Судя по всему, кибервойна между Россией и Западом лишь набирает обороты. Хакеры, получившие доступ к "государственному набору" кибероружия США и объявившие аукцион на него, по заявлением американских экспертов, связаны с Россией, пишет издание Financial Times.
Все началось с анонимной хакерской группировки "Теневые брокеры". Явных доказательств существования этой группы не было вплоть до прошлой субботы, когда в "Твиттере" появилась учетная запись, в которой размещалось необычное сообщение: "Теневые брокеры" объявляли, что продадут лучшие из украденных программ тому, кто предложит наивысшую цену. Часть украденных шпионских программ они обещали выложить в интернет, если удастся собрать 1 млн биткоинов (примерно $568 млн).
Аналитики в сфере компьютерной безопасности, тщательно изучив заявление хакеров, пришли к выводу, что утверждение вполне соответствует действительности.
Интересно, что похищенные программы находились в арсенале Equation Group - элитного хакерского подразделения Агентства национальной безопасности США. "Теневые брокеры" утверждают, что украденные программы являются сложным кибероружием, применяемым АНБ. Мотивы группировки в данном случае не совсем ясны.
"Если бы у них были финансовые мотивы, они точно не поступили бы таким образом. Скорее всего, тут дело не в материальной выгоде. Это пиар", - отметила Орла Кокс, директор службы компьютерной безопасности Symantec.
Кибероружие, как правило, продается на черном интернет-рынке или используется злоумышленниками, которые желают остаться неизвестными. Три компании, специализирующиеся на кибербезопасности, заявили, что "Теневые брокеры", скорее всего, работают на российскую разведку. В пользу этого говорит не одно косвенное доказательство, отметил аналитики,
"Тот факт, что "Теневые брокеры" не существовали ранее, а появились недавно и применяют накопленные за долгое время технологии, наводит на мысль, что все это часть некой целенаправленной деятельности. Скорее всего, основной целью здесь является показать лицемерие США", - отметил Эван Лоусон, старший научный сотрудник интеллектуального центра RUSI, добавив, что Россия в этом деле является очевидным преступником.
Скорее всего, трюк "Теневых брокеров" является желанием российской разведки нанести ответный удар по США после обвинений во взломе серверов Национального комитета Демократической партии. Этот взлом и последующая утечка информации были истолкованы как попытка России вмешаться в ход президентских выборов США.
Опасный этап киберагрессии
Сейчас вопрос о трансатлантической безопасности стоит острее, чем когда-либо. США дали официальный ответ на этот шаг, несмотря на то что они знают о причастности России к этому. И теперь уступка российских "Теневых брокеров" сделает любой такой ответ гораздо более сложным.
США и их союзники, конечно, скорее всего, причастны к хакерскому взлому. Regin (вредоносное программное обеспечение, которое используется для взлома телекоммуникационных сетей, гостиниц и предприятий от Бельгии до Саудовской Аравии) – это инструмент, используемый в США и Великобритании, в то время как Equation Group - это наиболее опасная и сложная группировка, которая проводит взломы повсеместно.
И если Москва не сумела понять предостережение Вашингтона, то Эдвард Сноуден, живущий сейчас в России, смог.
"Косвенные доказательства и банальное знание ситуации явно указывают на российский след в этом деле. Кто-то явно пытается намекнуть, что развитие игры может оказаться довольно запутанным делом", - отметил он в "Твиттере" своим 2,3 млн фолловерам.
В США полагают, что Сноуден является невольным агентом российской разведки, если не ее инструментом.
"Российская сторона проявила инициативу в этом деле еще до взлома почты Национального комитета Демократической партии. Сейчас, когда дело дошло до угроз США в киберпространстве, Россия находится в выгодном положении. Она становится гораздо более агрессивной", - заявил Джим Льюис, бывший сотрудник госдепартамента США.
И самый сложный вопрос сейчас – это выявить источник кибератак. Для киберсверхдержав практически не существует ограничений, которые помешали бы властям наказывать тех, кто совершает атаки.
В таких агентствах, как АНБ США и ЦПС в Великобритании, давно сложилась целая система секретности, окружающая работу по кибернаблюдению и уходящая своими корнями к истокам разведки времен Второй мировой войны. Американская разведка очень быстро узнала, что за взломом Службы управления персоналом США в июне прошлого года стоял Китай. Однако потребовалось время на то, чтобы решить, какой ответ следует дать и чего они ждали в ответ.
