Офисы украинской компании «Линкос» (высокие здания с множеством кондиционеров) окружают парковку, на которой потерявшие счет годам автомобили ВАЗ соседствуют с новыми внедорожниками. Чтобы найти их, нужно отправиться на север Киева, пройти под автострадой и перебраться через заброшенные железнодорожные пути. Когда глава предприятия Олеся Линник пришла на работу 27 июня 2017 года, она не подозревала, что ее скромная фирма, которая занимается разработкой бухгалтерского ПО, станет первой жертвой цифровой агрессии против страны.

Дело в том, что по ее сети уже не первый месяц разгуливали хакеры. Им удалось незаметно внедрить вирус в главный программный продукт компании, который используется на сотне тысяч предприятий по всей Украине.

27 июня хакеры решили активировать свою деятельность. После 13 часов большая часть компьютеров предприятия и всех клиентов «Линкоса» перестала работать. Компания оказалась «нулевым пациентом» национальной эпидемии: вирус NotPetya (новая форма менее опасного вируса Petya) начал распространяться с огромной скоростью и парализовал работу трех десятков банков. Супермаркеты и заправки прекратили работу, банкоматы вышли из строя. Выключились даже расположенные в ста километрах к северу от Киева датчики чернобыльского радиационного фона.

К вечеру Украина потеряла 0,5% ВВП. В скором времени вирус вышел за границы и заразил десятки стран. В общей сложности он нанес ущерб в 10 миллиардов долларов по всему миру. По данным, которые недавно передал газете «Монд» премьер-министр Украины Владимир Гройсман, в результате было уничтожено порядка 10% компьютеров на предприятиях страны. Об ущербе сообщили 1 500 компаний и организаций. Причем, в действительности урон мог быть еще больше, полагают в фирме ISSP, которая внимательно изучила ущерб и увидела в нем «массированное и скоординированное кибервторжение». Восемь месяцев спустя США и их ближайшие союзники подтвердили мнение большинства аналитиков и наблюдателей: ответственность за «самую разрушительную и дорогостоящую кибератаку в истории» несет Россия.

«Застигнутая врасплох» страна

Почти два года спустя Олеся Линник несколько по-другому смотрит на последствия. «Никто не умер из-за NotPetya, — говорит она. — Настоящий конфликт идет на востоке страны. Там умирают молодые ребята». NotPetya стал самым заметным эпизодом кибервойны, ведущейся против Украины с 2004 года.

Толчком всех перемен стал кризис конца 2013 года на Украине и обагренные кровью демонстрации на Майдане в Киеве. В тот момент пророссийский президент Виктор Янукович отказался от соглашения об ассоциации с Европейским союзом. Многие украинцы вышли на улицы, и Майдан стал эпицентром протестного движения, которое продолжалось многие недели и завершилось десятками смертей. Янукович бежал в Россию, а страна была выведена из равновесия. В конце февраля пророссийские солдаты вторглись на украинский полуостров Крым, который в конечном итоге был аннексирован Россией. На востоке Украины вспыхнул конфликт между армией и сепаратистами, и к настоящему моменту он унес десятки тысяч жизней.

Сопровождавшие кризис киберудары (в общей сложности несколько сотен акций) «застали нашу страну врасплох», признает глава Департамента кибербезопасности СБУ Александр Климчук. Никаких официальных подтверждений причастности России к этим операциям представлено не было: в сфере кибербезопасности доказательства редки и обманчивы, а в осуждениях всегда хватает задних мыслей, особенно на Украине. Тем не менее многие технические факторы указывают на Россию, поскольку только она может быть заинтересована в том, чтобы испытать на прочность украинские сети.

«Наша страна — полигон для кибератак, которые они сочетают с информационной и традиционной войной», — отмечает ветеран украинской кибербезопасности Виктор Жора. Сиим Алатали (Siim Alataly) из расположенного в Таллине Центра кибербезопасности НАТО согласен с этой точкой зрения: «Россия отрабатывает на Украине концепции и возможности. Это идеальное место, чтобы понять, как действуют российские хакеры».

Атаки во время президентских выборов

Валерий Стриганов, который отвечает за кибербезопасность в украинской избирательной комиссии, прекрасно помнит первый признак погружения страны в этот особый конфликт. Речь идет о досрочных президентских выборах 2014 года, на которых должен был определиться преемник Виктора Януковича после кровавой бани на Майдане.

Утром 21 мая 2014 года, всего за четыре часа до начала голосования, сотрудники комиссии обнаружили, что хакеры взломали за ночь систему, которая должна была демонстрировать результаты на сайте. Власти сразу поняли, что целью операции было не изменить результаты (сделать это невозможно, поскольку они фиксируются на бумаге), а подорвать доверие к избирательной системе перед ключевым голосованием.

