Сьцісла:
- Як атакавалі Kamunikat
- Чым былі ўнікальныя атакі падчас выбараў у Каардынацыйную раду
- Ці магчыма абараніцца ад кібэрзлачынцаў
- Хто за усім гэтым стаіць і адкуль бяруцца грошы на атакі
«Я заўважыў недзе каля другой гадзіны начы, што галоўная старонка сайту статычная. Дзе б ты ні шчоўкнуў, усё вяртаецца да яе», — так узгадвае ў размове з Свабодай узлом інтэрнэт-бібліятэкі kamunikat.org яе заснавальнік Яраслаў Іванюк.
Атака на Kamunikat адбылася ўначы на 7 траўня. Яраслаў кажа, што адразу зьвярнуўся да ІТ-спэцыяліста, які далучыўся да разьвязаньня праблемы. Да 4-й гадзіны начы стала зразумела, што з сэрвэраў бібліятэкі выдалілі матэрыялы. Іх проста вычысьцілі, працягвае Іванюк.
Раней у сьнежні на Kamunikat была праведзеная DDoS-атака (анг. Distributed Denial of Service — разьмеркаваны напад для дасягненьня адмовы ў абслугоўваньні, від хакерскай атакі шматлікімі запытамі звонку. — РС). Сотні тысяч запытаў да базы зьвестак штохвілінна прыходзілі з ІР-адрасоў, разьмешчаных пераважна ў Кітаі.
«Думаю, гэта было як папярэджаньне таго, што нас зламаюць. Зараз мы працуем і, спадзяюся, празь нейкі час сайт адновіць працу. Бо ў нас былі захаваныя базы зьвестак і копіі матэрыялаў. Таксама яны (ламальнікі. — РС) запусьцілі шкодны софт, зь якім трэба было разабрацца», — расказвае заснавальнік інтэрнэт-бібліятэкі.
Яраслаў падкрэсьлівае, што цяпер арганізацыям, якія займаюцца беларускай культурай, трэба зьвяртаць увагу на незвычайна вялікую колькасьць запытаў. На думку Іванюка, гэта можа папярэднічаць хакерскай атацы.
«Трэба абавязкова пра гэтыя інцыдэнты заяўляць у паліцыю. Мы заявілі ў Польшчы, цяпер справа пад наглядам пракуратуры Беластоку», — зьвяртае ўвагу Іванюк.
Да гэтай атакі на сэрвэрах kamunikat.org захоўвалася больш за 70 тысяч рознага тыпу беларускіх публікацыяў — кнігі, газэты, часопісы, аўдыёкнігі, відэа- і аўдыёматэрыялы пра Беларусь. Частку зь іх улады Беларусі прызналі «экстрэмісцкімі».
«Гонка рэсурсаў можа абярнуцца не на нашу карысьць»
Плятформа «Тры сланы», прысьвечаная выбарам у Каардынацыйную раду, зазнала камбінаваныя атакі пачынаючы з красавіка, хоць выбары мусілі пачацца 11 траўня. Праз магутную DDoS-атаку пачатак галасаваньня перанесьлі. Адказны за тэхнічную частку выбараў Павал Лібер у размове з Свабодай кажа, што адной з задачаў зламысьнікаў было проста «пакласьці» сайт.
«Хоць плятформа не выкарыстоўвалася для галасаваньня, але як інфармацыйны рэсурс яна стала аб’ектам вельмі масаваных DDoS-атак. Масаваных — гэта прыкладна 20 тысяч запытаў толькі за красавік. Адпаведна ніякіх асаблівых спробаў узлому там не было, гэта былі проста спробы заваліць нас трафікам. Нас турбавала, што ўсе гэтыя атакі былі даволі якаснымі з гледзішча трафіку. То бок гэта быў трафік, крыніцы якога ідэнтыфікаваліся як мабільныя прылады, як настольныя кампутары — як трафік ад рэальных людзей», — кажа Павал.
Паралельна з DDoS-атакамі нехта спрабаваў дабрацца да зьвестак сэрвэру, працягвае Павал Лібер.
«Другая хваля, якую мы назіралі, — гэта пастаянныя спробы дабрацца да сэрвэру. То бок гэта быў перабор розных тыпаў запытаў, розных тыпаў уліковых дадзеных, якія мы бачылі ў логах. І гэта таксама не спынялася практычна ўвесь час галасаваньня. Гэта сьведчыць, што там сапраўды працавала нейкая асобна вылучаная група», — гаворыць суразмоўца.
