«Русские хакеры» введение в кибервойну






Самыми страшными из них считаются не американцы, не итальянцы и даже не китайцы, а наши с вами соотечественники. Очень уж часто следы масштабных атак и ограблений якобы приводят в матушку-Россию. Русские нынче как былинные герои: их страшатся США и Европа, слагают о них мифы (порой бесконечно далёкие от реальности). Работа на различные ведомства, создание группировок, вербовка и прочие прелести. 




Сын депутата Государственной думы от ЛДПР Валерия Селезнева Роман вел роскошную жизнь. Он жил во Владивостоке, но владел недвижимостью в Индонезии и на Бали, тратил на отдых по $20 тысяч, снимая самые роскошные виллы и нанимая личных слуг, приобретал дорогие автомобили и не скупился на перелеты. Только на одном из счетов Селезнева правоохранительные органы США обнаружили около $17 млн. Установить, сколько всего у него было денег, невозможно: средства хранились в платежных системах, которые гарантируют анонимность пользователям; часть денег была переведена в биткоины.



Селезнев, по версии американских правоохранительных органов, создал преступную группировку, чьи действия определяли, как будет развиваться вся индустрия мошенничества с платежными картами. Летом 2014 года подозреваемого буквально выкрали на Мальдивах, доставили на американскую базу на острове Гуам, а оттуда переправили в Сиэтл. В апреле 2017 года Селезневу дали 27 лет тюрьмы за кражу данных банковских карт, а 1 декабря – 14 лет за кибермошенничество на сумму почти $51 млн (сроки не суммируются и исполняются параллельно). Селезнев – на момент вынесения первого приговора ему было 32 года – признал вину, подтвердив, что был членом группы хакеров Carder.su.



ФБР и Секретная служба США гонялись за ним почти десять лет. Девятнадцатого мая 2009 года агенты приехали в Москву на встречу с ФСБ: американцы предъявили доказательства по делу и попросили о помощи. А уже через месяц подозреваемый свернул всю деятельность в интернете и на некоторое время исчез из поля зрения. В ФБР уверены, что его предупредили. Переписка Селезнева с сообщниками есть в материалах дела, с которыми ознакомился Republic. Из нее следует, что еще в 2008 году он заручился поддержкой со стороны подразделения ФСБ, которое расследует киберпреступления.



В чем смысл такого сотрудничества? Как утверждают наши собеседники в сфере кибербезопасности, правоохранительные органы нередко используют преступников в своих целях. Среди прочего это подтверждают показания хакера Карима Баратова, который признался, что организовал атаку более чем на 11 тысяч ящиков электронной почты Yahoo! «от имени и по поручению своих сообщников из ФСБ». В то же время, по словам источников, завербованные хакеры составляют лишь малую долю среди так называемых проправительственных группировок. Большинство же – это сотрудники спецслужб и «закрытых» научно-исследовательских институтов.



От пары ⁠хакеров до научной роты

Проправительственные ⁠хакеры – главная мировая киберугроза, пишут в отчете Hi-Tech Crime Trends 2017 специалисты Group-IB. Возросшую ⁠опасность таких группировок они объясняют сложной геополитической обстановкой. ⁠На фоне разногласий между США, Россией, Северной Кореей, Китаем, Украиной ⁠и другими странами растет число атак на критическую инфраструктуру. Если ⁠предположить, что группа киберпреступников ⁠в течение года будет готовить и затем проведет атаку на основные облачные сервисы по всему миру, то ущерб составит от $4,6 до $50 млрд, а больше всех пострадает финансовый сектор, подсчитала британская страховая корпорация Lloyds.



Хакеры, действующие в интересах различных государств, представляют собой элитное меньшинство: они способны устроить целевую атаку (или APT – advanced persistent threat; в этом случае мишенью становится отдельная компания или целый сектор экономики, а целью такой атаки может быть, например, промышленный шпионаж или диверсия) или применить то, что специалисты называют на военный манер кибероружием. «К нему мы относим те вредоносные программы, которые могут наносить физический ущерб. Это переход из виртуального мира в реальный», – объясняет главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. По его оценкам, 90% всех известных атак – это попытки украсть деньги; в России этим занимаются примерно полторы тысячи человек; целевые атаки – еще 9,9%, а применение кибероружия – 0,1%.



