«В самом печальном варианте это приведет к масштабному блэкауту»

Кто стоит за кибератаками на Казахстан в преддверии президентских выборов



Со второй половины сентября 2022 года Казахстан стал подвергаться масштабным кибератакам. Из-за действий хакеров по всей стране начались сбои с интернетом, прекращали работу сайты госуслуг и задерживались авиарейсы. Власти связывают действия хакеров с предстоящими внеочередными выборами президента страны. Однако ряд экспертов считает, что Казахстан начали атаковать после того, как в страну стали в больших количествах прибывать российские беженцы. «Медиазона» разбиралась, насколько сильно пострадало казахстанское интернет-пространство от кибератак и как устроена киберзащита страны.


Выборы или война


С конца сентября казахстанский сегмент интернета подвергается масштабным хакерским атакам из-за рубежа. По данным отдела информационной безопасности КНБ, кибератаки были направлены как на госорганы, так и на инфраструктуру казахстанского интернета.

25 сентября компания «Казахтелеком» зафиксировала массированные DDoS-атаки на ряд сайтов казахстанских информационных ресурсов. Наблюдались сбои в работе таких СМИ как newtimes.kz, toppress.kz, казахоязычного сайта sn.kz и радио «Азаттык». Позднее о трудностях с доступом сообщили еще два издания: информагентство КазТАГ и западно-казахстанское издание «Мой Город». Страницы сайтов загружались либо очень медленно, либо вовсе не открывались. При этом посетить их удавалось только через VPN.

Начались сбои и в работе местных интернет-операторов. 28 сентября казахстанцы жаловались на проблемы с соединением у Tele2, Kcell и Beeline. Сообщения поступали практически из всех регионов страны. Операторы утверждали, что «проблема глобальная, но не с их стороны». Из-за отсутствия интернет-соединения произошла задержка рейсов в аэропортах Алма-Аты и Атырау. Также не работали сайты госуслуг.

Президент Казахстана Касым-Жомарт Токаев связал хакерские атаки с предстоящими выборами главы государства, которые должны пройти 20 ноября. Во время выступления перед жителями Абайской области Токаев сказал, что «за рубежом есть люди, которые завидуют достижениям» Казахстана. Примечательно, что на сайте Акорды это высказывание не выложили. Более того, радио «Азаттык», опубликовавшее слова президента, позже удалило с сайта новость с этой цитатой.

Внеочередные выборы президента в Казахстане пройдут 20 ноября. С инициативой их проведения выступил сам Касым-Жомарт Токаев во время послания народу Казахстана 1 сентября.

В августе председатель КНБ Ермек Сагимбаев доложил президенту о том, что с начала года спецслужбы отразили 295 млн кибератак и две тысячи DDoS-атак на объекты критической инфраструктуры.

При этом 6 октября Государственная техническая служба Казахстана сообщила, что только за месяц сотрудниками организации было отражено около 20 млн кибератак на казахстанский сегмент интернета. В службе предположили, что кибератаки связаны с началом электорального периода в стране. Основной целью таких атак может являться нарушение работы инфраструктуры Казнета.

Основатель Центра анализа и расследования кибератак (ЦАРКА) Олжас Сатиев рассказал «Медиазоне», что Казахстан и ранее подвергался кибератакам, но с таким масштабом столкнулся впервые. «Раньше атаки были другого характера. Например, когда бизнесмен хотел обрушить сайт конкурента, на СМИ — после публикации обличающих материалов или на банки с целью вымогательства. Тут мы видим, что кибератака направлена практически на все госресурсы и при этом не выдвигается никаких требований. Я склонен считать, что это связано с политической ситуацией в стране», — говорит Сатиев.

Глава ЦАРКА отметил, что отследить заказчика DDoS-атак практически невозможно, так как хакеры могут использовать зараженные машины по всему миру. «Мы видели, что очень много запросов приходило из Бразилии, но сами хакеры могли находиться на другом континенте. Шанс выявить заказчиков крайне мал. При этом, за атакой также может стоять не другое государства, а хакерские группировки. Базовая DDoS-атака стоит от 20 долларов в час. Зачастую бывает так, что хакерам может не понравится позиция государства и они решают обрушить киберсистему страны», — говорит Сатиев.

Президент Интернет-ассоциации Казахстана Шавкат Сабиров в свою очередь отметил, что кибератаки на Казнет могли быть отголосками войны в Украине. По его словам, любое государство, которое соседствует со страной, находящейся в состоянии войны, будет подвергаться атакам в кибер-пространстве.

