Max Home IndustryРоссии не удалось вывести из строя украинскую компьютерную систему с помощью масштабной кибератаки, когда она вторглась в этом году, вопреки прогнозам многих аналитиков. Одной из причин может быть работа малоизвестного подразделения вооруженных сил США, которое охотится за противниками в Интернете. BBC был предоставлен эксклюзивный доступ к кибер-операторам, участвующим в этих глобальных миссиях.
В начале декабря прошлого года небольшая группа американских военных во главе с молодым майором прибыла в Украину с разведывательной поездкой в преддверии более крупного развертывания. Но майор быстро сообщил, что ей нужно остаться.
«В течение недели у нас была вся команда, готовая отправиться на охоту», — вспоминает один из членов команды.
Они пришли выявлять россиян онлайн, а их украинские партнеры дали понять, что им нужно немедленно начинать работу.
«Она посмотрела на ситуацию и сказала мне, что команда не уйдет», — сказал Би-би-си генерал-майор Уильям Дж. Хартман, возглавляющий Национальную кибермиссию США.
«Мы почти сразу получили обратную связь, что «в Украине сейчас по-другому». Мы не передислоцировали команду, мы усилили команду».
С 2014 года Украина стала свидетелем нескольких самых значительных кибератак в мире, в том числе первой, когда посреди зимы удаленно отключили электростанцию.
К концу прошлого года представители западной разведки наблюдали за военными приготовлениями России и все больше беспокоились о том, что новая волна кибератак будет сопровождать вторжение, нанося ущерб коммуникациям, власти, банковским и государственным службам, чтобы подготовить почву для захвата власти.
Военное киберкомандование США хотело выяснить, проникали ли уже российские хакеры в украинские системы, скрываясь глубоко внутри. В течение двух недель их миссия стала одной из крупнейших, в которой участвовало около 40 человек из вооруженных сил США.
В январе они были в первом ряду, когда Россия начала прокладывать путь в киберпространстве для грядущего вторжения, в ходе которого украинская киберзащита подвергнется беспрецедентному испытанию.
Проникновение в компьютерные сети в течение многих лет было главным образом связано со шпионажем — кражей секретов, — но в последнее время оно все более милитаризируется и связано с более разрушительными действиями, такими как саботаж или подготовка к войне.
Это означает новую роль для вооруженных сил США, которые участвуют в миссиях «Hunt Forward», прочесывая компьютерные сети стран-партнеров в поисках признаков проникновения.
«Они охотники и знают поведение своей «добычи», — объясняет оператор, который ведет оборонительную работу против России.
Американские военные потребовали, чтобы некоторые операторы оставались анонимными, а других называли только по именам из соображений безопасности.
С 2018 года военные операторы США были развернуты в 20 странах, обычно близких союзникам, в Европе, на Ближнем Востоке и в Индо-Тихоокеанском регионе. — хотя и не в таких странах, как Великобритания, Германия или Франция, которые обладают собственным опытом и с меньшей вероятностью будут нуждаться или хотеть помощи извне.
Большая часть их работы связана с борьбой с государственными хакерами из Китая и Северной Кореи, но Россия была их самым стойким противником. В некоторых странах произошло несколько развертываний, в том числе в Украине, где впервые кибератаки были объединены с полномасштабной войной.
Приглашение американских военных в вашу страну может быть деликатным и даже спорным внутри страны, поэтому многие партнеры просят, чтобы присутствие США оставалось в секрете — они не носят форму. Но все чаще правительства предпочитают делать миссии публичными.
В мае Литва подтвердила, что трехмесячное развертывание только что завершило работу над ее сетью обороны и иностранных дел, приоритетом которой является опасения по поводу угроз со стороны России после вторжения на Украину.
Последнее развертывание было проведено в Хорватии. «Охота была тщательной и успешной, мы обнаружили и предотвратили злонамеренные атаки на государственную инфраструктуру Хорватии», — говорит Даниэль Маркич, глава службы безопасности и разведки страны.
