«США любят работать чужими руками». Как Россию атакуют в киберпространстве

ИБ-эксперт Насковец: Киберкомандование прекратит атаковать РФ, а АНБ и ЦРУ — нет

Пентагон распорядился прекратить текущие кибератаки на Россию, а также не планировать новые. Действия США в киберпространстве — одна из самых таинственных тем в контексте информационной безопасности (ИБ). Все знают про русских, китайских и северокорейских хакеров, но мало кто слышал и говорит про американских. «Газета.Ru» опросила ИБ-экспертов и рассказывает о том, как орудует Вашингтон в киберпространстве.

Кто есть кто

О приостановке наступательных кибератак на Россию со стороны США впервые было объявлено 28 февраля 2025 года. С таким заявлением со ссылкой на источники выступило интернет-издание об информационной безопасности The Record, которое является отраслевым медиа американской компании в сфере информационной безопасности Recorded Future.

Опубликованная The Record информация о «киберперемирии» неоднократно опровергалась и подтверждалась крупными американскими СМИ. Самая актуальная публикация на эту тему (от 4 марта), принадлежащая агентству Associated Press, все же подтверждает версию The Record. Пентагон данные сообщения на момент выхода статьи «Газеты.Ru» не комментировал.

Из материалов зарубежных СМИ следует, что с распоряжением об остановке текущих наступательных кибератак на Россию и отказа от новых выступил министр обороны США Пит Хегсет. Его директива касается только деятельности Киберкомандования США (USCYBERCOM) и не распространяется на действия других силовых структур, связанных с информационным пространством, таких как Агентство национальной безопасности (АНБ/NSA), Центральное разведывательное управление (ЦРУ/CIA) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA).

«USCYBERCOM — это военное подразделение, занимающееся наступательными и оборонительными кибероперациями для США. АНБ — агентство, сосредоточенное на разработке средств и методов разведки с помощью радиоэлектронных средств. В АНБ же, например, создается сложное вредоносное ПО и уязвимости в компьютерных системах. ЦРУ — ведомство, которое работает с кибероперациями, направленными на шпионаж, саботаж и дестабилизацию общества на территории врага. На CISA — защита критической инфраструктуры США в киберпространстве: энергетика, телекоммуникации и так далее», — объяснил «Газете.Ru» руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.

Он также добавил, что хотя задачи перед этими организации стоят разные, они могут сотрудничать (обмениваться информацией и технологиями) при проведении тех или иных операций.

В свою очередь глава американской компании в сфере информационной безопасности CyberSoc Дмитрий Насковец отметил, что хотя в наступательных кибератаках USCYBERCOM прямо или косвенно могут участвовать все из вышеперечисленных ведомств, приостановка деятельности именно USCYBERCOM против России может иметь весьма конкретные последствия.

«Прекратится широкий спектр операций. В первую очередь это касается вмешательств в работу критически важных объектов РФ, относящихся к сферам энергетики, финансов и транспорта. Военную инфраструктуру и связь тоже по идее должны оставить в покое. То есть атаки должны прекратиться на те объекты, которые обычно являются основными целями USCYBERCOM», — отметил эксперт.

В то же время он подчеркнул, что АНБ и ЦРУ продолжат вести разведывательные и саботирующие атаки на Россию.

Заслуги киберкомандования

Несмотря на то, что факт существования в американской армии спецподразделения, которое занимается наступательными кибератаками, не скрывается, найти следы деятельности USCYBERCOM сложно. США редко признают участие в конкретных киберинцидентах на территориях других стран. По словам исследователя международных отношений в киберпространстве, экс-консультанта Российского совета по международным делам и автора Telegram-канала «Кибервойна» Олега Шакирова, кибератаки в интересах США зачастую проводят ведомства, деятельность которых засекречена, вроде АНБ и ЦРУ. Деятельность Киберкомандования тоже, по его словам, может быть засекречена, так как данное подразделение армии США имеет с АНБ общего руководителя, а также физически располагается в здании АНБ.

