«Найкорисніші атаки — по фінсектору росії». Інтерв'ю з українським неповнолітнім хакером з Cyber.Anarchy.Squad
Дампи систем російських держустанов, дефейс мілітарних сайтів ворога, зливи документів пропагандистів з рф — це не вичерпний перелік засобів, до яких вдаються українські хакери з угрупування Cyber.Anarchy.Squad під час «першої світової кібервійни».
DOU вдалось записати розмову з активістом C.A.S., який розповів більше про роботу хакерів після 24 лютого. На прохання героя ми публікуємо це інтерв’ю зі збереженням його анонімності.
«У нас майже повна децентралізація»
— Розкажіть свою історію, як ви потрапили в Cyber.Anarchy.Squad?
Я неповнолітній, тому ще ніде не працюю, вчусь на факультеті телекомунікації та радіотехніки українського вишу.
Cyber.Anarchy.Squad вже близько чотирьох років. Раніше це було таке собі хобі, в межах якого люди могли займатись програмуванням, кіберрейдами, кіберхуліганством у дискорді. З часом я зрозумів, що хочу взяти вищу планку. І почав програмувати софт для хакерських контестів, завів блог, в якому писав статті про вебвразливості.
Коли почалась війна, ми перейшли до агресивнішої фази розвитку і стали воювати з росією в кіберпросторі.
— Ви самоучка, свідомо вирішили вчити програмування і прокачувати свої навички?
Так. Мені було цікаво стати кращим за інших у цій галузі. Спочатку ми з командою зламували чужі сервери, це було відверте кіберхуліганство. Пізніше зрозуміли, що робимо щось не те і потрібно брати цікавіші планки. І мене закинуло у веб, тобто website penetration testing, випробування сайтів на міцність.
— C.A.S. це децентралізована структура? Або ж є людина, що відповідає за визначення цілей і задач?
Як зрозуміло з назви, це — анархія. Ніхто ніким не поганяє, кожен сам вирішує, що йому робити, та обирає власний напрямок роботи. У нас майже повна децентралізація, втім є й спеціальні чати, де низка наших членів цю анархію просувають в маси, тобто розповідають про проведені операції. Маємо спеціальні канали, де зберігаємо софт і російські бази даних.
Але загалом всі, хто цікавиться хакінгом і поняттям кіберанархії, можуть приписати себе до C.A.S. Єдина вимога — не збезчещувати ім’я кіберанархії. Траплялося, що люди не дуже моральні й із посередніми здобутками у житті чинили дурні речі, наприклад використовували в атаках нацистську символіку поряд з нашим іменем або ж переслідували людей під нашою егідою. Це, звичайно, било по репутації цілого хакерського руху й викликало тільки відразу. А перепрошувати доводилось нам. Ми розуміємо, що це хакінг, але він повинен мати моральні межі.
— Скільки ваша організація налічує членів?
Від 15 і більше відданих справі людей, які знають, що роблять. А якщо говорити про тих, хто просто цікавиться нашою діяльністю і побіжно долучається, то до 100 осіб.
— Якою ви бачите ціль руху C.A.S. на час війни?
Саме поняття кіберанархії свідчить про ідеї свободи в інтернеті, можливості вільно робити те, що хочеш, без гніту з боку інших. Але нині через війну наша спільнота вирішила протидіяти росії на кіберфронті, бо з боку цієї гнилої імперії надбагато пропаганди та агресії.
«Кібервійна проти росії майже не оплачується»
— Деяку злиту інформацію ви викладаєте на аукціони, а потім частину отриманих коштів скеровуєте на потреби ЗСУ. Чи продовжуєте ви займатись комерційним хакінгом, чи усі сили спрямовуєте на протидію росії?
Кібервійна проти росії майже не оплачується і забирає чимало часу. До того ж за працевитратами це не відрізняється від звичайної офісної роботи. Деяким хакерам бракує часу на основну роботу і доводиться обирати: або працювати весь день і займатися хакінгом уночі, або жертвувати роботою. Мені легше, бо я наразі лише здобуваю вищу освіту.
Багато людей, які долучаються до кіберопору, звісно, хочуть мати хоч якусь монетизацію, але хакерів не треба прив’язувати до комерції. В цьому разі все має ґрунтуватись на ідеї. Прямим комерційним хакінгом ми не займаємось.
Аби мати хоч якийсь прибуток, іноді продаємо бази або доступи колегам по цеху. Цього достатньо, щоб покривати власні потреби у ПЗ, оплачувати оренду серверів, віртуальних номерів і проксі. Врешті, платити за інтернет.
