Хакерские атаки России становятся сильнее: как мир может ответить на киберугрозы Москвы

Великобритания ввела санкции против трех подразделений российского ГРУ и 18 офицеров, причастных к масштабным кибератакам в Великобритании, Украине и других странах. Об этом сообщило британское правительство, отметив, что Москва систематически ведет гибридные кампании, направленные на подрыв безопасности, стабильности и демократических институтов Европейского Союза. 

Евросоюз также обвинил Москву в агрессивных кибератаках.

Виртуальные проделки Москвы

По данным Лондона, российские хакеры атаковали СМИ, телекоммуникационные компании, политические структуры и энергетическую инфраструктуру. Кроме того, одно из разведподразделений РФ в 2022 году проводило разведку и наводку авиаударов по Мариупольскому театру, где в подвалах укрывались более тысячи мирных жителей. В результате бомбардировок погибли сотни человек, в том числе дети.

Санкции также затронули сотрудников ГРУ, ответственных за кибератаку вредоносным ПО X-Agent на устройство Юлии Скрипаль — дочери экс-сотрудника российской разведки Сергея Скрипаля. Это произошло за пять лет до покушения на них с использованием вещества “Новичок” в Солсбери.

Министр иностранных дел Великобритании Дэвид Лэмми заявил:

“Шпионы ГРУ проводят кампанию по дестабилизации Европы, подрыву суверенитета Украины и угрозе безопасности граждан Великобритании. Кремль не должен сомневаться: мы видим, что они пытаются сделать в тени, и мы этого не потерпим. Именно поэтому мы принимаем решительные меры, вводя санкции против российских шпионов”.

Дополнительно Британия раскрыла операцию российской разведки, в рамках которой использовалось вредоносное ПО для кибершпионажа. Как сообщил Национальный центр кибербезопасности (NCSC), за атаками стоит группировка APT28 (Fancy Bear), действующая под контролем ГРУ. Вредоносная программа AUTHENTIC ANTICS, по их данным, предназначалась для скрытого доступа к облачным аккаунтам Microsoft.

“Он периодически отображает окно входа, в котором пользователя просят ввести свои учетные данные, которые затем перехватываются вредоносным программным обеспечением, позволяющими получить доступ к службам Microsoft”, — говорится в сообщении NCSC.

Россия, как подчеркнули в центре, продолжает гибридные действия, включая кибератаки, саботаж критической инфраструктуры и иные формы подрыва.

Евросоюз также обвинил Москву в агрессивных кибератаках. Верховный представитель ЕС по иностранным делам Кая Каллас заявила:

“Россия годами вела гибридные кампании против ЕС и его государств-членов, причем вредоносная деятельность еще больше обострилась с начала агрессивной войны против Украины и весьма вероятно, сохранится в обозримом будущем. Это наглядно демонстрирует непрерывность злых намерений и представляет собой вопиющее пренебрежение международным правом и рамочными положениями Организации Объединенных Наций об ответственном поведении государств в киберпространстве”.

Министерство иностранных дел Украины осудило гибридную активность России как системную угрозу международной безопасности. В заявлении подчеркивается:

“Установление санкционных ограничений в отношении российских хакерских группировок является решительным шагом в ответ на деструктивную кампанию, которую РФ проводит в киберпространстве с целью дестабилизации европейских демократических институтов, объектов энергетической инфраструктуры, телекоммуникационных компаний, влияния на избирательные процессы и средств массовой информации”.

Чешская служба безопасности и информации, в свою очередь, зафиксировала попытки России наладить шпионскую сеть на территории страны. Глава разведки Михал Куделка сообщил об активизации гибридных операций Кремля и вербовке агентов среди мигрантов. Их деятельность включает хакерские атаки, фейковые новости, шпионаж и диверсии.

Политолог Павел Гавличек из чешского исследовательского центра AMO прокомментировал:

“Нужно демонстрировать агрессору, что такое поведение недопустимо. На каждую его операцию необходимо отвечать симметрично и адекватно. Если нас бьют, мы должны ответить вдвое сильнее. При этом активно ведется параллельный диалог между европейскими союзниками и Соединенными Штатами”.