  1. 1. Кибератаки на казахстанский интернет начались через неделю после объявленной Владимиром Путиным «частичной» мобилизации. За день до этого власти Казахстана сообщили, что не будут экстрадировать из страны россиян, подлежащих мобилизации, пока на них не будет заведено уголовное дело.
    1. 2. В свою очередь Касым-Жомарт Токаев пообещал провести переговоры с российскими властями для решения «проблемы» с наплывом иностранцев. Он отметил, что прибывшие россияне вынужденно покинули свою страну из-за сложившейся безвыходной ситуации и поручил правительству обеспечить безопасность иностранцев по приезде в Казахстан.


Как устроена кибербезопасность в Казахстане


В Казахстане существует два регулятора, которые занимаются обеспечением кибербезопасности — Комитет информационной безопасности (КИБ) и Государственная техническая служба (ГТС).

КИБ находится в структуре Министерства цифрового развития и аэрокосмической промышленности и занимается защитой казахстанцев от киберугроз: отвечает за информационную безопасность, поддержку высокого уровня защищенности государственных электронных баз данных и систем. Предотвращение кибератак и борьба с ними строится в том числе и в рамках программы «Киберщит Казахстана», которая рассчитана до 2022 года включительно.

ГТС со своей стороны отвечает за информатизацию и обеспечение информационной безопасности. Сперва организация занималась обслуживанием сайтов электронного правительства, сбором и хранением информации с госресурсов, мониторингом работы серверов по стране, а также отвечала за телерадиовещание. Однако в конце 2017 года ГТС была передана в ведение КНБ и начала заниматься предотвращением угроз компьютерной безопасности.

По мнению Сабирова, ГТС, как структура, должна иметь гражданский статус, поскольку орган обеспечивает работу телекоммуникаций по всей стране и при этом находится под полным контролем спецслужб.

«Защита национальных интересов мало относится к функциям ГТС. Организация должна иметь гражданский статус, который должен обслуживать государственные информационные системы, системы квазигоссектора, бизнеса и компаний с иностранным участием. Если есть такая необходимость иметь специальный технический центр в рядах КНБ, то можно было бы построить отдельно и конкретно под интересы КНБ. ГТС должен существовать без правоохранительных органов», — считает Сабиров.

Государство ежегодно выделяет солидные ресурсы для обеспечения кибербезопасности в стране. Например, в 2021 году на эти функции Министерству цифрового развития выделили 7,2 млрд тенге, а спустя год — 5,3 млрд тенге. Однако, как отмечает Олжас Сатиев, в госструктурах, которые занимаются информационной безопасностью существует серьезный дефицит профессиональных кадров.

«Проблема с кадрами вообще везде, в госсекторе она больше, потому что вопрос затрат, наличие специалистов, компетенции у людей не хватает. Это глобальная проблема. Причем, необходимое оборудование у нас есть, это самое легкое, что можно решить, но необходимы кадры, которые обеспечат грамотную работу. Специалистам при этом платят около 500 тысяч тенге в месяц, учитывая большую нагрузку и график работ — это крайне мало», — рассказал специалист.

Указывая на проблемы, которые переживает казахстанский киберсектор, глава ЦАРКА подчеркнул, что в стране необходимо создать отдельное агентство по кибербезопасности, которое смогло бы работать автономно от остальных госструктур. «Переживать подобные атаки с каждым разом будет все сложнее, поскольку Казахстан движется в сторону цифровизации. В самом печальном варианте это приведет к масштабному блэкауту, который повлияет на экономику страны и обрушит систему электронного правительства. Нужна отдельная структура, которая будет заниматься конкретно защитой киберграниц и будет подотчетна только президенту», — заметил Сатиев.

Шавкат Сабиров согласен, что последствия таких атак могут быть крайне серьезными, поскольку экономика Казахстана использует инфраструктуру интернета в качестве канала передачи данных практически для всех госорганов, начиная от районных больниц и заканчивая энергосферой. По его мнению, киберсектор страны необходимо обезопасить путем создания независимых сетей для каждой госструктуры.

«Это самый простой, но дорогостоящий метод. Каждая отрасль должна иметь свою независимую выделенную сеть передачи данных. Ведь атаковать пару десятков сетей сложнее, чем одну. Да и попасть внутрь каждой сети тоже надо постараться», — утверждает президент Интернет-ассоциации.


Слежка или безопасность


Однако власти зачастую используют свои ресурсы не столько для борьбы с киберпреступностью, сколько для слежки за гражданами. Например, в 2019 году казахстанцев призвали установить «сертификат безопасности» Qaznet Trust Network на все устройства, имеющие выход в интернет. В противном случае пользователям обещали проблемы с доступом на ряд сайтов. Свою идею руководство страны оправдывало необходимостью защиты от хакеров.



