Max Home IndustryВ кибератаке, которая захватила iPhone в российской технологической компании, обвиняют хакеров из правительства США. Может ли атака и реакция российского правительства переписать представление о том, кто такие хорошие и плохие парни в киберпространстве?
Camaro Dragon, Fancy Bear, Static Kitten и Stardust Chollima — это не последние супергерои фильмов Marvel, а имена, данные некоторым из самых страшных хакерских групп в мире.
В течение многих лет за этими элитными киберкомпаниями следили от взлома к взлому, похищая секреты и вызывая сбои якобы по приказу своих правительств.
А компании, занимающиеся кибербезопасностью, даже создали их мультяшные изображения.
С помощью точек на карте мира маркетологи этих компаний регулярно предупреждают клиентов о том, откуда исходят эти «продвинутые постоянные угрозы» (APT) — обычно из россии, Китая, Северной Кореи и Ирана.
Но части карты остаются заметно пустыми.
Так почему же так редко можно услышать о западном хакерском чае и кибератаках?
Крупный взлом в россии, обнаруженный ранее в этом месяце, может дать некоторые подсказки.
Защитники под атакой
Со своего рабочего места, выходящего на канал имени москвы, сотрудник службы кибербезопасности наблюдал, как в корпоративной сети Wi-Fi начали регистрироваться странные пинги.
Десятки мобильных телефонов сотрудников одновременно отправляли информацию в странные части Интернета.
Но это была не обычная компания.
Это была крупнейшая в россии киберкомпания «Лаборатория Касперского», которая расследовала возможную атаку на собственных сотрудников.
«Очевидно, что наши мысли сразу обратились к шпионскому ПО, но поначалу мы были довольно скептичны, — говорит главный исследователь безопасности Игорь Кузнецов.
«Все слышали о мощных киберинструментах, которые могут превратить мобильные телефоны в шпионские устройства, но я думал об этом как о своего рода городской легенде, которая случается с кем-то другим и где-то еще».
После тщательного анализа «нескольких десятков» зараженных айфонов Игорь понял, что их догадка была верна — они действительно раскрыли крупную изощренную кампанию по взлому и наблюдению за собственными сотрудниками.
Тип атаки, который они обнаружили, является кошмаром для киберзащитников.
Хакеры изобрели способ заразить iPhone, просто отправив сообщение iMessage, которое автоматически удаляется после внедрения вредоносного ПО в устройство.
«Бац, ты заражен — и даже не видишь этого», — говорит Игорь.
«Разведывательная операция»
Все содержимое телефонов жертв теперь регулярно передавалось злоумышленникам. Сообщения, электронные письма и изображения были общими — даже доступ к камерам и микрофонам.
Придерживаясь давнего правила «Лаборатории Касперского» не указывать пальцем, Игорь говорит, что их не интересует, откуда была запущена эта атака цифрового шпионажа.
«У укусов нет национальности — и каждый раз, когда в кибератаке обвиняют определенную страну, это делается с определенной повесткой дня», — говорит он.
Но российское правительство меньше обеспокоено этим.
В тот же день, когда «Лаборатория Касперского» объявила об обнаружении, российские службы безопасности выпустили срочный бюллетень, в котором говорилось, что они «раскрыли разведывательную операцию американских спецслужб, проведенную с использованием мобильных устройств Apple».
Российская служба киберразведки не упомянула Касперского, но заявила, что заражены «несколько тысяч телефонных аппаратов», принадлежащих как россиянам, так и иностранным дипломатам.
Бюллетень даже обвинил Apple в активном содействии хакерской кампании. Apple отрицает свою причастность.
Предполагаемый виновник — Агентство национальной безопасности США (АНБ) — заявило BBC News, что у него нет комментариев.
Игорь утверждает, что Касперский не согласовывал свои действия с российскими спецслужбами, и правительственный бюллетень застал их врасплох.
Некоторых в мире кибербезопасности это удивит — российское правительство, похоже, опубликовало совместное заявление с «Лабораторией Касперского» для максимального воздействия — тактика, которую западные страны все чаще используют для разоблачения хакерских кампаний и громких обвинений.
Только в прошлом месяце правительство США выступило с совместным заявлением с Microsoft — китайские правительственные хакеры были обнаружены в энергетических сетях на территории США.
За этим объявлением быстро и предсказуемо последовал хор согласия союзников Америки в киберпространстве — Великобритании, Австралии, Канады и Новой Зеландии, известных как «Пять глаз».
Ответом Китая было быстрое опровержение, заявив, что вся эта история была частью «коллективной дезинформационной кампании» стран «Пяти глаз».
Официальный представитель министерства иностранных дел Китая Мао Нин добавил к регулярному ответу Китая: «Дело в том, что Соединенные Штаты являются империей хакеров».
