Союз Кремля и кибербратвы

19 июля 2021

1806

Союз Кремля и кибербратвы

О дерзких кибератаках на американские объекты в Радио Свобода поговорили с Полом Джоялом, управляющим директором фирмы National Strategies, в прошлом сотрудником сенатского комитета по разведке, Джеймсом Льюисом, вице-президентом Центра стратегических и международных исследований в Вашингтоне, и Александром Литреевым, программистом, основателем фирмы Vee Security, живущим ныне в Эстонии.

15 июля американское правительство объявило о вознаграждении до 10 миллионов долларов за информацию, которая поможет выявить или определить местонахождение киберпреступников, атакующих американские объекты по заданию иностранных государств. Многомиллионное вознаграждение за помощь в борьбе с хакерами, скорее всего, – свидетельство появления большой проблемы, с которой власти не могут справиться собственными силами.

7 мая многие американцы, имевшие представление о хакерах лишь понаслышке, получили первый наглядный урок. Хакеры остановили трубопровод Colonial Pipeline, снабжавший бензином заправки на восточном побережье США. Кибервымогатели требовали с владельца выкуп за разблокирование компьютеров, контролирующих трубопровод, и получили его, поскольку владельцы не могли себе позволить решать проблему другим способом в то время, как в нескольких штатах выросли многокилометровые очереди на бензоколонки.

Менее громкие истории, связанные с кибервымогательством, случаются постоянно. По официальным данным, в прошлом году американские компании выплатили вымогателям 350 миллионов долларов, в три раза больше, чем годом раньше. Вымогательством дело не ограничивается. В начале нынешнего года стало известно о масштабном взломе компьютерных сетей сотен, возможно, тысяч компаний, использовавших программное обеспечение американской компании SolarWinds.

Среди ее клиентов – несколько американских министерств, компаний, выполняющих заказы Пентагона, исследовательских центров. В том случае хакеры действовали тихо, не выдавая своего присутствия. Какой ущерб они могли нанести, пока неизвестно. Предполагается, что они действовали по заданию российских спецслужб и занимались в основном шпионажем. Эти атаки, как говорят специалисты, свидетельствуют о крепкой спайке вымогателей и российских властей, силе, которую нейтрализовать чрезвычайно трудно. Вот что говорит об атаке на SolarWinds Пол Джоял:

– Хакеры действовали очень искусно, – говорит Пол Джоял. – Они не стали пользоваться традиционными известными способами проникновения в компьютерные системы. Существующие антивирусные программы помогают в большинстве случаев предотвратить подобные атаки, поэтому они создали оригинальную шпионскую программу и внедрили ее в обновленную версию популярной программы SolarWinds Orion, которая загружалась на компьютеры клиентов SolarWinds автоматически.

Об уровне этой операции можно судить по тому, что о ней стало известно случайно. Один из сотрудников фирмы FireEye, выпускающей антивирусные программы, обратил внимание на то, что номер телефона, используемого для авторизации загрузки этой так называемой новой версии SolarWinds Orion был изменен без его ведома. Ниточка потянулась, и FireEye к своему изумлению обнаружила, что хакеры смогли получить доступ к ее инструментарию, используемому для выявления шпионских программ на компьютерах ее клиентов. Чтобы еще лучше замаскировать свое вторжение, русские хакеры воспользовались серверами, находящимися в Соединенных Штатах. Это была исключительно успешная операция.

– 

Новости по теме: Дело о рекордной взятке НАБУ пытаются "слить"? Силовики заявляют о нарушениях

– Мы знаем из разных источников, что хакеры получили доступ к электронной почте министерства юстиции. Можно представить, что содержится в этой переписке: информация о расследованиях, переговорах, планах. В это время шел, например, процесс подготовки импичмента президента Трампа, хакеры могли узнать, как министерство реагировало на запросы, связанные с импичментом. Теоретически это могло им дать доступ к информации о контрразведывательных операциях, уголовных расследованиях, в которые могли быть вовлечены российские граждане, члены преступных групп. Почта министерства энергетики также представляет большой интерес для Кремля. Во-первых, министерство ответственно за поддержание ядерного арсенала США и разработку ядерного оружия, во-вторых, оно занимается вопросами добычи нефти и газа в Соединенных Штатах. Для русских бесценными будут данные о государственной политике в отношении добычи и экспорта энергоносителей. Без сомнения, это кладезь информации.

