Ссылки для упрощенного доступа

Союз Кремля и хакеров. Почему киберпреступники не боятся гнева США


Выполняют ли хакеры задания Кремля, атакуя американские объекты? Белый дом пугает, а хакерам не страшно? Могут ли США уничтожить кошельки российских олигархов? Война в киберпространстве?

О дерзких кибератаках на американские объекты мы говорим с Полом Джоялом, управляющим директором фирмы National Strategies, в прошлом сотрудником сенатского комитета по разведке, Джеймсом Льюисом, вице-президентом Центра стратегических и международных исследований в Вашингтоне, и Александром Литреевым, программистом, основателем фирмы Vee Security, живущим ныне в Эстонии.

Очередь на заправочную станцию в Вирджинии после остановки трубопровода Colonial Pipeline
Очередь на заправочную станцию в Вирджинии после остановки трубопровода Colonial Pipeline

15 июля американское правительство объявило о вознаграждении до 10 миллионов долларов за информацию, которая поможет выявить или определить местонахождение киберпреступников, атакующих американские объекты по заданию иностранных государств. Многомиллионное вознаграждение за помощь в борьбе с хакерами, скорее всего, – свидетельство появления большой проблемы, с которой власти не могут справиться собственными силами. 7 мая многие американцы, имевшие представление о хакерах лишь понаслышке, получили первый наглядный урок. Хакеры остановили трубопровод Colonial Pipeline, снабжавший бензином заправки на восточном побережье США. Кибервымогатели требовали с владельца выкуп за разблокирование компьютеров, контролирующих трубопровод, и получили его, поскольку владельцы не могли себе позволить решать проблему другим способом в то время, как в нескольких штатах выросли многокилометровые очереди на бензоколонки. Менее громкие истории, связанные с кибервымогательством, случаются постоянно. По официальным данным, в прошлом году американские компании выплатили вымогателям 350 миллионов долларов, в три раза больше, чем годом раньше. Вымогательством дело не ограничивается. В начале нынешнего года стало известно о масштабном взломе компьютерных сетей сотен, возможно, тысяч компаний, использовавших программное обеспечение американской компании SolarWinds. Среди ее клиентов – несколько американских министерств, компаний, выполняющих заказы Пентагона, исследовательских центров. В том случае хакеры действовали тихо, не выдавая своего присутствия. Какой ущерб они могли нанести, пока неизвестно. Предполагается, что они действовали по заданию российских спецслужб и занимались в основном шпионажем. Эти атаки, как говорят специалисты, свидетельствуют о крепкой спайке вымогателей и российских властей, силе, которую нейтрализовать чрезвычайно трудно. Вот что говорит об атаке на SolarWinds Пол Джоял:

– Хакеры действовали очень искусно, – говорит Пол Джоял. – Они не стали пользоваться традиционными известными способами проникновения в компьютерные системы. Существующие антивирусные программы помогают в большинстве случаев предотвратить подобные атаки, поэтому они создали оригинальную шпионскую программу и внедрили ее в обновленную версию популярной программы SolarWinds Orion, которая загружалась на компьютеры клиентов SolarWinds автоматически. Об уровне этой операции можно судить по тому, что о ней стало известно случайно. Один из сотрудников фирмы FireEye, выпускающей антивирусные программы, обратил внимание на то, что номер телефона, используемого для авторизации загрузки этой так называемой новой версии SolarWinds Orion был изменен без его ведома. Ниточка потянулась, и FireEye к своему изумлению обнаружила, что хакеры смогли получить доступ к ее инструментарию, используемому для выявления шпионских программ на компьютерах ее клиентов. Чтобы еще лучше замаскировать свое вторжение, русские хакеры воспользовались серверами, находящимися в Соединенных Штатах. Это была исключительно успешная операция.

В прессе писали, что сейчас невозможно даже оценить, какой ущерб мог нанести этот взлом компьютеров. Разговор идет о тысячах компаний, в том числе работающих на оборону, о компьютерных сетях министерств иностранных дел, обороны и энергетики.

