"Понад 400 російських компаній зазнали збитків від наших дій лише протягом останнього року". Речник ІТ Армії України - про боротьбу в кіберпросторі
З невеликої волонтерської групи фахівців, які обʼєдналися в кінці лютого 2022 року, ІТ Армія України розрослась до спільноти, що налічує тисячі активних учасників і сотні тисяч прихильників. Волонтери ІТ Армії завдали збитків економіці росії на мільярди доларів. Речник організації, який з міркувань безпеки зберігає анонімність, розповів DOU про те, як побудована робота в команді, від чого залежить успіх атаки і чи пробували вороги проникнути в команду.
«Ми відмовилися від фінансування. Для атак нам достатньо знань і „заліза“ волонтерів»
— Пригадаймо історію створення ІТ Армії. Розкажіть, як ви самоорганізувались, яка зараз структура організації?
Коли в Мінцифри створювали ІТ Армію, було радше інтуїтивне розуміння, як вона може працювати. Але це позитивно вплинуло на розвиток організації, тому що волонтери, які вже проявили себе, могли сформувати бачення з нуля. Це ще один чинник, за який ми вдячні відомству: вони мали мудрість стати патроном і засновником ІТ Армії, але не стали нею керувати. Зараз жодної операційної ролі в організації Мінцифри не виконує. Фактично керують спільнотою її учасники.
Нас часто порівнюють з хакерською групою, але ми радше схожі на звичайну волонтерську організацію, просто сфокусовану на кіберпросторі.
Ми відмовилися від ідеї класичної вертикальної структури управління, бо це було б не тільки неефективно, а й створювало б безпекові ризики для її членів. Ми заохочуємо волонтерів запускати власні робочі групи й діяти максимально незалежно одна від одної. Це може стосуватися і нових ідей, і налагоджених процесів — розробки ПЗ для операцій, аналізу й підготовки цілей, комунікації тощо. Волонтерів ніхто не курує, але ми підтримуємо їх в межах своїх компетенцій.
Передусім ми сформували спільну місію, якою і досі керуємось під час ухвалення рішень: наближати перемогу України у війні, виснажуючи економіку країни-агресора та протидіючи ворожій пропаганді. Цю місію сформулювало не Мінцифри, а самі волонтери.
ІТ Армія фокусується на DDoS-операціях, оскільки є бажання зробити радше інклюзивну спільноту, ніж хакерське угруповання. Таким чином люди навіть без професійних навичок можуть брати участь в операціях, просто запустивши в себе певне ПЗ.
Також ми відмовилися від будь-яких видів фінансування, адже для проведення операцій достатньо лише знань і «заліза» волонтерів. Зрештою, потреба у фандрейзингу набагато менша, ніж ризики, які повʼязані з цим процесом.
Серверна стійка — поширена практика волонтерів IT ARMY для надання власних потужностей для атак в домашніх умовах
— У перші місяці ви спеціалізувалися на DDoS-атаках, надсиланні скарг на ворожий контент, листуванні тощо. Чи змінився вектор роботи зараз?
Поки що основний вектор роботи не змінився. Замість того, щоб розширювати спектр операцій, ми продовжуємо вдосконалювати інструментарій. Зокрема, йдеться про розробку та оновлення ПЗ для DDoS-атак. Це вимагає щоденних зусиль команд.
«Наша місія — модерувати та підтримувати проєкти, які знесилюють економіку ворога, а не керувати ними»
Щодо роботи зі скаргами, то зовсім недавно ми перейшли до продуктивнішого формату, представили бета-версію платформи Activeness social, яка дає змогу протидіяти арміям ботів у соцмережах і поширенню ворожої пропаганди.
Наш продукт нині в пілотній стадії. Ми хочемо зрозуміти, наскільки він затребуваний і чи «Мрія-чат» повністю закриває цю потребу. Різниця між нашим продуктом і «Мрією» в тому, що остання працює на платформі Telegram, а Activeness social — у форматі сайту, що дає можливість покращити його юзабіліті.
Ми бачимо свою місію саме у модеруванні, а не в прямому управлінні проєктами. Наша мета — надавати інформаційну та ресурсну волонтерську підтримку проєктам, які знесилюють ворога. Однак головне правило залишається незмінним: хто пропонує ініціативу, той бере на себе відповідальність за її реалізацію та результати.
— Скільки учасників налічує ваша ініціатива? На піку у вас було близько 300 тисяч підписників у Telegram, зараз суттєво менше. Настільки ж пропорційно зменшились потужності для проведення атак чи ви їх чимось компенсовуєте?