«Мы смогли предложить США новое «охотничье угодье» для злоумышленников и поделиться своим опытом и приобретенными знаниями», — добавляет он.
Но теплые публичные заявления маскируют тот факт, что эти миссии часто начинаются непросто.
Даже страны-союзники США могут нервничать, позволяя США копаться в секретных правительственных сетях. Фактически, разоблачения бывшего подрядчика разведки Эдварда Сноудена 10 лет назад показали, что США шпионят не только за врагами, но и за друзьями.
Это подозрение означает, что молодые мужчины и женщины, прибывающие с миссией, часто сталкиваются с суровым испытанием своих дипломатических навыков. Они появляются в аэропорту с десятками ящиков с загадочным техническим оборудованием, и им нужно быстро завоевать доверие, чтобы получить разрешение на что-то важное — установить это оборудование в правительственных компьютерных сетях принимающей страны для поиска угроз.
«Это довольно пугающее предложение, если вы являетесь принимающей страной», — объясняет генерал Хартман. «У вас сразу возникает некоторое беспокойство, что мы собираемся сделать что-то гнусное или это какая-то суперсекретная операция с бэкдором».
Проще говоря, американцам нужно убедить хозяев, что они здесь, чтобы помогать им, а не шпионить за ними.
«Меня не интересуют ваши электронные письма», — так описывает свой начальный гамбит Марк, возглавлявший две компании в Индо-Тихоокеанском регионе. Если демонстрация пройдет успешно, они могут приступить к работе.
Местные партнеры иногда сидят с американским чаепитием на конференциях, внимательно наблюдая, чтобы убедиться, что ничего не происходит. «Мы должны убедиться, что доверяем вам», — говорит Эрик, ветеран киберопераций с 20-летним стажем. «То, что люди сидят рядом с нами, является важным фактором в развитии этого».
И хотя подозрение никогда не может быть полностью развеяно, общий противник связывает их вместе.
«Единственное, чего хотят эти партнеры, — это убрать русских из своих сетей», — вспоминает генерал Хартман, как сказал ему один из членов его команды.
Киберкомандование США дает представление о том, чем занимаются русские или другие, особенно потому, что оно тесно сотрудничает с Агентством национальной безопасности, крупнейшим разведывательным агентством Америки, которое следит за коммуникациями и киберпространством.
В одном случае доказательства проникновения поступили в режиме реального времени. Один американский оператор, Крис, руководивший несколькими европейскими миссиями, вспоминает, как наблюдал, как кто-то подозрительно перемещался по компьютерной сети страны-партнера.
Что было странно, так это то, что это оказался один из администраторов локальной сети, с которым работала команда. Этот человек стоял прямо за Крисом. Может быть, это какая-то внутренняя угроза?
«Это ты?» — спросил Крис.
«Это мой компьютер, но я клянусь, что это не я», — ответил администратор, застыв, как будто смотрел фильм. Кто-то украл его личность в сети.
«Обнаружение кого-то в вашей сети — не самый лучший момент, особенно когда они используют ваши учетные данные», — вспоминает Крис. Этот момент продемонстрировал реальность угрозы и, в свою очередь, помог обеспечить больший доступ.
Представители США говорят, что они делятся тем, что они находят, чтобы позволить местному партнеру изгонять русских (или других государственных хакеров), а не делать это самостоятельно. Они также используют коммерческие инструменты, чтобы местные партнеры могли продолжить работу после завершения миссии.
Хорошие отношения могут принести дивиденды. В конце одной миссии американские операторы говорят, что местные партнеры вручили им прощальный подарок — компьютерный диск с вредоносным программным обеспечением из другой сети, в которой команда не была.
