Битва на два фронта. Большое интервью с основателями Украинского киберальянса 3 мартa, 09:03 НВ Премиум Цей матеріал також доступний українською Фото: pixabay.com/Pete Linforth

Обыски при участии КОРДа и СБУ заставили Украинский киберальянс приостановить сотрудничество с госструктурами и раскрыть личности двух самых известных членов УКА, скрывающихся под никами Шон Таунсенд и Jeff.

Журналист НВ Бизнес пообщался со спикером Украинского киберальянса Андреем Барановичем (известен как Шон Таунсенд) и лидером общественной организации Украинский киберальянс Тимом (Артемом) Карпинским (известен как Jeff) — о давлении силовиков и о том, почему белым хакерам пришлось раскрыть свои настоящие имена.

Контекст. Что известно об Украинском киберальянсе

Украинский киберальянс — сообщество украинских киберактивистов, в которое вошли организации RUH8, FalconsFlame, Trinity и КиберХунта (закончила деятельность в феврале 2020 года). На счету организации более двух десятков акций против государства-агрессора: взлом почты приемной кремлевского «куратора Украины» Владислава Суркова, взломы Первого канала, сайта Anna News, взломы Кирилла Фролова, Института стран СНГ, Министерства обороны РФ, «военной комендатуры» так называемой «ДНР», «Министерства угля и энергетики ДНР», переписок Алексея Мозгового (руководитель бандформирования «Призрак» т.н. «ЛНР»), Арсения Павлова («Моторолла») и других.

Также активисты УКА инициировали флешмобы #FRD и #паровозикоблачко, направленные на публичное раскрытие информации об уязвимостях украинских государственных информационных ресурсов и коммерческого сектора Украины .

Кто под масками

— Вы публично раскрыли себя на пресс-конференции, но для многих больше говорят ваши никнеймы, нежели реальные имена. Кто такие Андрей Баранович и Тим Карпинский?

Андрей Баранович (АБ):



Мы около 20 лет занимаемся различными аспектами информационной безопасности.

Тим Карпинский (ТК)

Мы являемся независимыми экспертами в области кибербезопасности. Наша специализация — offensive security. Мы проводим тесты на проникновение и прогнозируем операции, при которых, допустим, возможен взлом нашего клиента (как он мог бы проходить и на что необходимо обратить внимание).

Также мы являемся одними из основателей Украинской группы информационной безопасности, входим в команду организаторов нескольких конференций по кибербезопасности — я один из основателей и организаторов UISGCon (одна из старейших профильных конференций в стране — Авт.) и в данный момент мы входим в группу организаторов NoNameCon (крупнейшая практическая конференция по кибербезопасности в Украине — Авт.).

Андрей Баранович и Тим Карпинский на пресс-конференции по поводу обысков у членов УКА / Фото: Наталья Чиж

— Как давно появились Шон Таунсенд и Джефри?

ТК : «Много лун прошлого с того времени…». Они «родились» где-то в 2014—2015 году.

АБ: Но все началось до того, как появились какие-то никнеймы и публичные заявления. Уже в марте 2014 года возникло понимание того, что у нас есть определенные возможности, и мы их можем использовать в интересах национальной безопасности Украины. Тогда же (я думаю, это не секрет) к нам начали обращаться из СБУ — их интересовало наше мнение о том, кто такие, например, КиберБеркут, кто за ними стоит…

ТК: Надо понимать, что на 2014−2015 год у той же Службы безопасности Украины (я уже не говорю о полиции) компетенция в проведении киберопераций, кибервойны и киберразведки была, приблизительно, ноль целых, ноль десятых.К нам обращались за консультациями, потому что у нас уже был какой-то уровень компетенции — мы длительное время в этом бизнесе, занимались соответствующим консультированием.

Нашу первую операцию мы провели перед Пасхой 2014 года, в марте. Это был коллаборационист, имя его называть не буду.

АБ: Добавлю только, что против него была возбуждено уголовное дело по статье «измена родине», он в дальнейшем занимал руководящие посты в непризнанной так называемой «Луганской народной республике»…

Позже, спустя где-то год после первой операции, мы поняли, что для того, чтобы добиться какого-то значительного эффекта, повлиять на происходящие, нужно создать объединение. Так появилась группа RUH8 (Баранович и Карпинский были участниками этой группы — Авт.), стали появляться другие аналогичные группы, которые в марте 2016 года объединились для совместных действий и обмена информацией в Украинский киберальянс. На днях УКА как объединению исполняется четыре года.

Информация, в том числе, передавалась в правоохранительные органы. В первую очередь — в Службу безопасности Украины: в департаменты контрразведки (ДКР СБУ), контрразведывательной защиты интересов государства в сфере информационной безопасности (ДКИБ СБУ)…

ТК: Грубо говоря, нет в Украине ни одного правоохранительного органа, с которым мы не работали, который бы не консультировали.

Тим Карпинский (в центре) и тогда ещё руководитель Департамента киберполиции Сергей Демедюк (справа) и теперь уже экс-руководитель ДКИБ СБУ Николай Кулешов (слева) на конференции NoNameCon / Фото: Владимир Кондрашов

АБ: Полученная от нас информация ими использовалась. Иногда этому есть даже документальные подтверждения. Например, письма от прокуратуры АР Крым о возбуждении уголовного дела о незаконных поставках всевозможного сырья в оккупированный Крым через порты полуострова.

То есть, происходило какое-то неформальное общение с властями, которым все стороны были довольны. Мы — тем, что информация используется, они — полученными материалами для работы, которые уже потом проверялись своими способами и использовались на благо нашей страны.

