Действия ИТ-армии Украины нарушают правила киберпространства, что может стать опасным прецедентом, который ЕС и НАТО пока недооценивают, указано в докладе эксперта центра исследования безопасности высшей технической школы Цюриха
Организационная структура ИТ-армии Украины, вероятно, будет использоваться в будущих кибер- и информационных конфликтах, что создает опасный прецедент, так как данный проект — это не движение волонтеров, а «штатные сотрудники, которые, похоже, имеют глубокие связи или в большинстве своем состоят из сотрудников служб обороны и разведки Украины», говорится в докладе Стефана Соесанто, старшего научного сотрудника проекта киберзащиты в группе риска и устойчивости Центра по исследованию вопросов безопасности (CSS) Швейцарской высшей технической школы Цюриха (ETH Zürich), опубликованного на днях на сайте этого центра.
Кто писал отчет
ETH Zürich — университет, который специализируется на изучении точных и естественных наук, а также технологий. Существующий при нем CSS является центром компетенции в области швейцарской и международной политики безопасности; занимается исследованиями и консультированием по вопросам политики, готовит высококвалифицированных младших исследователей, предоставляет информацию заинтересованной общественности.
Автор доклада Соэсанто имеет степень магистра Университета Ёнсе (Южная Корея) по политике безопасности и международному праву, а также степень бакалавра Рурского университета Бохума (Германия) по политологии и японскому языку. До прихода в CSS он был научным сотрудником по кибербезопасности и обороне в Европейском совете по международным отношениям (ECFR) и внештатным научным сотрудником исследовательского института Pacific Forum CSIS. Также Соэсанто является соавтором отчетов для комитета Европейского парламента по гражданским свободам, правосудию и внутренним делам (LIBE), Европейского агентства сетевой и информационной безопасности (ENISA) и Министерства юстиций и безопасности Нидерландов. Как пояснил РБК Стефан Соэсанто, опубликованная работа отражает результаты его собственных исследований и его мнение, хотя в процессе исследования сотрудники центра «получают обратную связь от коллег, а публикации проходят процесс редактирования и контроля качества». Доклад был создан на основе общедоступных данных, публикуемых с начала специальной военной операции на различных сайтах, в СМИ, подкастах, YouTube, Twitter, Telegram-каналах и чатах.
На чем основаны такие выводы — разбирался РБК.
Что назвали ИТ-армией
Сбор ИТ-армии начал в конце февраля украинский ИТ-предприниматель Егор Аушев, совладелец компаний Cyber Unit Tech, Cyber School и Hacken.io, указывает Стефан Соэсанто. Как писал Reuters, 25 февраля Аушев по просьбе высокопоставленного чиновника Минобороны Украины начал собирать на хакерских форумах добровольцев для ведения «партизанской войны». На следующий день, 26 февраля, глава Министерства цифровой трансформации Украины Михаил Федоров анонсировал набор добровольцев в аккаунтах ведомства в соцсетях.
Среди других участников проекта Стефан Соэсанто назвал украинского ИТ-топ-менеджера Романа Захарова, который организовал группу StandForUkraine для распространения украинской пропаганды и атак на российские ресурсы. Кроме того, кибервойну против российского правительства объявила хакерская группировка Anonymous.
В конце марта представитель Министерства цифровой трансформации Украины Мстислав Баник в интервью украинским СМИ говорил, что ИТ-армия — это волонтеры. На вопрос, кто формулирует им задания, Баник отвечал лишь, что это делают «кураторы чата».
Соэсанто считает, что государства — члены ЕС и НАТО недооценивают, что на самом деле представляет из себя эта организация. «В публичной сфере сложилось мнение, что ИТ-армия — это инструмент, который позволяет правительству Украины использовать волонтеров со всего мира, чтобы проводить постоянные DDoS-атаки против российских государственных и корпоративных сайтов. <…> Из внутренней информации следует, что ИТ-армия — это штатные сотрудники, которые, похоже, имеют глубокие связи или в большинстве своем состоят из сотрудников служб обороны и разведки Украины», — пишет он.
Общая численность организации, как пишет Стефан Соэсанто, неизвестна, но в публичном пространстве называлась цифра 300 тыс. членов, что соответствовало числу подписчиков ее официального Telegram-канала. В последние месяцы их количество снижалось, указывает исследователь (на 29 июня оно составляло 251 тыс., убедился корреспондент РБК).
