Официальный взлом: почему в Москве и Киеве начинают открыто говорить о кибервойне
Большая часть кибератак, попадающих в новости, — дело рук хактивистов (хактивизм — привлечение внимания общественности к социальным и политическим вопросам при помощи кибератак. — Forbes) и групп, не связанных с государством или маскирующих такие связи. Эти участники киберконфликта заинтересованы в публичности и активно занимаются саморекламой.
Государства же обычно предпочитают действовать незаметно, основное внимание уделяя поиску и получению нужной информации, а не проведению громких акций. То есть занимаются скорее кибершпионажем, нежели кибервойной.
Однако за время российско-украинского конфликта по обе стороны отношение к режиму секретности изменилось. В последние месяцы украинские власти стали открыто брать на себя ответственность за взломы и утечки. В России таких откровений не слышно, но прежние табу на обсуждение военного использования киберпространства были сняты.
Признания украинских спецслужб
На Украине начали говорить о наступательных кибероперациях уже в конце февраля 2022 года. Тогда при активном участии министра цифрового развития Украины Михаила Федорова была образована группа под названием IT Army of Ukraine. Группа привлекала добровольцев, в том числе без каких-либо навыков, с Украины и других стран для участия в DDoS-атаках на сайты российских организаций. Со временем вокруг нее сформировались и более профессиональные группы, выбирающие мишени прицельно. В мае 2022 года IT Army of Ukraine взяла на себя ответственность за громкий взлом Rutube.
Официальная поддержка IT Army of Ukraine украинскими властями выражалась прежде всего в сфере пиара: Telegram-канал Минцифры регулярно делился постами об успехах группы, а министр Федоров в интервью рассказывал о количестве проведенных атак — за два месяца существования IT Army of Ukraine их было 660. Из расследования голландской газеты De Volkskrant следует, что к руководству группой были причастны украинские спецслужбы. Герой репортажа, голландский доброволец, утверждал, что якобы получил повышение в группе от человека из Cлужбы безопасности Украины (СБУ).
Тем не менее IT Army of Ukraine все-таки позиционировалась как гражданская инициатива. Более того, в 2022 году украинские официальные лица утверждали, что их страна не ведет наступательных киберопераций против России.
Но, начиная с октября 2023 года, Украина уже открыто взяла на себя ответственность за несколько кибератак против России.
СБУ дважды сообщила — не напрямую, но через анонимные комментарии украинским СМИ — о причастности к утечкам данных из российских организаций. В октябре речь шла о взломе базы данных Альфа-банка — банк назвал информацию о краже данных фейком. В конце ноября якобы был взломан сайт Министерства труда и социальной защиты.
В обоих случаях часть украденных данных была опубликована через каналы хакерских групп, с которыми сотрудничала СБУ (в октябре KibOrg и NLB, в ноябре BLACKJACK). Фрагмент базы данных клиентов Альфа-банка содержал 1 млн строк, включая имена, номера телефонов, адреса электронной почты, банковские данные. В архив материалов, якобы украденных из Минтруда, попали различные внутренние документы, например отчеты о загранпоездках сотрудников и межведомственная переписка.
Другая спецслужба, Главное управление разведки (ГУР) Минобороны Украины, пошла дальше и заявила о двух своих кибероперациях официально на своем сайте. 23 ноября ГУР рассказало об операции против Росавиации, опубликовав в подтверждение несколько якобы украденных документов. А 12 декабря взяла ответственность за взлом Федеральной налоговой службы России и обслуживающей ее компании «Эд-АйТи». Причем на этот раз, согласно украинской спецслужбе, речь шла не о похищении данных, а об уничтожении инфраструктуры ФНС — якобы были стерты критически важные базы данных и их резервные копии (налоговая в тот же день опровергла информацию о взломе).
Несмотря на громкие заявления, обе операции ГУР не выглядят убедительно и, возможно, призваны достичь, скорее, информационного эффекта. Как убедились «Новые известия», приведенные ГУР свидетельства проблем в российской гражданской авиации не являются особой тайной. Что же касается атаки на инфраструктуру ФНС, то никаких подтверждений масштабного сбоя, который должна была бы вызвать деструктивная кибератака, не появилось, как и жалоб на работу налоговых сервисов.
Исключительная ответственность
Случаи, когда государства берут на себя ответственность за наступательные операции в киберпространстве, в мировой практике очень редки. США, наиболее мощная кибердержава, официально признает операцию GLOWING SYMPHONY против ИГИЛ в 2016 году. Кроме того, Дональд Трамп рассказывал, что в преддверии промежуточных выборов в Конгресс в 2018 году он санкционировал кибератаку на Агентство интернет-исследований — структуру Евгения Пригожина, причастную, по мнению американцев, к вмешательству в президентские выборы 2016 года. В 2020 году Управление радиотехнической обороны Австралии заявляло о проведении наступательных операций против киберпреступников за границей.
Декабрьское заявление ГУР вообще можно назвать беспрецедентным — случаев, когда государство официально брало на себя ответственность за разрушительную кибератаку, тем более на гражданский объект, прежде не было.
Несколько чаще о кибероперациях узнают благодаря, очевидно, намеренным утечкам в СМИ и другим сигналам. Например, летом 2022 года министр обороны Израиля Бени Ганц поручил проверить телевизионные сюжеты о посещении начальником генштаба Армии обороны Израиля Авивом Кохани подразделения радиоэлектронной разведки. В сюжет попало видео с последствиями кибератаки на иранский металлургический завод якобы организованной анонимной хакерской группой.