По этой причине и случаи, когда фиксируется применение кибероружия, крайне редки: один-два раза в год против 300 тысяч новых вредоносных файлов, которые ежедневно выявляют эксперты в области информационной безопасности. Самый известный пример – червь Stuxnet, обнаруженный в 2010 году: он управлял скоростью вращения иранских центрифуг для обогащения урана; червь резко снижал, а затем увеличивал обороты и тем самым выводил оборудование из строя. В результате ядерная программа Тегерана была отброшена на несколько лет назад. Считается, что Stuxnet создали хакеры из группировки Equation Group, которую связывают с Агентством национальной безопасности США.



Создание кибероружия и проведение целевых атак зачастую требует значительных ресурсов. По подсчетам «Лаборатории Касперского», всего в мире этим занимаются от 50 до 100 группировок. «Никто не знает, сколько человек в них состоит. Это может быть как целая научная рота, так и пара хакеров», – улыбается Гостев.



От Пекина до Москвы

Отследить атаку и с большой точностью определить, кто ее провел, удается нечасто. В основном при атрибуции используются косвенные признаки: время компиляции программы, изучение «почерка» хакера, анализ кода и комментариев к нему и т.д. Все это не позволяет со стопроцентной уверенностью утверждать, кто создал и использовал тот или иной вирус. Более того, нередко киберпреступники маскируются под своих коллег: так, члены северокорейской группировки Lazarus добавляли в код строки с русскими словами, написанными транслитом, а несколько эксплойтов (подвидов вредоносных программ, использующих уязвимости в программном обеспечении) позаимствовали из набора, который создали русскоговорящие хакеры. Однако это, наоборот, выдало корейцев: так, команда «poluchit» отвечала не за получение, а за отправление информации.



По этой причине любое исследование рынка киберпреступности достаточно приблизительно. Тем не менее эксперты все же анализируют, кто лидирует по числу целевых атак. Так, первое место «Лаборатория Касперского» отдает Китаю. С Пекином связаны около 30 группировок, которые еще несколько лет назад атаковали в основном американские цели: свыше 80% атак были направлены на США. Белый дом неоднократно обращал на это внимание и говорил о возможных ответных санкциях, но ситуация изменилась только в сентябре 2015 года, когда председатель КНР Си Цзиньпин и президент Соединенных Штатов Барак Обама во время встречи в Вашингтоне заключили соглашение в области кибербезопасности.



Это возымело эффект, и атаки на американские объекты прекратились, но на китайских группировках это не поставило крест: некоторые исчезли, но большинство переключились на другие цели. В основном эти цели находятся в России. И хотя Москва и Пекин подписали похожее соглашение, оно фактически не работает: за год, прошедший после визита Си Цзиньпина в Америку, число атак из Китая на российские военные и энергетические предприятия утроилось, отмечало агентство Bloomberg. В дальнейшем эта тенденция сохранилась. Так, в 2017 году специалисты «Лаборатории Касперского» обнаружили атаку IronHusky, нацеленную на авиационные компании России и Монголии, и вредоносную программу H2Odecomposition, жертвами которой стали атомные предприятия России и Индии.



Второе место на рынке целевых атак занимают российские проправительственные группировки. Самые влиятельные из них, по версии американской компании FireEye, – это APT28 и APT29. Первых, полагают аналитики, курирует Главное управление Генштаба, которое больше известно под своим предыдущим названием – Главное разведывательное управление (ГРУ); вторыми руководит Федеральная служба безопасности. В классификации «Лаборатории Касперского» эти группировки называются соответственно Sofacy (она же Sednit и Fancy Bear) и Dukes.



Поскольку атрибуция проводилась на основании характеристик кода, то корректнее говорить, что в атаках, которые приписывают, например, Dukes, использовалась одна и та же платформа из различных модулей, которую могли разработать в «закрытом» НИИ и затем передали для использования заказчикам. Те, в свою очередь, модифицировали платформу под свои нужды, отмечает Гостев.




