Підводна загроза демократії. Виявити злочинців, а тим більш попередити їх, дуже і дуже важко
Британська The Guardian пише, що безпека майже мільярда людей в Європі і Північній Америці перебуває під загрозою через спроби росії використати вразливі місця підводної інфраструктури, зокрема вітрові електростанції, трубопроводи і кабелі електропередач.
Заступник командувача Військово-морського командування об'єднаних збройних сил НАТО (Marcom) віцеадмірал Дідьє Малетер заявив, що мережа підводних кабелів і труб, від яких залежить енергопостачання та зв'язок Європи, не була побудована таким чином, щоб протистояти "гібридній війні", яку ведуть москва та інші супротивники НАТО.
"Ми знаємо, що росіяни розробили багато засобів гібридної війни під водою, щоб підірвати європейську економіку через кабелі, інтернет-кабелі, трубопроводи. Вся наша підводна економіка під загрозою", – зазначив він.
Як зауважує The Guardian, ці коментарі з'явилися після двох інцидентів, пов'язаних із підозрою в диверсії на газопроводах у Балтійському морі за останні 18 місяців – спочатку на "Північному потоці 1" і "Північному потоці 2" у вересні 2022 року, а потім на "Балтійському коннекторі" в жовтні торік. Незважаючи на масштабні розслідування, проведені кількома державами, обидва інциденти залишаються нерозкритими, хоча Фінляндія заявила в грудні, що "все вказує" на те, що китайське судно навмисно пошкодило якорем газопровід Balticconnector.
Малетер – підводник, який сам провів "понад 1000 днів під водою", каже, що навколишнє середовище кардинально змінилося відтоді, як більша частина нинішньої інфраструктури була вперше розроблена приватним сектором, що зробило її надзвичайно вразливою.
Зокрема він заявив: відповідальні компанії "не знали, що така гібридна війна буде розвиватися так швидко. Понад 90% інтернету знаходиться під водою. Всі наші зв'язки між США, Канадою та Європою проходять під водою, тому є багато вразливих місць".
Незважаючи на зростаючу роль офшорної вітроенергетики у досягненні кліматичних цілей, інфраструктура все ще має "системні вразливості", додав він. За даними галузевої асоціації WindEurope, до 2050 року морська вітроенергетика має зрости на 25%, щоб досягти цілей ЄС щодо вітроенергетичних потужностей, тоді як адміністрація Байдена хоче розгорнути 30 тисяч мегават морських вітроенергетичних потужностей уздовж узбережжя США до 2030 року.
Малетер сказав, що Marcom має "понад 100 кораблів, атомних і звичайних підводних човнів", які патрулюють води, включно з Арктикою, Чорним морем, Атлантикою, Балтикою і Середземномор'ям. За його словами, це дуже непокоїть, тому що йдеться про безпеку майже мільярда цивільних громадян країн НАТО. Він зазначив: "Ми повинні бути захищені і добре забезпечені нашою життєво важливою підводною інфраструктурою".
Але навіть зі значною присутністю, пише The Guardian, НАТО не може охороняти кожну ділянку підводної інфраструктури, оскільки основна відповідальність лежить на державах за захист власної інфраструктури. "Ми знаємо, що є багато вразливих місць... Коли ми маємо морські об'єкти, відповідальність найперше лежить на державах", – зазначив Мелетер.
Він додав: "Наразі ми приділяємо особливу увагу росіянам, але дуже важко мати постійне спостереження за кожним кабелем, це неможливо. Багато країн – Норвегія, Швеція, Данія – розробили безпілотники, датчики, підводні безекіпажні апарати, щоб мати можливість дуже швидко виявити щось підозріле або щось, що йде не так".
Побоювання з приводу безпеки на морі настільки посилюються, що НАТО створює центр, присвячений цій проблемі, в британській штаб-квартирі Marcom у Нортвуді, на північно-західній околиці Лондона, поряд із центром судноплавства НАТО.
Як зазначає The Guardian, використовуючи програмне забезпечення зі штучним інтелектом, Marcom може виявляти і відстежувати підозрілу активність у морі, наприклад, коли кораблі вимикають свою автоматичну ідентифікаційну систему (АІС), щоб їх не можна було відстежити, або коли вони блукають у певному районі.
