Петр и Мазепа: Цифровые отпечатки «русских хакеров». Почему так неаккуратно? Основная проблема традиционных подходов к «пятому полю боя» — киберпространству — заключается в том, что инструментарий гибридной войны расширил возможности использования результатов кибератак. Теперь их длинные руки дотягиваются намного дальше, за пределы цифровой и инфраструктурной сфер

Эволюция подходов к кибербезопасности началась задолго до развёртывания Россией фронта гибридной агрессии против стран мира. И если на то, чтобы уверовать в угрозу своей национальной безопасности со стороны дезинформации, у западных стран ушло в среднем по четыре года, с момента начала агрессии против Украины, то борьба в киберсфере против российских разведок уже была для западных спецслужб довольно обычным делом. Начиная с российской атаки против эстонской банковской системы в далёком 2007 году и заканчивая эталоном кибероперации против инфраструктуры — червём Stuxnet, направленным против ядерных центрифуг иранского завода по обогащению урана.

Но и в этой сфере не обошлось без тектонических сдвигов, которые инициировали неуклюжие и безнаказанные действия российских разведок в цифровом пространстве. Вначале из-за пристального внимания медиа-экспертов к теме и вольной интерпретации терминов, которые они не гнушались использовать на камеру, термин «кибербезопасность» смешался с «информационная безопасность».

Однако вопросы кибербезопасности намного более осязаемы, как в плане описания, так и в плане финансирования. Для демонстрации того, насколько серьёзно в США относятся к этим вопросам, Пентагон даже закрепил в новой военной доктрине киберпространство как «пятое поле боя» (наряду с сушей, морем, воздухом и космосом).

А вот с использованием терминов «информационное пространство» и «информационная безопасность», похоже, яснее не стало, несмотря на то, что «большой специалист», автор опуса о «нооскопе» Антон Вайно возглавил администрацию Путина. На Западе не привыкли к таким размытым сущностям. Поэтому и концентрируются больше на кибертемах, пытаясь разобраться в потоке российских атак.

Эволюция кибератак
Основная проблема традиционных подходов к «пятому полю боя» — киберпространству — заключается в том, что инструментарий гибридной войны расширил возможности использования результатов кибератак. Теперь их длинные руки дотягиваются намного дальше, за пределы цифровой и инфраструктурной сфер.

По сути, можно сказать, что главными целями вмешательств в работу автоматизированных систем были:

во-первых, получение секретной или закрытой информации, которая пересылалась по каналам связи,
во-вторых, нанесение вреда или полное уничтожение инфраструктуры.
Первая категория атак характерна для разведок. Одним из примеров такой атаки можно было бы считать взлом серверов Демократической партии США (если бы не одно «но», о котором ниже).

Вторая категория атак, с точки зрения логики, находится в арсенале инструментов вооружённых сил или министерств обороны, как один из методов нанесения ударов по противнику и его инфраструктуре.

Здесь разные риски раскрытия источников и инициаторов. Так, военные операции по нанесению вреда заведомо более грубые и могут указать на злоумышленника. Такое указание называется «атрибуцией» — то есть наличием фактических следов атакующего.

В то же время, в случае с операциями по снятию информации жертва может и не осознавать, что её письма читает кто-то другой. А это даёт для разведки постоянный и надёжный канал получения информации. Только последний идиот будет публиковать полученные сведения, тем самым отбирая у себя же возможность получать инсайды дальше, как, например, в случае с взломом почтовых серверов Демократической партии США (DNC).

Это действительно один из многих показательных случаев того, что российские хакерские команды ломают почтовые ящики не для получения информации или заработка на перепродаже, а именно для слива в открытый эфир. И это при том, что каждый взлом требует определённых инвестиций, как времени, так, порой, и финансов. В чём же тогда профит?

Всё очень просто. К двум описанным нами категориям кибератак добавилась и очень активно используется российской стороной третья — взлом с целью публикации содержимого и дальнейшего влияния на информационное пространство и медиа.

В этом и заключается один из основных инструментов гибридной агрессии. Отдельным субъектам в среде российских спецслужб неинтересно выстраивать долгосрочные стратегические игры против западных стран. Борясь за место под «солнцем» (другими словами, за место подле Путина), они пускаются в свои авантюры, организовывая тактические операции, особо не задумываясь о последствиях. Именно в этом и заключается их уязвимость.

Взломо-слив
Виновниками того, что операции такого рода стали сверхэффективными, были сами медиа. Ну кто же не перепостит у себя какую-нибудь бездоказательную клубничку, под лозунгом «я журналист — моё дело дать информацию читателю, чтобы он принял решение»?

