Кіберполіція України розповідає про криптографію, програми-вимагачі та документування військових злочинів після вторгнення росії.
24 лютого 2022 року російські війська вторглися в Україну. Відтоді життя в країні змінилося для всіх.
Для українських військових, яким довелося захищати свою країну, для пересічних громадян, яким довелося протистояти окупантам і постійним обстрілам, і для кіберполіції України, якій довелося змінити фокус і пріоритети своєї роботи.
“Наша відповідальність змінилася після початку повномасштабної війни, – сказав Євгеній Панченко, начальник відділу Департаменту кіберполіції Національної поліції України, під час виступу у вівторок у Нью-Йорку. “Ми отримали нові директиви, які поклали на нас відповідальність”.
Під час виступу на конференції Chainalysis LINKS Панченко повідомив, що кіберполіція налічує близько тисячі співробітників, з яких близько сорока займаються відстеженням злочинів, пов’язаних з криптовалютами. Відповідальність кіберполіції полягає у боротьбі “з усіма проявами кіберзлочинності в кіберпросторі”, сказав Панченко. А після початку війни, за його словами, “ми також відповідали за активну боротьбу з агресією в кіберпросторі”.
У середу Панченко дав розгорнуте інтерв’ю TechCrunch, в якому розповів про нові обов’язки кіберполіції у воєнний час в Україні. Це включає в себе відстеження військових злочинів російських солдатів в країні, які вони іноді публікують в соціальних мережах; моніторинг потоку криптовалюти, що фінансує війну; викриття дезінформаційних кампаній; розслідування атак з вимогами викупу; а також навчання громадян належним практикам кібербезпеки.
Нижченаведена стенограма була відредагована для стислості та ясності.
- TechCrunch: Як змінилася ваша робота та робота поліції після вторгнення?
Майже повністю змінилася. Оскільки у нас все ще є деякі регулярні завдання, які ми завжди виконуємо, ми відповідаємо за всі сфери кіберрозслідувань.
Нам довелося передислокувати деякі наші підрозділи в інші місця, звичайно, в деякі складні організації, тому що тепер ми повинні працювати окремо. А також з початком війни у нас з’явилися нові завдання і нові сфери відповідальності.
Зі списку нових завдань, які у нас з’явилися, ми потребуємо інформації про російських солдатів. Ми ніколи цим не займалися. У нас немає досвіду до лютого 2022 року. І зараз ми намагаємося зібрати всі докази, які у нас є, тому що вони також адаптувалися і почали ховатися, наприклад, видаляти сторінки в соціальних мережах, які ми використовували для розпізнавання людей, які брали участь у повномасштабному вторгенні, щоб захопити наші міста і вбивати наших людей.
Крім того, ми відповідаємо за виявлення та розслідування випадків, коли російські хакери здійснюють атаки на Україну. Вони атакують нашу інфраструктуру, іноді DDoS [розподілені атаки на відмову в обслуговуванні], іноді вони роблять пошкодження, а також намагаються порушити нашу інформацію в цілому. Отже, це зовсім інша сфера.
Оскільки ми не співпрацюємо з російськими правоохоронними органами, іноді нелегко ідентифікувати або шукати інформацію про IP-адреси чи інші речі. Нам потрібно шукати нові шляхи співпраці, наприклад, обмінюватися даними з нашими спецслужбами.
Деякі підрозділи також відповідають за захист критичної інфраструктури в кібернетичній сфері. Це також важливе завдання. І сьогодні багато атак також спрямовані на критичну інфраструктуру. Не тільки ракети, але й хакери намагаються отримати дані та знищити деякі ресурси, такі як електроенергія та інші речі.
- Коли ми думаємо про солдатів, ми думаємо про реальні дії. Але чи є якісь злочини, які російські солдати скоюють онлайн?
[росія] використовує соціальні мережі, щоб публікувати фото в інтернеті, як це було звичайною справою на першому етапі війни. Коли війна тільки почалася, напевно, протягом трьох-чотирьох місяців [російські солдати] публікували все: відео та фото з міст, які були тимчасово окуповані. Це були докази, які ми збирали.
А іноді вони також знімають відео, коли стріляють у місті, або використовують танки чи іншу техніку з дуже великими гарматами. Є свідчення того, що вони не обирають ціль, а просто стріляють навмання. Це відео ми також зібрали і включили до розслідувань, які наш офіс проводить проти росіян.
- Іншими словами, шукаєте докази воєнних злочинів?
Так.
- Як змінився ландшафт вимагання викупу в Україні після вторгнення?