– Я не думаю, что это была секретная операция, направленная против объектов американской инфраструктуры. По всем признакам, это была профессиональная операция по сбору разведданных. У меня нет доступа к результатам расследования этих взломов, но я буду очень удивлен, если за ними не стоит Служба внешней разведки России. Ее хакеры работают тихо, они действуют с прицелом на будущее – в отличие, скажем, от хакеров военной разведки, которые гораздо заметнее в киберпространстве. Сейчас ясно, что операция, о которой мы говорим, была длительной. Хакеры не предпринимали никаких резких движений, которые бы могли их выдать. Они занимались наблюдением и наверняка пытались обеспечить себе дополнительные пути проникновения в компьютерные системы с тем, чтобы вернуться туда, если их присутствие будет обнаружено.

– 

– Нет совершенно никаких указаний на причастность к этому китайцев. При этом заслуживает внимания то, что SolarWinds использовал программистов из Восточной Европы для выпуска обновленной версии своей программы. Значит, существует возможность их контактов с российской разведкой. Версия о самодеятельной группе хакеров также не выдерживает критики, поскольку для создания столь совершенной и сложной программы, скорее всего, потребовалась работа не менее тысячи программистов. Это не тот уровень, на котором работают, так сказать, обычные киберпреступники.

– Традиционно ФСБ привлекала хакеров для выполнения своих заданий. Она освобождала их от наказаний, если те попадались на чем-то в России, при условии сотрудничества с ФСБ. Хакеры очень хороши для случаев, когда требуется отрицать ответственность за операции. Так были организованы кибератаки против Эстонии в 2007 году. Так были организованы не столь давние атаки против Грузии. Это совершенно не означает, что все хакерские операции, о которых мы говорим в последнее время, проводятся с ведома российских спецслужб. Кибероперации – это еще и выгодный бизнес для различных преступных групп.

Например, к атакам на компьютерные сети в Грузии была причастна группа, занимавшаяся распространением детской порнографии в интернете. Поэтому атаки с применением программ-вымогателей могут быть использованы и как акции устрашения российскими спецслужбами, и как инструмент чистого вымогательства преступными группами, а могут использоваться и с той, и с другой целью. На мой взгляд, очень важно, что во время личной встречи Джо Байден предупредил Владимира Путина, что российские власти несут ответственность за действия хакеров находящихся на территории России. Если вы не предпримете действий против них, то мы предпримем эти действия, предупредил Байден.

Спустя некоторое время мы узнали, что ФБР удалось вернуть большую часть выкупа, заплаченного вымогателям владельцем Colonial Pipeline. Это означает, что транзакции в криптовалютах не анонимны. Но самое главное, это доказательство того, что американское правительство готово предпринять решительные шаги и ответить на эти атаки. Представьте, что должны сейчас чувствовать, скажем, российские олигархи, близкие к Владимиру Путину, узнав, что ФБР способно наложить арест на биткоины, которые, как считается, анонимны. Они должны беспокоиться за свои собственные вклады и деньги.

– 

Новости по теме: В Ровно скандальный экс-прокурор, попавшийся на взятке, оформил завещание на судью по своему делу

Американское правительство не может перейти черту и санкционировать атаки на ключевые объекты инфраструктуры России. Но есть другие инструменты возмездия. Мы можем лишать хакеров доступа к деньгам, которые они получают от своих жертв, мы можем уничтожать серверы, находящиеся в России, которыми пользуются хакеры. Можно более активно заманивать хакеров, против которых есть улики, в страны, сотрудничающие с США в выдаче преступников. Есть возможность ареста заграничных активов и счетов людей, вовлеченных в преступную деятельность в киберпространстве. Инструменты есть, необходимо применять их систематически, убеждая Кремль, что если он не прекратит эту деятельность с территории России, то это сделаем мы, – говорит Пол Джоял.

Максим Якубец (слева) и Игорь Турашев, обвиняемые в США в похищении десятков миллионов долларов

– 

– Да, я тоже предполагаю, что, скорее всего, это такая группа лиц, которая находится на стыке всех этих областей, – говорит Александр Литреев. – Эти люди изначально занимались киберкриминалом – мошеннические действия, взломы различной финансовой инфраструктуры с целью личного обогащения. Затем, когда последовали какие-то последствия от их действий, когда российские правоохранительные органы начали этим заниматься, они начали искать какое-то прикрытие под крылом российских спецслужб, соответственно, выполнять определенные задания в их интересах и продолжают тем временем какую-то деструктивную деятельность в целях личной выгоды.