Российский киберпатриотизм
В России не было подобных признаний или даже комментариев источников СМИ о конкретных кибератаках. Однако нельзя не заметить, что и в российском информационном поле обсуждение противоборства в киберпространстве стало вестись более открыто. Если еще несколько лет назад от историй про русских хакеров многие отмахивались, то сегодня о возможностях военного применения цифровых технологий вполне серьезно говорят не только эксперты, но и чиновники.
На уровне стратегического планирования это отразилось в новой редакции Концепции внешней политики, утвержденной в марте 2023 года. Согласно документу (статья 26), Россия будет считать правомерным принятие симметричных и асимметричных мер в ответ на недружественные действия, угрожающие ее суверенитету и территориальной целостности и связанные в том числе «с использованием современных информационно-коммуникационных технологий». При всей бюрократической обтекаемости формулировок это, возможно, первое официальное положение, которое можно трактовать как обещание ответить кибератакой на кибератаку.
В России вновь заинтересовались созданием кибервойск — предыдущая дискуссия по этому вопросу велась почти 10 лет назад и вроде бы завершилась их формированием в 2014 году, что позднее подтверждал и министр обороны Сергей Шойгу. Но с тех пор публичных упоминаний так называемых войск информационных операций практически не было, а в 2022 году к идее вернулись уже гражданские чиновники. Создать кибервойска предложил заместитель министра промышленности и торговли Василий Шпак. В поддержку высказывались депутаты Госдумы, а в ноябре 2023-го — министр цифрового развития Максут Шадаев. По-видимому, речь не идет о каком-то конкретном предложении, но показательно само возвращение вопроса в повестку дня.
Если федеральные чиновники говорят в основном об обороне, то некоторые эксперты и законодатели идут дальше и высказываются в пользу наступательных действий в киберпространстве. Со стороны российских военных экспертов за последний год звучали предложения наносить киберудары по западным странам, развивать военный киберпотенциал, позволяющий нарушить или даже парализовать работу системы государственного и военного управления противника, проводить акции упреждающего характера за пределами национального сегмента киберпространства.
Наиболее ярко по теме наступательных операций выступил депутат Госдумы Александр Хинштейн, призвавший в октябре 2022 года нанести киберудары по объектам критической инфраструктуры Украины. Неизвестно, имел ли депутат в виду что-то конкретное, но буквально за неделю до его заявления хакерская группа, которую американская компания Mandiant связала с российской военной разведкой, якобы нарушила работу украинской электроподстанции.
Наконец, еще одним проявлением интереса к киберконфликту стала нормализация пророссийских хакерских группировок, о которых раньше не принято было говорить. Различные группы получили внимание российских СМИ, в том числе государственных информационных агентств. Депутат Дмитрий Гусев назвал российских хакеров, которые брали на себя ответственность за атаки против Украины, героями и предложил сформировать из них киберфронт. Идея патриотических хакеров понравилась и организаторам прямой линии с Владимиром Путиным — на экран с вопросами от зрителей попало предложение объединить хакеров и создать «что-то новое».
Все средства хороши
Открытое обсуждение кибервозможностей может преследовать стратегические цели. Например, угрозы российских экспертов Западу, как и закрепление в Концепции внешней политики пункта о возможном ответе на кибератаки, могут быть сигналом, который должен предостеречь США и их союзников от увеличения поддержки Украины или в целом подтолкнуть к большей сдержанности в отношении России.
С другой стороны, официальные заявления и утечки со стороны украинских спецслужб могут быть частью операции по воздействию на российское и международное общественное мнение. Так, публикация документов, якобы украденных у Росавиации, показывает проблемы в российской гражданской авиации, а значит, демонстрирует Западу эффективность санкций против России.
Однако, несмотря на разные цели Москвы и Киева, у этой новой искренности есть и схожие черты. Кибератаки — далеко на самые страшные действия, совершение которых в отношении другой стороны теперь политически одобряемо. Во многом демонстрация собственных кибервозможностей, реальных или потенциальных, рассчитана именно на внутреннюю аудиторию, повышение морального духа и подпитку патриотических чувств. Но это означает также, что такая же откровенность не потребуется, когда противостояние завершится.
Если посмотреть шире, то причиной открытости может быть и то, что киберконфликт все меньше рассматривается как экзотика. Это по-прежнему крайне закрытая и чувствительная сфера, но государства уже накопили в ней определенный опыт. Для некоторых атак используются известные уязвимости, а значит, разглашение успехов не раскроет уникальные методы. Благодаря средствам защиты жертва может уже быть в курсе, кто ее атаковал и что похитил, а значит, и у атакующего меньше оснований сохранять свою операцию в тайне.
И еще одна косвенная причина открытости — это отсутствие каких-либо испробованных механизмов привлечения виновных к ответственности. Сегодня издержки для атакующей стороны в раскрытии своей операции не очень высоки. Несмотря на четверть века переговоров, государства не выработали правила, которыми регулируется киберконфликт. Россия много лет настаивает на необходимости отдельной юридически обязывающей конвенции, однако пока ее нет — киберпространство остается Диким Западом, где действуют только добровольные нормы. Американский подход сводится к тому, что существующих норм международного права достаточно для урегулирования споров. Но и такая логика имеет свои недостатки, не пользуется универсальной поддержкой и не испытана на практике. В сухом остатке это означает, что пока государство мало что останавливает от признаний в кибератаках или угроз применить силу в киберпространстве, кроме возможности возмездия и стремления сохранить приличный вид в глазах партнеров.
Мнение редакции может не совпадать с точкой зрения автора