Це змінилося, тому що росія зараз зосереджена не лише на грошовій стороні; їхня головна мета – показати громадянам і, можливо, певному державному сектору, що [росія] справді ефективна і сильна. Якщо вони мають доступ на першому рівні, вони не заглиблюються, вони просто знищують ресурси і намагаються пошкодити їх, щоб показати, що вони дійсно сильні. У них є дуже ефективні хакери і групи, які відповідають за це. Зараз у нас не так багато випадків, пов’язаних з викупом, у нас багато випадків, пов’язаних з руйнівними атаками. У цьому сенсі все змінилося.
- Чи стало важче відрізнити проросійських злочинців від російських урядових хакерів?
Дуже важко, тому що вони не люблять виглядати як урядові структури або якісь військові підрозділи. Вони завжди придумують собі якісь дуже вигадливі назви, як, наприклад, знову ж таки, “Fancy Bear”. Вони намагаються приховати свою справжню природу.
Але ми бачимо, що після початку війни їхні військові та спецслужби почали організовувати групи – можливо, вони не такі ефективні і не такі професійні, як деякі групи, що працювали до початку війни. Але вони організовують групи в масовому [масштабі]. Вони починають з вирощування нових партнерів, дають їм невеликі завдання, потім дивляться, чи вони ефективні і чи справді досягають успіху в невеликій частині ІТ-знань. Потім вони рухаються далі і виконують нові завдання. Зараз ми можемо бачити багато додатків, які вони також публікують в інтернеті про результати. Деякі з них не пов’язані з тим, що робили уряди чи розвідувальні групи, але вони публікують ці дані. Вони також використовують власні медіа-ресурси, щоб збільшити вплив атаки.
- Чим сьогодні займаються проросійські хакерські групи? На чому вони зосереджені? Ви згадали про пошкодження критичної інфраструктури; чи є щось ще, що ви відстежуєте?
Це починається з базових атак, таких як DDoS, щоб зруйнувати комунікації і спробувати знищити канали, які ми використовуємо для спілкування. Потім, звичайно, пошкодження. Також вони збирають дані. Іноді вони публікують їх у відкритих джерелах. А іноді, можливо, збирають, але не використовують їх для підриву, або для того, щоб показати, що вони вже мають доступ.
Іноді ми знаємо про ситуацію, коли ми запобігаємо злочину, але також і атакам. У нас є деякі ознаки компрометації, які, ймовірно, були використані проти одного уряду, а потім ми ділимося ними з іншими.
[росія] також створює багато психологічних каналів. Іноді атака не вдається. І навіть якщо у них немає жодних доказів, вони скажуть: “У нас є доступ до системи військових структур України”.
- Як ви переслідуєте цих хакерів? Деякі з них не всередині країни, а деякі всередині країни.
Це найгірше, що ми маємо зараз, але це ситуація, яка може змінитися. Нам просто потрібно зібрати всі докази, а також забезпечити розслідування так, як ми можемо. Крім того, ми інформуємо інші правоохоронні органи країн, які з нами співпрацюють, про осіб, яких ми ідентифікуємо як членів угруповань, що скоїли напади на українську територію або на нашу критичну інфраструктуру.
Чому це важливо? Тому що якщо ми говоримо про якогось рядового солдата російської армії, то він, напевно, ніколи не приїде до Європейського Союзу та інших країн. Але якщо ми говоримо про якихось розумників, які вже мають багато знань в наступальному хакерстві, то вони вважають за краще переїхати в теплі краї і не працювати з росії. Тому що їх можуть забрати в армію, можуть статися інші речі. Ось чому так важливо зібрати всі докази і всю інформацію про людину, а потім також довести, що він був причетний до якихось атак, і поділитися цим з нашими партнерами.
- Також тому, що у вас довга пам’ять, ви можете почекати і, можливо, ідентифікувати цього хакера, де він перебуває в росії. У вас є вся інформація, і тоді, коли він буде в Таїланді чи ще десь, ви зможете на нього напасти. Ви не дуже поспішаєте?
Вони атакують багато нашої цивільної інфраструктури. Цей воєнний злочин не має терміну давності. Тому це так важливо. Ми можемо чекати 10 років, а потім заарештувати його в Іспанії чи інших країнах.
- Хто такі кібер-волонтери і яка їхня роль?
У нас сьогодні не так багато людей, які є волонтерами. Але це дійсно розумні люди з усього світу – зі Сполучених Штатів та Європейського Союзу. Вони також мають певні знання в ІТ, іноді в аналізі блокчейну. Вони допомагають нам проводити аналіз проти росіян, збирати дані про гаманці, які вони використовують для збору коштів, а іноді вони також інформують нас про нову форму або нову групу, яку росіяни створюють для координації своєї діяльності.
