На прошлой неделе обеспечивающая ИТ-безопасность компания Trend Micro пролила свет на очередной случай предполагаемого российского кибершпионажа, в рамках своего отчета об Operation Pawn Storm. Этот отчет стал наиболее свежим из целой серии исследований, проводимых такими компаниями по всему миру еще с 2007 года, в которых описываются инструменты, техника и цели подозреваемых в связях с Россией хакеров.
Не секрет, что за последние два года ситуация с безопасностью в Европе и в мире в целом значительно ухудшилась в результате российско-украинского конфликта и последовавшего напряжения в отношениях с Западом. Это напряжение очевидным образом выразилось и в возросшей киберактивности – Государственный департамент информационных систем Эстонии публично заявил, что в 2014 году «значительно увеличилось число инцидентов, связанных с иностранными спецслужбами». Министерство обороны Литвы также частично связало рост уровня российского кибершпионажа с украинским кризисом, причем еще до незаконной оккупации и аннексии Крыма, а аппарат директора национальной разведки США заявил, что именно Россия является одним из наиболее опасных противников в киберпространстве. В данном контексте стоит внимательнее взглянуть на публично обозначенные субъекты таких оценок.
Прежде, чем продолжать, важно отметить, что ни один из обсуждаемых инцидентов не был неопровержимо связан с какими-либо конкретными российскими лицами или органами. Выводы делаются на основании накопленных свидетельств, таких как цели, использование языка, время инцидентов и т.п.
Помимо Operation Pawn Storm/APT28, ряд наиболее резонансных случаев предполагаемого российского кибершпионажа, направленного на политические, военные и дипломатические цели, включает такие хакерские группы, как Turla/Snake/Uroburos, Red October/Cloud Atlas, the Dukes (о чем говорилось в предыдущем блоге) и Quedagh. У этих групп много общего, они многим отличаются друг от друга, и часто характеризуются, как «постоянные сложные угрозы» (advanced persistent threats, APT). Чтобы лучше понять их тактику, полезно напомнить о составленном Европейским агентством по сетевой и информационной безопасности (ENISA) обзоре, описывающем этапы нацеленной атаки: разведка, вооружение, доставка, эксплуатация, установка, управление, действия в отношении целей.
Как правило, предоставляемый обеспечивающими ИТ-безопасность компаниями анализ российских групп, являющихся «постоянными сложными угрозами», указывает на то, что они начинают с направленного фишинга при помощи сообщений электронной почты, содержащих документы или URL-ссылки. После открытия документа или нажатия на ссылку задействуются уязвимости программного обеспечения, позволяющие загрузить и запустить на устройстве вредоносную программу. Затем, если цели были определены, как представляющие достаточный интерес, изначальные программы соединяются с контрольными серверами, чтобы скачать инструментарий более широкой функциональности, который может быть использован для кражи информации или даже для ее изменения/удаления. Некоторые такие хакерские группы используют схожие инструменты или пользуются идентичными уязвимостями. Однако среди хакерских групп наблюдается и достаточное количество уникальных особенностей. Помимо прочего, Operation Pawn Storm особенно эффективно подделывала протоклы Outlook Web Access (OWA) для получения учетных данных пользователей. Группа Quedagh использовала вредоносные программы (как правило, используемые преступниками) для того, чтобы закрепиться в целевых системах и хорошо замаскироваться. Red October использовал код, позволявший гарантировано сохранить доступ к системе даже после удаления самой программы. И, наконец, Turla, вероятно, наиболее технически изощренная группа из перечисленных, использовала ряд уязвимостей «нулевого дня», благодаря которым даже наиболее хорошо подготовленные организации фактически оказывались беззащитными перед вторжением.
Каковы же стратегические выводы, таких – предположительно российских – действий на тактическом уровне? Хотя перечень целей, публикуемых обеспечивающими ИТ-безопасность компаниями достаточно широк, почти каждая из кампаний имела четкие цели в российском «ближнем зарубежье», а также в лице США и стран-членов НАТО/ЕС. Часто целями также становятся международные организации. Очевидно, что кибершпионаж укоренился в инструментарии, на который Россия полагается для обеспечения своих стратегических интересов, включая проецирование силы и гегемонии на постсоветском пространстве, а также возвращение к паритету в отношениях с Западом и к статусу великой державы на международном уровне. Возможности России в части действий в киберпространстве давно переросли такой известный метод, как использование DDoS-атак во время кризиса «бронзового солдата» в Эстонии в 2007 году и российско-грузинской войны 2008 года. Эти тенденции отражают более широкий процесс модернизации вооруженных сил России, который начался после оккупации части Грузии. Кроме того, возможности проведения операций в киберпространстве хорошо вписываются в более широкие рамки Доктрины Герасимова об ассиметричном ведении войны и поддерживают прочие аспекты российского инструментария – в частности ведение информационных войн. Наконец, та легкость, с которой Россия использует вредоносные программы, отражает – а возможно даже мотивирует – ее дерзкую агрессивность в международных отношениях. Ничто из этого не сулит ничего хорошего европейской безопасности и основанному на праве и уважении к суверенитету миропорядку.
Интересно, однако, то, что, вероятно, Россия заметно ограничивает себя в проведении киберопераций. Ни в одном из изученных случаев не было отмечено изменений или повреждения данных, т.е. злоумышленники похищали информацию, не повреждая и не уничтожая сетевое оборудование. Это особенно заметно с учетом большого количества уязвимостей в промышленных контрольных системах, уничтожение которых способно причинить огромный экономический ущерб и даже привести к гибели людей. Вместе с тем, имело место большое количество предположительно российских шпионских кампаний, направленных на ряд ключевых инфраструктурных секторов. Нельзя исключать, что помимо сбора информации, российские хакеры «подготавливают поле боя», закладывая программные «бомбы» или обеспечивая «черный ход» к системам управления электрическими сетями, транспортными системами и медицинскими сетями стратегических противников. Остается только надеяться, что такая практика самоограничений – если она действительно имеет место – продолжится, причем не только со стороны России.