Западные правительства часто обвиняют Россию и Китай в том, что их хакеры по заданию властей взламывают сети западных компаний. Но хакеры с Запада тоже не дремлют.
Почему мы почти никогда не слышим о кибератаках Запада?
22 июня 2023, 21:20
Российская компания «Лаборатория Касперского» недавно заявила о масштабной кибератаке, целью которой стали мобильные телефоны ее сотрудников; власти России обвинили в нападении американские спецслужбы. Но можно ли считать это событие доказательством того, что в противостоянии с Москвой страны Запада не только защищаются от российских хакеров, но и нападают сами?
Cosmic Wolf («Космический волк»), Stardust Chollima («Звездная пыль Чхоллима»), Fancy Bear («Модный медведь») и Wicked Panda (Злая панда). Если вы думаете, что это - список имен супергероев из киновселенной Marvel, то ошибаетесь. Перед вами - названия некоторых из опаснейших хакерских группировок мира.
На протяжении многих лет эти группы изощренных кибер-преступников занимались похищением коммерческих и государственных тайн, а также нарушали работу различных компаний. Как предполагается, все это делалось по приказу правительств их стран.
А фирмы, занимающиеся кибербезопасностью, даже создали рисованные изображения этих групп в лучших традициях аниме.
Сотрудники компаний в области кибербезопасности точками отмечают на карте мира страны, из которых исходит так называемая «постоянная серьезная угроза» (Advanced Permanent Threat - APT): это Россия, Китай, Северная Корея и Иран.
Но большие области на карте этой карте остаются совершенно пустыми. Почему же мы почти никогда не слышим о хакерских группах на Западе и исходящих оттуда кибератаках?
Недавнее нападение на «Лабораторию Касперского» может дать некоторые подсказки для правильного ответа.
Нападение на «Лабораторию Касперского»
Сидя на своем рабочем месте, окно которого выходило на канал имени Москвы, сотрудник российской компьютерной компании с удивлением наблюдал за странным поведением корпоративной сети Wi-Fi.
Десятки мобильных телефонов его коллег одновременно отправляли информацию по странным интернет-адресам.
Это была крупнейшая в России компания, занимающаяся разработкой защитного программного обеспечения - «Лаборатория Касперского».
И теперь ей пришлось расследовать кибернападение, совершенное на ее собственных сотрудников.
«Естественно, мы сразу же подумали о шпионском ПО, хотя поначалу отнеслись к такой возможности довольно скептически», - сказал главный исследователь безопасности компании Игорь Кузнецов.
«Мы были наслышаны о мощных программах, которые могут превратить мобильные телефоны в шпионские устройства, но я всегда считал это своего рода мифом, историей, которая если и случалась, то с кем-то другим и в другом месте», - добавил он.
После тщательного анализа нескольких десятков зараженных айфонов Игорь понял, что первая гипотеза оказалась верной: они раскрыли масштабную и изощренную попытку взлома и наблюдения за их сотрудниками.
Подобные атаки - воплощение самых жутких ночных кошмаров специалистов в области кибербезопасности.
Хакеры просто заражают iPhone, отправив сообщение iMessage, которое автоматически удаляется после того, как вредоносное ПО внедряется в телефон.
«Бац, и ты заражен - и даже об этом и не подозреваешь», - говорит Игорь.
«Разведывательная операция»
После заражения абсолютно вся информация, содержащаяся на телефонах жертв, начинает регулярно передаваться хакерам: сообщения, электронные письма и изображения. Они получают доступ даже к камерам и микрофонам.
У «Лаборатории Касперского» есть давнее правило: ни на кого не указывать пальцем. Поэтому Игорь сказал, что их не интересует, в каком именно месте находились цифровые шпионы.
«У байтов нет паспорта, - говорит он. - Поэтому каждый раз, когда в кибератаке обвиняют конкретную страну, это делается из политических соображений».
Но российское правительство подобные установки не разделяет.
Сразу после того, как «Лаборатория Касперского» заявила о хакерской атаке, российские службы безопасности выпустили срочное заявление, в котором говорилось, что ими была «вскрыта разведывательная акция американских спецслужб, проведенная с использованием мобильных устройств фирмы Apple».
«Лабораторию Касперского» в заявлении не упомянули, но там говорилось, что были заражены «несколько тысяч устройств», принадлежащих как россиянам, так и иностранным дипломатам, и что компания Apple, якобы, активно содействовала этой хакерской группе.
Apple свою причастность отрицает. Эта компания также в течение многих лет противится попыткам американских властей получить к ее устройствам «доступ с черного хода».
Агентство национальной безопасности США (АНБ), которое, по логике Москвы, могло быть причастно к нападению, заявило Би-би-си, что у него комментариев нет.
Игорь утверждает, что «Лаборатория Касперского» не согласовывала свои заявления с российскими спецслужбами и публичные утверждения последних застали ее врасплох.
Однако подобное развитие событий стало неожиданным для некоторых специалистов в области кибербезопасности: выходило, что российские власти выступают с заявлениями одновременно с «Лабораторией Касперского», чтобы их слова прозвучали как можно громче.
Именно такой тактикой обычно пользуются страны Запада, когда во весь голос говорят об организаторах тех или иных хакерских атак.
Не далее как в прошлом месяце правительство США заявило совместно с компанией Microsoft, что следы хакеров, связанных с китайскими властями, были обнаружены в сетях энергетических компаний на территории Соединенных Штатов.