ОТКУДА БЕРУТСЯ НАЗВАНИЯ. 



Имена группировкам придумывают эксперты по расследованию компьютерных инцидентов, анализируя вредоносный код. Так, хакеры из Sofacy получили такое обозначение, поскольку специалисты «Лаборатории Касперского», изучавшие одну из атак, обнаружили файл «So Fancy». Между собой сотрудники «Лаборатории» и вовсе называют Sofacy Софочкой. В остроумии упражняются и сами преступники. Например, в 2014 году члены Black Energy оставили послание «Лаборатории Касперского» в файловой системе взломанного маршрутизатора: комментарий к скрипту гласил: «Fuck U, kaspeRsky!!!»





Медведи и др.

Fancy Bear – самая известная российская группировка. На нее возлагают ответственность за атаку на Демократическую партию США, парламент Германии, предвыборный штаб Эммануэля Макрона и т.д. До 2015 года Fancy Bear атаковала зарубежные цели, но затем у группировки стали появляться жертвы и в России, отмечают два собеседника Republic, работающие в сфере информационной безопасности. Хакеры начали атаковать СМИ, российских оппозиционеров и даже группу «Шалтай-Болтай», говорится в исследованиикомпании ESET. Изменение целей группировки Fancy Bear собеседники Republic объясняют тем, что у хакеров мог смениться куратор среди спецслужб. «Список жертв преступников не вполне соответствует интересам Главного управления Генштаба», – замечает один из источников.



Цели «семейства Dukes» и модификации применявшейся платформы еще более разнообразны. Например, CozyDuke атаковал Белый дом и Госдепартамент США, а также правительственные структуры в Германии, Южной Корее и Узбекистане, а MiniDuke и CosmicDuke, помимо прочего, собирали информацию о «частных лицах, вовлеченных в транспортировку и продажу запрещенных или контролируемых медицинских препаратов», то есть наркотиков. Собеседник Republic, работающий в области кибербезопасности, полагает, что этих представителей «семейства Dukes» могли применять сотрудники управления «К» МВД: именно это подразделение в структуре министерства занимается борьбой с киберпреступностью.



Используемые для атак инструменты весьма высокого технического уровня. «Эти элитные писатели вредоносных программ старой закалки, успешные в создании сложных вирусов, сейчас совмещают свои способности с новыми методами ухода от защитных технологий для того, чтобы атаковать государственные учреждения и научные организации в разных странах», – говорил Евгений Касперский в 2013 году про MiniDuke.



Атака со спутника

APT28 и APT29 – далеко не единственные группировки, которые связывают с Россией. Проправительственными русскоязычными хакерами считаются члены группы Turla, следы которой удалось обнаружить в атаке, проведенной еще в 1996 году. Эту же группировку подозревают в заражении локальных сетей американского военного командования на Ближнем Востоке в 2008 году. Методы Turla можно назвать изысканными. Например, они взламывали спутники и использовали спутниковые каналы для маскировки своей деятельности. У большинства экспертов по кибербезопасности, с которыми поговорил Republic, нет даже предположений, кто может стоять за этими хакерами. Лишь один собеседник отметил, что это может быть Служба внешней разведки.



Еще одна известная группировка, которую связывают с Россией, – Black Energy. В Group-IB полагают, что именно эти хакеры организовали атаки шифровальщиков NotPetya и Bad Rabbit в июне и октябре 2017 года соответственно. Однако в арсенале Black Energy есть и настоящее кибероружие, которое разрабатывалось с 2014 года, а полигоном для тестирования стали украинские энергетические предприятия. В результате в декабре 2015 года вирус устроил перегрузку в сети трех украинских энергокомпаний, источники бесперебойного питания были выведены из строя, без электричества остались 230 тысяч жителей Ивано-Франковской области; а спустя год одна из подстанций была отключена на 75 минут с помощью набора инструментов Industroyer.



«Георгий Петрович»

Разработка платформ для кибератак требует значительных ресурсов и хорошо подготовленных кадров. Собеседник Republic, работающий в сфере расследования киберпреступлений, и источник, близкий к руководству одного из профильных подразделений ФСБ, полагают, что подобное программное обеспечение создается в «закрытых» НИИ, а проправительственные хакеры – это не столько завербованные преступники, сколько кадровые сотрудники спецслужб и подведомственных институтов. С этим мнением соглашаются Александр Гостев из «Лаборатории Касперского» и руководитель отдела расследований Group-IB Дмитрий Волков.