Вони також використовують супутники. "Ми використовуємо усі наші датчики від морського дна до космосу, зокрема, супутникові можливості НАТО, щоб мати змогу виявляти підозрілу активність", – повідомив Малетер.
Здатність ідентифікувати тих, хто стоїть за гібридними атаками, за його словами, є життєво важливою, але він визнав, що це може бути складним завданням, порівнявши його з відстеженням винуватця кібератаки.
"Якщо росіяни використовують дуже потужний потенціал і я не можу вдаватися в деталі, але ми говоримо про підводні човни і атомні підводні човни – це дуже, дуже важко, дуже складно", – наголосив він.
Приєднання Фінляндії до флоту НАТО минулого року, а нещодавно Швеції, яка стала повноправним членом Альянсу в березні, вважається особливо важливим для захисту Балтійського та Арктичного регіонів. Досвід Швеції в обох регіонах "негайно посилить здатність НАТО виявляти і стримувати будь-яку регіональну агресію".
"І коли ми говоримо про агресію, ми, очевидно, думаємо про росію", – додав Малетер, зазначивши, що членство Швеції в НАТО принесло Альянсу, зокрема, додаткові підводні човни, протимінні кораблі, сили спеціального призначення і швидкі, потужні катери.
Атаки на критичну інфраструктура США та союзників. Як росіяни поширюють цифровий хаос
І поки в НАТО переживають за долю підводної інфраструктури, у США та низці інших країн російські хакери атакували критичну інфраструктуру життєзабезпечення. Американське видання Wired повідомило, що росіяни хизуються причетністю до саботажу водоканалів Сполучених Штатів. Група "відроджене кібервійсько росії" (Cyber Army of Russia Reborn), пов'язана з підрозділом Sandworm ГРУ росії, переходить межі, на які навіть цей сумнозвісний підрозділ кібервійськ не наважився б.
Wired нагадує, що підрозділ російської військової розвідки, відомий як Sandworm, протягом останнього десятиліття проводив найагресивніші кібератаки кремля, спричинивши відключення електроенергії в Україні та випустивши саморозповсюджуваний вірус із руйнівним кодом.
Однак, як зазначає Wired, в останні місяці одна група хакерів, пов'язана зі Sandworm, здійснила спробу поширення цифрового хаосу, який у деяких аспектах виходить за рамки навіть свого попередника: вони взяли на себе відповідальність за безпосередню атаку на цифрові системи греблі гідроелектростанції у Франції та водоканалів у Сполучених Штатах і Польщі, перемикаючи тумблери та змінюючи налаштування програмного забезпечення, очевидно, намагаючись саботувати критично важливу інфраструктуру цих країн.
Від початку цього року, за словами видання, група хактивістів, відома як "кібервійсько росії" або іноді "відроджене кібервійсько росії", щонайменше тричі брала на себе відповідальність за хакерські операції, спрямовані на американські та європейські водо- та гідроенергетичні компанії. У кожному випадку хакери публікували в соціальній мережі Telegram відеозаписи з екрану, на яких вони хаотично маніпулювали так званими людино-машинними інтерфейсами – програмним забезпеченням, яке контролює фізичне обладнання в цих цільових мережах. Очевидними жертвами хакерських атак стали кілька американських водоканалів у Техасі, одна польська станція очищення стічних вод і французька гідроелектростанція – хоча достеменно невідомо, скільки саме збоїв чи пошкоджень хакери змогли завдати кожному з цих об'єктів.
У новому звіті, опублікованому компанією Mandiant, що спеціалізується на кібербезпеці, простежується зв'язок між цією хакерською групою та Sandworm, яку роками ідентифікували як підрозділ 74455 російської військової розвідки ГРУ. Mandiant знайшла докази того, що Sandworm допоміг створити "кібервійсько росії", і відстежила численні випадки, коли дані, викрадені з мереж, які атакувала група Sandworm, згодом були витоками з боку групи "кібервійсько росії". Wired пише, що Mandiant не змогла визначити, чи є "кібервійсько росії" лише одним із багатьох прикриттів, які Sandworm використовував для приховування своєї діяльності протягом останнього десятиліття, чи це окрема група, яку Sandworm допоміг створити і з якою він співпрацював, але яка зараз діє незалежно. Так, ніби в росії можлива "самодіяльність" у такій сфері без контролю зверху.