Эксперты получили новое подтверждение своей теории днем, когда на сайт обрушилась волна запросов, сделав на время доступ к нему невозможным. Затем, за 12 минут до закрытия избирательных участков, хакерам удалось изменить страницу и провозгласить на ней победу националиста Дмитрия Яроша. Хотя сайт был недоступен для пользователей, эту информацию сразу же подхватили некоторые российские телеканалы. По всей видимости, журналистов предупредили заранее.

Украинские власти видят в этом доказательство причастности Москвы к акции по дестабилизации страны. Тем более что взявшая на себя за ответственность хакерская группа «КиберБеркут» устраивает нападки с самого начала напряженности в отношениях с Россией. Кроме того, в сети избирательной комиссии был найдены следы других известных российских хакерских групп.

Хотя последствия этой акции были незначительными, она стала предвестником все более тяжелой ситуации для Украины в киберпространстве. Так, октябре 2015 года крупнейшая медиагруппа страны StarLightMedia и канал ТРК тоже оказались под прицелом в преддверии местных выборов. Пострадали десятки компьютеров и серверов. Процесс до странного напоминал то, что случилось несколько месяцев спустя в парижском офисе французского телеканала TV5, где впоследствии были обнаружены следы работавшей на Кремль хакерской группы.

Удары по электростанциям и министерствам

Другая черта была пересечена незадолго до рождества того же года на западе Украины. Технические специалисты региональной электрокомпании увидели, что хакеры взяли под контроль несколько предохранителей в трансформаторе. Всего с помощью трех щелчков мышью десятки тысяч семей оказались без света. То же самое произошло и еще с двумя компаниями. Как отмечает глава ISSP Олег Деревянко, который провел последние годы на «линии фронта» этой кибервойны, эта дата стала исторической. Чисто компьютерная атака впервые повлекла за собой физический ущерб.

Хакеры повторили операцию год спустя, посреди зимних холодов. В течение получаса без электричества остались целые районы Киева. Ущерб был минимальным, но эксперты отметили, что нападавшие создали настоящее оружие, которое может взаимодействовать с промышленными системами и использоваться против какого угодно завода в любой точке мира.

На Украине атаки зачастую идут волнами. Незадолго до второго удара по электросети в декабре 2016 года хакеры решили взять на прицел государство. Их целью стали министерства. «Все компьютеры Министерства финансов были уничтожены. Это могло бы обернуться катастрофой», — говорит Дмитрий Шимков, бывший советник Петра Порошенко по вопросам кибербезопасности. «Был риск того, что госслужащие не получат зарплаты, а пенсионеры — пенсии», — добавляет Олег Деревянко.

Усиление защиты

В российском арсенале гибридной войны киберагрессия соседствует с пропагандой и преследует те же цели. «Это самый короткий путь к голове избирателя», — отмечает бывший сотрудник СБУ и эксперт по информационной безопасности Константин Корсун. «России нужно доказать две вещи украинскому населению и остальному миру: что Украина расколотая страна, и что ее государство разваливается», — говорит украинский дипломат Дмитрий Кулеба, который отвечал в министерстве иностранных дел за вопросы стратегических коммуникаций на пике кризиса с Москвой. «Главная цель — дестабилизация. Во время каждой кибератаки проводятся информационные операции, которые призваны показать, что власти не в состоянии управлять страной», — подтверждает офицер СБУ Александр Климчук.

Кроме того, удары по Украине позволяют России показать всему миру свои возможности, особенно когда речь заходит об электросетях или уничтожении компьютерных систем.

После четырех лет, которые были отмечены быстрой чередой атак, 2018 год выдался более спокойным. Это можно объяснить мерами Украины и ее союзников. Киев принял закон для лучшей организации обороны в этой сфере. США направили группу специалистов, чтобы разобраться с атаками на электросеть, а ряд международных организаций, в том числе ОБСЕ и НАТО, сотрудничают с Украиной для усиления защиты.

Был проделан большой путь, но, по мнению всех специалистов, страна продолжает получать удары. Так, в 2018 году был выявлен вирус, который, по словам экспертов, мог бы «отрезать от интернета сотни тысяч человек».

Власти и эксперты также сообщили «Монд» о недавнем предотвращении других масштабных атак. В частности, удар по электросетям, который, как считается, был запланирован хакерской группой GreyEnergy. «Существует немало критической инфраструктуры, где безопасность неоптимальная, и возможны многие сценарии», — полагает Олег Бондаренко, ведущий специалист индустрии кибербезопасности Украины и сотрудник американской компании «ФайрАй». Согласен с этим и Дмитрий Шимков: «Меня беспокоит безопасность критической инфраструктуры. Приближается буря».