Вашингтон. Российские компьютерные атаки стали более наглыми и более разрушительными. Страна погружается во все более глубокий спор с Соединенными Штатами и европейскими странами из-за своих военных целей, сначала в Украине, а теперь в Сирии.
Наряду с несколькими зарегистрированными компьютерными атаками по французской телевизионной сети и Белому дому, ряд компьютерных нападений сегодня также приписывают российским хакерам. Среди этих нераскрытых атак можно выделить нападения на польский фондовый рынок, на Палату представителей, немецкий сталелитейный завод, которому был нанесен серьезный ущерб, и газету «The New York Times».
Американские официальные лица опасаются, что любая попытка российского правительства использовать слабые места в таких важных инфраструктурах, как мировые фондовые биржи, электрические сети и аэропорты, в качестве точки давления против Запада, может привести к более широкому конфликту. Когда представители НАТО встретились на прошлой неделе, они выразили тревогу по поводу быстрого вовлечения России в Сирию, в том числе их стрельбе из крылатых ракет.
Варшавская фондовая биржа является лишь одним из примеров повышенной киберактивности. Хакерская атака по бирже в октябре прошлого года вызвала тревогу среди западных секретных служб. Хакеры назвали себя мусульманскими боевиками и объявили, что атака была нанесена из-за того, что Польша поддерживает бомбардировки против исламского государства.
«Это начало», — написала мусульманская группировка в интернете на файлообменнике, которым активно пользуются в киберпространстве. «Продолжение следует! Аллаху Акбар!»
Помимо кражи некоторых данных, злоумышленники также взломали десятки логинов клиентов, сделав систему хаосом, в котором информацию могли получить различные киберпреступники. Это был саботаж краудсорсинга.
Однако злоумышленники не были исламскими боевиками. Согласно нескольким лицам, знакомым с польским расследованием, за дымовой завесой скрывалась группа хакеров, имеющая связи в российском правительстве. Инцидент был рассмотрен польскими следователями как предупреждение стране, члену Организации Североатлантического договора, которая проявила сильную реакцию на действия России в Восточной Украине.
Нападение на биржу побудило польское правительство начать обновление компьютерных систем в государственных учреждениях, в финансовом секторе и больницах.
Согласно оценке американских спецслужб, российские хакеры работают непосредственно на правительство или действуют с его согласия, тестируя границы киберпространства. Эти нападения часто спонсируют компании. Однако очень трудно установить, какие из них являются спецслужбами, а какие преступниками, надеющимися снискать благосклонность правительства.
«Они развязали гончих», — заявил Том Келлерман, главный офицер безопасности в Trend Micro, токийской охранной фирме.
Дмитрий Песков, пресс-секретарь Кремля, отверг предположения о том, что за этими атаками стоит Россия. «Это совершенно необоснованные заявления, которые часто абсурдны», — сообщил он. «Мы также были мишенями атак, что еще раз показывает, каждый может легко стать предметом таких атак. Для выявления и борьбы с этими угрозами необходимо международное сотрудничество. Но, к сожалению, мы не всегда видим конструктивный подход в решении этого вопроса от наших партнеров».
Директор национальной разведки США Джеймс Клэппер называет Россию крупнейшей киберугрозой Америки. И, кажется, что она более активно, чем когда-либо проявляет себя против американских взглядов, согласно которым разрушительные атаки взлома считаются актами войны. Пока США не сделали никаких публичных заявлений на подозреваемые действия.
Киберпространство является ареной боевых действий. Просчеты квалифицированных операторов случаются довольно часто, что вызывает озабоченность по поводу того, что может случиться с важной инфраструктурой. И Россия является одной из немногих стран, которая, как говорит разведка, может успешно скрыть свою идентичность в киберпространстве, даже от Агентства национальной безопасности.
Атаки побуждают чиновников искать способы перестроить границы, которые уже значительно сдвинулись за последние 18 месяцев.
Для повышения тревоги в Европе российские хакеры в начале прошлого года повредили доменную сеть немецкого завода, принадлежащего ThyssenKrupp, крупнейшему производителю стали в стране. Тогда в системе было обнаружено вредоносное ПО, которое ранее связывали с шпионской деятельностью России. Однако американские спецслужбы не приписали инцидент непосредственно российскому правительству.
Килиан Ретцер, представитель ThyssenKrupp, опроверг информацию о нападении, как и уполномоченные лица других компаний, работающих в доменной сети Германии. Атака была раскрыта правительством Германии в прошлом году. Однако правительство в этом не обвинило никакую компанию или преступника.