Лібэр кажа, што гэтая група таксама безупынна атакавала ўсе рэсурсы праекту «Тры сланы» трафікам, то бок вялікай колькасьцю запытаў.
«І што самае цікавае — тып гэтага трафіку таксама пастаянна мяняўся. То бок калі мы раптам бачылі нейкі паўторны патэрн, напрыклад, што трафік ідзе з пэўных дата-цэнтраў, і прымалі рашэньне пачаць адключаць гэтыя дата-цэнтры, то літаральна праз паўгадзіны набор гэтых дата-цэнтраў ужо зьмяняўся», — дае прыклад Павал.
Ён дадае, што кошт падобнай атакі можа складаць 150-200 тысяч даляраў, бо ў яе залучаны вялікі дыяпазон IP-адрасоў. Атака працягвалася яшчэ два дні пасьля выбараў, што можа сьведчыць аб аплаце паслуг такой групы за нейкі канкрэтны час. Імаверна, атака была сплянаваная і аплачаная загадзя. Тэхнічнае забесьпячэньне для яе арганізатары маглі стварыць самі, а маглі і арандаваць абсталяваньне ці набыць яго паслугі на пэўны час.
«Магчыма, цяпер дзесьці у беларускіх ці расейскіх падвалах ужо стаяць нейкія мабільныя фэрмы на тысячы прыладаў. Якія адпаведна праз нацыянальных тэлекам-правайдэраў, то бок пры афіцыйнай дзяржаўнай падтрымцы, умеюць мяняць IP-адрасы, мімікраваць пад розныя зоны і гэтак далей. Таму, магчыма, гэта было таньней, калі ўсё абсталяваньне ўжо было ў зоне даступнасьці, калі яно не закуплялася дадаткова. Хапае і расейскіх розных хакерскіх груповак, і беларускія пэрыядычна таксама дзесьці зьяўляюцца. Таму я думаю, што такія паслугі можна знайсьці або можна нават набыць час арганізаванай групы на пэрыяд выбараў, каб яны гэтым займаліся», — пералічвае варыянты суразмоўца.
Вялікая праблема ў тым, што з аднаго боку — на напад — могуць патраціць 200 тысяч даляраў, а вось патраціць столькі ж з другога боку — на абарону — цяжка, разважае Лібер.
«Мы ня можам выдаткаваць, умоўна, 200 тысяч на абарону, а рэжым можа выдаткаваць 200 тысяч на напад. І мяне вельмі непакоіць, што ў нейкі момант гэтая гонка рэсурсаў стане зусім ня ў нашу карысьць. Бо ў прынцыпе людзей, якія сёньня за грошы прапануюць нейкія ўзломы, у інтэрнэце хапае. Іх нават неабавязкова вырошчваць ці спэцыяльна рыхтаваць», — мяркуе суразмоўца.
«10–15% бюджэту на кібэрбясьпеку»
Кібэрзлачынцы атакуюць не толькі палітычныя і культурніцкія праекты беларусаў замежжа. Часта адбываюцца атакі на мэдыя. Напрыклад, зараз DDoS-атакі на сайт «Эўрарадыё» сталі рэгулярнымі. Апошняя адбылася 2 чэрвеня, сайт у выніку быў недасяжны некалькі гадзін. 29 красавіка пра кібэрнапад паведамляла онлайн-выданьне «Люстэрка». На пачатку траўня адразу некалькі іншых буйных беларускіх мэдыя заявілі пра DDoS-атакі на свае сайты.
Адзін з варыянтаў кібэршкоды — гэта так званы «згон» старых рэсурсаў. Напрыклад, калі мэдыя не змагло працягнуць дамэн у Беларусі і яго забралі дзяржаўныя органы. Тады яны маюць магчымасьць прасачыць, хто па старой памяці на той адрас заходзіць.
Экспэрт у лічбавай бясьпецы Мікалай Кванталіяні ў размове з Свабодай пералічвае некалькі асноўных пагрозаў, якія паўстаюць перад мэдыя і іншымі праектамі на гэты момант.