Мне приходит на ум известная группировка Cozy Bear «Уютный медведь», так же известна Advance Persistence Threat 29 – это российская группа хакеров, которая ассоциируется очень плотно с российскими спецслужбами – Федеральной службой безопасности и Службой внешней разведки. Лица, входящие в эту группировку, находятся в розыске ФБР, их ищут по всему миру, российские власти их активно покрывают. Более того, если посмотреть расследования различных изданий, этот товарищ Якубец, который имеет непосредственное отношение к этой группе, являлся когда-то гражданином Украины, если мне не изменяет память, переехал в Россию, там находится под прикрытием ФСБ. Очень много связей и финансовых, и семейных имеет с высокопоставленными сотрудниками государственных органов, силовых именно ведомств.

– 

– Здесь логика довольно простая. Если мы будем говорить о тех людях, которые подозреваются в подобных атаках, например, тот же Якубец, который находится в розыске у Соединенных Штатов, уроженец Хмельницкой области Украины, то есть он не гражданин Российской Федерации. В соответствии с российской Конституцией Россия не имеет права выдавать собственных граждан, однако речь про граждан других стран не идет. И его должны были бы выдать. Но на все запросы на наличие этого человека Россия никак не реагирует и даже не позволяет провести элементарное разбирательство и следственные действия.

Соответственно, это вызывает определенные вопросы: почему Россия этих людей защищает, почему она их крышует по факту, для чего это нужно и кому это выгодно? Да, если говорить об атаках на Colonial Pipeline, SolarWinds, то по сути это атаки на ключевые элементы IT-инфраструктуры Соединенных Штатов, они могут нанести реальный и экономический, и политический вред США. Это может быть выгодно как Китаю, так и России, но, однако, сейчас все исследования и все расследования различных разведслужб, как и частных компаний, указывают на то, что источник этих угроз находится в России. Мы имеем дело с вполне реальными преступлениями, у которых есть доказательная база, которую в принципе сфабриковать невозможно. Бывали такие случаи, когда происходили атаки с территории других стран, пытались подставить, изобразить, будто бы атака велась с территории Китая или, например, Российской Федерации.

Мы помним с вами, несколько лет назад был очень громкий инцидент с программным обеспечением WannaCry, источником которого на самом деле, скорее всего, являлись лица, находящиеся на территории Северной Кореи, специальные службы Северной Кореи, вероятно, являлись авторами этой программы. Даже там, когда специалисты из Северной Кореи, судя по всему, пытались изобразить, что они вовсе не из Северной Кореи, а в России или в Китае находятся, им это сделать не удалось. Сейчас мы говорим однозначно про то, что здесь даже никто не пытается скрывать след, делается это вполне явно, открыто. Я думаю, что здесь месседж, скорее всего, такой, что, да, мы действуем из России и нам за это ничего не будет.

– 

– Я думаю, что, во-первых, действия администрации Соединенных Штатов недостаточны для того, чтобы остановить киберугрозы, исходящие с территории Российской Федерации. Более того, я думаю, что атаки, происходящие после таких событий, как переговоры Байдена с Путиным, – это тоже часть политического диалога в том числе, что, условно, да, мы с вами поговорили, но вот, пожалуйста, мы демонстрируем, что делать мы будем то, что мы хотим, ничего нам за это не будет. Пока все те санкции, те меры, которые предлагаются администрацией Соединенных Штатов и руководством Европейского союза, – это мертвому припарка, абсолютно бестолковое занятие, которое не приводит сейчас ни к каким результатам. Нужны, естественно, более серьезные решительные меры, в том числе финансовые санкции против ближайшего окружения Владимира Путина, таргетные санкции в отношении лиц, которые связаны со специальными службами российскими. В этом случае это, конечно, уже будет иметь какой-то эффект. В ближайшее время я могу прогнозировать, что подобные инциденты будут увеличиваться, их частота будет расти.

– 

– Если мы будем говорить про российские реалии, то российская власть действует, исходя из двух интересов. Первый интерес – это продолжать оставаться у власти и не допускать возможности ее транзита кому-либо еще за пределами этой системы, которая сейчас в России сложилась. Вторая очень очевидная цель – это личное обогащение. Это следует и из расследований Алексея Навального про дворец Путина, про виллы Дмитрия Медведева. Санкции и аресты счетов ближайших олигархов, «кошельков» Путина по факту, на территории Соединенных Штатов, европейских стран, везде, где это возможно – это реальный удар по этой системе, которая сложилась на территории России. Эти люди, которые сейчас управляют российским государством, не могут себе позволить терпеть такие убытки. Поэтому если это будут адресные санкции, которые направлены именно на кошельки, на финансовое благополучие, естественно, они будут вертеться как ужи на сковородке ради того, чтобы сохранить свое состояние.