«Насколько мне известно, ИБ-компании никогда не атрибутировали атаки Киберкомандованию, поэтому о деятельности этой структуры мы знаем только с ее слов. Самый известный пример операции USCYBERCOM в России — это атака на структуры Евгения Пригожина в преддверии и во время промежуточных выборов в конгресс США в 2018 году. После скандала с выборами 2016 года (имеется в виду теория о вмешательстве русских хакеров в выборы президента. — «Газета.Ru») в Киберкомандовании была создана группа, которая специализировалась на России (Russia Small Group), и ведомство стремилось показать, что оно может дать отпор российским киберугрозам», — сказал Шакиров.

Такую киберугрозу, отметил он, в Киберкомандавании видели в так называемой «фабрике троллей», приписываемой Пригожину. В США считали, что фабрика может повлиять на общественное мнение в период выборов, поэтому решили воздействовать на нее.

«В октябре 2018 года Киберкомандование рассылало предполагаемым троллям предупреждения. А во время выборов Киберкомандование якобы лишило их доступа к интернету. Эту атаку подтверждало РИА ФАН, правда, уточняло, что она не увенчалась успехом. А в 2020 году Трамп официально признал, что санкционировал эту операцию», — сказал Шакиров.

Кроме того, в СМИ задокументирован случай участия USCYBERCOM в ликвидации управляемого русскими хакерами ботнета TrickBot. Еще, по данным The Washington Post, Киберкомандование атаковало инфраструктуру действующей с территории России хакерской группировки REvil.

«Детали этих операций неизвестны, нельзя наверняка сказать, была ли затронута инфраструктура на территории России — вполне возможно, что были взломаны серверы, которые злоумышленники арендовали в других странах», — заявил Шакиров. Он добавил, что USCYBERCOM неоднократно публиковало образцы вредоносного кода, который якобы используется спецслужбами России.

Эксперт считает, что подобные образцы могли быть добыты как и из американских компаний, которые были атакованы якобы российскими спецслужбами, так и в результате атак Киберкомандования на инфраструктуру спецслужб России.

Стоит отметить, что целью USCYBERCOM в разное время становилась не только Россия. Так, например, в 2016 году данное подразделение американской армии провело спецоперацию Glowing Symphony, направленную против ИГИЛ (организация запрещена в России). Одной из ключевых целей Glowing Symphony был взлом соцсетей лидеров ИГИЛ для ослабления пропаганды террористической организации. В 2019 году, по данным американских СМИ, USCYBERCOM атаковало системы управления ракетами и ракетными пусками Ирана.

Служебные хакеры

Заслуги Киберкомандования США в контексте атак на Россию довольно скромны. Во всяком случае те, о которых известно публично. Однако, если верить словам секретаря Совбеза России Николая Патрушева, USCYBERCOM проводит атаки на РФ и не публично — под флагами других государств и при помощи сторонних специалистов.

«Киберкомандование Пентагона, Агентство по национальной безопасности и Центр передового опыта НАТО по киберзащите в Таллине осуществляют планирование и направляют информационные атаки под украинским флагом на критическую информационную инфраструктуру нашей страны. К таким атакам активно привлекаются американскими спецслужбами украинские хакерские группировки», — сказал Патрушев в 2023 году на встрече с представителями БРИКС.

К тому же, как было отмечено выше, USCYBERCOM — лишь один из нескольких инструментов, которыми американцы орудуют в международном киберпространстве. Взять, например, упомянутое Патрушевым АНБ, которое тесно связано с Киберкомандованием США. Компании в сфере информационной безопасности, включая «Лабораторию Касперского», неоднократно связывали с АНБ как минимум одну хакерскую группировку — Equation Group. При этом из отчета той же «Лаборатории Касперского» от 2015 года следует, что жертвами обсуждаемой группировки в разное время становились предприятия в более чем 30 странах, включая Россию.

