Пентагон распорядился прекратить текущие кибератаки на Россию, а также не планировать новые. Действия США в киберпространстве – одна из самых таинственных тем в контексте информационной безопасности (ИБ). Все знают про русских, китайских и северокорейских хакеров, но мало кто слышал и говорит про американских.
"Газета.Ru" опросила ИБ-экспертов и рассказывает о том, как орудует Вашингтон в киберпространстве.Кто есть кто
О приостановке наступательных кибератак на Россию со стороны США впервые было объявлено 28 февраля 2025 года. С таким заявлением со ссылкой на источники выступило интернет-издание об информационной безопасности The Record, которое является отраслевым медиа американской компании в сфере информационной безопасности Recorded Future.
Опубликованная The Record информация о "киберперемирии" неоднократно опровергалась и подтверждалась крупными американскими СМИ. Самая актуальная публикация на эту тему (от 4 марта), принадлежащая агентству Associated Press, все же подтверждает версию The Record. Пентагон данные сообщения на момент выхода статьи "Газеты.Ru" не комментировал.
Из материалов зарубежных СМИ следует, что с распоряжением об остановке текущих наступательных кибератак на Россию и отказа от новых выступил министр обороны США Пит Хегсет. Его директива касается только деятельности Киберкомандования США (USCYBERCOM) и не распространяется на действия других силовых структур, связанных с информационным пространством, таких как Агентство национальной безопасности (АНБ/NSA), Центральное разведывательное управление (ЦРУ/CIA) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA).
"USCYBERCOM – это военное подразделение, занимающееся наступательными и оборонительными кибероперациями для США. АНБ – агентство, сосредоточенное на разработке средств и методов разведки с помощью радиоэлектронных средств. В АНБ же, например, создается сложное вредоносное ПО и уязвимости в компьютерных системах. ЦРУ – ведомство, которое работает с кибероперациями, направленными на шпионаж, саботаж и дестабилизацию общества на территории врага. На CISA – защита критической инфраструктуры США в киберпространстве: энергетика, телекоммуникации и так далее", – объяснил "Газете.Ru" руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.
Он также добавил, что, хотя задачи перед этими организации стоят разные, они могут сотрудничать (обмениваться информацией и технологиями) при проведении тех или иных операций.
В свою очередь глава американской компании в сфере информационной безопасности CyberSoc Дмитрий Насковец отметил, что, хотя в наступательных кибератаках USCYBERCOM прямо или косвенно могут участвовать все из вышеперечисленных ведомств, приостановка деятельности именно USCYBERCOM против России может иметь весьма конкретные последствия.
"Прекратится широкий спектр операций. В первую очередь это касается вмешательств в работу критически важных объектов РФ, относящихся к сферам энергетики, финансов и транспорта. Военную инфраструктуру и связь тоже по идее должны оставить в покое. То есть атаки должны прекратиться на те объекты, которые обычно являются основными целями USCYBERCOM", – отметил эксперт.
В то же время он подчеркнул, что АНБ и ЦРУ продолжат вести разведывательные и саботирующие атаки на Россию.
Заслуги киберкомандования
Несмотря на то, что факт существования в американской армии спецподразделения, которое занимается наступательными кибератаками, не скрывается, найти следы деятельности USCYBERCOM сложно. США редко признают участие в конкретных киберинцидентах на территориях других стран. По словам исследователя международных отношений в киберпространстве, экс-консультанта Российского совета по международным делам и автора Telegram-канала "Кибервойна" Олега Шакирова, кибератаки в интересах США зачастую проводят ведомства, деятельность которых засекречена, вроде АНБ и ЦРУ. Деятельность Киберкомандования тоже, по его словам, может быть засекречена, так как данное подразделение армии США имеет с АНБ общего руководителя, а также физически располагается в здании АНБ.