«Першае — гэта інфраструктура. Гэта значыць — сайты, сацыяльныя сеткі і ўсё неабходнае для іх працы. І тут маем такія пагрозы, як захоп дамэну, DDoS-атакі, узломы, заражэньні. Гэта разьвязваецца праз абнаўленьні, кантроль доступу і, адпаведна, аплату дамэнаў. А другая частка — гэта арыгіналы матэрыялаў, як відэа, так і чарнавікі артыкулаў, якія ў выпадку выцеку могуць нанесьці шкоду героям. Гэта доступ да вялікіх аб’ёмаў зьвестак. Бо застаюцца рэпрэсіі за супрацу зь незалежнымі мэдыя, за распаўсюд „экстрэмісцкіх“ матэрыялаў у Беларусі», — пералічвае суразмоўца.
Гаворка пра дэананімізацыю зьвестак, якія людзі зь Беларусі перадалі, напрыклад, незалежным мэдыя. Калі ў сілавікоў зьяўляецца доступ да гэтых зьвестак, у чалавека, які іх пераслаў, узьнікнуць праблемы.
Яшчэ адзін уразьлівы момант, які падкрэсьлівае экспэрт, — старыя сайты, створаныя на старым праграмным забесьпячэньні (ПА).
«Да 2020 году многія мэдыя стваралі сайты на Bitrix (расейскае ПА для вэб-распрацоўкі. — РС). І на гэты момант мы сустракаем мэдыя, якія ўсё яшчэ выкарыстоўваюць Bitrix. Гэта азначае, па-першае, што яны мусяць аплачваць расейскую ліцэнзію, парушаючы санкцыйную палітыку Эўрапейскага Зьвязу. А па-другое, узьнікаюць пытаньні з абнаўленьнямі і ўстойлівасьцю да ўзломаў. На добры лад, трэба міграваць на новыя плятформы і пастаянна абнаўляць іх», — зьвяртае ўвагу суразмоўца.
Паводле экспэрта, зважаючы на кібэрнебясьпеку, праектам варта выдаткоўваць рэсурсы на абарону ад падобных пагрозаў: 10–15% бюджэту праекту мусіць ісьці на бясьпеку, а таксама ў кожным праекце мусіць быць асобны спэцыяліст, які за бясьпеку адказвае.
Супольны праект ААЦ і КДБ
Аб тым, хто можа стаяць за кібэр-атакамі на рэсурсы беларусаў замежжа, у размове з Свабодай паразважаў адзін з аўтараў дасьледаваньня, прысьвечанага працы беларускіх спэцслужбаў, — «Спэцыяльныя і кантрольныя службы ў дзяржаўным кіраваньні Беларусі» Дзьмітры (імя дасьледніка зьмененае дзеля бясьпекі. — РС). На думку экспэрта, «галоўным падазраваным» тут можна адразу назваць Аб’яднаны аналітычны цэнтар (ААЦ).
«З 2000 году ААЦ перайшоў пад кантроль Лукашэнкі, з 2008 году ён ператварыўся канчаткова ў тую структуру, якую мы ведаем зараз, — кажа Дзьмітры. — Нарматыўна мы не да канца можам ведаць, якія паўнамоцтвы мае ААЦ зараз. Няма ў адкрытым доступе адзінага нарматыўнага акту, які рэгулюе дзейнасьць ААЦ. Калі аналізаваць і параўноўваць працу гэтага органу зь іншымі спэцслужбамі, то можна меркаваць, што зараз ААЦ, акрамя нейкіх адкрытых функцыяў, зьвязаных зь бясьпекай дадзеных, з аховай дзяржаўных сакрэтаў, таксама валодае магутнымі магчымасьцямі тэхнічнага характару».
З словаў суразмоўцы, магчымасьці ААЦ могуць не абмяжоўвацца кантролем над інтэрнэт-інфраструктурай у Беларусі.
«ААЦ валодае максымальнымі паўнамоцтвамі ў інтэрнэт-сферы ў параўнаньні зь іншымі спэцслужбамі, — працягвае экспэрт. — Ці можа ААЦ стаяць за кібэратакамі? Я дапускаю такую магчымасьць. Магчыма, такая праца вядзецца ў тым ліку з дапамогай апэратыўнай інфармацыі, якую атрымліваюць іншыя спэцслужбы. Калі раней можна было гаварыць, што сілавыя ведамствы нейкім чынам канкуруюць паміж сабой і ААЦ ствараўся як нейкі канкурэнт КДБ, то пасьля 2020 году увесь сілавы блёк выступае маналітна. У тым, што ААЦ можа тэхнічна зьдзяйсьняць такія кібэратакі, я ўпэўнены».
