Призраки в сетях
История слова «хакер» началась более полувека назад: в 1960-х по коридорам Массачусетского технологического института ходили люди, обладающие глубокими навыками в работе с компьютерной техникой и программировании на языке FORTRAN. Их называли хакерами — пришло это из сленга хиппи, где «to hack» обозначало «врубиться во что-то, хорошо разбираться в теме». В негативном смысле термин стали употреблять из-за группировки «414s», действовавшей в 80-х годах прошлого века. По итогам деятельности ее участникам было предъявлено обвинение в 60 вторжениях. По мотивам этой истории снят одноименный фильм.
Взломай взломщиков и обведи весь мир вокруг пальца
Что отличает русских хакеров от остальных настолько, что превращает их в легенды — или даже страшные сказки — о вирутальной Бабе-Яге для всего остального мира?
Во-первых, образование — что не говори, а техническую базу в наших школах давали и дают отличную. Успех зависит и от личной заинтересованности ученика, но при старании результат обеспечен: недаром наши ребята регулярно выигрывают международные олимпиады по информатике и математике.
Во-вторых, сложная ситуация в СНГ времен 90-х создала условия для расцвета киберпреступности. Правоохранительные органы были заняты преступлениями в реальной жизни, а хакеры вовсю исследовали виртуальное пространство. Пробелы в законах развязали им руки, в отличие от западных коллег наши киберпреступники могли все. К примеру, хакер добывал данные кредиток американцев, их использовали кардеры — мошенники, использующие ворованные реквизиты банковских карт для покупки товаров и последующей продажи. Тогда русских киберпреступников начали бояться. Возможно, туда же уходят корнями истории о русских хакерах, чья слава еще не скоро утихнет.
В-третьих, русские хакеры способны придумать нечто кардинально новое. К примеру, взломать площадки других киберпреступников и совершать атаки с них, долгое время оставаясь невидимыми.
Маскировка для кибепреступника — важный навык: как действия хакера, так и сам факт присутствия как можно дольше должны оставаться незамеченными. Этим навыком более или менее владеют профессионалы, но русские ребята, как пишут профильные издания, «вывели это на совершенно другой уровень».
АНБ и британский Центр правительственной связи опубликовали отчет о русской группе хакеров Turla (также известные как Waterbug и VENOMOUS BEAR): преступники взломали иранскую хакерскую группировку OilRig и использовали их площадки в собственных интересах. Но АНБ считает, что русские хакеры и правительственные интересы представляют — и довольно успешно.
Кибервойна уже кипит
XXI век — век информационных войн. Вся наша жизнь «завязана» на передающуюся через сеть информацию — и выиграет тот, кто сможет ей управлять. Даже независимые хакерские группировки без внешней поддержки устраивают обвалы на бирже и торгуют, исходя из украденной инсайдерской информации, зарабатывая на этом миллионы. Правительственные хакеры способны на большее. И подобные группировки — не миф. Если власть и деньги крутятся в сети — то и войска, оборонительные и наступательные, нужны там же.
Подобное есть в Китае — слухи про операции китайских хакеров появляются постоянно, да и создание «сетевой армии» сами китайцы подтвердили. Есть ли что-то похожее в России?
Кибервойска в России есть, и задачи их лежат в сфере пропаганды и контрпропаганды, а также отражения хакерских атак. Официально о таких войсках было сказано в 2017 году, до того факт существования подобной структуры признан не был. Неофициально «кибервойсками» многие называли научные роты — но там специфика другая. Вполне возможно, что информационную безопасность в научных ротах затрагивают, но вместе с ней ведутся работы и в других областях. Официальные же кибервойска «заточены» именно под информационную безопасность.
Кроме официально признанного факта существования, найти данные о кибервойсках сложно — их деятельность по логичным причинам не освещается, ежегодных отчетов по результатам работы они не публикуют. Поэтому приходится обращаться к иным источникам информации: к примеру, эксперты компании Zecurion Analytics поставили Россию на пятое место в рейтинге стран, обладающих киберармией.