— Як ви вимірюєте успішність проведених кібероперацій? Що ви за допомогою цих атак, зливів і деанонів намагаєтесь зробити в кіберпросторі?
В інтернеті чимало злої русні, яка розводить паніку і сіє ненависть у чатах до українців. Таких людей потрібно ставити на місце. Всіх не задеанониш, але точково це треба робити.
Щодо кібератак, то разом зі зливами вони завдають великого удару по бюджету компаній агресора, адже час у простої, який йде на усунення завданих нами проблем, тягне за собою чималі грошові збитки. Іноді дефейс [злам сайту, що супроводжується зміною головної сторінки — ред.] використовують для того, щоб викрити конкретну думку, сформовану і навʼязану владою росії.
Дефейс сайту російського медіахолдингу, що володіє каналами Рен-ТВ, СТС та іншими, до Дня незалежності України
Наприклад, коли ми зламали офіційний портал правової інформації рф, то хотіли донести інформацію про те, що з-поміж російських армійців — воєнні злочинці, які каструють людей, і це ненормально, це звіряча жорстокість. Людям потрібно показувати, що війна — це не просто хтось прийшов і повоював без наслідків. Ми хотіли донести позицію України.
У деяких атаках, під час яких зливаємо дані, ми прямо ставимо під загрозу репутацію зламуваних компаній і установ. Наприклад, як це сталося з ЕСИА («Единая система идентификации и аутентификации»), або ж так звані «Госуслуги». В наш бік чого тільки не закидали: і що це «брудна гра», і що ми просто зробили мікс зі старих витоків. Але сам факт того, що ми запустили витік даних (їх вже понад 2,5 млн рядків) і їх можна купити, говорить сам за себе. Ми поставили під удар репутацію російських цифрових систем і завдаємо їм великої фінансової шкоди.
— Чи справді міць російських хакерів, про яку донедавна писали багато західних ЗМІ, є міфом? Наскільки, за вашими оцінками, захищені російські державні сервери, особливо що стосуються критичної інфраструктури?
До критичної інфраструктури росіяни підходять більш відповідально та не жалкують коштів на її захист. В росії є так звана «ГосСОПКА» (рос. государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак — ред.) для кібербезпекового контролю важливих об’єктів. Але загалом стан кібербезпеки в росії такий самий, як і у всьому СНД.
В Україні зараз теж, за моїми відчуттями, не надто відповідально ставляться до кібербезпеки, без пересторог. Навіть голова Мінцифри Михайло Федоров ще 2019 року заявляв, що роль кібербезпеки у всьому світі перебільшена. Схоже мислять не тільки в нашій країні, а й у сусідніх.
Я не говоритиму про захист, адже займаюсь протилежним — атаками. Але загалом можу сказати, що наша безпека в кіберпросторі на низькому рівні. Звісно, деякі компанії витрачають на неї багато коштів, інколи навіть держструктури закладають на це непогані бюджети, але це лише частина великої картини.
Щодо російських хакерів, то у
З часу повномасштабної агресії цей стереотип почав ламатись. Світ заговорив про українських хакерів окремо. Тож ми створюємо свій кібербренд — хакерів, які протистоятимуть росії. І ми не припинимо це робити навіть після закінчення війни.
Найбільшу загрозу несуть саме ГРУшні хакери — Fancy Bear, є безліч підвидів цих «ведмедів». Їх добре спонсорують спецслужби рф. Їм дають завдання — і вони його сприймають як наказ, як військові. Це несе велику небезпеку як для України, так і для її союзників.
— За вашими оцінками, наскільки багато у них «принаджених» хакерів, які роблять це суто за гроші, і наскільки багато «ідейних»?
Деяких російських хакерів змушують співпрацювати з держструктурами, тобто їм дають вибір або сісти у вʼязницю, або працювати на державу. Деяким з них, звісно ж, платять.
Про «ідейних». Я не думаю, що можуть бути настільки ідейні люди, які тероризуватимуть Україну та Польщу, проводитимуть DDоS-атаки на сайти парламентів і вважатимуть борцями за ідею. Тобто я навіть відмовляюсь їх так називати. Здебільшого це пропита вата, яка найголосніше кричить у чатах про те, що від неї всі «вигрібатимуть». Це не ідея, такі люди не знають, за що воюють. Вони бажають вислужитись, отримати ментальну «ачівку» про те, що начебто допомагали своїй державі, щоб у разі чого після війни сказати, щоб їх не чіпали.
«Найскладніші свої атаки ми поки що не анонсували»
— Який тип кібероперацій є найважчим до виконання? Можливо, згадаєте щось з останніх завдань, які стали реальними випробовуваннями.
