На фоне военного конфликта на юго-востоке в Украине развернулась негласная кибервойна — прослушка оппозиционных политиков и общественных активистов, вмешательство в работу операторов мобильной связи и государственных информационных систем. «Репортер» попытался понять, кто участник, а кто жертва IT-сражений

«Ребята, будете уходить с Майдана — выключайте телефоны, вынимайте из них батареи. Если есть возможность — используйте за периметром альтернативные трубки и номера» — свидетелем такого инструктажа в одном из отрядов Самообороны Майдана я стал в конце января.

Параноидальные с точки зрения мирного времени рекомендации бойцы тогда воспринимали с небывалой серьезностью. Легкая паника по поводу вездесущей прослушки спецслужб ширилась среди протестующих. Коллеги-журналисты и просто активисты между делом обсуждали преимущества и недостатки различных альтернативных приложений для коммуникаций: Viber или Skype, WhatsApp или что-то еще. Вспоминали и фильм «Враг государства» Тони Скотта, и Эдварда Сноудена, разоблачителя американского проекта PRISM (госпрограмма по массовому негласному перехвату телефонных звонков и электронных сообщений).

«Уважаемый абонент, вы зарегистрированы как участник массовых беспорядков» — шквал СМС с таким содержанием обрушился на киевлян, находившихся в центре города 20–21 января. Эта рассылка фальшивых сообщений (в качестве отправителя значилась служба поддержки оператора) была наиболее массовой за время революции, однако не единственной.

До этого неизвестные отправители рассылали поддельные сообщения о собраниях координационных комитетов, вече, да и просто предлагали участникам протестов «свалить из Киева».

Найти источник этих и других сообщений тогда не удалось — мобильные операторы единогласно заявили о работе в центре столицы так называемых «пиратских» базовых станций, позволяющих рассылать СМС и осуществлять звонки на мобильные телефоны, находящиеся в определенном районе. Проведенный Украинским государственным центром радиочастот (УГЦР) мониторинг выявил ряд помех в работе мобильных сетей, однако никакой незаконной прослушки обнаружить так и не смог.

Впрочем, недавно Генпрокуратура все же возбудила два уголовных производства по фактам прослушивания в 2013–2014 годах телефонных разговоров народных депутатов. Поводом стало обращение Геннадия Москаля, народного депутата, главы временной следственной комиссии по расследованию незаконных действий правоохранителей во время революции.

— Откуда я знаю, что велось наблюдение? Так я же все слышал. У меня есть целая куча файлов с записями моих разговоров, разговоров других депутатов, активистов «Демальянса» и прочих общественных движений. О существовании некоторых организаций я вообще узнал только из этой прослушки, — о такой деликатной теме Геннадий Москаль не стесняется говорить по телефону. Поясняет, что большого секрета в этой информации нет. — Где взял? Купил в СБУ, само собой. Хотите, и вам помогу что-нибудь купить.

В том, что прослушку мобильных на Майдане вела Служба безопасности, причем без разрешения суда, депутат не сомневается, хотя в технических деталях и путается. Единственный способ противостоять слежке, по его мнению, — не болтать.

— У меня, конечно, есть несколько запасных телефонов в разных местах, они вроде нигде не засвечены. Я их использую для особых разговоров. Но если спецслужбы захотят организовать наблюдение — уйти от него достаточно проблематично. Не вы первые и не мы последние в этом противостоянии, — резюмирует он.

Президент телекомоператора «Адамант», один из активистов IT-палатки Евромайдана Иван Петухов считает, что причастными к наблюдению могут оказаться и специалисты УГЦР.

— Их оборудование едва ли не единственное в стране позволяет осуществлять такие действия, используя бреши в сетях операторов, — утверждает он. Большие возможности, по словам специалиста, дает и так называемая «полицейская стойка» — оборудование для негласного слежения за абонентами, которое операторы связи обязаны устанавливать по закону. — Воспользоваться им МВД и СБУ, по идее, могут только по решению суда. Но, боюсь, зимой эту процедуру неоднократно обходили, — говорит Петухов.

Курортные связи

В следующий раз сети мобильных операторов показали свою уязвимость в весеннем Крыму, как раз во время активных действий по захвату украинских воинских частей. В середине апреля замминистра обороны Петр Мехед заявил, что украинских военных на полуострове прослушивали российские спецслужбы, нередко солдаты и их близкие получали провокационные СМС с призывами перейти на сторону РФ. Народный депутат Леся Оробец тогда же со ссылкой на собственные источники обвинила в содействии россиянам мобильного оператора «МТС Украина».

Компания сразу же опровергла обвинения. Впрочем, оказалось, что проверяют ее уже не первую неделю — Департамент контрразведывательной защиты интересов государства в сфере информационной безопасной СБУ выявил вмешательство в работу сети оператора с коммутаторов, расположенных в России, еще в начале месяца и передал эту информацию отраслевому регулятору. Спустя несколько дней руководство «МТС Украина» само обратилось к госорганам с этой проблемой.

Проверка, которую провела Нацкомиссия, осуществляющая госрегулирование в сфере связи и информатизации (НКРСИ) обнаружила, что фактически многие услуги, предоставляемые абонентам «МТС Украина» в Крыму, управлялись с оборудования российского оператора Tele2, расположенного в Ростове-на-Дону. Таким образом могли прослушиваться звонки, определяться номера и местонахождение абонентов. Какую роль это сыграло в неудачах украинской армии в Крыму и на востоке, судить не берется никто.