Хакеры, попавшие в руки правоохранительных органов, слишком ненадежны, чтобы использовать их в государственных интересах: по словам одного из собеседников, это «свободные художники», которыми сложно управлять, в то время как специалисты, действующие «в интересах страны», должны исправно ходить на службу в установленное время, выполнять приказы и не уезжать за границу, где их могут арестовать.



У этого предположения есть и косвенное подтверждение. После атаки на штаб Эммануэля Макрона в метаданных взломанных писем было обнаружено имя «Георгий Петрович Рошка»; как выяснил The Insider, в 2016 году на профильной конференции Рошка в качестве места работы указывал войсковую часть №26165 – это 85-й главный центр специальной службы Главного управления Генштаба.



В Минобороны никогда не отрицали, что интересуются информационной безопасностью и киберразведкой. В структуре ведомства есть несколько соответствующих подразделений. Прежде всего это Система перспективных военных исследований и разработок. В ее состав входят Главное управление развития информационных и телекоммуникационных технологий, Главный научно-исследовательский испытательный центр робототехники, Главное управление научно-исследовательской деятельности и технологического сопровождения передовых технологий, а также Научно-исследовательский центр «Бюро оборонных решений» в Москве и Отдел инновационных разработок в Санкт-Петербурге.



Помимо Системы перспективных разработок, в военном ведомстве есть Центр специальных разработок. Несколько лет назад Центр набирал в штат программистов, размещая объявления на сайтах по поиску работы и предлагая рыночную зарплату. Так, вакансия, опубликованная в 2013 году, предполагала вознаграждение до 100 тысяч рублей в месяц.



В ФСБ не раскрывают, какие подразделения занимаются IT-безопасностью, но, по словам двух собеседников Republic, близких к руководству Лубянки, это Центр защиты информации и специальной связи (8-й центр), 16-й центр радиоэлектронной разведки на средствах связи, а также несколько специализированных военных частей. Они разрабатывают и тестируют средства защиты информации.



Чтобы эффективно противодействовать атакам, отмечает один из источников, нужно детально понимать, как они проводятся, а при необходимости и воссоздавать их, поэтому у специалистов ФСБ есть в наличии программное обеспечение, способное нанести удар по той или иной компьютерной системе. Откуда оно берется? Частично создается с нуля, частично – приобретается на рынке. Материалы, обнародованные на WikiLeaks, проливают свет на эти процессы.



Big Boss

«Отличная работа! Было очень важно, чтобы эта демонстрация была так же хороша, как водка!» – шутили сотрудники итальянской компании Hacking Team в переписке в конце 2011 года. Они только что удачно показали свое оборудование в Москве и готовились подписать контракт с новым важным клиентом – Федеральной службой безопасности, которую в письмах они именовали «большим боссом».



Hacking Team – хорошо известная на мировом рынке фирма, она поставляет правительствам различных стран программное обеспечение для взлома, массовой слежки и чтения зашифрованных сообщений. Один из ключевых продуктов компании – система удаленного доступа (RCS – Remote Control System), она позволяет взламывать и контролировать зараженные компьютеры и телефоны.



Переговоры с представителями ФСБ начались еще в сентябре 2010 года, вместе с Hacking Team их вела израильская NICE, которая специализируется на информационной безопасности и слежке. От российской контрразведки на встречах присутствовал некий Дмитрий Иванов и посредники – сотрудники НИИ «Квант» (подведомствен Федеральной службе безопасности) и компании «ИнфоТеКС» (производитель средств защиты информации; по подсчетам CNews, занимает девятое место в рейтинге российских разработчиков программного обеспечения за 2016 год). Какое именно управление ФСБ собиралось приобрести RCS, точно неизвестно, но в переписке Hacking Team упоминается «оперативное подразделение». Кроме того, на одной из встреч присутствовали представители МВД, но был ли впоследствии заключен с ними контракт, в материалах не упоминается.