Суразмоўца прызнаецца, што у адкрытым доступе няма нават зьвестак, якія аддзелы і ўпраўленьні могуць існаваць унутры самога ААЦ. Што не таямніца, напрыклад, у выпадку КДБ. Вядома ў той жа час, што нарматыўна ААЦ ёсьць сілавым фармаваньнем. На яго распаўсюджваюцца агульнавайсковыя статуты. Разам з тым у ААЦ служаць ня толькі людзі ў пагонах са званьнямі і табэльнай зброяй, але і шмат супрацоўнікаў з сфэры інтэрнэт-тэхналёгіяў. Яны там своеасаблівыя цывільныя супрацоўнікі бяз званьняў, але займаюцца дзейнасьцю, зьвязанаю з інтэрнэт-бясьпекай.
«Для людзей, якія працуюць у гэтай сфэры, не сакрэт тое, як арганізоўваюцца кібэратакі, — расказвае Дзьмітры. — Іхныя тэхнічныя магчымасьці дазваляюць праводзіць такое. Аднак, падобна, ніхто, акрамя саміх супрацоўнікаў ААЦ, якія займаюцца такой дзейнасьцю, пацьвердзіць арганізацыю атак гэтым ведамствам вам ня зможа».
З словаў суразмоўцы, пасьля 2020 году працу ў інтэрнэце і маніторынг актыўнасьці там узмацнілі ўсе спэцслужбы. Аднак калі ў выпадку МУС можна гаварыць больш пра маніторынг сацыяльных сетак і мэсэнджараў, то КДБ і ААЦ могуць мець зусім іншыя магчымасьці.
«КДБ, як і ААЦ, валодае даволі вялікім тэхнічным патэнцыялам, — кажа Дзьмітры. — Гэта клясычная спэцслужба, яна мае кадравы патэнцыял. Супрацоўнікі КДБ з сфэры кібэрбясьпекі і кібэрвыведкі пераходзілі на працу ў ААЦ, бо гэтая структура патрабавала кваліфікацыі».
З словаў экспэрта, у выпадку з атакамі на выбары ў Каардынацыйную раду або на незалежныя мэдыя вельмі імавернай выглядае супраца паміж КДБ і ААЦ. Тэхнічны бок атак можа выконваць ААЦ, а апэратыўнае суправаджэньне — КДБ.
«Падобныя тэхнічныя магчымасьці могуць быць у пэўных структураў Міністэрства абароны, але яны хутчэй зьвязаныя з контравыведнай дзейнасьцю, — дадае Дзьмітры. — Або дзейнасьцю, скіраванай на нейкія больш вайсковыя моманты. Я мяркую, гэта ўсё хутчэй сумесная праца ААЦ і КДБ. ААЦ выконвае тэхнічную функцыю, КДБ вырашае, каго і як атакаваць. У гэтым яны дакладна маюць поўнае супрацоўніцтва».
Паводле суразмоўцы, на карысьць вэрсіі супрацы некалькіх сілавых ведамстваў у кібэратаках на беларускія структуры за мяжой сьведчыць і тое, што такая дзейнасьць патрабуе значнага фінансаваньня. Паглядзець агульныя сумы, выдаткаваныя на дзейнасьць спэцслужбаў, можна ў дзяржаўным бюджэце. Там ёсьць асобныя пазыцыі выдаткаў на запэўненьне нацыянальнай бясьпекі. У 2026 годзе гэта 4,5 мільярда рублёў. Асобны бюджэт ААЦ не публікуецца, ён схаваны ўнутры разьдзелу «Судовая ўлада, праваахоўная дзейнасьць і запэўненьне бясьпекі», які на 2026 год складае 6,7 мільярда рублёў.
«Аднак там, вядома, ня будзе зьвестак, колькі дакладна грошай ідзе на правядзеньне кібэратак на беларускія структуры за мяжой, — дадае Дзьмітры. — Увогуле я маю ўражаньне, што такія апэрацыі складана закласьці ў бюджэт таго ці іншага ведамства. Магчыма, яны выкарыстоўваюць сродкі, якія атрымліваюць ад прыватнага бізнэсу, так званыя „адкупныя“. Гэта грошы, якімі бізнэсоўцы літаральна адкупляюцца ад крымінальнага перасьледу. Ня толькі наяўныя беларускія рублі ці замежная валюта. Гэта і крыптавалюта можа быць. Такія грошы могуць нават не пераходзіць на рахункі КДБ ці ААЦ».
Форум