«Аерофлот — не єдиний». Режим в РФ і його компанії — законні цілі, їх постійно сканують і знаходять вразливості — розмова з Кіберпартизанами
Геополітика30 липня, 19:10
— Саме білоруське хакерське угруповання Кіберпартизани та українське Silent Crow взяли на себе відповідальність за те, що відбувається зараз з Аерофлотом. Аерофлот — найбільша російська державна авіакомпанія. Вони змогли зламати IT-інфраструктуру Аерофлоту. За 29 липня було скасовано 108 рейсів. Російські експерти оцінюють втрати Аерофлоту в 250 з гаком мільйонів рублів. Юліано, я дивився ваші попередні інтерв'ю. Часто звучали такі запитання: «Ах, навіщо ж ви це зробили, навіщо ж ви атакували Аерофлот?». Для нас, українців, очевидно, навіщо ви це зробили. Ми вам за це вдячні. Запитання таке: як ви оцінюєте результати? Минула майже доба. Які висновки ви зробили з приводу успішності операції?
— Ми вважаємо цю операцію успішною. Завдано збитків. Важливо, що завдано фінансових збитків.
Завдано шкоди в побутовій свідомості — «бідні» росіяни не змогли полетіти у відпустку. Можливо, їх не хвилює вбивство українців, українських дітей. Але, можливо, вони задумаються, що щось не так. Якщо не вийшло полетіти в Сочі або куди вони літають зараз, куди їм можна літати у свою відпустку. Нам важливо було зробити некомфортне життя.
Передплатіть, щоб прочитати повністю
Нам необхідна ваша підтримка, щоб займатися якісною журналістикою
Мене люблять зараз запитувати: «Як же так? Людям же некомфортно». Вибачте, де тут порівняння? Як українцям, які взагалі не можуть літати всередині своєї країни більше трьох років? Я вже не кажу про те, що просто людей убивають. Ці питання я не можу навіть серйозно десь іноді сприймати. Хоча намагаємося спокійно на це все відповідати. Тому для нас це важливо.
І для нас важливо було донести ціну війни і для інших компаній. Це не тільки меседж для звичайних громадян, це, зокрема, і повідомлення для компаній, які працюють на режим, які співпрацюють із режимом: «Подумайте, бо, найімовірніше, цап-відбувайло буде знайдений серед вас же». Як це зазвичай буває. Скажуть, що хтось продав пароль, хтось когось здав. Полюватимуть на своїх же, як це зазвичай буває. Це по-перше.
А по-друге, це витрати для компанії, це величезні фінансові втрати. Це репутаційні втрати, тому що це теж впливає на перельоти й інших закордонних авіаліній. Наприклад, турецьких, які ще подумають: чи співпрацювати, чи передавати дані, чи прилітати взагалі в принципі?
Тому це таке важливе повідомлення про те, чи є сенс; а якщо є сенс, то враховуйте ризики, враховуйте фінансові втрати.
І, звичайно, вони люблять відмивати гроші на безпеці. Я навіть десь бачила великі цифри, скільки Аерофлот витратив на перебудову своєї інфраструктури безпеки. Ми бачимо, що за підсумком вийшло. І просто розподіл, крадіжка цих грошей, за підсумком — дірява система. Це теж зайве навантаження для решти всіх компаній, а фахівців реально не вистачає.
— Очевидно, що це дуже складна операція. Ви самі говорили про те, що вона щонайменше рік готувалася. У який момент ви зрозуміли, що Аерофлот може бути ціллю? У який момент ви зрозуміли, що саме ця компанія має такі слабкості, які можна використати?
— З 2022 року (я думаю, це схожа ситуація у багатьох українських груп) Кіберпартизани почали сканувати мережі російського режиму, компаній, структур. Після початку, ясна річ, повномасштабної війни російський режим і його компанії стали законними цілями. Їх просто сканують на постійній основі, знаходять уразливості.
Аерофлот — це не єдина компанія, проти якої зараз працюють кіберпартизани, я впевнена, інші українські групи зокрема. Тому де є вразливість, де потім вдається пробратися в серйозні мережі, отримати контроль над ядром інфраструктури, коли ти можеш потім під'єднатися абсолютно до всіх комп’ютерів корпоративної мережі, не тільки звичайних працівників, а й головного керівництва, то тоді можна здійснювати якусь атаку, завдавати шкоду.
