Почему мы почти никогда не слышим о кибератаках Запада
На протяжении многих лет эти группы изощрённых киберпреступников занимались похищением коммерческих и государственных тайн, а также нарушали работу различных компаний. Как предполагается, всё это делалось по приказу правительств их стран.
А фирмы, занимающиеся кибербезопасностью, даже создали рисованные изображения этих групп в лучших традициях аниме.
Сотрудники компаний в области кибербезопасности точками отмечают на карте мира страны, из которых исходит так называемая постоянная серьёзная угроза (аdvanced permanent threat – APT): это Россия, Китай, Северная Корея и Иран.
Но большие области на этой карте остаются совершенно пустыми. Почему же мы почти никогда не слышим о хакерских группах на Западе и исходящих оттуда кибератаках?
Недавнее нападение на "Лабораторию Касперского" может дать некоторые подсказки для правильного ответа.
Нападение на "Лабораторию Касперского"
Сидя на своём рабочем месте, окно которого выходило на канал имени Москвы, сотрудник российской компьютерной компании с удивлением наблюдал за странным поведением корпоративной сети Wi-Fi.
Десятки мобильных телефонов его коллег одновременно отправляли информацию по странным интернет-адресам. Это была крупнейшая в России компания, занимающаяся разработкой защитного программного обеспечения – "Лаборатория Касперского". И теперь ей пришлось расследовать кибернападение, совершённое на её собственных сотрудников.
"Естественно, мы сразу же подумали о шпионском ПО, хотя поначалу отнеслись к такой возможности довольно скептически", – сказал главный исследователь безопасности компании Игорь Кузнецов.
"Мы были наслышаны о мощных программах, которые могут превратить мобильные телефоны в шпионские устройства, но я всегда считал это своего рода мифом, историей, которая если и случалась, то с кем-то другим и в другом месте", – добавил он.
После тщательного анализа нескольких десятков заражённых айфонов Игорь понял, что первая гипотеза оказалась верной: они раскрыли масштабную и изощрённую попытку взлома и наблюдения за их сотрудниками.
Подобные атаки – воплощение самых жутких ночных кошмаров специалистов в области кибербезопасности.
Хакеры просто заражают iPhone, отправив сообщение iMessage, которое автоматически удаляется после того, как вредоносное ПО внедряется в телефон.
"Бац – и ты заражён и даже об этом не подозреваешь", – говорит Игорь.
"Разведывательная операция"
После заражения абсолютно вся информация, содержащаяся на телефонах жертв, начинает регулярно передаваться хакерам: сообщения, электронные письма и изображения. Они получают доступ даже к камерам и микрофонам.
У "Лаборатории Касперского" есть давнее правило: ни на кого не указывать пальцем. Поэтому Игорь сказал, что их не интересует, в каком именно месте находились цифровые шпионы.
"У байтов нет паспорта, – говорит он. – Поэтому каждый раз, когда в кибератаке обвиняют конкретную страну, это делается из политических соображений".
Но российское правительство подобные установки не разделяет. Сразу после того как "Лаборатория Касперского" заявила о хакерской атаке, российские службы безопасности выпустили срочное заявление, в котором говорилось, что ими была "вскрыта разведывательная акция американских спецслужб, проведённая с использованием мобильных устройств фирмы Apple".
"Лабораторию Касперского" в заявлении не упомянули, но там говорилось, что были заражены "несколько тысяч устройств", принадлежащих как россиянам, так и иностранным дипломатам, и что компания Apple якобы активно содействовала этой хакерской группе.
Apple свою причастность отрицает. Эта компания также в течение многих лет противится попыткам американских властей получить к её устройствам "доступ с чёрного хода".
Агентство национальной безопасности США (АНБ), которое, по логике Москвы, могло быть причастно к нападению, заявило "Би-би-си", что у него комментариев нет.
Игорь утверждает, что "Лаборатория Касперского" не согласовывала свои заявления с российскими спецслужбами и публичные утверждения последних застали её врасплох.
Однако подобное развитие событий стало неожиданным для некоторых специалистов в области кибербезопасности: выходило, что российские власти выступают с заявлениями одновременно с "Лабораторией Касперского", чтобы их слова прозвучали как можно громче.
Именно такой тактикой обычно пользуются страны Запада, когда во весь голос говорят об организаторах тех или иных хакерских атак.
Не далее как в прошлом месяце правительство США заявило совместно с компанией Microsoft, что следы хакеров, связанных с китайскими властями, были обнаружены в сетях энергетических компаний на территории Соединённых Штатов. Эти обвинения сразу же подтвердили главные союзники США по вопросам кибербезопасности: Британия, Австралия, Канада и Новая Зеландия, объединённые в разведывательное сообщество "Пять глаз".
В ответ Китай быстро выпустил опровержение, заявив, что вся эта история является частью "коллективной кампании по дезинформации", проводимой странами, входящими в "Пять глаз".
Официальный представитель министерства иностранных дел Китая Мао Нин добавил к стандартным формулировкам Китая одну фразу: "Дело в том, что Соединённые Штаты являются империей хакеров".