Предложение правительства вызвало волну критики со стороны пользователей и экспертов, которые сходились во мнении, что «сертификат» не может защитить от киберугроз, и даже напротив — может способствовать передаче персональных данных третьим лицам.

«Ни о какой защите данных речи быть не может. Ни в одной стране мира, ну, за исключением Китая и КНДР, не требуется сертификат для работы интернета. Скорее всего, заблокируются целевые хосты, так же как блокируют Telegram. И без сертификата уже нельзя будет до них достучаться. Сертификат ничем пользователям не помогает, это только усиление контроля», — рассказывал «Фергане» казахстанский IT-специалист Василий Гиричев.

В итоге власти отложили внедрение сертификата. Однако в 2021 году расследователи из OCCRP обнаружили, что около 2 000 казахстанских телефонных номеров были взломаны через программный комплекс Pegasus. Вредоносная программа оказалась на телефонах правозащитницы Бахытжан Торегожиной, журналистов Серикжана Маулетбая и Бигельды Габдуллина.

Позднее в списке Pegasus выявили номера телефонов президента Казахстана Касым-Жомарта Токаева, бывшего премьера Аскара Мамина, а также людей из окружения бывшего главы государства Нурсултана Назарбаева. Кроме того правозащитная организация Amnesty International обнаружила такое же вредоносное ПО на телефонах четверых активистов движения Oyan, Qazaqstan!: Димаша Альжанова, Дархана Шарипова, Тамины Оспановой и Айзат Абильсеит.

Программный комплекс Pegasus — разработка израильской NSO Group. Он был создан, чтобы «дать полномочным органам власти технологии, помогающие бороться с терроризмом и преступностью». Однако правозащитники OCCRP утверждают, что технологии удаленного взлома использовали, чтобы следить за неугодными власти оппозиционерами, журналистами и активистами.

Pegasus — это не единственная программа, которую применяли в Казахстане для слежки за активистами. 16 июня 2022 года исследовательская группа по кибербезопасности Lookout Threat Lab опубликовала доклад о том, что после январских протестов власти страны начали использовать новую шпионскую программу Hermit для слежки за активистами. Позднее вирус обнаружили на телефоне супруги лидера незарегистрированной Демпартии Жанболата Мамая — Инги Иманбай.

Вирус Hermit был разработан итальянской группой RCS labs. Его создали специально для устройств Android, хотя специалисты считают, что существует аналогичная версия и для IOS. Программа позволяет получить доступ практически ко всем данным на телефоне, в том числе к истории действий в приложениях WhatsApp и Telegram, аудиозаписям, доступ к камере, загруженным файлам из интернета, списку уведомлений, снимкам экрана и прочее.

Президент общественного фонда «Международный фонд защиты свободы слова «Адил соз» Тамара Калеева рассказала «Медиазоне», что слежка за активистами и журналистами в Казахстане хоть давно уже и стала привычным делом, тем не менее такие факты необходимо воспринимать, как ЧП, поскольку данное действие является нарушением всех международных законов о свободе слова.

«Установить факты прослушки реально, для этого достаточно найти любой жучок, установленный на телефоне, но определить инициатора и доказать его вину — практически невозможно. Тут работает принцип "не пойман — не вор", поскольку нет даже косвенных доказательств вины отдельных лиц. Другой вопрос, кто вообще захочет этим заниматься, поскольку ведомства, у которых хватает на это квалификации и оборудования просто не берутся за такие дела», — говорит Калеева.

В Казахстане вести прослушку могут семь государственных органов: министерство внутренних дел, комитет национальной безопасности, министерство обороны, антикоррупционная служба, служба государственной охраны, служба экономических расследований и служба внешней разведки. По закону, прослушка может осуществляться не более тридцати суток, но при необходимости ее могут продлить.

При этом правозащитница отмечает, слежка и прослушка в Казахстане все-таки носит единичный, а не массовый характер. Однако инициаторы таких действий могут применять любые методы давления, начиная от слежения за компьютерными операциями и перлюстрации личных писем до угроз.

«На государственном уровне активисты и журналисты просто беззащитны. Тем не менее, я бы не сказала, что власти больше занимаются слежкой, чем борьбой с киберпреступностью. Сравните, что опаснее: кибератаки от которых падают сервера всего правительства страны или отдельный журналист. Не каждый достоин того, чтобы за ним следили, но это не означает, что с таким можно мириться», — заключила правозащитница.