Тому що, навіть якщо ти під'єднався до комп’ютера гендиректора, бо він пароля не поміняв із 2022 року, заніс вірус на його комп’ютер, збитки не будуть такими. На цьому можна в теорії попіаритися, але нам це вже нецікаво.
Тобто ми на такому рівні, що ти робиш або серйозні речі, або переходиш на іншу ціль і там починаєш пробувати свої сили.
З Аерофлотом вийшло, як і виходить з іншими компаніями, просто про які ми не можемо публічно говорити.
Ось, напевно, чому вийшло і чому було обрано Аерофлот, — тому що вдалося домогтися того, чого хотілося.
— У публічній комунікації була інформація, що їхній гендиректор не міняв пароль, або, наприклад, вони використовували старі операційні системи Windows 2003, Windows XP. Дехто може виступити з критикою і сказати: «Хакери попередили й інші компанії зараз спішно перейдуть на якісь нові системи, почнуть міняти паролі регулярно. І це може тільки посилити безпеку компаній, які працюють на кремлівський режим». Інший аргумент, який я чув буквально у своєму ефірі: «Можливо, ми побачимо, як хтось знову випаде з вікна». Ми бачили низку специфічних самогубств, коли з російськими топ-менеджерами різних компаній щось таке відбувається. Який із цих аргументів вам ближчий?
— Я думаю, швидше другий. Тому що, як я вже говорила, часта практика, що вони знаходять цапів-відбувайл. Але навіть якщо хтось вистрибує з вікна, це ж не означає, що їхні проблеми вирішуються.
Ми не знаємо причину випадання з вікна. Тобто це можуть бути скоріше якісь політичні [мотиви], ніж вони не впоралися з тим, щоб налаштувати безпеку своїх систем. Швидше вони з кимось співпрацювали або не хотіли продавати, віддавати. Можна гадати, але навряд чи це буде через те, що вони не налаштували систему Касперського нормально, або пароль не поміняли на своїх комп’ютерах. Це теж не відповідає реальності.
Перший аргумент, він не близький у тому плані, що ми-то вже на досвіді знаємо. Ми знаємо, як це працює і в білоруському режимі, і в російському. Ми говоримо, що люди паролі не змінюють, але ти нічого не можеш зробити з цим людським фактором. Люди як не роблять цього, так не будуть робити, хоч би як режими не змушували батогом.
Тобто забувають, не технічно оснащені. Скільки б разів їх не змушували свої. Тому що такі практики насправді ж не через нас починають, а через те, що в принципі йде війна, і кібератаки є важливим фактором у будь-якій сучасній війні. Вони це все розуміють.
Вони розуміють, що не тільки ми працюємо, а й українські групи, інші західні групи працюють. Тому вони про це і так знають, але вони все одно не роблять.
Я можу схоже сказати і в наш бік, у тому плані, що ми дуже багато працюємо.
Ми, група Кіберпартизани, не тільки працюємо щодо атак, ми також працюємо дуже багато на те, щоб пояснювати людям, прописувати інструкції безпечного користування інтернетом. Ми також навіть створили свій власний партизанський Telegram, тому що ситуація в Білорусі, наприклад, дуже складна в плані безпечного доступу. Навіть просто для того, щоб почитати новини про те, що відбувається в Україні, про те, що у світі відбувається. І нам важливо, щоб люди залишалися на зв’язку.
Ми, зокрема, знаємо історії про те, що і на окупованих територіях в Україні користувалися партизанським Telegram. І там їм узагалі можна рятувати життя, тому що при перевірці російських окупантів у нашого партизанського Telegram є можливість видалення повідомлення при введенні фейкового пароля. І це просто допомагає при перевірці девайсів у Білорусі від в’язниці. В Україні, зрозуміло, ціна може бути набагато вищою.
Тобто ми дуже багато працюємо в цьому напрямі. У нас теж є досвід того, що навіть серед людей, які живуть у репресивних режимах або в небезпечних ситуаціях, все одно припускаються помилок. Все одно цей людський фактор «ай, пронесе», «ай, не видалю», «ай, не оновлю пароль», він залишається.