Это могло дать российским хакерам доступ к информации о контрразведывательных операциях, уголовных расследованиях, в которые могли быть вовлечены российские граждане, члены преступных групп

– Мы знаем из разных источников, что хакеры получили доступ к электронной почте министерства юстиции. Можно представить, что содержится в этой переписке: информация о расследованиях, переговорах, планах. В это время шел, например, процесс подготовки импичмента президента Трампа, хакеры могли узнать, как министерство реагировало на запросы, связанные с импичментом. Теоретически это могло им дать доступ к информации о контрразведывательных операциях, уголовных расследованиях, в которые могли быть вовлечены российские граждане, члены преступных групп. Почта министерства энергетики также представляет большой интерес для Кремля. Во-первых, министерство ответственно за поддержание ядерного арсенала США и разработку ядерного оружия, во-вторых, оно занимается вопросами добычи нефти и газа в Соединенных Штатах. Для русских бесценными будут данные о государственной политике в отношении добычи и экспорта энергоносителей. Без сомнения, это кладезь информации.

– То, о чем вы говорите, – это, так сказать, перлюстрация. Вы считаете, что хакеры ограничатся лишь вскрытием почты?

– Я не думаю, что это была секретная операция, направленная против объектов американской инфраструктуры. По всем признакам, это была профессиональная операция по сбору разведданных. У меня нет доступа к результатам расследования этих взломов, но я буду очень удивлен, если за ними не стоит Служба внешней разведки России. Ее хакеры работают тихо, они действуют с прицелом на будущее – в отличие, скажем, от хакеров военной разведки, которые гораздо заметнее в киберпространстве. Сейчас ясно, что операция, о которой мы говорим, была длительной. Хакеры не предпринимали никаких резких движений, которые бы могли их выдать. Они занимались наблюдением и наверняка пытались обеспечить себе дополнительные пути проникновения в компьютерные системы с тем, чтобы вернуться туда, если их присутствие будет обнаружено.

Вы убежденно говорите, что это была операция российских разведслужб. Но ведь известно, что китайцы активно занимаются кибершпионажем. Могла ли за этим взломом стоять группа хакеров, не связанных с российскими спецслужбами?

– Нет совершенно никаких указаний на причастность к этому китайцев. При этом заслуживает внимания то, что SolarWinds использовал программистов из Восточной Европы для выпуска обновленной версии своей программы. Значит, существует возможность их контактов с российской разведкой. Версия о самодеятельной группе хакеров также не выдерживает критики, поскольку для создания столь совершенной и сложной программы, скорее всего, потребовалась работа не менее тысячи программистов. Это не тот уровень, на котором работают, так сказать, обычные киберпреступники.

– А что можно сказать о последних громких операциях хакеров: внедрении программ-вымогателей в компьютерные сети компании – владельца трубопровода, крупнейшего производителя мяса в Америке. На днях жертвами атак стали сотни клиентов американской компании Kaseya, производящей программное обеспечение. США говорят, что это дело рук российских хакеров, и требуют от Кремля прекратить их деятельность на территории России. Российские власти этого не делают. Могут хакеры выполнять заказ властей или для них это чистый бизнес?

Традиционно ФСБ привлекала хакеров для выполнения своих заданий. Хакеры очень хороши, когда требуется отрицать ответственность за операции

– Традиционно ФСБ привлекала хакеров для выполнения своих заданий. Она освобождала их от наказаний, если те попадались на чем-то в России, при условии сотрудничества с ФСБ. Хакеры очень хороши для случаев, когда требуется отрицать ответственность за операции. Так были организованы кибератаки против Эстонии в 2007 году. Так были организованы не столь давние атаки против Грузии. Это совершенно не означает, что все хакерские операции, о которых мы говорим в последнее время, проводятся с ведома российских спецслужб. Кибероперации – это еще и выгодный бизнес для различных преступных групп. Например, к атакам на компьютерные сети в Грузии была причастна группа, занимавшаяся распространением детской порнографии в интернете. Поэтому атаки с применением программ-вымогателей могут быть использованы и как акции устрашения российскими спецслужбами, и как инструмент чистого вымогательства преступными группами, а могут использоваться и с той, и с другой целью. На мой взгляд, очень важно, что во время личной встречи Джо Байден предупредил Владимира Путина, что российские власти несут ответственность за действия хакеров находящихся на территории России. Если вы не предпримете действий против них, то мы предпримем эти действия, предупредил Байден.

Спустя некоторое время мы узнали, что ФБР удалось вернуть большую часть выкупа, заплаченного вымогателям владельцем Colonial Pipeline. Это означает, что транзакции в криптовалютах не анонимны. Но самое главное, это доказательство того, что американское правительство готово предпринять решительные шаги и ответить на эти атаки. Представьте, что должны сейчас чувствовать, скажем, российские олигархи, близкие к Владимиру Путину, узнав, что ФБР способно наложить арест на биткоины, которые, как считается, анонимны. Они должны беспокоиться за свои собственные вклады и деньги.