Попутно мы также занимались вопросами информационной безопасности государственного сектора. Потому что ответственность за то, что происходит в коммерческом секторе, несут владельцы и руководители бизнеса, а государственный сектор — наша общая ответственность. В государственных информационных ресурсах обрабатываются огромные объемы информации и очень часто эти сайты, эти системы, не защищены. При этом, никаких «хакерских приёмов» мы не можем использовать, так как прекрасно знаем, где проходит граница между видимой уязвимостью и вмешательством в работу автоматизированных систем. Если мы видели, что у какой-то организации буквально «ключ от двери лежит под ковриком», мы их предупреждали.

ТК: Иногда ключ от этой двери лежал непосредственно на коврике, а иногда — был воткнут в дверь…

АБ: Мы их об этом предупреждали. Но выяснилась одна неприятная вещь: не только мы, но и другие исследователи безопасности присылали распорядителям этих объектов описания уязвимостей или каких-то уже осуществленных взломов криминальными элементами, вражескими хакерами, но всё это игнорировалось годами. Писать куда-то в службу реагирования на чрезвычайные компьютерные инциденты (CERT-UA при Госспецсвязи), киберполицию или СБУ по этим вопросам было практически бесполезно.

Доходило до смешного — я передаю информацию, что элемент критической инфраструктуры находится в открытом доступе, а мне передают, что туда приходили сотрудники СБУ с проверкой, а им сказали «мы ничего не можем сделать, это не важно, нас это не касается». То есть, госсектор даже между собой не может никак договориться. Даже когда речь идет о критической инфраструктуре — водоканале или электростанции.

Поэтому мы выбрали другую стратегию. Мы стали сообщать об уязвимостях публично, но так, чтобы не навредить тем же учреждениям и предприятиям — затирая информацию, которая могла бы помочь злоумышленникам воспользоваться уязвимостью. То есть, мы показывали, что существует возможность взлома, но никогда ничего не взламывали.

— Как реагировали на такие сообщения?

АБ: Кто-то говорил спасибо, кому-то — очень не нравилось. Иногда возникали скандалы.

Один из первых таких — скандал с Херсонским облсоветом осенью 2017 года. Нами была обнаружена уязвимость, но они, не разобравшись, сразу написали заявление в киберполицию. Позже спикеру облсовета объяснили, что никакого преступления тут нет, что это просто уязвимость, и в любой момент там могут появиться не дружественные украинские специалисты, а российские хакеры, и вынести оттуда всю информацию, разрушить систему или сделать ещё хуже. После этого они извинились, сказали «спасибо» за нашу работу, и забрали заявление из полиции.

Убедить тогда Херсонский облсовет помогла Катя Ганзюк, за что мы ей очень благодарны… Её, к сожалению, больше нет с нами, а её убийство до сих пор не расследовано до конца.

Так и продолжалось: если уязвимость критическая, мы всегда пытались уведомить СБУ, чтобы они предприняли необходимые легальные шаги, чтобы уязвимости закрыть. Иногда публиковали сразу информацию об уязвимости в открытом доступе, но так, чтобы никому не навредить, а просто пристыдить распорядителей этих систем, чтобы они закрывали дыры самостоятельно.

Двумя этими направлениями — поиском и анализом информации о Российской Федерации, которая ведет с нами войну шесть лет подряд, и защитой отечественных систем — мы и занимаемся.

— Как оформлялось сотрудничество?

ТК: Официально никаких бумаг о сотрудничестве подписано не было и быть не могло. Те, контакты, которые были у нас с правоохранительными органами, осуществлялись либо через личные знакомства, либо, опять-таки, на «опосредствованных личных контактах».

У нас были личные контакты во многих департаментах, например — в Департаменте киберполиции, с которым мы очень хорошо и тесно работали в плане раскрытия киберпреступлений.

— Вокруг УКА ходили слухи, что киберальянс — чуть ли не официальное подразделение СБУ…

ТК: Мы никогда не находились на госслужбе и уж тем более никогда не подписывали никаких контрактов о прохождении службы в рамках СБУ, киберполиции или других органов.

АБ: Мы не военные. Погон никогда не носили. Мы гражданские лица.

— Почему Шон Таунсенд и Джеф?

ТК: В то время никто не задумывался, что мы этим будем заниматься настолько серьезно. То, что первое в голову пришло — то и пришло.

АБ: До этого у меня в Facebook первый аккаунт назывался Рос Хейтфилд, но администрация соцсети его забанила за использование несуществующего имени. Было одно несуществующее имя — стало другое…

— Вы активно сотрудничали с правоохранителями, но, тем не менее, по нашим данным, к Шону Таунсенду в 2018 уже «приходили в гости» силовики. Как так?

ТК: Это была абсолютно непонятная ситуация, которая решилась позитивно: правоохранители пришли к выводу, что произошла чудовищная ошибка. Корни этой ошибки растут, почему-то, в Одессе.

АБ: Я могу немного рассказать подробней. В ходе поиска уязвимостей в информационных ресурсах, находились, в том числе, настоящие взломы, сделанные врагами. Такое было с Донецкой ОГА (системами Донецкой областной военно-гражданской администрации — Авт.): туда залезли хакеры из Самары. Мы обнаружили, что они проникли во внутреннюю сеть, украли пароли системных администраторов из Краматорска. Нами немедленно были поставлены в известность СБУ, Госспецсвязи и сама областная администрация, благодаря чему сайт удалось выключить до того, как из военно-гражданской администрации всё «потекло» в Россию.