Судя по всему, кибервойна между Россией и Западом лишь набирает обороты. Хакеры, получившие доступ к "государственному набору" кибероружия США и объявившие аукцион на него, по заявлением американских экспертов, связаны с Россией, пишет издание Financial Times.
Все началось с анонимной хакерской группировки "Теневые брокеры". Явных доказательств существования этой группы не было вплоть до прошлой субботы, когда в "Твиттере" появилась учетная запись, в которой размещалось необычное сообщение: "Теневые брокеры" объявляли, что продадут лучшие из украденных программ тому, кто предложит наивысшую цену. Часть украденных шпионских программ они обещали выложить в интернет, если удастся собрать 1 млн биткоинов (примерно $568 млн).
Аналитики в сфере компьютерной безопасности, тщательно изучив заявление хакеров, пришли к выводу, что утверждение вполне соответствует действительности.
Интересно, что похищенные программы находились в арсенале Equation Group - элитного хакерского подразделения Агентства национальной безопасности США. "Теневые брокеры" утверждают, что украденные программы являются сложным кибероружием, применяемым АНБ. Мотивы группировки в данном случае не совсем ясны.
"Если бы у них были финансовые мотивы, они точно не поступили бы таким образом. Скорее всего, тут дело не в материальной выгоде. Это пиар", - отметила Орла Кокс, директор службы компьютерной безопасности Symantec.
Кибероружие, как правило, продается на черном интернет-рынке или используется злоумышленниками, которые желают остаться неизвестными. Три компании, специализирующиеся на кибербезопасности, заявили, что "Теневые брокеры", скорее всего, работают на российскую разведку. В пользу этого говорит не одно косвенное доказательство, отметил аналитики,
"Тот факт, что "Теневые брокеры" не существовали ранее, а появились недавно и применяют накопленные за долгое время технологии, наводит на мысль, что все это часть некой целенаправленной деятельности. Скорее всего, основной целью здесь является показать лицемерие США", - отметил Эван Лоусон, старший научный сотрудник интеллектуального центра RUSI, добавив, что Россия в этом деле является очевидным преступником.
Скорее всего, трюк "Теневых брокеров" является желанием российской разведки нанести ответный удар по США после обвинений во взломе серверов Национального комитета Демократической партии. Этот взлом и последующая утечка информации были истолкованы как попытка России вмешаться в ход президентских выборов США.
Опасный этап киберагрессии
Сейчас вопрос о трансатлантической безопасности стоит острее, чем когда-либо. США дали официальный ответ на этот шаг, несмотря на то что они знают о причастности России к этому. И теперь уступка российских "Теневых брокеров" сделает любой такой ответ гораздо более сложным.
США и их союзники, конечно, скорее всего, причастны к хакерскому взлому. Regin (вредоносное программное обеспечение, которое используется для взлома телекоммуникационных сетей, гостиниц и предприятий от Бельгии до Саудовской Аравии) – это инструмент, используемый в США и Великобритании, в то время как Equation Group - это наиболее опасная и сложная группировка, которая проводит взломы повсеместно.
И если Москва не сумела понять предостережение Вашингтона, то Эдвард Сноуден, живущий сейчас в России, смог.
"Косвенные доказательства и банальное знание ситуации явно указывают на российский след в этом деле. Кто-то явно пытается намекнуть, что развитие игры может оказаться довольно запутанным делом", - отметил он в "Твиттере" своим 2,3 млн фолловерам.
В США полагают, что Сноуден является невольным агентом российской разведки, если не ее инструментом.
"Российская сторона проявила инициативу в этом деле еще до взлома почты Национального комитета Демократической партии. Сейчас, когда дело дошло до угроз США в киберпространстве, Россия находится в выгодном положении. Она становится гораздо более агрессивной", - заявил Джим Льюис, бывший сотрудник госдепартамента США.
И самый сложный вопрос сейчас – это выявить источник кибератак. Для киберсверхдержав практически не существует ограничений, которые помешали бы властям наказывать тех, кто совершает атаки.
В таких агентствах, как АНБ США и ЦПС в Великобритании, давно сложилась целая система секретности, окружающая работу по кибернаблюдению и уходящая своими корнями к истокам разведки времен Второй мировой войны. Американская разведка очень быстро узнала, что за взломом Службы управления персоналом США в июне прошлого года стоял Китай. Однако потребовалось время на то, чтобы решить, какой ответ следует дать и чего они ждали в ответ.
Сейчас все больше нарастает ощущение того, что необходимо больше публичной информации обо всех этих процессах, чтобы положить конец кибервойне, которая уже выходит из-под контроля.