Как вы думаете, должен ли Кремль опасаться ответных киберударов, скажем, по российской инфраструктуре? Ведь в конце концов российские хакеры вывели временно из строя трубопровод в США, создав дефицит бензина на восточном побережье страны?

Американское правительство не может перейти черту и санкционировать атаки на ключевые объекты инфраструктуры России. Но есть другие инструменты возмездия. Мы можем лишать хакеров доступа к деньгам, которые они получают от своих жертв, мы можем уничтожать серверы, находящиеся в России, которыми пользуются хакеры. Можно более активно заманивать хакеров, против которых есть улики, в страны, сотрудничающие с США в выдаче преступников. Есть возможность ареста заграничных активов и счетов людей, вовлеченных в преступную деятельность в киберпространстве. Инструменты есть, необходимо применять их систематически, убеждая Кремль, что если он не прекратит эту деятельность с территории России, то это сделаем мы, – говорит Пол Джоял.

Максим Якубец (слева) и Игорь Турашев, обвиняемые в США в похищении десятков миллионов долларов
Максим Якубец (слева) и Игорь Турашев, обвиняемые в США в похищении десятков миллионов долларов

Александр Литреев, Пол Джоял говорит, что против США в киберпространстве действуют в союзе преступники-вымогатели и спецслужбы. То есть борьба с таким противником будет непростой.

– Да, я тоже предполагаю, что, скорее всего, это такая группа лиц, которая находится на стыке всех этих областей, – говорит Александр Литреев. – Эти люди изначально занимались киберкриминалом – мошеннические действия, взломы различной финансовой инфраструктуры с целью личного обогащения. Затем, когда последовали какие-то последствия от их действий, когда российские правоохранительные органы начали этим заниматься, они начали искать какое-то прикрытие под крылом российских спецслужб, соответственно, выполнять определенные задания в их интересах и продолжают тем временем какую-то деструктивную деятельность в целях личной выгоды. Мне приходит на ум известная группировка Cozy Bear "Уютный медведь", так же известна Advance Persistence Threat 29 – это российская группа хакеров, которая ассоциируется очень плотно с российскими спецслужбами – Федеральной службой безопасности и Службой внешней разведки. Лица, входящие в эту группировку, находятся в розыске ФБР, их ищут по всему миру, российские власти их активно покрывают. Более того, если посмотреть расследования различных изданий, этот товарищ Якубец, который имеет непосредственное отношение к этой группе, являлся когда-то гражданином Украины, если мне не изменяет память, переехал в Россию, там находится под прикрытием ФСБ. Очень много связей и финансовых, и семейных имеет с высокопоставленными сотрудниками государственных органов, силовых именно ведомств.

Вы с полной убежденностью говорите о том, что хакеры связаны с российскими спецслужбами, а министр иностранных дел России Лавров публично настаивает на том, что российское правительство не имеет никакого отношения к кибератакам.

– Здесь логика довольно простая. Если мы будем говорить о тех людях, которые подозреваются в подобных атаках, например, тот же Якубец, который находится в розыске у Соединенных Штатов, уроженец Хмельницкой области Украины, то есть он не гражданин Российской Федерации. В соответствии с российской Конституцией Россия не имеет права выдавать собственных граждан, однако речь про граждан других стран не идет. И его должны были бы выдать. Но на все запросы на наличие этого человека Россия никак не реагирует и даже не позволяет провести элементарное разбирательство и следственные действия. Соответственно, это вызывает определенные вопросы: почему Россия этих людей защищает, почему она их крышует по факту, для чего это нужно и кому это выгодно? Да, если говорить об атаках на Colonial Pipeline, SolarWinds, то по сути это атаки на ключевые элементы IT-инфраструктуры Соединенных Штатов, они могут нанести реальный и экономический, и политический вред США. Это может быть выгодно как Китаю, так и России, но, однако, сейчас все исследования и все расследования различных разведслужб, как и частных компаний, указывают на то, что источник этих угроз находится в России. Мы имеем дело с вполне реальными преступлениями, у которых есть доказательная база, которую в принципе сфабриковать невозможно. Бывали такие случаи, когда происходили атаки с территории других стран, пытались подставить, изобразить, будто бы атака велась с территории Китая или, например, Российской Федерации. Мы помним с вами, несколько лет назад был очень громкий инцидент с программным обеспечением WannaCry, источником которого на самом деле, скорее всего, являлись лица, находящиеся на территории Северной Кореи, специальные службы Северной Кореи, вероятно, являлись авторами этой программы. Даже там, когда специалисты из Северной Кореи, судя по всему, пытались изобразить, что они вовсе не из Северной Кореи, а в России или в Китае находятся, им это сделать не удалось. Сейчас мы говорим однозначно про то, что здесь даже никто не пытается скрывать след, делается это вполне явно, открыто. Я думаю, что здесь месседж, скорее всего, такой, что, да, мы действуем из России и нам за это ничего не будет.