Найважче — коли жертва атаки тямить у кібербезпеці. Але немає нічого досконально захищеного, і рано чи пізно знайдеться спеціаліст, який це зламає.
Найскладніші атаки — ті кібератаки, що будуються ланцюгово: ти зламав одну ціль, отримав права доступу, зламав іншу ціль, перейшов до неї з попередньо отриманим доступом, уже там отримав доступ до мережі, зламав її і пішов далі.
Злив баз даних сайту Инновации Росатома
Власне такі покрокові ситуації, коли постійно треба просуватись мережею, вважаю найважчими. Зламати один сайт відносно просто: знайти логін і пароль адміністратора, відшукати вразливість, і все — виконав завдання. А коли компанія велика і має розгалужену інфраструктуру, то необхідно діяти крок за кроком.
Було непросто зі зламом «1С-Бітрікс». У них доволі велика інфраструктура, чимало серверів, все потрібно було передивитись, знайти вразливості. Після того як кілька разів отримав доступи до різних серверів, потрібно отримати права вищого рівня. Адміни в деяких випадках сильно обмежували можливості у вебі й унеможливлювали деякі функції в тому самому PHP. Доводилось викручуватись.
Найскладніші свої атаки ми поки що не анонсували. Деякі з них виявились успішними. Але нам потрібен час на опрацювання отриманих даних.
— З ким з українських кіберугрупувань ви співпрацюєте?
Ми тісно співпрацюємо з DumpForums. Також кооперуємось з «Українським кіберальянсом», Revenge.Monster (ресурс, де публікують злиті бази даних росії).
Раніше працювали з DataLeak — агрегатором витоків, але він зник з радарів місяці чотири тому. Адміністратор сказав, що напише мені. Звертаюсь до нього: якщо ти це будеш читати — повернись. Мої контакти ти знаєш.
— Ви не так давно репостнули допис про те, що українська «ІТ-армія плутається під ногами», коли ви робите кібероперації. Можете пояснити думку?
Донедавна у мене не було жодних претензій до ІТ-армії — вони займались своєю ділянкою, щось собі DDoS’или, мене це не зачіпало.
Але все змінилось зі зламом сайту ОДКБ (Організація договору про колективну безпеку). Коли в січні цього року в Казахстані почались протести, для мене стало дикістю, що росія, білорусь та інші країни ОДКБ ввели свої війська на територію суверенної країни: люди зі своєї волі вийшли на мітинг, а тут таке.
У вересні я прочитав у новинах, що Вірменія на тлі конфлікту з Азербайджаном попросило ОДКБ про допомогу. Тоді ми з іншими членами C.A.S. зрозуміли, що треба з цим щось робити.
Ми зламали їхні ресурси, запостили фейкову новину, яка вдарила по їхній репутації, а пізніше адмін злякався і вимкнув сервери — назвав це DDoS’ом. Після цього ми вирішили витримати паузу, поки промайне ще якась гучна новина, пов’язана з ОДКБ, а потім побудувати більш ефективну атаку.
Ми написали в агресивному тоні, що це ще не кінець, ми повернемось. Чекали підхожий час, і тут мені пересилають новину, що ІТ-армія зіпсувала нам майже всі доступи. Вони запостили «останнє привітання» путіну. Я подумав: «Боже, що ви зробили?!». Ми готувались до проведення професійної кібероперації, а тепер частково втратили доступ. Щодо цього ми й висловились: Шон Таунсенд з «Українського кіберальянсу» більш м’яко написав, щоб вони не плутались під ногами. Я ж емоційніше відреагував. І таких непорозумінь між нами тепер чимало.
— Чи комунікуєте ви з ІТ-армією, щоб такого не виникало, щоб можна було координувати свої дії?
З представниками силових структур України ми майже співпрацюємо. Прямого контакту в нас немає, ніхто нам не ставить завдань. Ми виступаємо як такі собі добровольчі батальйони.
Спілкуємось із силовиками через колег і друзів. Наприклад, повідомляємо їм, що знайшли вразливість на сайті, передаємо інформацію, мовляв, усуньте, будь ласка. Або кажемо, що знайшли дані, які пов’язані з безпековим сектором рф, і передаємо їх.
Я вважаю, що потрібно зробити координаційний центр атак, що чинять у кіберпросторі як вільні хакери, так і державні кіберспеціалісти. Ніхто прямо не хоче спілкуватись, тим паче коментувати обрані цілі. Є певна плутанина в комунікації.
