Андрей Кемаль - Кибервойна. Как Россия манипулирует миром
«Вредоносная программа BlackEnergy была разработана русским хакером и первоначально использовалась для DDoS-атак, для мошеннических действий с банковскими счетами, а также для распространения спама», – говорит Пьерлуиджи Паганини (Pierluigi Paganini), основатель блога Security Affairs и член рабочей группы Агентства сетей и информационной безопасности Европейского Союза (European Union Agency for Network and Information Security). – Однако новый ее вариант использовался для целенаправленных атак на правительственные организации и частные компании в целом ряде отраслей промышленности».
Одна из самых больших загадок, связанных с последним поколением кибератак, – в администрации США их называют наступательные операции с использованием кибервозможностей (Offensive Cyber Effects Operations) – состоит в том, чтобы понять, кто скрывается за ними, и не проводятся ли они с политическими или криминальными целями.
Не подлежит сомнению то, что русские хакеры уже давно являются королями в кибернетическом преступном мире. По мнению американских федеральных обвинителей, группа русских и украинских хакеров имеет отношение к самом крупному судебному киберделу в истории Соединенных Штатов – к масштабному мошенничеству с банковскими карточками в период с 2010 года по 2013 год, которое обошлось компаниям, включая J.C.Penny, JetBlue, а также французского ритейлера Carrefour, в сумму, превышающую 300 миллионов долларов. Члены группировки русских «клик-похитителей» (click-jacker) в прошлом году были осуждены в Соединенных Штатах за ограбление пользователей iTunes, интернет-магазина компании Apple, а также компаний Netflix, Amazon.com, ESPN.com и веб-сайта газеты Wall Street Journal. Кроме того, от их деятельности пострадало Налоговое управление Соединенных Штатов (U.S. Internal Revenue Service), а также компьютеры НАСА.
Другая, еще не установленная группировка хакеров, базирующаяся в одном из городов на юге России, похитила в прошлом году 1,2 миллиарда логинов и пассвордов, а также более 500 миллионов адресов электронной почты. По данным американской фирмы Hold Security, специализирующейся в области кибербезопасности, эти данные были украдены с более 400 тысяч веб-сайтов. В феврале текущего года расположенная в Москве компания в области интернет-безопасности Лаборатория Касперского опубликовала детали крупнейшего в истории ограбления в интернете – были совершены нападения на 100 банков в России, Украине, Японии, Соединенных Штатах и в Европе в период с 2013 по 2014 год. Сотрудники компании «Касперский» сообщили о том, что у них есть доказательства потерь в размере 300 миллионов долларов только у тех банков, которые обратились к ним для решения возникших проблем, тогда как общее количество украденных денег может составить около 900 миллионов долларов.
«Речь идет о киберпреступлении в промышленном масштабе«, – отмечает работающий в Москве западный консультант по вопросам безопасности компании Western Internet, который помог перестроить защиту нескольких российских банков после проведенной указанной атаки. «В одном случае в Киеве они заставили терминалы одного банка выбрасывать наружу деньги, которые затем подбирали проходившие мимо люди». Технические приемы, использовавшиеся для внедрения в электронные системы банка через уязвимые места в программах Adobe и Microsoft, «не были особенно изощренными», отмечает этот консультант, «однако поразительно то, насколько внимательно хакеры отнеслись к тому, чтобы не насторожить своих жертв и сохранить в тайне использованную ими лазейку».
Истинная природа связей между преступными хакерами и российским правительством остается туманной. «Киберпреступления, кибертерроризм и кибервойна имеют общую технологическую основу, средства, логистику и операционные методы«, – отмечает Климберг. – Кроме того, они могут иметь одни и те же социальные сети и сопоставимые цели. Различие между этими категориями киберактивности часто почти неуловимы. В киберпространстве трудно провести различие между финансовой и политической мотивацией».
Однако прежде всего следует отметить то обстоятельство, что методы доставки вредоносных программ являются у них идентичными. Хакеры находят уязвимости в популярных программах, и это позволяет им внедрять посторонние коды, особенно в слабых точках кода, получивших название «нулевой день» (zero-day). Это означает, про подобные слабые места остаются не залатанными и могут быть использоваться для проведения атак до того момента, пока их не обнаружит кто-то другой, и в результате образуются «нулевые дни» в период между проведением атаки и обнаружением уязвимости.