Именно для эксплуатирования этой журналистской позиции и были использованы блог Guccifer 2.0 и всемирно известный сайт Wikileaks Джулиана Ассанжа. Министерство юстиции США связывает и первого, и второго с российской военной разведкой. Человек, который скрывался под ником Guccifer 2.0, даже завёл блог, чтобы давать там комментарии о слитых в открытый доступ письмах соратников Хиллари Клинтон. Однако высока вероятность того, что это всего лишь ширма для членов хакерской группы, контролируемой ГРУ. Что касается сотрудничества Ассанжа с российской разведкой, то даже не ясно, у кого такой факт может вызывать сомнения.

Таким образом, отнюдь не слив почтовых отправлений был самоцелью хакеров. Главным результатом этой спецоперации была дестабилизация политического ландшафта США. И он последовал — после того как каждое уважающее (и не уважающее) себя медиа стало обсуждать и комментировать слив. То есть, изначальной целью кибератаки было информационное воздействие на медиаполе и на восприятие людей.

Кто за ширмой?
Несмотря на то, что западные спецслужбы и Минюст США уже огласили достаточно много информации о конкретных субъектах российских кибернападений, главным источником информации о том, кто и что стоит за кремлёвскими кибератаками, остаётся конфликт между Шойгу и ГРУ с одной стороны и ФСБ-СВР — с другой.

Вообще в медиа появилось уже столько информации о российских разведструктурах, что и перечислить их представляется довольно сложным.

Так, например, в обвинительном заключении минюста США говорится о конкретных подразделениях ГРУ в Москве: в/ч 26165 (также известная как «Главный специальный сервисный центр ГРУ 85», расположенный на Комсомольском проспекте, 20) и в/ч 74455 (расположенная в Химках на улице Кирова, 22). Журналист «Медузы» Даниил Туровский описал схожие структуры ещё год назад.

В медиа также фигурирует огромное количество информации о так называемых «научных ротах», которые в 2012 году придумал и сформировал министр обороны Сергей Шойгу (как, например, 9 научная рота, дислоцирующаяся в Тамбове).

Однако опыт изучения российских спецопераций говорит о том, что официальные структуры и подразделения чаще всего не играют никакой роли в «реальных драках». Тем более, они не пригодны для внутриполитического использования, как, например, тот же «Шалтай-Болтай».

Жертвами операций группы «Шалтай-Болтай» по взломо-сливу были небезызвестный «повар Путина» Евгений Пригожин, начальник управления внутренней политики АП РФ Тимур Прокопенко и даже бывший начальник департамента строительства МО РФ Роман Филимонов. Именно из-за взлома почтового ящика помощницы Филимонова, в котором содержались серьёзные документы, «Шалтай-Болтай» прислали письмо Сергею Шойгу с предложением застрелиться или подать в отставку. Шойгу воспринял это очень болезненно и начал мстить.

Как часто такое бывает в России, оказалось, что за «Шалтаем» всё это время стоял Центр информационной безопасности ФСБ РФ. Чтобы как-то замять скандал, участников этих спецопераций слили. Руководителей ЦИБ ФСБ Сергея Михайлова и его заместителя Дмитрия Докучаева арестовали и обвинили в госизмене.

Также были арестованы и осуждены члены «Шалтая-Болтая» Владимир Аникеев (Льюис), Александр Филинов и Константин Тепляков. Начальник ЦИБ ФСБ генерал Андрей Герасимов отправлен в отставку. В дополнение ко всему на Сергея Михайлова повесили ещё и раскрытие данных о хакерах, которые взломали DNC.

Вся ситуация со скандалом вокруг руководства ЦИБ ФСБ досконально известна украинским хакерам Ukrainian Cyber Alliance. И они неоднократно высказывались о ней.

Казалось бы, важное инфраструктурное звено российских киберсил, связанное с ФСБ, получило серьёзный «удар ножом в спину» от политических конкурентов. И тут у офицеров ГРУ, в том числе тех, которые работают в той же киберсфере, происходят провал за провалом. Уже в сентябре этого года в Нидерландах задержали двух российских шпионов, намеревавшихся получить данные из химической лаборатории в швейцарском Шпице, которая расследует химические атаки в Сирии и Британии. Отмечается, что у россиян было при себе хакерское оборудование. О том, кто из российских бракоделов погорел на химической операции, напоминать читателю не стоит.

Таким образом, у нас почти кристаллизовались две профессиональные команды киберспорта, которые схлестнулись друг с другом в азартном российском бессмысленном и беспощадном дерби.