Помимо ГРУ, под санкции попали и три лидера “Африканской инициативы” — сети, действующей в соцсетях, созданной и финансируемой Россией. Эта структура, по версии британских властей, привлекает разведчиков РФ для информационных операций в Западной Африке. Среди задач — подрыв международных здравоохранительных программ с помощью конспирологических теорий, выгодных Кремлю.

Почему защита от кибератак остается проблемой: взгляд экспертов

Как Россия использует кибератаки для дестабилизации Украины и других стран? Почему кибератаки так сложно отследить, и как это влияет на защиту информации? Какие механизмы защиты от кибератак действуют в Европе, и как сотрудничество между странами может помочь? На эти вопросы в эфире телеканала FREEДOM искали ответы: 

• Сергей Денисенко, консультант Всемирного банка в сфере анализа данных и кибербезопасности;
• Михаил Кольцов, эксперт по кибербезопасности и исполнительный директор CyberLab;
• Алексей Семеняка, эксперт по кибербезопасности.   

МИХАИЛ КОЛЬЦОВ: Сильные киберсоюзы — единственный способ защиты в мире без границ 

— Выявить саму кибератаку довольно просто, но вы должны понять, кто именно на вас напал. И в интернет-пространстве это крайне сложно, поскольку нет национальных границ, атаки происходят по совершенно другим правилам.

Однако существуют технические средства, позволяющие установить, какая организация стоит за той или иной атакой. Чаще всего это определяется по уровню сложности использованных киберсредств. Если применяется сложный, комплексный код, то это, как правило, работа групп, обладающих значительными ресурсами.

Очень важно также анализировать цели атаки и ее логику. Кибероружие — это сложный технический инструмент, и оно содержит специфические маркеры, которые могут быть использованы следователями для атрибуции. Иногда встречаются даже забавные детали: комментарии в коде на русском языке или использование кириллицы. Все это помогает понять, кто стоит за атакой. Но это сложная работа, и она требует участия международных партнеров.

Международное право до сих пор испытывает трудности в определении, можно ли считать кибератаку актом войны. Сейчас она классифицируется как диверсия или саботаж, но не как вооруженное нападение, так как не пересекаются государственные границы, не гибнут солдаты и не разрушаются объекты физически.

По сути, международное право расценивает такие действия как хулиганство или организованную диверсию. И, к сожалению, этого максимума пока достаточно сложно добиться, потому что цифровое пространство не имеет национальных границ, а значит — традиционные правовые механизмы плохо работают.

Если вы хотите кого-то объявить в розыск, провести суд и посадить на срок — в киберпространстве это почти невозможно.

Россия проводит мощные кампании по управлению вниманием: фальшивая информация, теории заговора и т.д. Но есть два направления, в которых они особенно активны.

Первое — это атаки на критическую инфраструктуру: энергетика, тепло, газ — все, что необходимо для функционирования государства. Второе — это кража технологий, особенно критически важных. Это уже серьезная работа, требующая квалификации.

А распространением фейков, манипуляцией в соцсетях, посевом сомнений среди населения больше занимаются не хакеры, а специалисты по информационным технологиям — пиарщики, так называемые “социальные инженеры”. Там меньше техники и больше работы с восприятием.

Поэтому если говорить о масштабности — больше всего усилий уходит на кражу данных и атаки на критическую инфраструктуру.

У россиян нет собственных серверов, сетевого оборудования — ничего из того, на чем держится современный цифровой мир. Их попытка проецировать внутренний комплекс неполноценности, который перерастает в манию величия, объясняет, почему они не могут создать что-то у себя, но стремятся разрушить чужое. Они просто не способны произвести то, на чем держится цифровая инфраструктура.

Единственный способ эффективно противостоять кибератакам и построить устойчивую инфраструктуру — это международное сотрудничество. Без партнеров вы не сможете выстроить надежную цифровую защиту. Только вместе можно обезопасить себя и других. Надеюсь, что союз британских технологий и немецкой инженерной школы действительно даст результат.

СЕРГЕЙ ДЕНИСЕНКО: Дестабилизация настроений в обществе и доступ к данным — главные задачи российских кибератак

— Учитывая те атаки, которые направлены непосредственно на Украину, мы можем их разделить на несколько групп. 