Хорошая уязвимость «нулевого дня» может быть продана за 200 тысяч долларов, говорит Климберг, однако есть много примеров того, что российские хакеры «сдают в аренду» свои взломы «нулевого дня» государству для дальнейшего их использования в целях шпионажа, а после этого продолжают использовать их уже в своих преступных целях.
«Сотни русских хакеров из категории “черные шляпы” (black-hat) зарабатывают таким образом себе на жизнь независимо от того, от кого они получают команды – от швейцарских банкиров или от украинских олигархов«, – говорит Карр. – Пойманных русских хакеров ставят перед выбором: либо сотрудничество с ФСБ (Федеральная служба безопасности), либо суд. Некоторые их них работают на ФСБ по контракту».
Возвращаясь назад к атакам на Эстонию в 2007 году, можно с достаточным основанием утверждать, что русские киберпреступники работали тогда либо вместе с российским государством, либо на него. Однако сегодня, кажется, Кремль уже сам принимает непосредственное участие. Директор Национальной разведки США Джеймс Клэппер (James Klapper) сообщил в марте членам сенатского Комитета по вооруженным силам о том, что российское Министерство обороны «создает свое собственное киберкомандование», которое будет отвечать за «проведение наступательной киберактивности».
А российское государство, судя по всему, увеличивает финансирование на проведение исследований и разработок в области кибертехнологий в компьютерных центрах мирового уровня, в том числе в престижном Санкт-Петербургском политехническом университете, а также в Самарском государственном университете. Эта информация была получена расположенной в Сиэтле компанией Taia Global.
Возможные свидетельства связи недавних атак на правительство Соединенных Штатов с российским государством включают в себя также цифровые подписи хакерской группировки под названием Advanced Persistent Threat 28 (или APT28; ее обнаружила расположенная в Соединенных Штатах компания Fire Eye, работающая в области безопасности в интернете), а также объединения хакеров под обозначениями CozyDuke, CosmicDuke, MiniDuke and OnionDuke (они были установлены сотрудниками Лаборатории Касперского). Индикаторы во вредоносных программах группировки APT28 позволяют предположить, что ее членами являются русскоговорящие люди, а действуют они в рабочее время в крупнейших российских городах, отмечается в недавнем докладе компании FireEye. «Более половины программных продуктов, приписываемых группировке APT28, включают установки на русском языке».
Однако настоящим разоблачением их активности являются не используемые группировкой APT28 технические характеристики, а их мишени за последние пять лет, которые включают в себя Министерство внутренних дел и Министерство обороны Грузии, правительства Польши и Венгрии, НАТО, Организация по безопасности и сотрудничеству в Европе, норвежская армия, а также американские подрядчики Министерства обороны США. Насколько можно судить, члены хакерской группировки APT28 не занимаются масштабной кражей интеллектуальной собственности в экономических целях, а вместо этого фокусируют свою деятельность на сборе разведывательных данных, – отмечают сотрудники фирмы Fire Eye. – И это может быть очень полезно для правительства«.
Хотя существует свидетельства того, что команды разработчиков группировки APT28 и хакеры из CosmicDuke, MiniDuke и OnionDuke «работали вместе, а также делались некоторыми знаниями и техническими приемами в области создания кодов» и что все они русские по происхождению, весьма вероятно, что они представляют собой отдельные группировки, считает Паганини. «Все эти группировки получают поддержку со стороны государства, и, возможно, их финансирует российское государство, хотя нельзя исключать и того, что они представляют собой просто различные подразделения одной и той же киберармии».
Стояла ли группировка APT28 – и Кремль – за хакерскими атаками на Белый дом и Госдепартамент в этом году, в результате которой была взломана секретная переписка по электронной почте (хотя, как утверждает официальный представитель, личная переписка президента не была взломана)? Кремль категорично отрицает свою причастность. «Мы знаем, что обвинения России во всех грехах превратилось уже в своего рода спорт», – пошутил официальный представитель Кремля Дмитрий Песков в беседе с журналистами. – Но главное, чтобы российские подводные лодки не искали в реке Потомак (в Вашингтоне), как это было уже в некоторых других странах».