По состоянию на 7 июня этого года было известно о 662 целях DDoS-атак. Среди них были ресурсы российских агентств «РИА Новости» и ТАСС, компаний «М.Видео-Эльдорадо», QiWi, TuTu.ru, системы ЕГАИС и др. Также они угрожали родственникам российских военнослужащих и собирали номера телефонов физических и юридических лиц из Крыма, Брянской, Курской и Белгородской областей, контакты россиян с радикальными взглядами и хорошей физической подготовкой, призывников, студентов, служащих военных органов и их родственников. Автор отчета указал, что до сих пор неизвестно, для каких целей собиралась эта информация.
Какими могут быть последствия
С начала военной операции различные российские сайты оказывались недоступными из-за DDoS-атак. Среди наиболее заметных атак была атака на ЕГАИС, из-за которой ряд предприятий были вынуждены остановить производство алкоголя, поскольку не могли сбыть продукцию, а также атака против видеосервиса RuTube. Последняя произошла в ночь на 9 мая и была первой кампанией, ответственность за которую взяла на себя ИТ-армия. Сервис оставался недоступен в течение нескольких суток, и, согласно данным специалистов Positive Technologies, которые проводили расследование инцидента, злоумышленники попали в сеть RuTube еще в начале марта, но не проявляли себя. Эксперты в области кибербезопасности предупреждают, что за DDoS-атаками могут скрываться попытки более масштабных взломов.
«Зарубежные специалисты начали понимать, что ИТ-армия не набор хакеров с личными убеждениями, а организованная централизованная группа. Возникает вопрос: когда все закончится, как остановить тех, кто не служит в армии и не подчиняется никаким законам?» — рассуждает эксперт по кибербезопасности Алексей Лукацкий. По его словам, существуют негласные правила ведения кибервойн, которые подразумевают, что нельзя совершать прямые кибератаки против того или иного государства. Например, в Великобритании и США это может рассматриваться как акт военной агрессии с последующей ответственностью, поэтому раньше страны официально не признавали атаки против других государств, не вербовали хакеров, не устанавливали цели. «Если это происходило, то только в засекреченном режиме. Никогда не доходило до того, чтобы официальный орган сотрудничал с хакерами, в этом плане Украина поменяла правила», — говорит Лукацкий.
Он, как и Стефан Соэсанто, считает этот конфликт уникальным из-за его масштаба. «То, что происходит сейчас, повлечет за собой несколько последствий. ИТ-армия станет катализатором цифровых войн. Сейчас вновь заговорят о необходимости принять правила ведения войны в киберпространстве в рамках Гаагской или Женевской конвенций. Возможно, будет запрещено атаковать организации вроде Красного Креста. Многие государства могут начать формировать киберподразделения, но не на базе волонтеров, а в рамках Минобороны или спецслужб», — считает Лукацкий, оговорившись, что в Китае и США уже есть официальные кибервойска.
О том, что до сих пор политически мотивированные хакеры открещивались от связей с каким-либо государством, говорит и консультант ПИР-Центра Олег Шакиров. Раньше в качестве таких хакеров могли выступать спецслужбы, которые занимались в основном шпионажем и иногда саботажем, так называемые прокси-группы, которые действовали в интересах государств и как-то взаимодействовали с властью и спецслужбами, а также хактивисты — хакеры, которые действуют в соответствии со своими политическими или моральными ориентирами. «ИТ-армия — это группа с довольно прозрачной аффилиацией с государством, при этом с массовым участием добровольцев, в том числе граждан других государств и, видимо, отлаженной непубличной структурой. Ее деятельность в значительной части публична, как у хактивистов, и участники, очевидно, стремятся добиться максимальной огласки своих успешных атак», — рассуждает Шакиров.
По его словам, государства уже больше двух десятилетий пытаются выработать правила использования киберпространства во время конфликтов, но пока не пришли к каким-то договоренностям. В 2013 году группа экспертов в ООН договорилась, что международное право применимо к киберпространству, но до сих пор нет понимания, как именно. В 2015 году были согласованы так называемые кибернормы — это добровольные правила в киберпространстве. «Например, там говорится, что государства не должны позволять использовать свою территорию для проведения кибератак против критической инфраструктуры других государств и должны отвечать на запросы о помощи. Но юридической силы у этих правил нет, поэтому их использование остается необязательным, а в условиях конфликта, как мы видим, про них редко вспоминают», — подчеркивает Шакиров. По его словам, есть некодифицированная норма, которой государства негласно придерживаются: что кибератаки не должны наносить ущерб в виде человеческих жертв или разрушений. «Интуитивно понятно, что если эффект от атак хакеров будет сопоставим с неким кинетическим ударом, то это точно будет рассматриваться как военные действия. Но именно интуитивно, в международном праве это не закреплено», — заключил Шакиров.
Представитель Минцифры не ответил на момент публикации.