Так чи інакше, зауважує видання, хакерські атаки "кібервійська росії" стали в деяких аспектах навіть більш зухвалими, ніж самого Sandworm, вважає Джон Хултквіст, який очолює відділ розвідки загроз компанії Mandiant і відстежує хакерів Sandworm вже майже десять років. Він зазначає, що Sandworm ніколи безпосередньо не націлювався на американську мережу з метою руйнівної кібератаки, а лише встановлював шкідливе програмне забезпечення в американських мережах для підготовки до неї або, як у випадку з атакою вірусу-здирника NotPetya у 2017 році, опосередковано інфікував американських жертв за допомогою коду, що саморозповсюджувався. "кібервійсько росії", навпаки, без вагань перейшло цю межу.
"Незважаючи на те, що ця група діє під ім'ям Sandworm, вони виглядають більш безрозсудно, ніж будь-який російський оператор, якого ми коли-небудь бачили націленим на Сполучені Штати. Вони активно маніпулюють операційними технологічними системами в дуже агресивний, ймовірно, підривний і небезпечний спосіб", – каже Халтквіст.
Переповнений бак і французький півень. Приклади хакерських атак "російського кібервійська"
Wired пише, що Mandiant не мала доступу до мереж водоканалу та гідроелектростанції, тому не змогла визначити, як "кібервійсько росії" отримало доступ до цих мереж. Однак одне з відео, опублікованих групою в середині січня, демонструє, як видається, запис з екрану, який фіксує маніпуляції хакерів з програмними інтерфейсами систем управління водоканалів у техаських містах Абернаті та Малшо. "Ми починаємо наш наступний рейд Сполученими Штатами", – йдеться в повідомленні, що супроводжує відео в Telegram. У цьому відео є кілька об'єктів критичної інфраструктури, а саме системи водопостачання.
На відео видно, зазначає Wired, як хакери несамовито клацають по цільовому інтерфейсу, змінюючи значення та налаштування систем управління комунальних підприємств. Хоча незрозуміло, які наслідки могла мати ця маніпуляція, техаська газета The Plainview Herald повідомила на початку лютого, що місцева влада визнала факт кібератаки й підтвердила певний рівень перебоїв у роботі. Міський голова Мюлшо Рамон Санчес заявив на публічній зустрічі, що в результаті атаки на міську комунальну службу переповнився один резервуар з водою. Представники влади сусідніх міст Абернаті та Хейл-Центр, які не згадуються у відеозаписі хакерів, також заявили, що зазнали атаки. Комунальні служби всіх трьох міст, а також ще одного міста Локні, як повідомляється, відключили своє програмне забезпечення, щоб запобігти його використанню.
Інше відео, яке хакери "кібервійська росії" опублікували в січні, демонструє, як видається, запис екрану зі схожою спробою саботажу на очисних спорудах у селі Видміни в Польщі. "Всім привіт, сьогодні ми пограємо з польськими очисними спорудами. Приємного перегляду!" – говорить автоматизований російський голос на початку відео. Потім відео показує, як хакери перемикають тумблери та змінюють значення в програмному забезпеченні під саундтрек із Super Mario Bros.
На третьому відео, опублікованому в березні, хакери аналогічним чином записують, як вони втручаються в систему управління тим, що вони називають греблею гідроелектростанції Курлон-сюр-Йонн у Франції. Це відео було опубліковане одразу після того, як президент Франції Еммануель Макрон зробив публічну заяву про те, що він відправить французьких військових в Україну для допомоги у війні проти росії. Відео починається із зображення Макрона у вигляді півня, який тримає французький прапор. "Нещодавно ми чули, як прокукурікав французький півень, – йдеться у відео. "Сьогодні ми подивимося на дамбу Курлон і трохи розважимося", – написали вони.