На основании чего делались такие выводы — неизвестно, и это основная проблема при анализе действий хакерских группировок. Они всегда в тени, их деятельность засекречена и скрыта. Даже если очередная атака наделает шума, найти ответственных сложно. Но даже в таких условиях западные специалисты разыскивают русский след в громких кибератаках.
3 октября 2018 года Национальный центр кибербезопасности Великобритании (NCSC) сообщил, что Главное управление Генерального штаба (более известное под своим старым названием — ГРУ) стоит за хакерскими атаками ряда группировок: APT 28, Fancy Bear, Sofacy, Pawnstorm, Sednit, CyberCaliphate, Cyber Berkut, Voodoo Bear, BlackEnergy Actors, STRONTIUM, Tsar Team и Sandworm. Проведенные атаки были названными «неразборчивыми» и «безрассудными», в заявлении было отмечено, что вред нанесен также и российским компаниям. Ответственность за нападения была «с высокой долей вероятности» возложена на ГРУ. Также было заявлено, что Великобритания объединится со своими союзниками в целях обеспечения информационной безопасности и защиты интересов своих граждан.
Невидимки на службе Кремля
Если где-то говорят про русских хакеров, то президентские выборы 2016 года в США вниманием не обойдут — это считается одной из главных по влиятельности операций русских взломщиков. Хронология событий описана в расследовании CNN. Сам Трамп во время публичных выступлений отметил: «Это может быть Россия, а может быть Китай. И много других людей. А может быть кто-то, кто сидит в своей кровати и весит 400 фунтов». И подобное заявление справедливо для большинства кибератак, происходящих в мире.
Присмотритесь к списку, что опубликовали NSCS: там есть группировки, названия которых отсылают к России — Cyber Berkut, Tsar Team, Fancy Bear и Voodoo Bear. Но не всегда название дают сами хакеры, часть из них придумана специалистами по информационной безопасности. В разных отчетах одни и те же группировки фигурируют под разными именами: где-то это Fancy Bear, где-то APT28, где-то — Strontium. Атаки приписывают той или иной группе исходя из характера взлома, либо из официальных заявлений хакеров.
Отдельно упомянем группу Sandworm, деятельность которой три года отслеживало издание WIRED, по итогам назвав «самыми опасными хакерами Кремля». По результатам расследования издана книга «Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers» за авторством Энди Гринберга, одного из главных писателей WIRED. На Sandworm возложена ответственность за отключение света на Украине в декабре 2015 года, за самую дорогую кибератаку в современной истории — вирус NonPetya, нанесший урона на $10 000 000 000 000 и за атаку на компьютеры Олимпиады 2018 года в Пхёнчхане. В последнем случае вновь имела место искусная маскировка: по официальному заявлению США 300 компьютеров атаковали русские, но действия маскировались таким образом, чтобы подозрение пало на Северную Корею.
Столько громких заявлений, но были ли реально выдвинуты обвинения? Были.
Спецпрокурор Роберт Мюллер 13 июля предъявил официальные обвинения 12 российским гражданам, которые были названы «сотрудниками ГРУ». Произошло это накануне встречи Дональда Трампа и Владимира Путина. Впоследствии сам Трамп в Twitter отметил, что все атаки произошли при администрации президента Обамы, а не президента Трампа, а сам Обама был предупрежден ФБР о возможном взломе и вмешательстве в выборы заранее. На текущий момент расследование Роберта Мюллера о вмешательстве России в выборы президента США завершено. Доказать сговор администрации Трампа с Кремлем Мюллер не смог, но отметил, что по истечению президентского срока Трампу могут быть предъявлены обвинения и он «не оправдан». Нынешний президент США отреагировал рядом твитов, назвав действия Мюллера «величайшей в истории США охотой на ведьм».
Это тоже интересно: