- Крупные компании становятся лёгкой добычей для хакеров
- 2021-й станет годом киберпиратов
- Киберпанк-2020. Атака на всех
Штаты на прошлой неделе ввели санкции против России из-за атаки хакеров на американские госструктуры – Кремль был объявлен организатором кибератаки в декабре сразу после вскрытия слежки через сервисы SolarWinds. «Октагон» ознакомился с аналитическим отчётом конгресса, который подготовили как раз в связи с этими кибератаками на госструктуры США; документ посвящён кибербезопасности России.
В числе проблем цифровой обороны РФ названы её собственные хакеры, которые шантажируют чиновников (ранее «Шалтай-Болтай», теперь этим занимается Black Mirror). Вместе с тем подчёркивается, что основной причиной утечек информации становятся рядовые сотрудники.
В последние месяцы ряд госструктур РФ объявил тендеры на услуги по усилению киберзащиты, а это с высокой вероятностью означает, что их базы данных были взломаны или проданы. Возможно, утекли данные системы распознавания лиц в московском метро.
Разрозненные кибервойска: Кремль заставил госхакеров конкурировать
Сводку готовил аналитик Эндрю Боуэн, который около 15 лет специализируется на России и неоднократно здесь бывал – на обложке его микроблога в Twitter изображены омоновцы. Обычно отчёты Боуэна и его коллег представляют собой выжимки из публикаций в СМИ и отраслевых журналах – стандартные брифинги для вашингтонских депутатов, а собственной аналитики совсем мало. Но в одном из последних отчётов Боуэн кратко описал проблемы в сфере киберобороны России.
Аккаунт Эндрю Боуэна в Twitter.
Сводка начинается с описания состава российских кибервойск. Их особенность, пишет Боуэн, состоит в том, что разные структурные подразделения конкурируют между собой за влияние, финансы и кадры, зачастую не зная, например, что тот же самый взлом совершают их сослуживцы.
В отчёте фигурируют некоторые воинские части ГРУ Минобороны и перечислен ряд НИИ, разрабатывающих вредоносное ПО и хакерский инструментарий, – эти группировки хакеров специалисты называют APT 28 (Advanced Persistent Threat), Fancy Bear, Voodoo Bear, Sandworm, Tsar Team. Отмечено, что Служба внешней разведки (СВР) работает тоньше, чем Минобороны, – скрытно и профессионально, стараясь получить более длительный доступ к интересующим сетям. Как раз СВР (группировки APT 29, Cozy Bear, Dukes) 15 апреля Белый дом объявил виновной в шпионаже посредством взлома сетей SolarWinds.
Те самые «русские хакеры»
Мир вступил в эпоху кибервойн, а «русские хакеры» стали знамениты на весь мир. Откуда они берутся, что движет людьми, которых называют хакерами, – жажда наживы или чистое творческое вдохновение, и при чём тут военные? «Октагон» поговорил с теми самыми «русскими хакерами», которые согласились приоткрыть занавес, скрывающий тёмный мир кибервойны и цифровой преступности.
Перейти к материалуПо утверждению аналитика, в последние годы увеличила зарубежную активность ФСБ, которая контролирует (и нанимает) отечественных хакеров вместе с управлением «К» МВД. Одна из «лубянских» группировок специализируется на взломе инфраструктурных, энергетических объектов и сетей; другая научилась умело имитировать «почерк» других хакерских банд. Хакеров ФСБ западные специалисты называют Berserk Bear, Energetic Bear, Gamaredon,TeamSpy, Dragonfly, Havex, Crouching Yeti, Koala. Из элитных силовиков разве что ФСО не была замечена в наступательной киберактивности, пишет Боуэн.
Хакинг и шантаж отечественных чиновников – апогей коррупции киберслужб
«Несмотря на способности и высокую интенсивность киберопераций, у России есть значительные проблемы – хоть многие из них не уникальны для РA, но всё же представляют трудности для усиления киберактивности», – пишет аналитик конгресса. В качестве базовой проблемы он приводит сложности с наймом квалифицированных кадров и конкуренцию за талантливых специалистов с частным сектором. Из-за этого приходится отдавать часть операций на аутсорс гражданским хакерам (что опять же сопряжено с риском) и покупать вредоносное ПО на стороне.
Также отмечается высокий уровень коррупции в рядах российских служб безопасности – утечки и сливы данных за деньги на сторону вредят самим же спецслужбам, приводят к их же разоблачению.
Отрывок из отчёта Эндрю Боуэна о текущем состоянии кибербезопасности России.
Третья проблема: сотрудники спецслужб сами устраивают в РФ кибератаки, направленные непосредственно на правительственных чиновников, для личного обогащения. В качестве примера Боуэн приводит деятельность хакерской группировки «Шалтай-Болтай» («Анонимный интернационал»), которая была связана с ФСБ и действовала в 2013–2016 годах. Наиболее известными сливами от «Шалтая» стали переписка помощника президента Владислава Суркова, замглавы управления внутренней политики Администрации президента Тимура Прокопенко, а также документы Минобороны РФ. В большинстве случаев жертва взлома могла выкупить архив и прекратить утечку информации. Помимо собственно хакеров, по делу о госизмене осуждены два сотрудника ЦИБ ФСБ: они «передавали конфиденциальную информацию ЦРУ США».
На «Шалтая» как две капли воды похож телеграм-проект Black Mirror, как считается, тоже связанный со спецслужбами. Канал был зарегистрирован 9 августа 2019 года, и первым постом-лотом в нём была переписка экс-руководителя Администрации президента Александра Волошина.
С тех пор проект продал десятки почтовых архивов. Канал «экспонировал», согласно его собственной терминологии, массивы писем вице-премьера Марата Хуснуллина (архив был оперативно выкуплен), помощника президента Андрея Белоусова, митрополита Тихона, вице-президента аппарата председателя ВЭБ.РФ Александра Чеботарёва, миллиардеров Олега Дерипаски, Леонида Федуна и прочих лиц.
Администраторы канала регулярно объявляют, что готовы к продаже большого ассортимента информации. Причём контрагентом этих анонимов в случае выкупа также всегда выступает аноним, то есть покупателем данных опять-таки могут быть США, как и в случае с «Шалтаем-Болтаем».
В этом плане показателен слив «переписки о подкупе чиновников ФИФА» в 2019 году – речь о письме о вариантах подкупа в электронной почте Сергея Капкова. Капков – экс-депутат Госдумы, бывший вице-президент Российского футбольного союза (представитель Романа Абрамовича по футбольной части). Прозападное московское издание The Insider, известное работой с «брешами в киберобороне» (купленными у силовиков данными), тогда получило от Black Mirror файл с полным текстом письма. В итоге – очередной удар по Кремлю.
Халатность плюс жадность: от дыр в киберобороне страдает каждый
Новости о сливе данных за последний год стали трендовыми – СМИ торопились первыми сообщить о той или иной утечке. Точно так же участились сообщения об арестах за сливы и пробивы, зачастую эта информация используются для дальнейших краж. По словам генерального директора частной разведывательной компании «Р-Техно» Романа Ромачёва, главные изъяны в информационной безопасности России, которые приводят к утечкам данных, – халатность и некомпетентность сотрудников российских организаций в области информационной гигиены и в целом халатное отношение к кибербезопасности в стране.
В этом году руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий Следственного комитета РФ Константин Комарда давал интервью на тему утечек, в котором заявил, что противостоять им силовики системно не могут: «...Для решения этой проблемы нужен комплексный подход, в том числе на законодательном уровне». Опять же, дефицит специалистов по киберпреступлениям – общее место для всех правоохранительных органов.
В конце декабря прошлого года года московское метро объявило тендер на выполнение работ по оснащению системы видеоидентификации программно-аппаратной компонентой управления состоянием защищенности информационных ресурсов.Фото: Артём Коротаев/ТАСС
О том, что проблема утечки данных в России остра, говорит и то, что в конце декабря 2020 года московское метро объявило тендер «Выполнение работ по оснащению системы видеоидентификации московского метрополитена программно-аппаратной компонентой управления состоянием защищенности информационных ресурсов». С большой долей вероятности эта закупка означает, что система видеонаблюдения в московском метро, успевшая распознать миллионы лиц, уже была взломана. На её улучшение метрополитен потратит 230 млн рублей. Тендер выиграла компания «Кросс Технолоджис», работы победитель должен выполнить до конца июня 2021 года.
Аналогичным образом в феврале Росреестр выделил 468,4 млн рублей на создание «комплексной системы обеспечения информационной безопасности» после масштабной утечки. 19 января телеграм-канал «ВЧК-ОГПУ» сообщил о сливе данных о недвижимости в Подмосковье, вместо имён владельцев которой в базах значится «Российская Федерация».
Кибербезопасности может быть посвящена часть ежегодного послания президента Владимира Путина Федеральному собранию. Два месяца назад на заседании коллегии ФСБ глава государства заявлял, что в 2020 году количество наиболее опасных атак на российские информационные ресурсы, включая ресурсы органов власти и управления, выросло почти в три с половиной раза.