«Нам потрібні “безславні виродки”»: хакер Микита Книш — про те, як воюють кібервійська

Від початку повномасштабного вторгнення росії в Україну багато спеціалістів з кібербезпеки долучилося до IT-фронту: DDoS-атаки на російські ресурси, дефейси російських сайтів, вивід в офлайн їхніх популярних сервісів та ще більш серйозні операції. Один із координаторів таких IT-армій — харківський спеціаліст із кібербезпеки Микита Книш, який з початку АТО працював у в департаменті контррозвідки СБУ, а зараз веде Telegram-канал із завданнями на 10 000 учасників.

AIN.UA поговорив із ним про те, чим займаються під час війни кібервійська.

Як збирали кіберармію? Чи перевіряєте учасників, рівень підготовки?

Я — соціопат, і в принципі не дуже люблю спілкуватися з людьми, тож орієнтувався на таких, як і я. 

Ще коли працював в органах спецпризначення (власне, в СБУ), ловив шахраїв та хакерів, тож знаю, де їх шукати. 

Базово починали шукати серед наших та російських інфоциган та інших подібних спеціалістів: росіянам пропонували кредитки росіян же в обмін на розміщення інформації. Прекрасно спрацювали відео в TikTok про кардінг та інші сумнівні схеми: на них зібралась саме та публіка, яка була потрібна. Потім серед них виділили ініціативних, що займалися цим не заради винагороди, а з альтруїстичних міркувань. Так у нас з’явився кістяк людей, що почали вже піднімати Docker-контейнери та виконувати інші завдання.  

Згодом прийняли рішення збирати усіх на Patreon. Чому там? Бо в росіян немає доступу до оплати кредитками закордонних сервісів. Гроші від цих зборів віддаємо на ЗСУ, я регулярно публікую звіти у себе в Telegram. Тих, хто задонатив $1-2, просимо написати нам на пошту, встановлюємо анонімний канал спілкування, PGP, просимо створити віртуальний номер для Signal, потім ці люди поєднуються у маленькі чати та групи та виконують завдання. 

У нас є волонтери 1-го, 2-го та 3-го рівнів, перший рівень — стартовий, чим більше завдань виконує учасник, тим далі просувається. Тих, хто пройшов до третього рівня, беремо в команду, розвиваємо спільноту українських хакерів. 

Тож у нас є як профі, які роблять у нас серйозні речі, так і умовні «школярі», які виконують прості завдання і можуть відволікати увагу російських спецслужб на свої акції. 

Наскільки ефективно воює кіберармія? Що можете розповісти, навести приклади? Щось типу дефейсу сайту РПЦ чи «покладеної» системи РЖД.

Ці випадки звісно брати на себе не будемо, але проводили подібні «спеціальні операції», правда не будемо розповідати про них. 

Наскільки ефективно? У нас в одному із Telegram-каналів — 10 000 людей, і ми робили заміри по цій аудиторії. Давали учасникам розміщувати інформацію з певними трекерами, і можемо констатувати факт, що з цієї вибірки 1,56% людей активні (все як і в житті). 

Із ростом підписників це число збільшилося, і зараз уже 3,45% людей активно виконують повністю усі завдання, які у нас розміщуються на каналі. Ми міряємо усе за допомогою utm-міток, підключили свою traffic direction system. Зараз переводимо всю роботу у формат закритого сайту, нещодавно його саме запустили.

Зокрема, збираємо там усі документи та інструкції по інформаційних та інших атаках на російські ресурси, DDoS. Тобто, збираємо усі способи, як можна нашкодити росії, на одному сайті. Плюс, дані з кібербезпеки.

На час війни це буде такий собі сайт кіберджихаду, де кожен кібервоїн зможе знайти усю інформацію по проведенню кібератак по росії. А після війни це буде школа з кібербезпеки, я дуже давно мріяв запустити такий проект. 

З прикольних наших акцій можу розповісти про таку. Після закриття великого наркофоруму Hydra ми вкинули інфу, мовляв, люди потікали і полишили закладки із травою, хто перший знайде — того і кладка. І паралельно писали у слідчі органи РФ, що по тих локаціях будуть зосереджені групи українських ДРГ. Так у нас наркомани шукали закладки, небайдужі росіяни шукали серед них ДРГ, а російські правоохоронці відволікали на це свою увагу. 

Подібні акції потрібні, коли важливо відвернути увагу від справді серйозних проектів наших груп. Це — одна із важливих складових нашої роботи: створювати інформаційний шум. 

Чи стикаєтеся із протидією, погрозами, спробами підкупу?

З протидією стикаємось регулярно. Фсбшники пишуть мені в «лічку», погрожують, показують фото документів, які я ще до 2013 року міг пересилати у «ВКонтакті». Було, що якийсь шпигун пробрався в учасники та наскаржився на наш Google Doc зі структурою сайту.

Але загалом усе це неефективно. Ми використовуємо багато засобів виявлення таких «красавчіків». А на першому, найдоступнішому рівні завдання настільки публічні та прості, що їхній виток — нестрашний. Уже на другий рівень не можна попасти, не виконавши завдань першого, та не пройшовши перевірку. 

Ми також їм протидіємо, слухаємо їхні хакерські та кібербезпекові конференції. Приміром, так ми дізнались, що одна із великих проблем у них — це інсайдери. Ми цей виступ послухали, подякували і написали гайд спеціально для інсайдерів — як за допомогою віруса-шифрувальника зашифрувати комп’ютери всередині своєї системи, якщо ти солідарний з Україною. 

Так що вчимося, читаємо, чужому навчаємось, свого не цураємось. Вони до речі роблять так само. 

Чи продовжуєте набирати людей? 

Звісно, нам потрібно збільшувати розміри диванного війська: ось наш YouTube, Telegram-канал, TikTok. Якщо готові займатися кібертерором РФ — записуйтеся в наше військо, ми робимо жесть. Нам справді потрібні «безславні виродки».