Как китайские камеры видеонаблюдения Hikvision и Dahua повышают риски российских атак на Украину

Служба безопасности Украины заявляет, что Россия может взломать некоторые камеры видеонаблюдения для сбора разведданных, которые могут быть использованы для атак

Тестирование камер видеонаблюдения Hikvision и Dahua показало, что некоторые модели уязвимы для взлома и в некоторых случаях передают информацию на серверы, контролируемые государственными или частично государственными китайскими компаниями. По мнению экспертов, это создаёт риск передачи данных из Украины в Россию.

Полномасштабное вторжение России в Украину приближается к двухлетней отметке. Тем временем сотни тысяч камер видеонаблюдения китайского производства Hikvision и Dahua, используемых в системах госбезопасности, жилых домах и частных компаниях по всей Украине, увеличивают риск атак со стороны российских военных, опасаются украинские эксперты по цифровой безопасности и правительственные чиновники.

По утверждению Службы государственной безопасности Украины (СБУ), когда 2 января российские ракеты нанесли удар по Киеву, в результате которого погибли по меньшей мере три человека, две обычные камеры наружного видеонаблюдения (одна на балконе многоквартирного дома, другая на парковке) помогли указать им путь.

Повреждённое здание в Киеве, в которое 2 января попала ракета, запущенная, возможно, через полученные с камеры видеонаблюдения данные

После хакерского взлома камер российская разведка использовала их «для шпионажа за силами обороны столицы» и для записи изображений «критически важных объектов инфраструктуры», утверждает СБУ.

Как сообщил «Схемам» (расследовательскому подразделению украинской редакции РСЕ/РС) сотрудник силовых органов, попросивший об анонимности из-за деликатности темы, одной из таких камер было устройство Hikvision китайского производства 2016 года.

«Такие камеры обычно просто подключены к сети интернет и уже относительно устаревшие, то есть с программным обеспечением, уже значительное время не обновляющимся и имеющим много известных уязвимостей», — говорит Сергей Денисенко, исполнительный директор «Лаборатории компьютерной криминалистики» украинской компании CyberLab, специализирующейся на информационной безопасности. По его словам, «базовое» программное обеспечение камеры означает, что «хакеры — или в этом случае российские спецслужбы, — сканируя интернет-пространство, находят эту камеру и получают доступ к ней».

Специалист по информационной безопасности Сергей Денисенко (слева) с журналистом проекта «Схемы» Кириллом Овсяным

Чтобы проверить заявления СБУ, специалист «Лаборатории компьютерной криминалистики» смоделировал процесс взлома камеры видеонаблюдения Hikvision 2015 года примерно за 15 минут.

С 2014 по 2022 год три украинские компании импортировали более 875 тысяч камер видеонаблюдения и других устройств производства Hikvision, связанных с видеонаблюдением, а одна компания — почти 1,1 миллиона камер и других устройств производства Dahua, связанных с видеонаблюдением, согласно данным базы импортно-экспортных данных ImportGenius.

Другие компании ввезли меньшее количество устройств производства Hikvision и Dahua, которые доминируют на мировом рынке и являются наиболее часто импортируемыми в Украину камерами видеонаблюдения.

Специалисту удалось взломать камеру видеонаблюдения Hikvision 2015 года выпуска за 15 минут

Они также входят в число самых спорных камер в мире — в 2022 году Федеральная комиссия по связи США ввела запрет на выдачу разрешений на импорт или продажу «коммуникационного оборудования» Hikvision и Dahua как «представляющего неприемлемый риск для национальной безопасности». Австралия, Тайвань, Великобритания и другие страны также запретили или ограничили использование этих камер.

В Украине таких правил нет, хотя в 2023 году она назвала компании Hikvision и Dahua Technology «международными спонсорами войны» за налоговые выплаты Москве и продажу оборудования, которое может применяться в военных целях.

Представитель министерства иностранных дел Китая заявил агентству Reuters 1 февраля, что Пекин «решительно выступает против» включения 14 китайских компаний в этот список и «требует, чтобы Украина немедленно исправила свои ошибки и устранила негативные последствия».

При этом он никак не затронул вопрос о возможных последствиях взлома китайских камер видеонаблюдения.

УЯЗВИМЫЕ ДЛЯ ВЗЛОМА

По данным министерства внутренних дел, камеры и программное обеспечение Hikvision и Dahua составляют 74 процента всех систем видеонаблюдения, используемых в украинской системе «Безопасный город», осуществляющей видеонаблюдение за дорогами, улицами, парками, жилыми домами и другими общественными пространствами.

Ещё 24 тысячи камер Hikvision и Dahua используются в аналогичных системах общественного наблюдения, сообщили в МВД в ответ на запрос «Схем».

В поставляемых Россией системах видеонаблюдения TRASSIR, которые, как сообщали «Схемы» в декабре, были установлены на закрытой Чернобыльской АЭС, а также в нескольких украинских городах и на таких важных объектах, как Администрация морских портов Украины в Одессе, во многих случаях используются камеры Hikvision. При этом программное обеспечение у них собственного производства TRASSIR.

«Схемы» обратились в Офис президента Владимира Зеленского, Кабинет министров, Совет национальной безопасности и обороны, а также в СБУ с запросом о том, считают ли они, что эти камеры представляют угрозу безопасности, и планирует ли Киев избавиться от этих устройств в Украине. Ни одно ведомство не дало ответа.

Эксперименты, проведённые для «Схем» «Лабораторией компьютерной криминалистики» и киевской НПО «Лаборатория цифровой безопасности», показали, что камеры Hikvision и Dahua уязвимы для взлома и что они отправляют зашифрованные данные на серверы, которые контролируются государственными или частично государственными китайскими компаниями.