«Нацеливание на Китай»
Но теперь, как и россия, Китай, похоже, применяет более агрессивный подход к разоблачению западного хакерства.
Государственное новостное издание China Daily предупредило, что хакеры, поддерживаемые иностранным правительством, в настоящее время представляют собой самую большую угрозу кибербезопасности страны.
И это предупреждение пришло со статистикой китайской компании 360 Security Technology — она обнаружила «51 хакерскую организацию, нацеленную на Китай».
Компания не ответила на запросы о комментариях.
В сентябре прошлого года Китай также обвинил США во взломе финансируемого государством университета, отвечающего за программы аэронавтики и космических исследований.
‘Справедливо’
«Китай и россия постепенно поняли, что западная модель киберразоблачения невероятно эффективна, и я думаю, что мы наблюдаем сдвиг», — говорит глава Rubrik Zero Labs и бывший сотрудник киберразведки Стив Стоун.
«Я также скажу, что думаю, что это хорошо. У меня нет проблем с тем, чтобы другие страны раскрывали, что делают западные страны. Я думаю, что это честная игра, и я думаю, что это уместно».
Многие отмахиваются от обвинений китайцев в том, что США являются империей хакеров, как от преувеличения, но доля правды в этом есть.
По данным Международного института стратегических исследований (IISS), США являются единственной кибердержавой первого уровня в мире, основанной на атаке, защите и влиянии.
Второй уровень состоит из:
- Китай
- россия
- Великобритания
- Австралия
- Франция
- Израиль
- Канада
Национальный индекс кибермощи, составленный исследователями из Белферовского центра науки и международных отношений, также признает США главной кибердержавой мира.
Ведущий исследователь ежегодного издания Джулия Ву также заметила сдвиг.
«Шпионаж — обычное дело для правительств, и теперь он так часто принимает форму кибератак, но идет битва нарративов, и правительства спрашивают, кто ведет себя ответственно и безответственно в киберпространстве», — говорит она.
А составлять список хакерских групп APT и делать вид, что западных нет, — это не совсем правдивое изображение реальности, — говорит она.
«Чтение одних и тех же сообщений о хакерских атаках только с одной стороны усугубляет общее невежество», — говорит г-жа Ву.
«Общее просвещение общественности важно, потому что именно здесь в будущем будет проявляться много напряженности между государствами».
А г-жа Ву хвалит правительство Великобритании за публикацию своего первого отчета о прозрачности операций Национальной киберсилы.
«Это не супердетализация, но больше, чем в других странах», — говорит она.
«предвзятые данные»
Но отсутствие прозрачности также может быть связано с самими компаниями, занимающимися кибербезопасностью.
Стоун называет это «предвзятостью данных» — западные компании, занимающиеся кибербезопасностью, не замечают западных взломов, потому что у них нет клиентов в странах-конкурентах.
Но также может быть сознательное решение приложить меньше усилий к некоторым расследованиям.
«Я не сомневаюсь, что, вероятно, найдутся компании, способные нанести удар и скрыть то, что им известно о западной атаке», — говорит Стоун.
Но он никогда не был частью команды, которая намеренно сдерживалась.
Выгодные контракты с правительствами, такими как Великобритания или США, также являются основным источником дохода для многих компаний, занимающихся кибербезопасностью.
Как говорит один ближневосточный исследователь кибербезопасности: «Сектор разведки кибербезопасности в значительной степени представлен западными поставщиками, и на него сильно влияют интересы и потребности их клиентов».
Эксперт, пожелавший остаться неназванным, является одним из более чем дюжины добровольцев, регулярно вносящих свой вклад в APT Google Sheet — бесплатную онлайн-таблицу, в которой отслеживаются все известные случаи деятельности злоумышленников, независимо от их происхождения.
В нем есть вкладка для APT «НАТО» с такими прозвищами, как Longhorn, Snowglobe и Gossip Girl, но эксперт признает, что она довольно пуста по сравнению с вкладками для других регионов и стран.
«Меньше шума»
Он говорит, что еще одной причиной отсутствия информации о западных кибератаках может быть то, что они часто более незаметны и наносят меньший побочный ущерб.
«Западные страны склонны проводить свои кибероперации более точным и стратегическим образом, в отличие от более агрессивных и масштабных атак, характерных для таких стран, как Иран и россия», — говорит эксперт.
«В результате западные кибероперации часто производят меньше шума».
Другим аспектом отсутствия отчетности может быть доверие.
Легко отмахнуться от обвинений в хакерских атаках со стороны россии или Китая, потому что им часто не хватает доказательств.
Но западные правительства, когда они громко и регулярно указывают на это пальцем, также редко, если вообще когда-либо, предоставляют какие-либо доказательства.