Наш канал у Telegram налічує близько 160 тисяч підписників, ще 100 тисяч стежать за нами через інші соціальні мережі. Важливо відрізняти тих, хто симпатизує нашій справі та стежить за успіхами, від активних учасників операцій. Хоча навіть сам факт, що сотні тисяч людей продовжують цікавитися нашою роботою, дуже мотивує.
На початку року ми запровадили систему анонімних ID для всіх наших застосунків, щоб розуміти, скільки людей безпосередньо залучено в операціях. Кожна копія нашого ПЗ привʼязана до ID, який згенерований у нашому чат-боті. Таким чином ми отримуємо аналітику про зареєстрованих користувачів: скільки копій ПЗ вони запускають і яку кількість трафіку генерують.
Я не можу надати точних цифр, але йдеться про тисячі осіб. За останній місяць кількість ID зросла на 10%, на такий же відсоток збільшився згенерований трафік від користувачів із зареєстрованими ID та без них.
Тому хоч аудиторія в соцмережах може зменшуватись, ми задоволені тим, що визначили цільову групу і продовжуємо її розширювати.
— Кажуть, що найслабша ланка кіберзахисту — людина. Наскільки часто застосовуєте соціальну інженерію для отримання доступів, ураження цілей тощо?
Це правда, соціальну інженерію часто використовують у кіберпросторі для отримання доступу або ураження цілей через людський фактор. Однак це не наш метод, тому ми майже не вдаємося до нього у своїй роботі.
Модуль для DDoS-атак з роздрукованим на 3D-принтері корпусом
«Ми завдали збитків ворогу на мільярди доларів. Можливо, це навіть більше, ніж деякі економічні санкції»
— Як обираєте цілі, які є пріоритетними? Жертви атак чи ворожі ЗМІ повідомляють росіянам, що це українські хакери?
Наша мета — виснажувати економіку країни-агресора. Ми цілеспрямовано заважаємо роботі ключових фінансових, інфраструктурних і державних сервісів, а також роботі великих платників податків. Частиною нашої стратегії є блокування ворожої медіапропаганди та донесення правди про війну до аудиторії ворога. Ми прагнемо, щоб кожен мешканець країни-агресора відчув наслідки діяльності їхньої держави.
Цілі підбираємо так, щоб максимізувати економічні збитки та зменшити здатність ворога фінансувати війну. Це сприяє згуртованості волонтерів та робить наші дії інтуїтивно зрозумілими для них.
Про нашу причетність до конкретної атаки стає відомо лише після публікації звіту про неї, що часто є сигналом про її завершення. Ефективність ми відстежуємо на основі публічної інформації про скарги на несправні сервіси і збої в сервісах, припинення їхньої роботи тощо. Зазвичай компанії-жертви повідомляють про збої в роботі чи атаку, а потім і ми звітуємо про це. Далі інформацію про конкретний кейс поширюють медіа.
Ворожі ЗМІ намагаються уникати публікацій про нас, щоби не популяризувати успіхи. Проте, на жаль, і українські ЗМІ не завжди звертають увагу на зусилля волонтерів. Збитки, яких ми завдали економіці ворога, за нашими даними, вже вимірюються в мільярдах доларів. Це значний вплив, можливо, навіть більший, ніж деякі економічні санкції США та ЄС.
— За нашою інформацією, кібервідділи СБУ теж проводять атаки на ворожі обʼєкти, але здебільшого це не DDoS, а дефейси, втручання в роботу мереж, застосування локерів тощо. Чи співпрацюєте з ними в цьому?
Так, нас залучали у кількох операціях, плануємо продовжувати співпрацю. Ми завжди відкриті до пропозицій військових, оскільки вони краще знають актуальні потреби та цілі.
— За півтора року роботи вам є чим похвалитися. Що можете сказати про результати в числовому вираженні?
Понад 400 російських компаній зазнали збитків від наших дій лише протягом останнього року. Серед них — «Сбербанк», мережа терміналів якого впала майже на цілий день; російська залізниця, що не могла продавати квитки онлайн півтора дня, а також централізована система купівлі та реєстрації авіаквитків, що призвело до паралічу роботи аеропортів майже на добу. Це лише те, що відомо широкому загалу. Але є ще низка операцій, про які ми не повідомляємо, оскільки не можемо знайти достатніх підтверджень у відкритих джерелах.