Це важливо, тому що ми не можемо охопити все, що відбувається. росія – дуже велика країна, у них багато груп, багато людей, які беруть участь у війні. Така співпраця з волонтерами зараз дуже важлива, особливо тому, що вони краще знають місцеві мови.
Іноді у нас є волонтери, які дуже близькі до російськомовних країн. Це допомагає нам зрозуміти, що саме вони роблять. Існує також спільнота айтішників, які також спілкуються з нашими волонтерами напряму. Це важливо, і нам дуже подобається запрошувати інших людей до цієї діяльності. Це не є незаконним чи чимось подібним. Вони просто надають інформацію і можуть розповісти нам, що вони можуть зробити.
- А як щодо проукраїнських хакерів, таких як “Українська ІТ-армія“? Ви просто дозволяєте їм робити те, що вони хочуть, чи вони також є потенційними об’єктами для розслідування?
Ні, ми не співпрацюємо з ними напряму.
У нас є інший проект, який також залучає багато підписників. Я також говорив про нього під час своєї презентації: він називається BRAMA. Це шлюз, де ми координуємо і збираємо людей. Одна з речей, яку ми пропонуємо – блокувати і знищувати російську пропаганду і психологію в інтернеті. Ми дійсно були ефективними і мали дійсно великі результати. Ми заблокували понад 27 000 ресурсів, які належать росії. Вони публікують свої наративи, вони публікують багато психологічних матеріалів. І сьогодні ми також додали деякі нові функції в нашій спільноті. Ми не тільки боремося з пропагандою, ми також боремося з шахрайством, тому що багато шахрайства, яке сьогодні представлене на території України, також створюється росіянами.
Вони також мають великий вплив на це, тому що якщо вони відмивають і забирають гроші у наших громадян. І саме тому ми включаємо цю діяльність, щоб проактивно реагувати на історії, які ми отримуємо від наших громадян, від наших партнерів про нові види шахрайства, які можуть відбуватися в інтернеті.
А також ми проводимо певні тренінги для наших громадян щодо кібергігієни та кібербезпеки. Це також важливо сьогодні, тому що російські хакери не тільки націлені на критичну інфраструктуру або урядові структури, вони також намагаються отримати деякі дані наших людей.
Наприклад, Telegram. Зараз це не є великою проблемою, але для нас це новий виклик, тому що вони спочатку надсилають цікаві матеріали, а потім просять людей спілкуватися або взаємодіяти з ботами. У Telegram можна створювати ботів. І якщо ви просто наберете два рази, вони отримають доступ до вашого акаунту, змінять номер, змінять двофакторну автентифікацію, і ви втратите свій акаунт.
- Чи здійснюють шахрайство для збору коштів на війну?
Так.
- Можете розповісти більше про російський збір коштів? Де вони це роблять і хто дає їм гроші? Чи використовують вони блокчейн?
Є певні переваги та недоліки, які криптовалюта може їм дати. Перш за все, [росіяни] дуже багато використовують криптовалюту. Вони створюють майже всі види гаманців. Починаючи від біткоїна і закінчуючи Monero. Зараз вони розуміють, що деякі види криптовалют дійсно небезпечні для них, тому що багато бірж співпрацюють і конфісковують кошти, які вони збирають для допомоги своїм військовим.
- Як ви боретеся з таким видом фандрейзингу?
Якщо вони використовують криптовалюту, ми маркуємо адреси, робимо якусь атрибуцію. Це наша основна мета. Це також той вид діяльності, який нам допомагають робити наші волонтери. Ми дійсно ефективні в цьому. Але якщо вони використовують якісь банки, то ми лише можемо зібрати дані і зрозуміти, хто саме відповідає за цю кампанію. Санкції – це єдиний ефективний спосіб це зробити.
- Що таке кібернетичний опір?
Кібернетичний опір – це великий виклик для нас. Ми хотіли здійснити цей кібернетичний опір у кіберпросторі для наших користувачів, для наших ресурсів. Перш за все, якщо ми говоримо про користувачів, ми починаємо з навчання, а також ділимося деякими порадами та знаннями з нашими громадянами. Ідея полягає в тому, як можна реагувати на атаки, які очікуються в майбутньому.
- Як російський уряд використовує криптовалюту після вторгнення?
Росіяни адаптувалися, тому що побачили, що є багато санкцій. Вони створюють нові способи відмивання грошей, щоб запобігти атрибуції адрес, які вони використовували для своїх інфраструктур, а також для оплати або отримання коштів. У криптовалюті дуже легко створити багато адрес. Раніше вони не робили цього так часто, але зараз вони використовують це часто.