Если вы правы, то получается, что хакеры вместе с Кремлем, мягко говоря, раззадоривают, а грубо говоря, провоцируют президента Байдена, который после американо-российского саммита громко заявил, что он предупредил президента Путина о том, что на кибератаки последует жесткий американский ответ. Как иначе объяснить громкие хакерские атаки, предпринятые уже после саммита?

Я думаю, что действия Соединенных Штатов недостаточны для того, чтобы остановить киберугрозы, исходящие с территории Российской Федерации

– Я думаю, что, во-первых, действия администрации Соединенных Штатов недостаточны для того, чтобы остановить киберугрозы, исходящие с территории Российской Федерации. Более того, я думаю, что атаки, происходящие после таких событий, как переговоры Байдена с Путиным, – это тоже часть политического диалога в том числе, что, условно, да, мы с вами поговорили, но вот, пожалуйста, мы демонстрируем, что делать мы будем то, что мы хотим, ничего нам за это не будет. Пока все те санкции, те меры, которые предлагаются администрацией Соединенных Штатов и руководством Европейского союза, – это мертвому припарка, абсолютно бестолковое занятие, которое не приводит сейчас ни к каким результатам. Нужны, естественно, более серьезные решительные меры, в том числе финансовые санкции против ближайшего окружения Владимира Путина, таргетные санкции в отношении лиц, которые связаны со специальными службами российскими. В этом случае это, конечно, уже будет иметь какой-то эффект. В ближайшее время я могу прогнозировать, что подобные инциденты будут увеличиваться, их частота будет расти.

Как с этим бороться или Россия, по сути, неуязвима в киберпространстве? Те меры, что были предприняты, неэффективны, а идти на большее Белый дом, кажется не решается, зная об уязвимости Соединенных Штатов перед ответными ударами. Вспомним хотя бы приостановку российскими хакерами трубопровода Colonial Pipeline.

– Если мы будем говорить про российские реалии, то российская власть действует, исходя из двух интересов. Первый интерес – это продолжать оставаться у власти и не допускать возможности ее транзита кому-либо еще за пределами этой системы, которая сейчас в России сложилась. Вторая очень очевидная цель – это личное обогащение. Это следует и из расследований Алексея Навального про дворец Путина, про виллы Дмитрия Медведева. Санкции и аресты счетов ближайших олигархов, "кошельков" Путина по факту, на территории Соединенных Штатов, европейских стран, везде, где это возможно – это реальный удар по этой системе, которая сложилась на территории России. Эти люди, которые сейчас управляют российским государством, не могут себе позволить терпеть такие убытки. Поэтому если это будут адресные санкции, которые направлены именно на кошельки, на финансовое благополучие, естественно, они будут вертеться как ужи на сковородке ради того, чтобы сохранить свое состояние.

Говоря об идее финансового наказания. Пол Джоял упомянул, что ФБР нанесло жестокий удар по хакерам, сумев вернуть биткоины, заплаченные им в качестве выкупа. То есть криптовалюта не анонимна, ее движение можно вычислить и можно выйти даже на вымогателей.

– Да, это важно. Если ФБР удалось это сделать, то, скорее всего, у них есть дополнительная информация о том, кто владеет этими кошельками в конечном итоге, куда эти средства, полученные с выкупов, поступали, кто конечный бенефициар. Если ФБР удалось вернуть часть этих средств, соответственно, они всей этой информацией уже располагают, вероятно, у них есть достаточный спектр данных для того, чтобы улучшить защиту от таких угроз в будущем, – говорит Александр Литреев.

