Секретна група військових зі США, що допомагає захищати Україну від російських кібератак

ВВС отримала ексклюзивний доступ до кібероператорів, залучених до цих глобальних місій.

На початку грудня минулого року невелика військова група США на чолі з молодим майором прибула в Україну з розвідувальною поїздкою перед більшою операцією. Але майор швидко доповів, що їй потрібно залишитися.

“Протягом тижня ми зібрали всю команду, готову вийти на полювання”, — згадує один із членів команди.

Вони прийшли виявляти росіян в інтернеті, але їхні українські партнери дали зрозуміти, що роботу потрібно починати негайно.

“Вони оцінили ситуацію і сказали мені, що команда назад не поїде”, — розповідає BBC генерал-майор Вільям Хартман, який очолює Національну кібернетичну місію США.

“Майже одразу ми отримали доповідь, що “зараз в Україні все по-іншому”. Ми не стали передислоковувати команду, ми її посилили”.

Починаючи з 2014 року, Україна зазнала одних із найбільших у світі кібератак. Серед них був і перший в історії кібернапад, коли електростанцію дистанційно вимкнули серед зими.

Наприкінці минулого року представники західної розвідки спостерігали за підготовкою російських військових і були дедалі більше занепокоєні тим, що нова лавина кібератак супроводжуватиме вторгнення, паралізувавши зв'язок, енергетику, банківські та державні служби, щоб таким чином прокласти шлях до захоплення влади.

Військове кіберкомандування США хотіло з'ясувати, чи російські хакери вже проникли в українські системи, ховаючись глибоко всередині. Протягом двох тижнів їхня місія стала однією з найбільших їхніх операцій за участю близько 40 військовослужбовців з усіх збройних сил США.

У січні вони були в авангарді, коли Росія почала прокладати шлях у кіберпросторі для майбутнього вторгнення, під час якого кіберзахист України мав зазнати безпрецедентного випробування.

Автор фото JOSEF COLE

Генерал-майор Вільям Дж. Хартман

Проникнення в комп'ютерні мережі протягом багатьох років було здебільшого пов'язане зі шпигунством — крадіжкою таємниць — але останнім часом його дедалі більше мілітаризували та пов'язували з більш деструктивною діяльністю, як-от саботаж або підготовка до війни.

Це означає нову роль для американських військових, чиї команди беруть участь у місіях Hunt Forward, під час яких вони досліджують комп'ютерні мережі країн-партнерів у пошуках ознак проникнення.

“Вони — мисливці і знають поведінку своєї “здобичі”, — пояснює оператор, який веде оборонну роботу проти Росії.

З міркувань безпеки американські військові попросили деяких операторів залишитися анонімними, а інших ідентифікувати себе лише за іменами.

• З 2018 року військові оператори США були залучені у спецоперації у 20 країнах, зазвичай близьких союзниках Штатів, у Європі, на Близькому Сході та в Індійсько-Тихоокеанському регіоні. Щоправда серед них не було таких країн, як Велика Британія, Німеччина чи Франція, які мають власний досвід і менш імовірно потребуватимуть або бажають сторонньої допомоги.

Більша частина їхньої роботи була спрямована на боротьбу з державними хакерами з Китаю та Північної Кореї, але Росія була їхнім найбільшим противником. До деяких країн відправляли одразу кілька команд фахівців. Серед таких країн і Україна, де вперше кібератаки були пов'язані з повномасштабною війною.

Запрошення американських військових в іншу країну — питання доволі делікатне і навіть суперечливе, тому багато партнерів просять, щоб присутність США залишалася таємною — команди рідко носять форму. Але дедалі частіше уряди вирішують відкрито повідомляти про місії.

У травні Литва підтвердила, що тримісячна робота з мережами оборони та закордонних справ завершена. Захист цих відомств став пріоритетним через занепокоєння щодо загроз з боку Росії після вторгнення в Україну.