"Насколько мне известно, ИБ-компании никогда не атрибутировали атаки Киберкомандованию, поэтому о деятельности этой структуры мы знаем только с ее слов. Самый известный пример операции USCYBERCOM в России – это атака на структуры Евгения Пригожина в преддверии и во время промежуточных выборов в конгресс США в 2018 году. После скандала с выборами 2016 года в Киберкомандовании была создана группа, которая специализировалась на России (Russia Small Group), и ведомство стремилось показать, что оно может дать отпор российским киберугрозам", – сказал Шакиров.
Такую киберугрозу, отметил он, в Киберкомандавании видели в так называемой "фабрике троллей", приписываемой Пригожину. В США считали, что фабрика может повлиять на общественное мнение в период выборов, поэтому решили воздействовать на нее.
"В октябре 2018 года Киберкомандование рассылало предполагаемым троллям предупреждения. А во время выборов Киберкомандование якобы лишило их доступа к интернету. Эту атаку подтверждало РИА ФАН, правда, уточняло, что она не увенчалась успехом. А в 2020 году Трамп официально признал, что санкционировал эту операцию", – сказал Шакиров.
Кроме того, в СМИ задокументирован случай участия USCYBERCOM в ликвидации управляемого русскими хакерами ботнета TrickBot. Еще, по данным The Washington Post, Киберкомандование атаковало инфраструктуру действующей с территории России хакерской группировки REvil.
"Детали этих операций неизвестны, нельзя наверняка сказать, была ли затронута инфраструктура на территории России – вполне возможно, что были взломаны серверы, которые злоумышленники арендовали в других странах", – заявил Шакиров. Он добавил, что USCYBERCOM неоднократно публиковало образцы вредоносного кода, который якобы используется спецслужбами России.
Эксперт считает, что подобные образцы могли быть добыты как и из американских компаний, которые были атакованы якобы российскими спецслужбами, так и в результате атак Киберкомандования на инфраструктуру спецслужб России.
Стоит отметить, что целью USCYBERCOM в разное время становилась не только Россия. Так, например, в 2016 году данное подразделение американской армии провело спецоперацию Glowing Symphony, направленную против ИГИЛ. Одной из ключевых целей Glowing Symphony был взлом соцсетей лидеров ИГИЛ для ослабления пропаганды террористической организации. В 2019 году, по данным американских СМИ, USCYBERCOM атаковало системы управления ракетами и ракетными пусками Ирана.
Служебные хакеры
Заслуги Киберкомандования США в контексте атак на Россию довольно скромны. Во всяком случае, те о которых известно публично. Однако, если верить словам секретаря Совбеза России Николая Патрушева, USCYBERCOM проводит атаки на РФ и не публично – под флагами других государств и при помощи сторонних специалистов.
"Киберкомандование Пентагона, Агентство по национальной безопасности и Центр передового опыта НАТО по киберзащите в Таллине осуществляют планирование и направляют информационные атаки под украинским флагом на критическую информационную инфраструктуру нашей страны. К таким атакам активно привлекаются американскими спецслужбами украинские хакерские группировки", – сказал Патрушев в 2023 году на встрече с представителями БРИКС.
К тому же, как было отмечено выше, USCYBERCOM – лишь один из нескольких инструментов, которыми американцы орудуют в международном киберпространстве. Взять, например, упомянутое Патрушевым АНБ, которое тесно связано с Киберкомандованием США. Компании в сфере информационной безопасности, включая "Лабораторию Касперского", неоднократно связывали с АНБ как минимум одну хакерскую группировку – Equation Group. При этом из отчета той же "Лаборатории Касперского" от 2015 года следует, что жертвами обсуждаемой группировки в разное время становились предприятия в более чем 30 странах, включая Россию.
"Equation Group – это очень сложная организация, создающая угрозы, которая участвовала в многочисленных операциях по эксплуатации компьютерных сетей, начиная с 2001 года или, возможно, даже с 1996 года. Equation Group использует множество видов вредоносного ПО, некоторые из которых по сложности и изощренности превосходят другие хорошо известные угрозы. Equation Group, вероятно, является одной из самых изощренных атакующих групп в мире. Также она является наиболее продвинутой группой из тех, которые мы когда-либо видели", – отметили тогда в "Лаборатории Касперского".