Эти обвинения сразу же подтвердили главные союзники США по вопросам кибербезопасности: Британия, Австралия, Канада и Новая Зеландия, объединенные в разведывательное сообщество «Пять глаз».
В ответ Китай быстро выпустил опровержение, заявив, что вся эта история является частью «коллективной кампании по дезинформации», проводимой странами, входящими в «Пять глаз».
Официальный представитель министерства иностранных дел Китая Мао Нин добавил к стандартным формулировкам Китая одну фразу: «Дело в том, что Соединенные Штаты являются империей хакеров».
«Цель - Китай»
Похоже, что теперь, вслед за Россией, Китай решил активнее разоблачать хакерские атаки, по его мнению исходящие с Запада.
Китайская газета China Daily, которая принадлежит Отделу пропаганды КПК, недавно опубликовала статью, в которой говорилось, что наибольшую угрозу кибербезопасности страны представляют хакеры, поддерживаемые иностранными правительствами.
Это предупреждение сопровождалось данными китайской компании 360 Security Technology, которая заявила, что обнаружила «51 хакерскую организацию, действующую против Китая».
360 Security Technology не ответила на просьбу Би-би-си прокомментировать эту статистику.
В сентябре прошлого года Китай также обвинил США во взломе финансируемого государством университета, отвечающего за программы аэронавтики и космических исследований.
«Честная игра»
«Китай и Россия постепенно поняли, что западная модель кибер-разоблачений невероятно эффективна, и я думаю, что как раз сейчас происходит некий сдвиг», - сказал Би-би-си Стив Стоун — глава компании по кибербезопасности Rubrik Zero Labs и бывший сотрудник разведки.
«Я думаю, что это - хорошо. У меня нет проблем с тем, чтобы другие страны раскрывали, что делают западные страны. Я думаю, что это честная игра, и я думаю, что это уместно», - отметил он.
Многие считают преувеличением обвинения китайцев в том, что США являются империей хакеров, но доля правды в этом есть.
По данным Международного института стратегических исследований (IISS), США - единственная мировая кибер-держава первого уровня в том, что касается нападений, защиты и влияния в киберпространстве.
К странам второго уровня относятся:
- Китай
- Россия
- Великобритания
- Австралия
- Франция
- Израиль
- Канада
Национальный индекс кибербезопасности, составленный исследователями Белферовского центра науки и международных отношений при Гарвардском университете, также называет США главной кибер-державой мира.
Ведущий исследователь его ежегодного альманаха Джулия Ву также заметила эти перемены: «Шпионаж - это обычное дело для правительств, и теперь он часто принимает форму кибератак, но идет битва за информационное поле - чье поведение в киберпространстве будет считаться ответственным, а чье - безответственным», - сказала она.
По ее мнению, нельзя делать вид, что в списке хакерских групп, представляющих «постоянную серьезную угрозу», нет представителей западных стран, поскольку это не совсем правдивое отображение действительности.
Как говорит Джулия Ву, «изучение заявлений о хакерских атаках, сделанных лишь одной из сторон, только усугубляет общее невежество».
«Необходимо просвещать общество, потому что в будущем именно в этом вопросе будет главный источник напряженности между разными странами», - отметила она.
«Необъективность данных»
Впрочем, отсутствие прозрачности может быть связано с действиями самих компаний, занимающихся кибербезопасностью.
Стив Стоун называет это «необъективностью данных»: западные компании иногда просто не замечают крупные взломы, потому что в странах, против которых они направлены, у них попросту нет клиентов.
С другой стороны, такая слепота может быть и сознательным решением. «Я не сомневаюсь, что, вероятно, найдутся некоторые компании, которые решат скрыть информацию о хакерской атаке, если она исходит с Запада», - сказал Стоун.
При этом сам он никогда не работал в команде, которая бы сознательно налагала на себя какие-то ограничения.
Важно помнить и то, что весьма выгодные контракты с правительствами таких стран, как Британия или США, являются основным источником дохода для большинства крупных компаний, занимающихся кибербезопасностью.
Вот что говорит один из специалистов по кибербезопасности с Ближнего Востока, пожелавший остаться анонимным: «Сектор разведданных в области кибербезопасности в значительной степени представлен западными поставщиками, и на него сильно влияют интересы и потребности их клиентов».
Этот человек входит в число более десятка добровольцев, регулярно обновляющих APT Google Sheet - открытую для всех пользователей интернета онлайн-таблицу, в которой отслеживаются известные случаи деятельности хакеров, независимо от их происхождения.
В списке есть и раздел: «НАТО», в который входят группы с такими кодовыми именами, как Longhorn, Snowglobe и Gossip Girl, но он существенно меньше, нежели разделы о других странах и регионах.
Точно и аккуратно
Еще одной причиной отсутствия информации о западных кибератаках может быть то, что они проводятся более осторожно и наносят меньший побочный ущерб, считает наш собеседник.
«Западные страны склонны проводить свои кибероперации более точным и стратегическим образом, в отличие от более агрессивных и масштабных атак, характерных для таких стран, как Иран и Россия», - отметил эксперт.
Еще один аспект, объясняющий недостаток публикаций о западных кибератаках, - это репутация.
Легко отмахнуться от обвинений, выдвигаемых Россией, или Китаем, потому что эти страны редко предоставляют какие бы то ни было доказательства, а степень доверия к их словам невелика.
Но и громкие заявления, исходящие от правительств западных стран, тоже порой нельзя назвать доказанными.