Возглавлявший комиссию на тот момент Петр Яцук обвинил оператора как минимум в недостаточной защите персональных данных своих клиентов. Неформально речь шла о сотрудничестве «МТС Украина» с российскими спецслужбами. В мае НКРСИ даже намеревалась приостановить лицензию компании, получив в ответ обвинение в предвзятости. Реализовать угрозу не удалось — в середине мая и. о. президента Александр Турчинов практически полностью сменил состав регулятора. Новые члены НКРСИ ограничились предписанием МТС улучшить защищенность сети до 1 декабря.

Впрочем, на репутации оператора это отразилось не лучшим образом. Гражданские активисты, и ранее призывавшие к отказу от услуг компании в рамках общего бойкота российского бизнеса, теперь ополчились на нее, обвиняя в государственной измене. Директор по корпоративному управлению и контролю «МТС Украина» Олег Проживальский, экс-подполковник СБУ, продолжает считать такие обвинения беспочвенными:

— Вмешательство в работу нашей сети со стороны России и других стран действительно было. Оно проходило по специальным каналам, которые операторы используют для обмена сигнальным трафиком при обслуживании абонентов в роуминге. Это совершенно недавно появившаяся возможность, от нее не защищены не только МТС, но и life:), и «Киевстар» и Vodafone. Фактически мы имеем дыру в технологии, бороться с которой обязаны в первую очередь производители телекоммуникационного оборудования.

Война компьютеров и людей

Слово «кибервойна» для описания атак на сайты украинских госорганов впервые еще в марте использовал будущий директор Агентства национальной безопасности США Майкл Роджерс. За это время стало известно о целом шквале атак компьютерного вируса «Уроборос» на украинские компьютерные сети, в том числе и правительственные. Концы, по мнению многих украинских и зарубежных специалистов, вели в Россию.

В мае в обоснованности применения термина «кибервойна» не сомневался уже никто. Атаки на серверы Центризбиркома накануне и во время выборов президента стали тому лишним доказательством. Тогда удалось, в частности, обнаружить, что продемонстрированная российским телевидением картинка о победе на выборах лидера «Правого сектора» Дмитрия Яроша была заранее сфабрикована и размещена на серверах ЦИК.

Взлому противостояли сотрудники команды CERT-UA — группы реагирования на компьютерные чрезвычайные происшествия Госслужбы спецсвязи и защиты информации. Этот отдел сформировался в составе ведомства еще в начале прошлого десятилетия, но лишь недавно был упомянут в законодательстве. Сегодня в нем работают около десятка специалистов — бойцов клавиатуры. С 2009 года команда является членом международного форума по компьютерной безопасности FIRST, с помощью которого компьютерные преступления сегодня расследуются на глобальном уровне.

Глава Госслужбы спецсвязи Владимир Зверев рассказывает, что мнимая победа Яроша — лишь малая часть атаки на Центризбирком.

В мае CERT-UA идентифицировала «целенаправленную устойчивую угрозу» — подготовка к ней занимала несколько месяцев и потребовала разработки специального программного обеспечения. К тому же накануне имела место так называемая DDoS-атака — обращение большого количества зараженных компьютеров к серверам ЦИК с целью загрузить каналы и парализовать их работу.

— Атаки на государственные ресурсы имели место и раньше, — продолжает Зверев, — но это были скорее детские шалости, реакция особо активных граждан на действия отдельных госорганов, например DDoS на сайты МВД после закрытия файлообменника ex.ua. Сейчас все по-серьезному, речь идет о блокировании работы важных для функционирования государства систем.

CERT-UA и Госспецсвязи, как и другие государственные ведомства, призванные защищать безопасность страны, жалуются на нехватку финансирования. В первую очередь это бьет по кадрам — специалистов по безопасности охотно переманивают в корпоративный сегмент. Впрочем, по словам Владимира Зверева, за профессионализм своих сотрудников он не переживает.

— У нас хорошие специалисты и по компьютерной защите, и по криптографии. Используемые ими методики защиты вполне надежны. Как ни печально, но подводит чаще всего несоблюдение госорганами наших рекомендаций. Например, в случае с ЦИК одна из причин проникновения в систему состоит в том, что рабочее место администратора было подключено к интернету — оттуда и произошел взлом. Для такого уровня безопасности это просто недопустимо!

Сейчас в планах Госспецсвязи упорядочить хотя бы использование госорганами интернета. Речь идет о создании на базе системы конфиденциальной правительственной связи единого доступа органов государственной власти к интернету для администрации президента, Кабмина, министерств и обладминистраций. Это упростило бы работу CERT-UA, сузив «окно», через которое чаще всего осуществляются атаки.

Частные операторы критикуют такие планы Госспецсвязи. Несколько собеседников «Репортера» в руководстве столичных интернет-провайдеров отметили, что компании, предоставляющие услуги госорганам, и так соответствуют повышенным требованиям к безопасности. По их мнению, создавая своего оператора, ведомство влезает в нетипичную для себя сферу услуг, где не имеет необходимой компетенции.

— Что ж, в нынешней ситуации ради безопасности государства, возможно, придется пожертвовать чьим-то комфортом, — парирует Владимир Зверев.