Реальність така, що реально цього складно буває домогтися, особливо у великих компаніях, у великих організаціях.
— У професійному співтоваристві точиться дискусія на тему того, наскільки Telegram є небезпечним. Він, як і раніше, є такою собі «сірою» зоною. Є достатньо доказів того, що російські спецслужби мають доступи до того, що там пишеться, навіть до якихось видалених повідомлень. Як Кіберпартизани оцінюють безпеку Telegram як месенджера, як способу комунікації?
— Це хороше запитання. Ми завжди радимо не обговорювати чутливі теми в Telegram. Якщо навколочутливі, то хоча б використовувати секретні чати, де повідомлення не зберігаються на серверах Telegram.
При цьому, у будь-якому разі, не обговорювати, умовно кажучи, плани щодо вибуху будівлі ФСБ у Росії. Такого чутливого плану теми краще не обговорювати.
Щодо побутового. У нас немає реальних доказів того, що в російських служб реально є прямий доступ до повідомлень. Найімовірніше, зазвичай це відбувається через фізичний доступ. Тобто вони зламують, наприклад, телефон і мають доступ до всіх застосунків, зокрема Telegram. Або вони фізично захоплюють людину.
Наприклад, дуже частий випадок у Білорусі, коли вони фізично захоплюють людину, отримують доступ до її Telegram, не видалені повідомлення, не видалена комунікація. Тоді виходять на інших людей. І здається, що режим тебе зламав через якісь кібератаки. Ні, вони просто фізично отримали доступ до девайсу.
Тобто подібного плану щось ми спостерігаємо. Плюс контроль інтернету, якщо не користуватися VPN або зламаний телефон, залежно від того, якими мережами ви користуєтеся. Ясна річ, що у режимів, які контролюють інтернет-провайдерів, є більше можливостей.
Проте ми просто теж враховуємо реальність. Люди сидять у Telegram. Ти нічого не зробиш. Скільки статей не виходить про те, що є питання до [його засновника Павла] Дурова, питання до серверів, до можливостей ФСБ, все одно люди користуються Telegram, все одно там новини виходять, все одно вони спілкуються. Тобто це вже така звичка, яку складно швидко (і не швидко, вже протягом багатьох років ми це обговорюємо) змінити.
Тож замість боротися з тим, щоб спробувати людей перевести кудись в інше місце, ми вирішили просто створити більш безпечний спосіб спілкування в Telegram, якщо вже люди хочуть спілкуватися. Тобто наш застосунок функціонує, як звичайний Telegram, має додаткову низку захисного функціоналу, який є дуже корисним у таких умовах, у яких ми живемо, особливо білоруси, українці.
Ми при цьому завжди аналізуємо всю інформацію, пов’язану з Telegram, дуже серйозно до цього ставимося. Але все одно радимо користуватися будь-якими іншими застосунками, наприклад, «Сигналом», для комунікації, навіть із побутових питань. Це буде безпечніше.
— У грудні 2023 року була масштабна атака на найбільшого мобільного оператора в Україні — Київстар. У результаті кілька днів мільйони абонентів не мали мобільного зв’язку. Як ви оцінюєте рівень російських хакерських груп, які працюють на режим?
— Ясна річ, що не вистачає фахівців, ресурсів, щоб оплачувати роботу цим фахівцям добре. Наприклад, ми не можемо сказати те саме про білоруський режим, білоруських хакерів. Не порівняти рівні. У російського режиму є на це можливості.
І так, ми спостерігаємо успішні атаки з їхнього боку. Не сказати так, щоб ми б аналізували серйозно їхню діяльність. Чесно кажучи, у нас не вистачає ні часу, ні фахівців займатися саме в цьому напрямку. Ми також, як і всі, читаємо інформацію з публічних джерел. У нас немає жодних інсайдів щодо хакерів з того боку.
З публічної інформації можна сказати, що в них є хороші фахівці, які, на жаль, працюють на режим проти західних країн. Мотивація може бути різна — від фінансової мотивації до реальної моральної підтримки тій країні, кривавому режиму, в якому вони живуть. Це частина війни.
Потрібно адекватно оцінювати свого ворога, для того щоб адекватно з ним боротися. Ми намагаємося не принижувати там, де реально щось може виходити. Просто щоб ми були готові до того, що ворог може робити.