
Плануємо дописати окремий модуль, який крім класичного DDoS буде виконувати створення нових облікових записів на тих сайтах, де є відкрита реєстрація.
Список останніх доменів, по яких ми працювали:
- https://esia.gosuslugi.ru
- https://rostelecom.ru
- https://e-trust.gosuslugi.ru
- https://www.company.rt.ru/
- https://uc-osnovanie.ru/
- http://www.belinfonalog.ru
- http://www.astralnalog.ru
- https://kk.bank/UdTs
- http://www.ucpir.ru
- http://www.e-portal.ru
Також ми продовжуємо успішні атаки на tinkoff.ru, sberbank.ru та alfabank.ru (одні з найбільших банків у рф, — ред.). Організатори добре попрацювали, зібравши список адрес, що мають безпосередній вплив на роботу сервісів.
Крім DDoS-атак, вся наша компанія бере участь у блокуванні/скаргах на ресурси, що поширюють російську пропаганду.
Безпосередньо з організаторами ми не контактували. Спочатку взагалі самостійно обирали цілі та влаштовували на них DDoS-атаки. Та після появи організованих каналів долучилися до ІТ Армії, адже спільна робота приносить значно кращий результат. У коментарях до задач в Telegram-каналі активно обговорюють цілі, діляться враженнями, інструментами, інструкціями, проксі-серверами тощо.
Цілі публікуються відкрито, для всіх учасників. Атака починається одночасно. Зі своєї сторони ми лише оновлюємо списки в нашій системі та спостерігаємо за результатами. В нашій компанії DDoS-ом займаємося я і мій колега Олександр. Від керівництва ми отримали згоду на використання всіх вільних потужностей нашої інфраструктури. Враховуючи, що весь процес автоматизований, все що потрібно робити — вказувати нові цілі.
Бажання якось допомогти країні, крім як фінансово, було абсолютно у всіх, а найвище ККД можна отримати з того, що вмієш робити найкраще. У нас досить велика інфраструктура і досвід в створенні важких сервісів для різних задач, тому ми й почали писати систему, яка максимально ефективно зможе використати всі незалучені ресурси.
Також багато охочих з нашої компанії записалися до лав кіберполіції через цю форму, проте наскільки мені відомо, задач від кіберполіції поки не надходило.