«Для хакерських атак існує багато різних цілей»
— Як ви ставитесь до ідеї створення повноцінної української кіберармії? Це ефективно? Або ж, якщо йдеться про серйозні кібероперації, краще мати розгалужену мережу кіберугруповань?
Я позитивно ставлюся до створення такої армії. Зараз триває перша світова кібервійна, і ми виявились майже не готовими до неї. Так, у нас був «Український кіберальянс», який працював з 2015 року, вони мали великий досвід, а ось ми з рештою угруповань прийшли «зеленими». Однією з перших наших цілей було міністерство освіти рф, і ми успішно його зламали, але навіть не змогли запостити дані.
Перше намагання опублікувати витік було зіпсоване тим, що не вдалося знайти відповідний хостинг, який стягнув би таку кількість даних. Пізніше я дізнався, що цю атаку приписали якійсь групі Aurora. Коли ми з C.A.S. вже мали власний непоганий хостинг і чимало підписників, я все ж вирішив запостити ці дані. Але й тут нас спіткала невдача — хостинг не стягнув такої кількості даних. Це було фіаско.
Для просування атаки нам бракувало доступу, і ми просто сиділи й шукали, що нам під силу зламати. Якби у нас була кіберармія, було б набагато легше проводити кібероперації проти серйозних противників на кшталт російських систем ситуаційної обізнаності (хоча я маю великі сумніви щодо того, що в рф зможуть розробити аналог української «Дельти»).
— За вашими оцінками і з вашого досвіду, по яких цілях потрібно бити в рф? Можливо, має сенс обрати маленькі цілі й бомбардувати росіян кібератаками? Або ж зібрати багато талановитих хакерів і покласти енергосистему москви — і з цього буде більше «вихлопу»? А можливо, ми навіть зможемо розробити свій Stuxnet, який завдасть максимальної шкоди росіянами?
Дуже дешевий і суворий аналог Stuxnet — Azov Ransomware, його розробив хтось з українських добровольців. Він видаляє по 666 байтів за цикл, перетворюючи файли на пристрої жертви на сміття.
Для хакерських атак існує багато різних цілей: фінансові установи, держструктури, оборонка, заводи, соціальна і критична інфраструктури (дамби, підприємства з виготовлення вибухівки, очисні споруди, АЕС, ТЕС, ГЕС). Тобто системи, які мають забезпечувати ціле місто або кілька міст. Ось такі кібератаки є найбільш руйнівними й найагресивнішими. Після них ФСБ і ГРУ починають тобою цікавитись, звісно! Бо ти, сидячи в Україні, зміг відключити світло цілої російської області й заподіяти відчутну шкоду компанії, яка постачає світло. Іноді такі атаки призводять навіть до смертей.
Зараз триває перша світова кібервійна, і ми виявились майже не готовими до неї
Найбільш корисні для нас атаки — по фінансовому сектору рф. Ідея полягає в тому, аби залишити окупантів без копійки. Я вважаю, що потрібно атакувати навіть їхні маркетплейси на кшталт «Авіто».
Ще цікава ціль — держзастосунки. Багато держструктур в росії співпрацюють з центрами координації і використовують для цього АРІ. Можна «класти» цілі сервери «госуслуг», які активно використовує населення, і це призводитиме до невдоволення і недовіри до держави.
— Наскільки, за вашими оцінками, Україна стала більш захищеною в кіберпросторі після 24 лютого? І які кібербезпекові напрямки нам ще треба «підтягувати»?
Захист став кращим, почали перевіряти системи. Наприклад, якщо росіяни зламають компанію, яка відповідає за обслуговування аеропортів, то інші компанії з цієї галузі також перевірятимуть.
Але цього все ще замало. У C.A.S. була ситуація, коли ми на початку війни знайшли вразливість в одному освітньому порталі в Україні, яка дозволяла викачати багато даних про учнів та вчителів, студентів і викладачів — адреси, номери, паролі, пошти. Вразливість стосувалась адмінпанелі.
Ми намагались привернути увагу до цього, писали техпідтримці порталу, але нас проігнорували. Потім ми через основну сторінку сайту покликали адміністратора в телеграм, де передали всі вразливості й намагались домовитись. Він з цим нічого не захотів робити, сказав лише: добре, передам.
Вразливість провисіла три місяці, ми пробували до цієї ситуації під’єднати CERT-UA — не вийшло. Через знайомих сконтактували з силовими структурами, які сказали, що теж передадуть. Ось така тяганина. Але якщо відбудеться атака, то під ударом буде сотні тисяч комп’ютерів українців. Поки буде таке ставлення до безпеки в Україні, це ставитиме під удар безпеку всієї країни.