Команда ФСБ-СВР:

ЦИБ («Шалтай-Болтай»);
APT29 (The Dukes/Cozy Bear);
16-й центр ФСБ;
18-й центр ФСБ;
TURLA (Snake/Uroburos).
Команда Шойгу-ГРУ:

6-й Директорат;
APT28 (Sofacy/Fancy Bear).
Почему грушные хакеры — рукож*пы?
13 июля 2018 года суд штата Колумбия обнародовал обвинительный акт против российских граждан, которые подозреваются в кибератаках против Демократической национальной партии и Комитета Кампании Демократического Конгресса в ходе президентской кампании в США в 2016 году. Анализ этого документа показывает, что хакеры использовали обычные инструменты и самодельные программные средства для запуска целенаправленных атак и проникновения в сети DNC и DCCC.

Сначала они вошли в компьютерную сеть DCCC, отправив фишинговые письма с копиями видным членам президентской кампании Хиллари Клинтон.

После того как они проникли в компьютеры внутри сети, они установили вредоносное программное обеспечение — malwares – X-Agent и X-Tunnel, подключённые к серверу управления и контроля для извлечения и переноса похищенных данных.

В конце концов, они перешли к раскрытию конфиденциальных документов и персональных данных через веб-сайты и твиттер-аккаунты (Wikileaks, Guccifer 2.0)

В процессе этих нехитрых действий грушные хакеры достаточно сильно наследили. Так, некоторые email-ы, учётные записи и серверы были повторно использованы для отдельных этапов процесса — взлома, извлечения данных и раскрытия информации. Например, они использовали одну и ту же учётную запись электронной почты для аренды сервера с целью проведения операций фишинга и, одновременно, ту же учетную запись для регистрации биткойн-аккаунта, используемого для оплаты доменного имени dcleaks.com.

Более того, одна и та же компьютерная инфраструктура и прокси-сервер, расположенный в Малайзии, содержали учётные записи DCleaks и Guccifer. Это доказывает тот факт, что взлом и получение данных были предназначены для их дальнейшей публикации в открытых источниках. То есть для влияния на медийную среду.

Следующий «тупёж» груше-хакеров заключался в использовании отдельных серверов, которые были физически расположены в центрах обработки данных в США, включая Сервер управления и контроля, который является основным инструментом взлома, поскольку все зараженные компьютеры подключаются к нему.

Таким образом, они, конечно, упростили себе работу с технической точки зрения, но, в то же время, для властей США не составило никакого труда получить к серверу физический доступ и провести все необходимые экспертизы, чтобы получить следы хакеров.

Далее. Хакеры использовали инструменты взлома несколько раз, повторяя свои «цифровые отпечатки», на которые так обиделся Путин, когда его спросили о них на конференции. Исходный код X-Agent был очень близок к тем, которые использовали Fancy Bear ранее.

Хакеры использовали одно и то же устройство и канал связи для входа в разные учётные записи. Более того, вход на Twitter-аккаунт Guccifer был, по-видимому, осуществлен из здания ГРУ в Москве.

Некоторые из платёжных учётных записей были использованы несколько раз для покупки онлайн-сервисов: серверов, доменных имен, сокращений и т. д. Кроме того, некоторые электронные кошельки были развернуты американскими поставщиками услуг, что опять-таки предоставило властям США возможность получить всю необходимую информацию и доказательства «цифровых отпечатков».

Отдельные сведения для расследования были предоставлены голландскими спецслужбами, что может быть доказательством того, что Нидерланды чувствуют себя в компьютерах ГРУ как дома примерно с 2014 года.

Анализ этих просчётов наталкивает на три вывода. Во-первых, не исключено, что люди, работающие на ГРУ, просто-напросто обладают крайне низкой компетенцией как «хакеры». И даже если им и удаётся что-то «поломать», то проблем с их установлением и атрибуцией ни у кого не возникает.

Во-вторых, возможно, несчастные горе-хакеры работают из-под палки и под постоянным прессингом со стороны руководства, ибо в таких организациях всё нужно срочно и на вчера. Прессинг заставляет их делать ошибки, что опять же говорит о невысоком интеллектуальном уровне их руководства.

В-третьих, отдельные западные эксперты утверждают, что такое показное разгильдяйство — часть показательной игры. Мол, «посмотрите, как мы можем вас взломать и нам за это ничего не будет». Некоторые «хакеры» даже не пытаются скрыть свои следы.

Такое объяснение маловероятно, ибо в любом случае негативно влияет на позиции Путина на мировой политической арене. Однако, если учесть, что в этой кремлёвской паучьей банке спецслужбы успешно пытаются подставить друг друга — не исключено, что действия направлены на то, чтобы свалить всё на «соседа» из другой спецслужбы.

Петр и Мазепа
Поделитесь.