Судя по всему, найти эффективные способы борьбы с хакерами будет очень непросто. Вполне возможно, что киберпространство будет той редкой площадкой, где Кремлю удастся вести борьбу с США на равных, по крайней мере, некоторое время, пока администрация Байдена не убедится в тщетности словесных увещеваний Владимира Путина. Еще совсем недавно в Белом доме говорили о возможности соглашения с Россией о правилах поведения в киберпространстве. Настроения постепенно меняются, говорит Джеймс Льюис:

– Дискуссии в США сейчас идут не о том, можно ли достичь договоренностей с Россией о нормах и правилах поведения в киберпространстве, с 2015 года мы достигли несколько договоренностей, которые русские игнорируют, – говорит Джеймс Льюис. – Речь идет о том, как заставить Кремль нести ответственность за свои действия. Собственно, об этом и предупреждал во время встречи с Владимиром Путиным президент Байден: если вы не измените поведение, то США заставят вас расплачиваться. Пока очевидно, что используемые сейчас инструменты – санкции против различных фирм и уголовное преследование киберпреступников – не очень эффективны. Не исключено, что если бы к американским санкциям присоединились страны Евросоюза, результат был бы иным, хотя санкции, введенные ЕС после хакерской атаки на Бундестаг, не принесли очевидного результата. Бундестаг остается объектом внимания хакеров из России. Если санкции и преследование хакеров не работают, то что остается? Ответные кибератаки. Тут требуется справка. Обычно термином кибератаки обозначается три рода деятельности. Во-первых, это шпионаж. Им занимаются все, включая Соединенные Штаты. Но шпионаж вряд ли можно использовать для давления на Кремль, за исключением, например, обнародования документов, содержащих компромат на известные российские фигуры, близкие к власти. Во-вторых, это то, что можно назвать военными действиями. Киберудары по ключевым объектам инфраструктуры страны. На такой шаг Соединенные Штаты не пойдут, поскольку он сопряжен с огромным риском. Можем ли мы атаковать компьютерные системы российских разведслужб? Это возможно. Некоторые специалисты предлагают, например, заблокировать на короткое время компьютеры ГРУ, чтобы попросту продемонстрировать наши возможности ответного удара. Рискованно? Да. Но игра может стоить свеч. В-третьих, это правоохранительные действия. Мы можем на вполне законных основаниях организовать кибератаки на компьютерные системы, используемые для организации и финансирования хакерских атак. И это не только системы, базирующиеся в России. Российские криминальные группы используют серверы в Западной Европе. Мы можем перерезать им доступ к этим серверам, мы можем помешать им перемещать деньги, полученные в качестве выкупа. На мой взгляд, это наиболее вероятный вариант ответных действий.

А реалистична ли, на ваш взгляд идея, предложенная Гарри Каспаровым, – начать уничтожать банковские счета олигархов, близких к Путину, чтобы дать ему знать о серьезности намерений Вашингтона?

– США воздерживались от подобных акций, потому, что это очень серьезный шаг. Соединенные Штаты пытаются придерживаться принципа пропорциональности в своих ответных действиях. Такие шаги будут непропорциональным ответом. Насколько я понимаю, спецслужбы и олигархи – это опора режима Путина. Атака на олигархов будет воспринята Путиным как прямая атака на него лично. Его реакцию на такой шаг предсказать невозможно. Поэтому я думаю, что такой шаг не исключается, но мы пока не дошли до ситуации, когда он выглядит оправданным.

Критики президента Байдена, считавшие, что американо-российский саммит был стратегической ошибкой президента, что такой шаг был воспринят в Кремле как демонстрация слабости, заметили, что после этого саммита число кибератак на американские объекты возросло, то есть словесные предупреждения Путину, похоже, возымели противоположный эффект. Можно предположить, что все эти угрозы неубедительны для российского президента.

– Я думаю, русские попросту не испытывают должного уровня уважения к Соединенным Штатам. Я не исключаю, что Джо Байден в конце концов вынудит их изменить свое отношение, но пока они явно считают, что им сойдут с рук такие действия, как это, по большому счету, сходило им до сих пор. Зачем что-то менять, если вам не приходится расплачиваться за поведение, которое приносит вам какую-то выгоду. Именно поэтому сейчас в администрации Байдена идет серьезное обсуждение штрафных санкций, которые могут изменить поведение Кремля.

Может быть первым признаком беспокойства Кремля стало внезапное исчезновение из киберпространства группы хакеров REvil, которая как раз активно занималась кибервымогательством в последнее время?

– Обычно в таких ситуациях, власти говорят хакерам: мы начинаем переговоры, побездельничайте недели две. Так поступают разведслужбы во всех странах. Возможно, что сам REvil, предчувствуя возможные неприятности, решил приостановить использование серверов в Европе и уйти на время, что называется, на дно. Есть небольшая вероятность, что американские спецслужбы нанесли удар по этой группе, смогли отрезать ей доступ в интернет. Но, на мой взгляд, скорее всего, их попросту попросили переждать, пока идут переговоры с американцами.

Партнеры: the True Story

XS
SM
MD
LG