"До сегодняшнего момента степень киберзащиты была вполне приемлема. Однако сейчас настал тот момент, когда люди начали говорить, что пора называть имена тех, кто причастен к кибератакам", - отметил Лоусон из RUSI.
Публично названные злоумышленники могут оказаться очень сильными противниками. Активность Китая в отношении американских компаний заметно снизилась, после того как американские власти публично предъявили обвинение пяти высокопоставленным китайским военным чиновникам в прошлом году, доказав Пекину, что точно знали о причастности китайских хакеров ко взлому. Также США дали понять, что если ситуация будет и дальше развиваться в том же духе, реакция США окажется еще более жесткой. Однако многое зависит и от противника. Россия, в отличие от Китая, экономически не зависит от США.
Кремлевских хакеров гораздо сложнее обнаружить. Особым направлением для российских хакеров в последние 18 месяцев стали атаки, проводимые с прокси-серверов, заявил высокопоставленный британский чиновник.
Россия стала агрессивнее: ее кибероперации зачастую не только вскрывают информацию, но и используют ее в качестве оружия.
И если используются новые инструменты, то методика новизной не отличается. Бывший агент ЦРУ Филипп Эйджи занял высокий пост в 1970-е гг. после публикации ряда разоблачений о деятельности разведывательного агентства. Сам себя он называл осведомителем. Но в действительности действовал по указанию КГБ. Использование КГБ Эйджи было манипуляцией. Он старался повлиять на принятие решений ЦРУ.
"Теневые брокеры" могут оказаться таким же явлением, просто адаптированным к реалиям XXI века. Оба являются примерами того, что советские стратеги называли рефлексивным управлением – способ управления, при котором основания для принятия решения передаются одним субъектом другому. Государство может убедить противника не отвечать на вмешательство на выборах, повысив вероятность предоставления информации о собственной тактике.
"Это старая тактика. России всегда лучше удавались такие вещи, чем нам. А сейчас вдобавок ко всему она может пользоваться всеми преимуществами интернета. Сегодня оружием является информация", - отметил Льюис.
По данным исследования Positive Technologies, 2023 год ознаменовался рекордными выкупами операторам программ-вымогателей, а также значительным увеличением масштабов и сложности атак шифровальщиков. Выплаты вымогателям в прошлом году составили более 1 млрд долларов, что является самым высоким показателем за всю историю.
Больше всего от атак вымогателей в 2023 году пострадали медицинские организации (18% всех инцидентов пришлось именно на медицинскую отрасль), что привело к закрытию некоторых учреждений, перенаправлению карет скорой помощи в другие больницы и задержке в предоставлении медицинских услуг.
Так, с серьезным ущербом в результате атаки вымогателей из группировки Rhysida столкнулась американская медицинская компания Prospect Medical Holdings. Российская лабораторная служба «Хеликс», по данным ТАСС, также подверглась кибератаке с помощью шифровальщика.
Злоумышленники пытались нарушить работу лабораторных комплексов и спровоцировать утечку персональных данных. В результате атаки произошла задержка в выдаче результатов исследований клиентам. Потери чувствительных данных удалось избежать.
В четверку самых атакуемых шифровальщиками отраслей по итогам года также вошли организации из сферы науки и образования (14%), государственные учреждения (12%) и промышленные организации (12%). Большинство шифровальщиков распространялось с помощью электронной почты (62%) и путем компрометации компьютеров и серверов (35%).
По данным исследования Positive Technologies, в 2023 году злоумышленники переключились с простого шифрования на угрозу публикации украденных данных. Выплаты вымогателям перевалили за 1 миллиард долларов, что стало самым высоким показателем за всю историю. Так, в результате кибератаки одна из крупнейших компаний в сфере гостиничного и развлекательного бизнеса Caesars Entertainment понесла убытки в размере 15 млн долларов. Компания согласилась выплатить выкуп вымогателям, которые угрожали опубликовать украденные данные клиентов из программы лояльности.
«В 2023 году акцент сместился с шифрования на использование украденных данных для получения денежной выгоды через вымогательство, — отмечает Ирина Зиновкина, руководитель исследовательской группы Positive Technologies. — Этот тренд появился сформировался в связи с тем, что организации начали внедрять более комплексные меры защиты, — с точки зрения злоумышленников, это делает атаки шифровальщиков менее эффективными. Кроме того, отказ от шифрования и переход к вымогательству через угрозу публикации украденных данных может быть обусловлен выпуском специалистами по безопасности различных дешифраторов».
Напомним, на днях Positive Technologies также выложила исследование, согласно которому злоумышленники могут попросить 70 млн долларов за возврат украденных ПДн.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