Сейчас все больше нарастает ощущение того, что необходимо больше публичной информации обо всех этих процессах, чтобы положить конец кибервойне, которая уже выходит из-под контроля.
"До сегодняшнего момента степень киберзащиты была вполне приемлема. Однако сейчас настал тот момент, когда люди начали говорить, что пора называть имена тех, кто причастен к кибератакам", - отметил Лоусон из RUSI.
Публично названные злоумышленники могут оказаться очень сильными противниками. Активность Китая в отношении американских компаний заметно снизилась, после того как американские власти публично предъявили обвинение пяти высокопоставленным китайским военным чиновникам в прошлом году, доказав Пекину, что точно знали о причастности китайских хакеров ко взлому. Также США дали понять, что если ситуация будет и дальше развиваться в том же духе, реакция США окажется еще более жесткой. Однако многое зависит и от противника. Россия, в отличие от Китая, экономически не зависит от США.
Кремлевских хакеров гораздо сложнее обнаружить. Особым направлением для российских хакеров в последние 18 месяцев стали атаки, проводимые с прокси-серверов, заявил высокопоставленный британский чиновник.
Россия стала агрессивнее: ее кибероперации зачастую не только вскрывают информацию, но и используют ее в качестве оружия.
И если используются новые инструменты, то методика новизной не отличается. Бывший агент ЦРУ Филипп Эйджи занял высокий пост в 1970-е гг. после публикации ряда разоблачений о деятельности разведывательного агентства. Сам себя он называл осведомителем. Но в действительности действовал по указанию КГБ. Использование КГБ Эйджи было манипуляцией. Он старался повлиять на принятие решений ЦРУ.
"Теневые брокеры" могут оказаться таким же явлением, просто адаптированным к реалиям XXI века. Оба являются примерами того, что советские стратеги называли рефлексивным управлением – способ управления, при котором основания для принятия решения передаются одним субъектом другому. Государство может убедить противника не отвечать на вмешательство на выборах, повысив вероятность предоставления информации о собственной тактике.
"Это старая тактика. России всегда лучше удавались такие вещи, чем нам. А сейчас вдобавок ко всему она может пользоваться всеми преимуществами интернета. Сегодня оружием является информация", - отметил Льюис.
Злоумышленники вновь начали разбрасывать заражённые накопители около офисов, в лифтах и на парковках бизнес-центров в России. Их цель — заразить устройства вредоносными программами и таким образом попасть в инфраструктуру компаний. Кроме того, под флеш-диски могут маскироваться устройства, выводящие компьютеры из строя.
Практика распространения зловредов через внешние накопители получила широкое распространение ещё в 2010 году.
Уже тогда такой способ доставки вредоносных программ входил в топ-5 популярных методов. Позже он стал «визитной карточкой» некоторых APT-группировок.
Как рассказала РИА Новости ведущий эксперт по информационной безопасности MWS Cloud Илона Кокова, такой способ атак снова набирает популярность в России:
«Флешки разбрасывают намеренно — у офисов, в лифтах или на парковках бизнес-центров. В экспериментах ИБ больше половины людей подключают найденные флешки к своим устройствам. И этого достаточно, чтобы попасть в инфраструктуру без взломов и сложных техник».
В качестве контейнера для вредоносной программы злоумышленники используют файлы, которые система отображает как документы или фотографии. При попытке открыть такой файл запускается вредоносный код либо начинается его загрузка с внешних ресурсов. В результате атакующие могут проникнуть в систему, используя имеющиеся уязвимости или получив управление компьютером через средства удалённого доступа. Возможны также кража, шифрование или уничтожение данных — причём не только на локальных, но и на сетевых дисках.
Получив доступ к одному компьютеру, злоумышленники могут попытаться продвинуться дальше во внутреннюю сеть компании, включая серверы и другие инфраструктурные узлы. При этом сотрудник, который подобрал и подключил накопитель, рискует оказаться формальным виновником инцидента.
Илона Кокова рекомендует не подключать найденные накопители и не пытаться проверять их самостоятельно. Внешний вид устройства при этом не имеет значения.
«Если устройство найдено в офисе — передайте в ИТ или ИБ. Если флешка найдена в общественном месте — проще и безопаснее её выбросить. Если что-то выглядит как "бесплатный подарок" — скорее всего, это не подарок и не случайность. И если найденное устройство оказалось у вас в руках, это ещё не повод его подключать к своему компьютеру», — резюмирует эксперт.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