Первая группа — это атаки на критическую инфраструктуру с целью уничтожения. Вторая — атаки на государственный сектор, на те организации, которые обеспечивают жизнедеятельность нашей страны.

Далее — атаки на обычных обывателей, с целью дестабилизации ситуации, посева паники. Это могут быть фишинговые атаки и другие типы вмешательства. Следующий уровень — это атаки на структуры, которые в меньшей степени влияют на жизнедеятельность государства.

И нужно отдельно сказать, что среди этих атак, направленных на Украину и на наших союзников, основными остаются атаки с целью разведки. То есть они получают определенный доступ к каким-то ресурсам и, так сказать, “сидят” там, используя эту информацию в своих целях. Это может быть кража и технологий, и другого рода данных. Или это может быть слежка за теми действиями, которые происходят в нашем обществе. 

Давайте вспомним кибератаку на “Киевстар”, когда была заблокирована связь. В некоторых регионах это вызвало панику, были последствия. Также можно вспомнить кибератаки на бизнес — на торговые учреждения, когда блокировалась их работа, и обычные граждане не могли сделать там какие-либо покупки, а сами организации, бизнес, несли финансовые потери. Таких случаев можно перечислить много. И тут важно понимать цель, которую преследует Россия: во-первых — дестабилизировать обстановку в нашей стране, посеять панику. А во-вторых — получить данные, доступы, и потом использовать эту информацию в своих интересах.

В первую очередь, в странах, где россияне ведут кибершпионаж, они хотят получить технологии, которые используются в западных странах — это приоритет. Во-вторых — сеять панику. Показать: война в Украине пришла и в вашу страну, в виде кибервойны. То есть создать ощущение нестабильности и угрозы. В целом это та же тактика.

Хочу отметить, что россияне вели активную деятельность на территории европейских стран еще до начала полномасштабного вторжения. Они уже тогда получали доступ к определенным системам. После начала вторжения, когда весь мир увидел, как происходит кибервойна между Украиной и Россией, многие страны начали пересматривать свои системы, свои механизмы защиты и выявлять шпионов, вирусы, которые “сидели” в их инфраструктуре. Мы сейчас наблюдаем результаты этих изменений. Страна-агрессор тоже не сидит сложа руки — они адаптируются к тем методам противодействия, которые им оказывают.

Учитывая, что в информационной безопасности ключевую роль играет человеческий фактор, мы должны понимать: пользователи, администраторы этих систем могут быть подкуплены и передать доступ врагу. Исходя из этого, на 100% обеспечить защиту от РФ невозможно.

Кроме того, информационная безопасность — это динамический процесс, в котором постоянно происходят изменения, улучшения. Инструменты, которые используют россияне, также меняются, и это приносит им определенный успех.

Важно также понимать, что не все хакеры, работающие на Россию — в том числе и на их Главное разведывательное управление — находятся на территории РФ. Некоторые из них действуют из других стран, и, соответственно, такие атаки проводить проще, а отследить — гораздо сложнее.

АЛЕКСЕЙ СЕМЕНЯКА: Кибершпионаж — это не обязательно взлом

— Существует распространенное заблуждение, что кибершпионаж обязательно связан с взломами систем или незаконным проникновением. 

На самом деле, довольно часто такая информация, которая не должна быть доступна публично, может быть получена законными методами, например, по ошибке или косвенным образом. Это также является частью кибершпионажа, когда информация оказывается в открытом доступе, или когда можно сделать выводы о непубличной информации, анализируя доступные данные.

Приложив необходимые усилия, проникнуть в систему можно. Все зависит от того, какие усилия нужно приложить, и насколько эти усилия реальны. Специалисты по безопасности стремятся создать такие условия, при которых взлом будет либо невозможен, либо экономически нецелесообразен. Взломать можно все, но при соблюдении всех протоколов безопасности, если все меры защиты соблюдены, процесс взлома становится практически невозможным.

Стратегической целью России является раскачивание ситуации, что выходит за рамки конфликтов на фронте. Кибератаки и информация, полученная через такие средства, используются для манипуляции общественным мнением и для влияния на внутренние конфликты. Особенно ценным является доступ к информации, которая может быть использована в будущем.

Читайте также: Дроны на экспорт в США: почему все больше стран заинтересованы в украинских военных разработках — мнения экспертов