Хорватія приймала останню місію. “Полювання було ретельним і успішним, ми виявили та запобігли зловмисним атакам на державну інфраструктуру Хорватії”, — каже Даніель Маркич, голова Служби безпеки та розвідки країни.

“Ми змогли запропонувати США нове “мисливське поле” і поділитися нашим досвідом і набутими знаннями”, — додає він.

Автор фото Jоsef COLE

Американці повинні переконати країни, які їх приймають,, що вони там, щоб допомогти їм, а не шпигувати за ними

Але теплі публічні заяви маскують те, що в реальності ці місії часто починаються непросто.

Навіть країни, які є союзниками США, можуть хвилюватися, коли вони змушені відкривати для операторів чутливі урядові мережі. Фактично, викриття, які зробив колишній співробітник розвідки Едвард Сноуден 10 років тому показали, що США шпигували як за друзями, так і за ворогами.

Ця підозра означає, що молоді чоловіки та дівчата, які прибувають на місію, часто стикаються з суворим випробуванням своїх дипломатичних навичок. Вони з'являються в аеропорту, везучи десятки коробок із загадковим технічним обладнанням, і їм потрібно швидко завоювати довіру, щоб отримати дозвіл на щось конфіденційне — встановити це обладнання в урядових комп'ютерних мережах країни для пошуку загроз.

Простіше кажучи, американці повинні переконати своїх господарів, що вони там, щоб допомогти їм, а не шпигувати за ними.

“Мене не цікавлять ваші електронні листи”, — так Марк, який очолював дві команди в Індо-Тихоокеанському регіоні, описує початок своїх перемовин. Якщо демонстрація пройде добре, вони можуть приступати до роботи.

Місцеві партнери іноді сидять разом із американськими командами в конференц-залах і уважно спостерігають, щоб переконатися, що не відбувається нічого неприємного.

“Ми повинні переконатися, що нам довіряють, — каже Ерік, який має 20-річний досвід кібероперацій. — Те, що люди сидять поруч з нами, є важливим чинником у цьому”.

І хоча підозри неможливо повністю розвіяти, спільний ворог об'єднує.

“Єдине, чого хочуть наші партнери, — це викинути росіян зі своїх мереж”, — пригадує слова одного з членів своєї команди генерал Хартман.

Кіберкомандування США допомагає зрозуміти плани росіян чи інших можливих нападників завдяки тому, що підрозділ тісно співпрацює з Агентством національної безпеки, найбільшим розвідувальним агентством Америки, яке контролює комунікації та кіберпростір.

В одному випадку докази проникнення надійшли в режимі реального часу. Американський оператор на ім'я Кріс, який керував кількома європейськими місіями, пригадує, як він спостерігав за підозрілим переміщеням когось по комп'ютерній мережі країни-партнера.

Дивним було те, що це був один із адміністраторів локальної мережі, з якими працювала команда. Ця людина стояла прямо позаду Кріса. Чи може це бути якась внутрішня загроза?

“Це ти?” — запитав Кріс.

“Це мій комп'ютер, але клянуся, що це не я”, — відповів адміністратор, не в силах відірвати очей від екрану. Хтось викрав його онлайн-ідентифікацію.

“Знайти когось у вашій мережі — складно, насамперед якщо вони використовують ваші облікові дані”, — пояснює Кріс. Цей випадок показав реальність загрози та, у свою чергу, допоміг забезпечити більший доступ.

Автор фото - SPC. CRAIG JENSEN

Кібероперації США за кордоном також допомагають їхнім військовим вдома

Американські фахівці розповідають, що вони діляться тим, що знаходять, дозволяючи місцевим партнерам самим вигнати росіян (або інших державних хакерів), а не робити це самостійно. Вони також використовують комерційні інструменти, щоб місцеві партнери могли продовжити роботу після завершення місії.

Хороші стосунки приносять дивіденди. Наприкінці однієї місії американські оператори кажуть, що місцеві партнери вручили їм прощальний подарунок — комп'ютерний диск зі шкідливим програмним забезпеченням з іншої мережі, з якою команда не була знайома.