Значна увага до нашої роботи з боку російських органів, які коментують питання кібербезпеки на рівні Ради національної безпеки та оборони рф, свідчить про чималі втрати, яких ми завдаємо економіці країни-агресора. За їхніми словами, ми нібито «керуємося Держдепом США та отримуємо фінансування від НАТО», але це лише підтверджує, що ми створюємо великий дискомфорт для економіки ворога.
Моніторинг-стан сервера із запущеним DDoS-інструментом
«Система захищена від зловживань зсередини. Жодного випадку в нас ще не було»
— Як відбувається типова операція? Є завдання, ви про нього повідомляєте спільноті, під’єднуються учасники, дають свої потужності. Але має бути хтось, хто курує процес.
Спочатку ми справді анонсували операції у нашому каналі в Telegram, але про ці плани знав і ворог. Схоже, усі спеціалісти з кібербезпеки росії були підписані на ІТ Армію. Ми жартуємо, що спад підписників, можливо, відбувся через втрату інтересу з боку ворожих шпигунів, оскільки ми вже понад рік не публікуємо параметри атак.
Тепер їх програмує наша команда розвідки, а ПЗ, встановлене на комп’ютерах волонтерів, отримує ці дані у закритому режимі. Таким чином, лише кілька осіб знають про чинні атаки. Були моменти недовіри від учасників ІТ Армії, але цей підхід значно підвищив ефективність атак, адже ворогу стало складніше визначати, які саме вузли атакуються, і протидіяти. А софт, який ми використовуємо, став непридатним для комерційних DDoS-атак.
У центрі усього процесу — команди розвідки, які відшукують і підготовлюють цілі для атак. Ще менша кількість визнаних членів спільноти мають доступ до цієї інформації, щоб наглядати за процесом і гарантувати захист спільноти від можливих зловживань. Пишаюся, що поки що в нас не було випадків зловживань.
— Чи можете виокремити три наймасштабніші операції за весь час роботи і три найскладніші? Поговорімо про них детальніше.
Ми реалізували чимало масштабних і складних операцій. Однак я виокремив би з них три, які можна вважати особливо важливими з погляду масштабу і складності.
Крім згаданих операцій над Сбербанком, російською залізницею та системою бронювання авіаквитків, вагомою була атака на систему маркування м’ясної та молочної продукції. Її зупинка суттєво ускладнила постачання товарів на полиці магазинів по всій росії та завдала втрат і виробникам, і ритейлу.
Також у нас відбувався «тиждень банків», протягом якого ми успішно провели п’ять операцій на десятки банків. Це показало масштаб кібервразливості російських фінансових структур. Після атаки користувачі стикнулись із низкою проблем: у когось клієнт-банк не працював, у когось еквайринг тощо. Час від’єднання становив від кількох годин до кількох днів.
Результативною була атака на систему приймання платежів за проїзд автодорогами. Вона призвела до кількаденного паралічу проїзду вантажівок платними шляхами та вплинула серед іншого на військову логістику.
До складних операцій я зарахував би атаки на інтернет-провайдерів Криму. Особливо важливою була атака під час ураження штабу Чорноморського флоту. Ситуація була важкою через високий рівень захисту інфраструктури та потребу скоординувати наші дії з іншими учасниками.
Але загалом одним з найскладніших завдань було створити надійне та ефективне ПЗ для координації атак. Найперше тому, що декілька рішень повинні були розвиватися незалежно одне від одного, але водночас взаємодоповнюватись. Відлагодити і систематизувати цей процес у волонтерському середовищі дуже складно.
— Який рецепт вдалої DDoS-атаки? Одна з наймасовіших за останній час — на систему бронювання квитків Leonardo. Як це відбувалось і які складнощі виникали в процесі?
Успішна атака вимагає ретельної підготовки та адаптації до конкретних обставин цільової системи. Атака на Leonardo була однією з найбільш складних через застосування специфічних захисних механізмів, які ускладнювали сканування та аналіз вразливостей системи. Ми точно не розуміли, які частини системи були справді вразливі, це вимагало більше часу на аналіз і вибір підходів для наступу.
Іншим важливим аспектом був таймінг. Час для атаки обрали таким чином, щоб вона збіглася з конференцією, яку російський розробник системи «Сирена-Тревел» організував для авіаперевізників у Туреччині. Через це їм було складніше протидіяти нам, адже більшість працівників були на івенті. Та й медійний ефект був кращим. Таке планування вимагає додаткової координації та дисципліни від учасників атаки, адже операція має розпочатися у чітко визначений «час Х».