У своєму повідомленні в Telegram хакери стверджують, що знизили рівень води у французькій греблі й зупинили потік електроенергії, яку вона виробляла.
За словами засновника фірми з кібербезпеки I&C Secure і колишнього співробітника водоканалу та фірми з кібербезпеки інфраструктури Dragos Гаса Серіно, на відеозаписах хакери демонструють певні знання про те, як працює водоканал, а також незнання і випадкові перемикання, які вони робили. Серіно зазначає, що хакери, наприклад, змінили "стоп-рівень" для резервуарів для води в техаських комунальних підприємствах, що могло спричинити переповнення, про яке згадували чиновники. Але він зауважує, що вони також внесли інші, здавалося б, довільні зміни, зокрема, на водоочисній станції у Видміні, які не мали б жодного ефекту.
російські хакери роблять дуже агресивні речі. І є ознаки того, що за ними стоїть ГРУ
Wired пише, що Mandiant виявив численні переконливі докази того, що "кібервійсько росії" було щонайменше створене за підтримки Sandworm ГРУ росії, якщо не повністю контролюються цим підрозділом. Як з'ясувала Група аналізу загроз Google, акаунти на YouTube для кібервійська були створені з IP-адреси, яка, як відомо, контролюється Sandworm (Mandiant, як і YouTube, є дочірньою компанією Google). Sandworm також неодноразово здійснював те, що Халтквіст із Mandiant називає операціями "атака і витік" проти українських об'єктів: Sandworm проникав у мережу жертви і заражав її шкідливим програмним забезпеченням для знищення вмісту комп'ютерів, але тільки після того, як викрадав дані з мережі, які в кількох випадках згодом потрапляли в повідомлення в Telegram-акаунт російського кібервійська.
У звіті Mandiant зазначається, що сам Sandworm дещо відійшов від опортуністичних підривних операцій, які він проводив у минулому. У перший рік російського вторгнення в Україну Sandworm неодноразово здійснював атаки на українські об'єкти.
2022 року Sandworm також здійснив третю атаку з відключенням електроенергії, цього разу разом із ракетним ударом по тій самій місцевості. Однак останнім часом Sandworm дедалі частіше бере на себе роль шпигуна і помічника росії у веденні фізичної війни, зазначається у звіті компанії.
Ця більш ретельна координація зі збройними силами росії включала операцію, в якій Sandworm використовував шпигунське програмне забезпечення, яке урядові установи США назвали Infamous Chisel, для зараження пристроїв Android, що використовуються українськими військовими для командування і управління, що, очевидно, є спробою отримати розвідувальні дані з поля бою.
Mandiant також вказує на вебсайт, створений на сервері, пов'язаному зі Sandworm, який, схоже, є інструментом російських військ для вилучення даних із захоплених смартфонів, включно з посиланнями для вилучення повідомлень із таких додатків, як Signal і Telegram.
"В міру того, як змінювалися їхні військові цілі, ми бачили, як еволюціонувала і сама група", – каже аналітик Mandiant і співавтор звіту Ден Блек, який до минулого року обіймав посаду заступника керівника розвідки кіберзагроз в НАТО. За його словами, Sandworm, як і більшість російських військових, був змушений змінити свій підхід, пристосовуючись до ролі шпигуна і помічника, оскільки початкова мета росії – швидке повалення українського уряду – перетворилася на затяжну війну на виснаження. "Те, що ми бачимо, – це справжній розворот від діяльності із зачистки до шпигунства з метою надання допомоги на полі бою", – зазначив Блек.
Однак, за словами Wired, навіть коли Sandworm переходить до більш традиційної ролі військової розвідки, група "кібервійсько росії" продовжує проводити деструктивні операції далеко за межами лінії фронту російської війни в Україні. Якщо це хакерське угруповання дійсно незалежне від Sandworm, це може означати, що воно продовжуватиме демонструвати ще меншу обережність і розсудливість, ніж хакери самого ГРУ.
"Хтось під цим ім'ям робить дуже агресивні речі, і вони роблять це в глобальному масштабі. В кінцевому підсумку це може призвести до дуже реального інциденту", – цитує Халтквіста Wired.
Джерела: The Guardian, Wired