Из отчета российской компании следует, что основной род деятельности Equation Group – кража информации. Причем информации, которая после используется в более агрессивных кибератаках. Например, в "Лаборатории Касперского" выяснили, что Equation Group сотрудничала с группой Stuxnet, которая известна атакой на иранский завод по обогащению урана в Натанзе, существенно отбросившей программу ядерного оружия Ирана назад. При этом Stuxnet, также как и Equation Group, связывается некоторыми экспертами по кибербезопасности с АНБ.
"Кибератаки могут спонсироваться государствами, а могут быть финансово-мотивированными. Атрибуция кибератак какой-либо стране — сложный процесс. Мы можем по техническим особенностям в коде вредоносной программы понять, на каком языке говорят злоумышленники. Однако это не всегда работает, особенно, когда используются международные языки, к которым относится английский", – сказал "Газете.Ru" руководитель Kaspersky GReAT в России Дмитрий Галов в ответ на вопрос о деятельности американских хакерских групп.
Вместе с тем Галов не стал проводить связь АНБ с Equation и Stuxnet, но отметил, что "за ними могут стоять англоговорящие злоумышленники".
В анонимной беседе с "Газетой.Ru" эксперт одной из американских ИБ-компаний также подтвердил, что американские спецслужбы атакуют Россию, но делают это осторожно, так как "не ищут эскалации и не хотят давать поводов для начала Третьей мировой войны".
"США любят работать чужими руками. Например, на Украине уже лет 10 работают специалисты CrowdStrike и ИБ-подразделения Microsoft. Они собирают телеметрию со всех государственных машин и с их помощью видят каждый шаг России в киберпространстве. Это позволяет составлять четкую картину о наступательных действиях России в цифровом пространстве. В большинстве случаев такая помощь предоставляется Украине бесплатно. Точнее – взамен на то, что украинские хакеры будут атаковать РФ", – сказал эксперт.
Он подчеркнул, что в плане наступательных операций "США любят работать чужими руками". Конкретные примеры такой работы специалист не привел, но рекомендовал обратить внимание на серию документов "Vault 7", опубликованных WikiLeaks в 2017 году. В "Vault 7" говорится о том, что ЦРУ и АНБ активно разрабатывают и используют средства для взлома устройств и проведения кибератак, как против других стран, так и внутри США. Американские спецслужбы как сами разрабатывают вредоносное ПО, так и пользуются чужими.
По данным WikiLeaks, в распоряжении ЦРУ имеется архив UMBRAGE, в котором хранятся образцы вирусов других хакеров, включая русскоязычных, а также методологии их использования.
"С помощью UMBRAGE и связанных с ним проектов ЦРУ не только увеличивает общее количество типов атак, но и вводит в заблуждение [исследователей информационной безопасности], оставляя "отпечатки пальцев" групп, у которых были украдены методы атак. ЦРУ крадет чужие вирусы и использует их в атаках под чужим флагом", – гласит отчет WikiLeaks.
Примечательно, что конкретно версия об использовании UMBRAGE для атак под чужим флагом, во многих зарубежных СМИ в итоге была подана как теория заговора. Тем не менее, значительно позже – в феврале 2024 года – в США к 40 годам заключения за шпионаж был приговорен бывший инженер-программист ЦРУ Джошуа Шульте, который и передал WikiLeaks информацию о средствах ведения кибервойн американскими спецслужбами. Косвенно факт приговора Шульте только подтверждает правдивость заявлений WikiLeaks о функциях UMBRAGE.
"Если вы читаете про кибератаки из Северной Кореи и России, то большинство из них – это американцы, французы или британцы", – заключил эксперт по информационный безопасности, который предпочел не раскрывать свою личность.
Свежие комментарии