«Спроба створити аналог ІТ Армії в росії провалилася»
— Як дбаєте про свою безпеку? Чи траплялися спроби ворогів втертись до вас в організацію? Чи проходять учасники попередній відбір перед участю в операціях, чи перевіряють їх?
Попередні співбесіди чи перевірки проходять тільки, ті хто хоче працювати у нас над розвідкою цілей. Решту волонтерів ми обмежуємо в доступі, щоб вони не могли завдати шкоди структурі.
Ворогу складно нам протидіяти, їм нема що хакати у відповідь. Наш сайт не має стосунку до операцій, як і Telegram-канал. Організаційні принципи, про які я розповідав, залишають мінімум вразливих місць у структурі. Вразливими можуть бути хіба команди розвідки, але лише до першого інциденту. Але там у нас серйозний нагляд і низький рівень плинності кадрів. У решті випадків ворог може хіба одноразово похуліганити без серйозних наслідків для спільноти.
Спроби ворогів втертись до нас, ймовірно, були. Але складно сказати, чи це були росіяни і що вони мали на меті. Головне, що жодної шкоди завдати нам поки що не вдалося.
Інформаційна панель одного з найпоширеніших інструментів DDoS, написаних волонтерами IT ARMY — MHDDOS
— У кінці 2022 року російські хакери з RaHDit опублікували, як вони заявили, дані більш як тисячі хактивістів ІТ Армії та ініціативи Save UA. Це правда чи фейк? Якщо правда, то як стався витік і які мав наслідки?
Смішно не тільки з того, що вони опублікували інформацію на порталі з назвою «Немезида», натякаючи на якесь «правосуддя», але й через те, що вони навіть не спромоглися додати туди наших волонтерів, які не заморочувались анонімністю та виступали під реальними іменами в медіа. Тому ми скептично ставимося до того, чи реальні це люди й чи вони справді дотичні до ІТ Армії. Деякі волонтери знайшли себе в цій базі, але це направду поодинокі випадки.
— У ворога є такий же масовий аналог ІТ Армії чи це просто окремі хакерські групи? Загалом, чи були в історії приклади такої масової самоорганізації громадян для ведення кібервійни проти ворога?
У росії є чимало хакерських груп, але вони часто діють комерційно або на замовлення держави, а не у волонтерський спосіб. Спроба створити аналог ІТ Армії в росії провалилася. Думаю, через брак мотивації.
ІТ Армія України — це унікальний приклад самоорганізації громадян у кібервійні проти агресора. Для успіху такої ініціативи потрібні кілька ключових факторів: щира нематеріальна мотивація, технічні знання та ресурси і вразливий супротивник.
Ми отримали запити від волонтерів з Ізраїлю на використання наших рішень, але на рівні організації далі розмов ця справа не пішла. Можливо, вони обрали свій шлях або скооперувались з кимось з нашої команди напряму. Цікаво буде побачити, як наш досвід може бути адаптований або вдосконалений у майбутньому в інших регіонах і війнах.
«Дещо смішно слухати, що міжнародне право може захистити хоч когось від росії»
— Підполковник Вільям К. Біггерстафф, який є військовим професором у Стоктонському центрі міжнародного права Військово-морського коледжу США, написав велику статтю про українську ІТ Армію, де відзначив, що участь в ініціативі беруть цивільні, яких міжнародне право захищає від військових атак. Натомість участь цивільних в атаках на ворога може позбавити їх цього «захисту». Також діяльність IT Армії цікавить іноземних партнерів. Що скажете про правове регулювання цієї роботу з боку українського і міжнародного законодавства та правовий статус учасників?
Дещо смішно слухати, що міжнародне право може захистити хоч когось від росії. Скільки ще злочинів має скоїти ця держава, щоб світ зрозумів, що це терористи рівня ХАМАС, яким плювати на закон?
Ця війна вже показала, що самозахист — єдиний дієвий спосіб протидіяти ворогу. А не сподівання на те, що людожери будуть дотримуватись законів. Позиція організації проста — ми зупинимо наші атаки того ж дня, коли закінчиться війна.
Добре, що ми привертаємо увагу міжнародних партнерів, але західні країні мають зрозуміти, що разом з регуляцією треба робити дієві стимулятори для сторін, які дотримуються правил ведення війни, і покарання для тих, хто їх ігнорує. Інакше це нагадуватиме роботу футбольного арбітра, якому не можна показувати картки.