"Цель – Китай"
Похоже, что теперь вслед за Россией Китай решил активнее разоблачать хакерские атаки, по его мнению, исходящие с Запада.
Китайская газета China Daily, которая принадлежит Отделу пропаганды КПК, недавно опубликовала статью, в которой говорилось, что наибольшую угрозу кибербезопасности страны представляют хакеры, поддерживаемые иностранными правительствами.
Это предупреждение сопровождалось данными китайской компании 360 Security Technology, которая заявила, что обнаружила "51 хакерскую организацию, действующую против Китая".
360 Security Technology не ответила на просьбу "Би-би-си" прокомментировать эту статистику.
В сентябре прошлого года Китай также обвинил США во взломе финансируемого государством университета, отвечающего за программы аэронавтики и космических исследований.
"Честная игра"
"Китай и Россия постепенно поняли, что западная модель киберразоблачений невероятно эффективна, и я думаю, что как раз сейчас происходит некий сдвиг", – сказал "Би-би-си" Стив Стоун – глава компании по кибербезопасности Rubrik Zero Labs и бывший сотрудник разведки.
"Я думаю, что это хорошо. У меня нет проблем с тем, чтобы другие страны раскрывали, что делают западные страны. Я думаю, что это честная игра, и я думаю, что это уместно", – отметил он.
Многие считают преувеличением обвинения китайцев в том, что США являются империей хакеров, но доля правды в этом есть.
По данным Международного института стратегических исследований (IISS), США – единственная мировая кибердержава первого уровня в том, что касается нападений, защиты и влияния в киберпространстве.
К странам второго уровня относятся:
- Китай
- Россия
- Великобритания
- Австралия
- Франция
- Израиль
- Канада
Национальный индекс кибербезопасности, составленный исследователями Белферовского центра науки и международных отношений при Гарвардском университете, также называет США главной кибердержавой мира.
Ведущий исследователь его ежегодного альманаха Джулия Ву также заметила эти перемены: "Шпионаж – это обычное дело для правительств, и теперь он часто принимает форму кибератак, но идёт битва за информационное поле – чьё поведение в киберпространстве будет считаться ответственным, а чьё – безответственным", – сказала она.
По её мнению, нельзя делать вид, что в списке хакерских групп, представляющих "постоянную серьёзную угрозу", нет представителей западных стран, поскольку это не совсем правдивое отображение действительности.
Как говорит Джулия Ву, "изучение заявлений о хакерских атаках, сделанных лишь одной из сторон, только усугубляет общее невежество".
"Необходимо просвещать общество, потому что в будущем именно в этом вопросе будет главный источник напряжённости между разными странами", – отметила она.
"Необъективность данных"
Впрочем, отсутствие прозрачности может быть связано с действиями самих компаний, занимающихся кибербезопасностью.
Стив Стоун называет это "необъективностью данных": западные компании иногда просто не замечают крупные взломы, потому что в странах, против которых они направлены, у них попросту нет клиентов. С другой стороны, такая слепота может быть и сознательным решением.
"Я не сомневаюсь, что, вероятно, найдутся некоторые компании, которые решат скрыть информацию о хакерской атаке, если она исходит с Запада", – сказал Стоун.
При этом сам он никогда не работал в команде, которая бы сознательно налагала на себя какие-то ограничения.
Важно помнить и то, что весьма выгодные контракты с правительствами таких стран как Британия или США, являются основным источником дохода для большинства крупных компаний, занимающихся кибербезопасностью.
Вот что говорит один из специалистов по кибербезопасности с Ближнего Востока, пожелавший остаться анонимным: "Сектор разведданных в области кибербезопасности в значительной степени представлен западными поставщиками, и на него сильно влияют интересы и потребности их клиентов".
Этот человек входит в число более десятка добровольцев, регулярно обновляющих APT Google Sheet – открытую для всех пользователей интернета онлайн-таблицу, в которой отслеживаются известные случаи деятельности хакеров независимо от их происхождения.
В списке есть и раздел: "НАТО", в который входят группы с такими кодовыми именами как Longhorn, Snowglobe и Gossip Girl, но он существенно меньше, нежели разделы о других странах и регионах.
Точно и аккуратно
Ещё одной причиной отсутствия информации о западных кибератаках может быть то, что они проводятся более осторожно и наносят меньший побочный ущерб, считает наш собеседник.
"Западные страны склонны проводить свои кибероперации более точным и стратегическим образом в отличие от более агрессивных и масштабных атак, характерных для таких стран как Иран и Россия", – отметил эксперт.
Ещё один аспект, объясняющий недостаток публикаций о западных кибератаках, – это репутация.
Легко отмахнуться от обвинений, выдвигаемых Россией или Китаем, потому что эти страны редко предоставляют какие бы то ни было доказательства, а степень доверия к их словам невелика. Но и громкие заявления, исходящие от правительств западных стран, тоже порой нельзя назвать доказанными.