Камера Hikvision 2015 года выпуска для входа в систему принимала легко взламываемый пароль «1234567890». Модель Hikvision 2023 года требует более сложного пароля с символами, но при этом отправляет зашифрованные данные пользователя и регистрации на сервер в Китае, принадлежащий государственному интернет-провайдеру ChinaNet.

Камера Dahua 2019 года выпуска даже при отключенном соединении с облачным сервером всё равно отправляла зашифрованную информацию, включая логин и пароль пользователя, на облачные серверы в Германии, которыми управляют китайская компания uCloud Information Technology, частично принадлежащая государству, и частная американская фирма Zenlayer.

Безопасность передачи данных с камер видеонаблюдения зависит от производителя, связи с сервером, а также от того, «кто и как может использовать эту информацию, говорит эксперт «Лаборатории цифровой безопасности» Иван Антонюк: «И здесь уже вопрос — доверяете ли вы китайскому разработчику или нет».

Эксперт по цифровой безопасности Иван Антонюк (слева) беседует с журналистом проекта «Схемы» Кириллом Овсяным

Хотя информация зашифрована, «для производителя и разработчика этих камер её расшифровка не составит проблемы», подчёркивает Денисенко.

«Наши специалисты уверены, что при использовании такого сервиса доступ к камерам при необходимости могут с лёгкостью получать представители администрации, — говорит эксперт. — Также, учитывая отношения Китая и России сейчас, это может нести определённые риски безопасности».

«Схемы» не нашли прямых доказательств того, что Китай передавал изображения с китайских камер видеонаблюдения в Украине российским военным, но правовая база для такой передачи существует.

Китай, чьи отношения с Россией обе страны характеризуют как «безграничное партнёрство», публично не поддерживает войну России против Украины.

«БЕССИЛЬНЫ ЗАЩИТИТЬ ПОЛЬЗОВАТЕЛЕЙ»

Закон о национальной разведке Китая предусматривает, что компании должны передавать данные правительству, если это необходимо по соображениям безопасности. Пекин имеет «практически неограниченный» доступ к китайским интернет-серверам, отмечает CPO Magazine, сингапурский сайт, отслеживающий конфиденциальность данных.

«Китайские компании бессильны защитить пользователей от нарушений цифровых прав со стороны одного из самых могущественных и неподотчётных правительств в мире», — написали в 2020 году исследователи международного проекта Ranking Digital Rights, организованного вашингтонским аналитическим центром New America.

Крупнейшим акционером Hikvision с долей 36,35 процента, согласно информации на сайте компании, является China Electronics Technology HIK Group, которой на 100 процентов владеет государственная корпорация China Electronic Technology Corporation Group. Эта компания, известная как CETC, указывает на своём сайте, что занимается разработками в оборонной промышленности Китая, а именно — созданием радаров, систем РЭБ и БПЛА.

У Dahua Technology также есть крупный государственный акционер: государственная телекоммуникационная компания China Mobile владеет примерно 9,5 процента акций компании. Компания Dahua заявила, что China Mobile не имеет над ней «оперативного контроля» или «неправомерного влияния на принятие решений».

Устройства Hikvision и Dahua доминируют на мировом рынке камер видеонаблюдения

В 2022 году министерство обороны США включило компании Dahua и Hikvision, а также их государственных совладельцев China Mobile и CETC в список «китайских военных компаний» — корпораций, технические возможности которых используются китайскими военными.

В отчёте Управления директора национальной разведки США за июль 2023 года говорится, что, несмотря на международные санкции и экспортные ограничения, Китай «предоставляет некоторые технологии двойного назначения, которые Москва использует для продолжения войны в Украине».

Обмен разведданными также является частью «дорожной карты» военного сотрудничества Китая и России на 2021–2025 годы, отмечает Исследовательская служба Конгресса США.

«Схемы» направили запрос компаниям Hikvision и Dahua по поводу безопасности их камер в Украине и о том, сотрудничают ли эти компании с Россией, но ответа не получили.

Однако американский филиал Dahua Technology в июле 2023 года заявил, что технологический гигант отправляет в Россию лишь «периферийные продукты и аксессуары» и что «ни один из наших продуктов по всему миру в настоящее время не предназначен для военного применения».

2 января СБУ сообщила, что с момента начала полномасштабного вторжения России 24 февраля 2022 года ею было заблокировано более 10 тысяч камер видеонаблюдения в Украине.

Отвечая на запрос «Схем» в январе, министерство внутренних дел Украины заявило, что «не рекомендует и не одобряет» закупки камер видеонаблюдения Hikvision и Dahua и стремится обеспечить замену тех, которые используются в контролируемых государством системах видеонаблюдения.

По данным украинской базы данных государственных закупок Prozorro, некоторые государственные органы, например Золочевский сельсовет Киевской области, начали разрывать контракты на поставку камер, ссылаясь на соображения безопасности после того, как Hikvision и Dahua были названы «международными спонсорами войны».

Существующие государственные системы видеонаблюдения, использующие камеры Hikvision и Dahua, были намеренно размещены «в закрытой локальной сети» без доступа к «общедоступному интернету», чтобы «предотвратить риски утечки информации» в Китай, заявили в МВД.

Министерство предложило законопроект о «единой» государственной системе видеонаблюдения, в которой будет использоваться программное обеспечение украинского и израильского производства, но он пока не вынесен на голосование.

Написала Элизабет Оуэн на основе материалов Кирилла Овсяного из «Схем».