– 

– Да, это важно. Если ФБР удалось это сделать, то, скорее всего, у них есть дополнительная информация о том, кто владеет этими кошельками в конечном итоге, куда эти средства, полученные с выкупов, поступали, кто конечный бенефициар. Если ФБР удалось вернуть часть этих средств, соответственно, они всей этой информацией уже располагают, вероятно, у них есть достаточный спектр данных для того, чтобы улучшить защиту от таких угроз в будущем, – говорит Александр Литреев.

– Дискуссии в США сейчас идут не о том, можно ли достичь договоренностей с Россией о нормах и правилах поведения в киберпространстве, с 2015 года мы достигли несколько договоренностей, которые русские игнорируют, – говорит Джеймс Льюис. – Речь идет о том, как заставить Кремль нести ответственность за свои действия. Собственно, об этом и предупреждал во время встречи с Владимиром Путиным президент Байден: если вы не измените поведение, то США заставят вас расплачиваться. Пока очевидно, что используемые сейчас инструменты – санкции против различных фирм и уголовное преследование киберпреступников – не очень эффективны.

Не исключено, что если бы к американским санкциям присоединились страны Евросоюза, результат был бы иным, хотя санкции, введенные ЕС после хакерской атаки на Бундестаг, не принесли очевидного результата. Бундестаг остается объектом внимания хакеров из России. Если санкции и преследование хакеров не работают, то что остается? Ответные кибератаки. Тут требуется справка. Обычно термином кибератаки обозначается три рода деятельности. Во-первых, это шпионаж. Им занимаются все, включая Соединенные Штаты. Но шпионаж вряд ли можно использовать для давления на Кремль, за исключением, например, обнародования документов, содержащих компромат на известные российские фигуры, близкие к власти. Во-вторых, это то, что можно назвать военными действиями. Киберудары по ключевым объектам инфраструктуры страны.

На такой шаг Соединенные Штаты не пойдут, поскольку он сопряжен с огромным риском. Можем ли мы атаковать компьютерные системы российских разведслужб? Это возможно. Некоторые специалисты предлагают, например, заблокировать на короткое время компьютеры ГРУ, чтобы попросту продемонстрировать наши возможности ответного удара. Рискованно? Да. Но игра может стоить свеч. В-третьих, это правоохранительные действия. Мы можем на вполне законных основаниях организовать кибератаки на компьютерные системы, используемые для организации и финансирования хакерских атак. И это не только системы, базирующиеся в России. Российские криминальные группы используют серверы в Западной Европе. Мы можем перерезать им доступ к этим серверам, мы можем помешать им перемещать деньги, полученные в качестве выкупа. На мой взгляд, это наиболее вероятный вариант ответных действий.

– 

– США воздерживались от подобных акций, потому, что это очень серьезный шаг. Соединенные Штаты пытаются придерживаться принципа пропорциональности в своих ответных действиях. Такие шаги будут непропорциональным ответом. Насколько я понимаю, спецслужбы и олигархи – это опора режима Путина. Атака на олигархов будет воспринята Путиным как прямая атака на него лично. Его реакцию на такой шаг предсказать невозможно. Поэтому я думаю, что такой шаг не исключается, но мы пока не дошли до ситуации, когда он выглядит оправданным.

Putin promotes these attacks and won’t end them unless there is action. Hitting Russian infrastructure would be cruel and pointless. It’s already a mess and Putin wouldn’t care. Go after their money. https://t.co/34t7O2UI2d

— Garry Kasparov (@Kasparov63) July 9, 2021

– 

– Я думаю, русские попросту не испытывают должного уровня уважения к Соединенным Штатам. Я не исключаю, что Джо Байден в конце концов вынудит их изменить свое отношение, но пока они явно считают, что им сойдут с рук такие действия, как это, по большому счету, сходило им до сих пор. Зачем что-то менять, если вам не приходится расплачиваться за поведение, которое приносит вам какую-то выгоду. Именно поэтому сейчас в администрации Байдена идет серьезное обсуждение штрафных санкций, которые могут изменить поведение Кремля.

– 

– Обычно в таких ситуациях, власти говорят хакерам: мы начинаем переговоры, побездельничайте недели две. Так поступают разведслужбы во всех странах. Возможно, что сам REvil, предчувствуя возможные неприятности, решил приостановить использование серверов в Европе и уйти на время, что называется, на дно. Есть небольшая вероятность, что американские спецслужбы нанесли удар по этой группе, смогли отрезать ей доступ в интернет. Но, на мой взгляд, скорее всего, их попросту попросили переждать, пока идут переговоры с американцами.

Автор: Юрий Жигалкин; Радио Свобода