«Было очевидно, что у них есть опыт в сфере легального взлома, но у имеющихся у них решений не хватает возможностей, особенно в части заражения компьютеров Mac и мобильных устройств», – говорится в письмах Hacking Team и NICE. Из заключенных соглашений следует, что оборудование приобретала «ИнфоТеКС» для последующей перепродажи «Кванту». В документах указано, что общее число пользователей для программного обеспечения – от 30 до 50 человек, годовая техподдержка с учетом налогов стоит €72 тысячи (соглашение об обслуживании действовало как минимум до конца 2014 года), а всего от «Кванта» итальянцы получили свыше €451 тысячи.



В 2015 году серверы Hacking Team взломали и выложили их корпоративную переписку на сайте WikiLeaks. В самой компании тогда подтвердили, что подверглись атаке, но подчеркнули, что и дальше будут поставлять правоохранительным органам инструменты для борьбы с преступностью. В «ИнфоТеКСе» заявили журналу Forbes, что «приобретение RCS и изучение принципов функционирования этого решения способствовало повышению уровня экспертизы компании в области практической информационной безопасности и увеличению уровня защищенности собственных продуктов». В ФСБ на запрос Republic не ответили.



Давние партнеры спецслужб

Схема, по которой действовала Hacking Team, типичная, говорит источник, близкий к руководству ФСБ: российская компания закупает технические решения у специализированной зарубежной фирмы, затем перепродает их государственному учреждению, а тот, в свою очередь, предоставляет программное обеспечение сотрудникам спецслужб. Таким образом оперативники обновляют базу уязвимостей или же получают боевые вирусы. Это подтверждается другими материалами, опубликованными WikiLeaks.



Так, в июле 2011 года закупкой продукции Hacking Team интересовалась компания «Судебные технологии». Ее гендиректор Владимир Яскин просил итальянцев как можно быстрее прислать стоимость RCS для мобильных устройств. «Конечный пользователь – правительственная организация», – указал он в письме. «Судебные технологии», как говорится на сайте фирмы, предлагают своим клиентам оборудование для компьютерной криминалистической экспертизы, в том числе для «преодоления парольной защиты». Сам Яскин сказал Republic, что в компании не сохранилось информации, для какой именно структуры планировалось приобрести оборудование. Он добавил, что сделка не состоялась: «Никакими “спецсредствами” мы торговать не можем и не хотим». Среди основных контрагентов «Судебных технологий» – Следственный комитет, региональные подразделения МВД и ФСБ, а также Управление материально-технического обеспечения Лубянки и 8-й центр.



В декабре 2012 года итальянская компания и их израильские партнеры вновь обменялись письмами о российских клиентах: Hacking Team получила еще один заказ от ФСБ, и в NICE хотели выяснить, был ли контракт подписан напрямую или через посредника – фирму «Норси Транс». В Hacking Team на это ответили, что в соглашении нет этого юрлица, сделка заключена напрямую со спецслужбой.



В документах не указаны дополнительные сведения, поэтому нельзя с уверенностью утверждать, о какой именно компании-посреднике идет речь. В России точно есть одноименное акционерное общество, которое производит системы для оперативно-разыскных мероприятий (СОРМ-1 позволяет правоохранительным органам и спецслужбам прослушивать телефонные разговоры, СОРМ-2 и СОРМ-3 – следить за пользователями интернета). Один из самых крупных госконтрактов «Норси-Транс» заключила в конце 2014 года с войсковой частью ФСБ №35533: документ, как следует из материалов госзакупок, предусматривает поставку оборудования для «генерации DDoS-атаки», а также атак, использующих уязвимости в программном обеспечении.



Часть №35533, по данным Росреестра, располагается примерно в 11 километрах к востоку от Москвы в микрорайоне Павлино. Неподалеку – страйкбольный полигон, а в десяти минутах ходьбы – Салтыковский лесопарк. По версии экспертов компании Taia Global, эта часть – научно-исследовательское подразделение ФСБ, в интересах которого секретную электронику закупала, например, американская компания эмигранта российского происхождения Александра Фищенко. В октябре 2012 года сотрудники ФБР устроили обыски в фирме, позднее она была включена в санкционный список США. Фищенко признал вину и получил десять лет лишения свободы.