«Equation Group — это очень сложная организация, создающая угрозы, которая участвовала в многочисленных операциях по эксплуатации компьютерных сетей, начиная с 2001 года или, возможно, даже с 1996 года. Equation Group использует множество видов вредоносного ПО, некоторые из которых по сложности и изощренности превосходят другие хорошо известные угрозы. Equation Group, вероятно, является одной из самых изощренных атакующих групп в мире. Также она является наиболее продвинутой группой из тех, которые мы когда-либо видели», — отметили тогда в «Лаборатории Касперского».

Из отчета российской компании следует, что основной род деятельности Equation Group — кража информации. Причем информации, которая после используется в более агрессивных кибератаках. Например, в «Лаборатории Касперского» выяснили, что Equation Group сотрудничала с группой Stuxnet, которая известна атакой на иранский завод по обогащению урана в Натанзе, существенно отбросившей программу ядерного оружия Ирана назад. При этом Stuxnet, также как и Equation Group, связывается некоторыми экспертами по кибербезопасности с АНБ.

«Кибератаки могут спонсироваться государствами, а могут быть финансово мотивированными. Атрибуция кибератак какой-либо стране — сложный процесс. Мы можем по техническим особенностям в коде вредоносной программы понять, на каком языке говорят злоумышленники. Однако это не всегда работает, особенно, когда используются международные языки, к которым относится английский», — сказал «Газете.Ru» руководитель Kaspersky GReAT в России Дмитрий Галов в ответ на вопрос о деятельности американских хакерских групп.

Вместе с тем Галов не стал проводить связь АНБ с Equation и Stuxnet, но отметил, что «за ними могут стоять англоговорящие злоумышленники».

В анонимной беседе с «Газетой.Ru» эксперт одной из американских ИБ-компаний также подтвердил, что американские спецслужбы атакуют Россию, но делают это осторожно, так как «не ищут эскалации и не хотят давать поводов для начала третьей мировой войны».

«США любят работать чужими руками. Например, на Украине уже лет 10 работают специалисты CrowdStrike и ИБ-подразделения Microsoft. Они собирают телеметрию со всех государственных машин и с их помощью видят каждый шаг России в киберпространстве. Это позволяет составлять четкую картину о наступательных действиях России в цифровом пространстве. В большинстве случаев такая помощь предоставляется Украине бесплатно. Точнее — взамен на то, что украинские хакеры будут атаковать РФ», — сказал эксперт.

Он подчеркнул, что в плане наступательных операций «США любят работать чужими руками». Конкретные примеры такой работы специалист не привел, но рекомендовал обратить внимание на серию документов Vault 7, опубликованных WikiLeaks в 2017 году. В Vault 7 говорится о том, что ЦРУ и АНБ активно разрабатывают и используют средства для взлома устройств и проведения кибератак как против других стран, так и внутри США. Американские спецслужбы как сами разрабатывают вредоносное ПО, так и пользуются чужими.

По данным WikiLeaks, в распоряжении ЦРУ имеется архив UMBRAGE, в котором хранятся образцы вирусов других хакеров, включая русскоязычных, а также методологии их использования.

«С помощью UMBRAGE и связанных с ним проектов ЦРУ не только увеличивает общее количество типов атак, но и вводит в заблуждение [исследователей информационной безопасности], оставляя «отпечатки пальцев» групп, у которых были украдены методы атак. ЦРУ крадет чужие вирусы и использует их в атаках под чужим флагом», — гласит отчет WikiLeaks.

Примечательно, что конкретно версия об использовании UMBRAGE для атак под чужим флагом, во многих зарубежных СМИ в итоге была подана как теория заговора. Тем не менее значительно позже — в феврале 2024 года — в США к 40 годам заключения за шпионаж был приговорен бывший инженер-программист ЦРУ Джошуа Шульте, который и передал WikiLeaks информацию о средствах ведения кибервойн американскими спецслужбами. Косвенно факт приговора Шульте только подтверждает правдивость заявлений WikiLeaks о функциях UMBRAGE.

«Если вы читаете про кибератаки из Северной Кореи и России, то большинство из них — это американцы, французы или британцы», — заключил эксперт по информационный безопасности, который предпочел не раскрывать свою личность.

Источник