В соответствии с охранными фирмами, занимающимися отслеживанием инцидентов, в апреле та же группа, которая в прошлом году напала на Варшавскую фондовую биржу, нанесла удар по телевизионной сети TV5MONDE. В результате нападения была прекращена работа крупной французской телевизионной сети 8 и 9 апреля. Руководители оценили, что на полное восстановление системы потребуется 15 млн евро ($17 млн).
Российские хакеры активизировали свою деятельность, наблюдая за электросетями и сетями энергоснабжения в США, Европе и Канаде. Это является провокационным шагом, который может нанести ущерб государственным инфраструктурам, работа которых необходима для миллионов людей.
Американские представители власти, которые говорили на условиях анонимности, интерпретировали это как предупреждение. «Россия является очень опытной страной», — заявил Майк Буратовски, вице-президент по услугам кибербезопасности в компании «Fidelis Cybersecurity». «Если мы видим в этих атаках Россию, то, скорее всего, это их решение: Россия либо не возражает против того, чтобы ее видели, либо она хочет, чтобы мы ее видели».
По мнению американских властей, президент России Владимир Путин продолжает вливать деньги и трудовые ресурсы в хакерские силы страны после возвращения на пост президента в 2012 году. «Пока я не могу вдаваться в подробности, но я могу сказать, что киберугрозы со стороны России стали более серьезными, чем мы ранее оценивали», — заявил Клэппер на комитете Конгресса в феврале.
В соответствии с Джейсоном Льюисом, бывшим специалистом по эксплуатации сетей в Департаменте обороны США, в то время как экономические санкции наказали Россию за ее агрессию в Украине, президент России воспользовался обычными и необычными киберметодами, которыми сегодня пользуются в Москве.
«У них все получается. Если вы что-то делаете, и это работает, вы будете продолжать это делать», — сообщил Льюис.
В соответствии с государственными и частными охранными специалистами, атаки российских хакеров на системы электронной почты Белого дома и Госдепартамента были раскрыты ранее в этом году, но они представляют собой лишь часть всей деятельности России.
Согласно человеку, знакомому с расследованием, та же группировка, которая взломала Варшавскую биржу и французский телеканал, недавно проникла в систему электронной почты Палаты представителей, дав России доступ к коммуникациям законодателей. Дэн Вайзер, представитель Палаты, отказался от комментариев, сославшись на политику неразглашения данных о системах информационной безопасности.
А в июле и августе американские правительственные учреждения были засыпаны электронными сообщениями, содержащими вредоносные программы. Они были присланы от двух различных российских хакерских групп. Келлерман из Trend Micro сообщил, что эти вредоносные сообщения нанесли вред 2000 старших должностных лиц, в том числе, по меньшей мере, одному члену кабинета президента Барака Обамы. Помимо этого, был причинен вред личным учетным записям электронной почты их супругов.
Другой человек, знакомый с этим делом, заявил, что эти атаки должны были быть обнаружены, так как их целью были высшие должностные лица, но это не сделало их абсолютно безуспешными. Исследователи из АНБ и Департамента внутренней безопасности провели сотни часов, пытаясь сдержать влияние атаки.
АНБ и Департамент внутренней безопасности отказались комментировать инциденты или говорить о возможной причастности к ним кибердеятельности России.
Путин имеет ряд существенных преимуществ над своими противниками в киберпространстве. По оценкам Федерального бюро расследований и американских спецслужб, Россия является домом для самых умных киберпреступников во всем мире, и правительство поддерживает со многими из них тесные отношения.
Trend Micro сообщает, что группу, напавшую на Варшавскую биржу, по-разному называют различные компании кибербезопасности, например, APT 28, Fancy Bear или Pawn Storm. Эта группировка, скорее всего, представляет собой конфедерацию лучших криминальных хакеров страны. Келлерман заявил, что в некоторых случаях они имеют лучшие навыки, чем хакеры, нанятые российским правительством, а также они стали помогать правительству после событий в Украине.
«Эти ребята были неприкасаемыми в течение многих лет, и теперь они возвращаются в конюшню, чтобы отдать дань уважения», — отметил Келлерман.
Представители Варшавской биржи сообщили о том, что ущерб был минимален. «Сама торговая система и данные, касающиеся Варшавской фондовой биржи, не находятся под угрозой», — заявила Юстина Рачанська, пресс-секретарь биржи. Повреждения коснулись инвестиционного симулятора и веб-портала для управления обновлениями биржи.
Веб-сайт фондовой биржи был вынужден закрыться примерно на два часа, в соответствии с одним из представителей. Хакеры получили глубокую информацию о технологиях биржи.
Агентство внутренней безопасности Польши заявило, что информация об инциденте является секретной и отказалось от комментариев.