В борьбе за тендеры части №35533 «Норси-Транс» неизменно опережала компанию НТКОМ, а та, в свою очередь, обходила «Норси-Транс» в конкурсах на госзакупки войсковой части №71330, которая относится к 16-му центру радиоэлектронной разведки на средствах связи. Других конкурентов на этих аукционах у фирм в основном не было. Обе фирмы зарегистрированы в Москве по одному адресу рядом с Савеловским вокзалом. Гендиректор «Норси-Транс» – Овчинников Сергей Анатольевич, а глава НТКОМ – Овчинников Никита Сергеевич. Больше клиентов среди госструктур у НТКОМ нет. Republic ожидает ответа от руководства «Норси-Транс».



Взломать TOR

Другой способ получить необходимое боевое программное обеспечение – создать его самостоятельно в «закрытых» НИИ. Подобные исследования засекречены, поскольку проводятся в рамках гособоронзаказа, однако получить представление о некоторых видах разработок можно, проанализировав портал госзакупок.



Так, в 2014 году стал широко известен Центральный научно-исследовательский институт экономики, информатики и систем управления (входит в структуру «Ростеха»): тогда Научно-производственное объединение «Спецтехника и связь» МВД объявило свыше 20 тендеров на проведение опытно-конструкторских работ, в том числе на взлом сети TOR и на получение удаленного доступа к «целевой электронно-вычислительной машине». Другие подробности заказа неизвестны, техническая документация не обнародовалась. Из материалов арбитражного суда следует, что вскрыть сеть TOR должен был именно ЦНИИ.



Кроме того, институт работает с 8-м центром ФСБ: соответствующие контракты не публикуются, но о сотрудничестве двух организаций можно сделать вывод, поскольку подразделение ФСБ дважды обращалось в арбитражный суд с претензиями к ЦНИИ в общей сложности почти на 18 млн рублей. Все решения принимались в ходе закрытых заседаний.



Невозможно точно подсчитать, сколько компаний может разрабатывать вредоносное программное обеспечение в интересах государства или быть посредниками при его закупке. Но за основу можно взять число лицензий на соответствующую деятельность. Так, действующая лицензия ФСБ на «разработку, производство, реализацию и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации», сейчас есть у 89 юридических лиц, а на работу с системами шифрования информации (такие лицензии есть, например, у «ИнфоТеКСа» и ЦНИИ экономики, информатики и систем управления) – у 2247 организаций.



Баланс сил

Большое количество спецподразделений и институтов, которые занимаются как защитой информации, так и разработкой боевых вирусов, неизбежно приводит к конкуренции. Александр Гостев из «Лаборатории Касперского» говорит, что изначально Национальный комитет Демократической партии был взломан представителями «семейства Dukes». Это произошло летом 2015 года, но хакеры в тот момент себя никак не выдали. А весной 2016 года атаку устроила Sofacy. В результате на одних серверах встретились хакеры из двух группировок и тут же начали воевать друг с другом.



Опрошенные специалисты по кибербезопасности видят в таком соперничестве больше плюсов, нежели минусов. Число угроз слишком велико, чтобы их игнорировать, замечает один из собеседников: по его словам, бороться с атаками можно, ликвидируя последствия каждого конкретного взлома или устанавливая средства защиты, а можно наносить «упреждающие удары»; и на каждое из этих направлений требуется немало специалистов. С ним соглашается руководитель крупной компании, специализирующейся на поставке решений в сфере информационной безопасности: по его словам, спецслужбы США, Китая и других стран устраивают кибератаки на информационную инфраструктуру России, и отечественные спецслужбы, добавляет он, не должны оставлять эти действия без ответа.



«В любой сильной команде кибербезопасников всегда есть люди, которые понимают, как можно взломать инфраструктуру. И нужно это в первую очередь для того, чтобы научиться ее защищать. А какие им будут поставлены задачи, будет зависеть от настроений в верхах», – резюмирует глава службы информационной безопасности в крупной компании.


Отправить
Добавить

5 комментариев