«Каждая миссия уникальна, и в некоторых случаях противник был обнаружен в первый же день поиска», — объясняет Шеннон, который руководил двумя миссиями в Европе. Но часто требуется неделя или две, чтобы обнаружить более продвинутых хакеров, которые зарылись глубже.
В «кошки-мышки» часто играют хакеры из российских спецслужб, которые особенно хорошо умеют менять тактику.
В 2021 году выяснилось, что русские использовали программное обеспечение компании SolarWinds для проникновения в сети клиентов, которые его купили, включая правительства.
Американские операторы начали искать следы своего присутствия. По словам генерала Хартмана, технический сержант киберкомандования, который любил головоломки, заметил, как русские скрывали свой код в одной европейской стране. Расшифровав его, он смог установить, что русские скрываются в сети. Затем были обнародованы восемь различных образцов вредоносного программного обеспечения, все приписываемые российской разведке, чтобы промышленность могла улучшить защиту.
Охота не является альтруистическим актом американских военных. Помимо практического опыта для своих команд, он также может помочь дома. В ходе одной из миссий молодой завербованный кибероператор обнаружил, что та же самая вредоносная программа, которую они обнаружили в одной из европейских стран, также присутствует в правительственном учреждении США. США часто изо всех сил пытались выявить и искоренить уязвимости внутри страны, будь то в промышленности или правительстве, из-за дублирования обязанностей между различными агентствами, даже когда они посылают своих операторов за границу.
Миссии Hunt Forward классифицируются как «оборонительные», но генерал Пол Накасоне, который возглавляет как военное киберкомандование, так и Агентство национальной безопасности, подтвердил, что наступательные миссии также были предприняты против России после вторжения в Украину. Но он и другие отказались сообщить подробности.
В январе этого года команда в Украине пыталась избежать скольжения на обледенелых тротуарах, когда произошла серия крупных кибератак. «Бойтесь и ждите худшего», — говорится в сообщении, размещенном хакерами на сайте МИД.
Американская команда наблюдала в режиме реального времени, как волна так называемого программного обеспечения очистки, которое делает компьютеры непригодными для использования, поразила несколько правительственных веб-сайтов.
«Они смогли помочь в анализе некоторых продолжающихся атак и способствовали передаче этой информации партнерам в Соединенных Штатах», — говорит генерал Хартман.
Цель состояла в том, чтобы дестабилизировать страну перед февральским вторжением.
К тому времени, когда российские войска хлынули через границу, американская команда уже была выведена. Осознание физического риска для оставшихся украинских партнеров тяготило их.
За несколько часов до начала вторжения 24 февраля кибератака нанесла ущерб американскому провайдеру спутниковой связи, который поддерживал украинских военных. Многие предсказывали, что это станет началом волны атак, направленных на разрушение ключевых областей, таких как железные дороги. Но этого не произошло.
«Одна из причин, по которой русские не добились такого успеха, заключается в том, что украинцы были лучше подготовлены», — говорит генерал Хартман.
«Они очень гордятся тем, как они смогли защититься. Многие люди в мире думали, что их просто задавят. И это не так», — говорит Ал, старший технический аналитик, который был частью украинской группы развертывания. . «Они сопротивлялись».
Украина подвергалась постоянным кибератакам, которые в случае успеха могли затронуть инфраструктуру. Но страну он продолжал защищать лучше, чем многие ожидали. Украинские официальные лица заявили, что это произошло отчасти благодаря помощи союзников, включая Киберкомандование США и частный сектор, а также благодаря их собственному растущему опыту. Теперь США и другие союзники обращаются к украинцам, чтобы поучиться у них.
«Мы продолжаем делиться информацией с украинцами, они продолжают делиться информацией с нами», — объясняет генерал Хартман. «Это действительно вся идея этого прочного партнерства».
Поскольку представители украинской и западной разведки выражают обеспокоенность тем, что Москва может отреагировать на недавние военные неудачи эскалацией своих кибератак, это партнерство может еще пройти испытания.