Кожна місія відрізняється. Іноді ворога вдається виявити у перший же день пошуку, пояснює Шеннон, який керував двома місіями в Європі. Але часто потрібно тиждень чи два, щоб розкопати більш просунутих хакерів, які сховалися глибше.

З хакерами з російських спецслужб, які особливо вправно змінюють тактику, часто грають у кішки-мишки.

У 2021 році з'ясувалося, що росіяни використовували програмне забезпечення від компанії під назвою SolarWinds для проникнення в мережі клієнтів, які його придбали, включно з урядами.

Американські оператори почали шукати сліди їхньої присутності. Генерал Хартман каже, що сержант-технік у Cyber ​​Command, який любив головоломки, помітив, як росіяни ховали свій код в одній європейській країні. Розшифрувавши його, він зміг встановити, що росіяни ховаються в мережі. Після цього було оприлюднено вісім різних зразків шкідливого програмного забезпечення, яке приписують російській розвідці. Це дозволило промисловості покращити захист.

Полювання не є альтруїстичним актом американських військових. Окрім набуття практичного досвіду, кіберфахівці також допомагають своїм військовим вдома.

Під час однієї місії кібероператор виявив, що те саме зловмисне програмне забезпечення, яке вони виявили в європейській країні, також було присутнє в урядовій установі США. Сполучені Штати часто намагаються виявити та викорінити вразливі місця в своїх мережах, у промисловості чи в уряді, через дублювання обов'язків між різними агентствами, навіть якщо вони відправляють своїх операторів за кордон.

Місії Hunt Forward класифікуються як “оборонні”, але генерал Пол Накасоне, який очолює військове кіберкомандування та Агентство національної безпеки, підтвердив, що після вторгнення Росії в Україну вони також здійснювали й наступальні місії. Додаткової інформації про це команда не розкриває.

Автор фото UNKNOWN

Минулого року на урядових сайтах України з'явилося повідомлення з погрозами

У січні цього року команда в Україні стала свідком серії масштабних кібератак. “Бійтеся і чекайте гіршого”, — йшлося у повідомленні хакерів на сайті МЗС.

Американська команда спостерігала в режимі реального часу, як лавина шкідливого програмного забезпечення Wiper, яке робить комп'ютери непридатними для використання, вразила численні урядові сайти.

“Вони змогли допомогти в аналізі деяких поточних атак і сприяли передачі цієї інформації партнерам у Сполучених Штатах”, — каже генерал Хартман.

Метою було дестабілізувати країну перед лютневим вторгненням.

Коли російські війська перейшли кордон, американських фахівців вивели з України. Усвідомлення фізичного ризику для українських партнерів, які залишилися, лягло на них важким тягарем.

За кілька годин до початку вторгнення 24 лютого кібератака підірвала американського провайдера супутникового зв'язку, який підтримував українських військових. Багато хто передбачав, що це стане початком хвилі атак, спрямованих на знищення ключової інфраструктури, як-от залізниця. Але цього не сталося.

“Одна з причин, чому росіяни, можливо, не досягли такого успіху, полягає в тому, що українці були краще підготовлені”, — каже генерал Хартман.

“Ми пишаємось тим, що вони змогли захищатися. Багато людей у ​​світі думали, що Україна буде розбита. Але цього не сталося, — каже Ел, старший технічний аналітик, який був членом опартивної групи в Україні. — Вони чинять опір”.

Україна постійно зазнає кібератак, які в разі успіху можуть вплинути на інфраструктуру. Але країна продовжувала захищатися краще, ніж багато хто очікував. Українські посадовці кажуть, що це сталося частково завдяки допомозі союзників, зокрема і кіберкомандуванню США, а також їхньому власному досвіду, який поступово зростає.

Тепер США та інші союзники звертаються до українців, щоб вчитися у них.

“Ми продовжуємо ділитися інформацією з українцями, вони продовжують ділитися інформацією з нами, — пояснює генерал Хартман. — У цьому і полягає ідея цього довготривалого партнерства”.