Некоторые частные эксперты по безопасности говорят, что APT 28 может быть специализированным подразделением ФСБ, федеральной службы безопасности России. Группа была связана с взломами сетей внутренних противников Путина, в том числе рок-группы Pussy Riot, и контрмиссий, связанных с терроризмом. Эти задачи являются естественными для Главного разведывательного агентства России.
APT 28 использует не обычные мошеннические технологии. Конфиденциальный анализ, подготовленный Google, об одном инструменте группировки, известным как X-Agent, описал, что APT 28 пользуется им как чрезвычайно сложной версией инструмента по удаленному доступу. Его называют RAT. Оно использует шифрование и другие методы наравне с программным обеспечением по взлому США.
Агентство Bloomberg News получило копию анализа Google из 41 страницы, который показывает, как пользователи X-Agent могут использовать эти методы.
В прошлом году группировка APT 28 также напала на газету «The New York Times». Тогда хакеры взломали учетную запись электронной почты вашингтонского корреспондента по национальной безопасности, а затем атаковали еще более чем 50 других сотрудников. Хакерам не удалось попасть в главную сеть газеты. Пресс-секретарь компании отказалась комментировать инцидент.
Еще одна группировка российских хакеров напала на Белый дом и Государственный департамент. Эти инциденты были описаны в прошлом году. Компания по кибербезопасности «FireEye» называет эту группировку APT 29, а «ISight Partners», компания по киберразведке, которая работает в тесном сотрудничестве с федеральным правительством, называет их TEMP.Monkeys. Название произошло от видео с обезьянами, которое группировка разослала сотрудникам Белого дома с целью, чтобы они на них нажали.
«APT 29 используют одни из самых изощренных методов, которые мы когда-либо видели», — отметила Лора Галанте, директор разведки в компании FireEye.
«Тот факт, что мы говорим подробно о различных российских группировках, является довольно примечательным», — заявила Галанте. «Китай всегда имел много групп с различными типами поведения и жертвами; теперь мы видим, что российские группировки действуют аналогично. Всплеск активности за последние несколько лет, особенно после событий на Украине, предоставил нам больше данных о потенциально финансируемых государством группировках».
США и европейские спецслужбы в последние месяцы пытаются оценить то, что они видят, как недавно проявившиеся воинственное поведение России в киберпространстве.
Специалисты говорят, что удар по TV5MONDE, возможно, был завуалированной контртеррористической операцией. Как и злоумышленники в Варшаве, хакеры заявили, что они являются исламскими боевиками, группировкой CyberCaliphate, и, возможно, они стремились выявить других хакеров, которые были с ними солидарны.
Согласно представителям правительства, за последние 18 месяцев российские хакеры увеличили свою деятельность в наблюдении за электрическими и трубопроводными сетями по всей Северной Америке и Европе. Они собирают информацию о критических системах, которые могут быть использованы для запуска разрушительных цифровых атак. Вредоносная программа, известная как Havex, также была найдена в поврежденной немецкой доменной сети.
Атака по немецкому сталелитейному заводу стала редким примером того, как использование компьютеров может вызвать физическое уничтожение, неся политический подтекст для немецкого правительства.
В соответствии с тремя источниками, знакомыми с инцидентом, хакеры взломали компьютер, управляемый доменной сетью, влив в него вредоносные программы, вызвавшие перегрев машины, которая в результате расплавилась. Федеральное ведомство Германии по информационной безопасности, или BSI, раскрыло нападение в ноябре 2014 года, однако, оно не связало его с Россией. В докладе BSI говорится, что атака нанесла «огромный ущерб».
Специалисты по безопасности изначально предполагали, что повреждение могло быть направлено на сбор данных о том, как работает завод, однако, более подробные детали, появившиеся в ходе расследования, показали, что атака была направлена на полное разрушение информации.
По словам одного специалиста, хакеры начали проникать в офисные компьютеры завода еще в конце 2013 года и начале 2014 года посредством фишинга против сотрудников. Затем они сумели попасть в доверенное сетевое соединение, связанное с заводом. Наконец, они взломали цифровые управления доменной сети, сбили работу системы датчиков температуры и двигателей, которые контролировали поток газа. Они дистанционно отключили возможность сети выключиться. Весь процесс занял недели.
В соответствии с оценкой разведки США, цифровые следы, оставленные в системе, сразу указали на Россию, но не само правительство.
Джон Хулткуист, глава по кибершпионажу в «ISight Partners» сообщил, что атака, случившаяся годом позже на TV5MONDE, предполагает, что подобные действия будут продолжаться, до тех пор, пока США и другие страны не разработают эффективную ответную реакцию.
Источник: obzor.press]]>