— Червоний Хрест опублікував «правила поведінки хакерів на війні». Зокрема, йдеться про заборону проводити кібератаки проти цивільних обʼєктів або мінімізувати їхні наслідки для цивільних, не атакувати медичні та гуманітарні організації тощо. Як ви їх оцінюєте, враховуючи, що сама росія не дотримувалася цих правил ще до великої війни, і зважаючи на сумнівну репутацію ЧХ?
Ми позитивно ставимося до зусиль міжнародних організацій, як-от Червоний Хрест, регулювати кіберпростір для захисту цивільних. Підтримка від відомих міжнародних особистостей, таких як суддя Карім Хан, підсилює цю ініціативу.
Ми сподіваємося, що з впровадженням правил хактивісти з різних країн зможуть вільно виступати без страху бути переслідуваними урядом, особливо в державах, які дотримуються міжнародного права.
ІТ Армія неухильно дотримується правил:
- Ми не атакували закладів охорони здоров’я чи гуманітарних об’єктів і не плануємо цього робити.
- Ми завжди орієнтуємося на те, як наші операції впливають на військову компоненту, і будемо продовжувати це робити. Умовно, нашими діями ми можемо затримати потяг, який везе набої для танка. Але якимось чином прямо вплинути на роботу цього танка — ні.
— Наприкінці 2022 року керівниця служби з питань інформаційної та кібербезпеки апарату РНБО України — секретарка НКЦК Наталія Ткачук говорила про потребу в ухваленні закону про функціонування кібервійськ у системі Міноборони. Як ви оцінюєте таку перспективу і чи є рух у цьому напрямку?
Існування законодавчої бази — це важливий крок до визначення правового поля для дій учасників. Однак важливо врахувати, що діяльність в галузі кібербезпеки часто виходить за межі національних кордонів, особливо у випадку міжнародних конфліктів, як це відбувається в нас. У цьому контексті дієвість національного законодавства може бути обмеженою без відповідних міжнародних угод.
Але національне законодавство може покласти край деяким непорозумінням і пролити світло потенційним волонтерам на їхній правовий статус під час кібероперацій. Це додатково запевнить учасників, що їхня діяльність регламентована і не є кримінальною, і стимулюватиме долучитися до спільноти.
«Для ефективнішої роботи потрібні ресурси, інфраструктура, фахівці та правове регулювання»
— Чи є у вас партнери серед українських або світових компаній, які допомагають інфраструктурою, технікою тощо?
На жаль, зараз ми отримуємо обмежену підтримку зовні, на рівні одного-двох серверів у дата-центрах. Тому ми хотіли б закликати хостинг та інтернет-провайдерів до співпраці, своєю чергою гарантуючи погодження наший дій з ними, аби не завдати шкоди партнерам.
Правова невизначеність, безумовно, є однією з перешкод для залучення підтримки від міжнародних компаній. Попри це ми продовжуємо ефективно працювати завдяки відданості волонтерів.
— Якою ви бачите ІТ Армію через пів року, рік? Чи плануєте змінювати підхід до своєї роботи, які напрями зростання і розвитку можете виокремити як перспективні для вас?
Кількість і якість DDoS-операцій нині стабільно зростає завдяки регулярному оновленню софту та вдосконаленню методик підготовки операцій. Також у нас збільшилася кількість волонтерів.
Проте ми можемо домогтися більшого в інших аспектах кібердіяльності. Я бачу великий потенціал у формуванні спецгруп фахівців, які зможуть самостійно планувати та виконувати операції під егідою організації. Хочеться об’єднати людей з вагомими технічними скілами, які можуть самотужки проводити більш вишукані хакерські операції. Адже зараз більшість учасників спільноти лише надають під атаки своє «залізо», запускаючи на ньому наше ПЗ. Роль ІТ Армії має бути спрямована радше на ресурсну та інформаційну підтримку таких груп, ніж на їх пряме керівництво.
Звісно, найкращим сценарієм було б швидке завершення війни, адже наша робота є відповіддю на військову загрозу. Хочеться її усунути.
— Чого бракує ІТ Армії, щоб бути ще ефективнішою: учасників, техзабезпечення чи чогось іншого?
Думаю, треба залучити більшу кількість учасників, ІТ-фахівців, здобути краще технічне забезпечення. Однак основним викликом є організаційний аспект. Багато завдань вимагають фултайм-залучення, а це виклик для волонтерської організації без фінансової підтримки.