ИБ-эксперт Насковец: Киберкомандование прекратит атаковать РФ, а АНБ и ЦРУ — нет

Кто есть кто О приостановке наступательных кибератак на Россию со стороны США впервые было объявлено 28 февраля 2025 года. С таким заявлением со ссылкой на источники выступило интернет-издание об информационной безопасности The Record, которое является отраслевым медиа американской компании в сфере информационной безопасности Recorded Future. Опубликованная The Record информация о "киберперемирии" неоднократно опровергалась и подтверждалась крупными американскими СМИ. Самая актуальная публикация на эту тему (от 4 марта), принадлежащая агентству Associated Press, все же подтверждает версию The Record. Пентагон данные сообщения на момент выхода статьи "Газеты.Ru" не комментировал. Из материалов зарубежных СМИ следует, что с распоряжением об остановке текущих наступательных кибератак на Россию и отказа от новых выступил министр обороны США Пит Хегсет. Его директива касается только деятельности Киберкомандования США (USCYBERCOM) и не распространяется на действия других силовых структур, связанных с информационным пространством, таких как Агентство национальной безопасности (АНБ/NSA), Центральное разведывательное управление (ЦРУ/CIA) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA). "USCYBERCOM — это военное подразделение, занимающееся наступательными и оборонительными кибероперациями для США. АНБ — агентство, сосредоточенное на разработке средств и методов разведки с помощью радиоэлектронных средств. В АНБ же, например, создается сложное вредоносное ПО и уязвимости в компьютерных системах. ЦРУ — ведомство, которое работает с кибероперациями, направленными на шпионаж, саботаж и дестабилизацию общества на территории врага. На CISA — защита критической инфраструктуры США в киберпространстве: энергетика, телекоммуникации и так далее", — объяснил "Газете.Ru" руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. Он также добавил, что хотя задачи перед этими организации стоят разные, они могут сотрудничать (обмениваться информацией и технологиями) при проведении тех или иных операций. В свою очередь глава американской компании в сфере информационной безопасности CyberSoc Дмитрий Насковец отметил, что хотя в наступательных кибератаках USCYBERCOM прямо или косвенно могут участвовать все из вышеперечисленных ведомств, приостановка деятельности именно USCYBERCOM против России может иметь весьма конкретные последствия. "Прекратится широкий спектр операций. В первую очередь это касается вмешательств в работу критически важных объектов РФ, относящихся к сферам энергетики, финансов и транспорта. Военную инфраструктуру и связь тоже по идее должны оставить в покое. То есть атаки должны прекратиться на те объекты, которые обычно являются основными целями USCYBERCOM", — отметил эксперт. В то же время он подчеркнул, что АНБ и ЦРУ продолжат вести разведывательные и саботирующие атаки на Россию. Заслуги киберкомандования Несмотря на то, что факт существования в американской армии спецподразделения, которое занимается наступательными кибератаками, не скрывается, найти следы деятельности USCYBERCOM сложно. США редко признают участие в конкретных киберинцидентах на территориях других стран. По словам исследователя международных отношений в киберпространстве, экс-консультанта Российского совета по международным делам и автора Telegram-канала "Кибервойна" Олега Шакирова, кибератаки в интересах США зачастую проводят ведомства, деятельность которых засекречена, вроде АНБ и ЦРУ. Деятельность Киберкомандования тоже, по его словам, может быть засекречена, так как данное подразделение армии США имеет с АНБ общего руководителя, а также физически располагается в здании АНБ. "Насколько мне известно, ИБ-компании никогда не атрибутировали атаки Киберкомандованию, поэтому о деятельности этой структуры мы знаем только с ее слов. Самый известный пример операции USCYBERCOM в России — это атака на структуры Евгения Пригожина в преддверии и во время промежуточных выборов в конгресс США в 2018 году. После скандала с выборами 2016 года в Киберкомандовании была создана группа, которая специализировалась на России (Russia Small Group), и ведомство стремилось показать, что оно может дать отпор российским киберугрозам", — сказал Шакиров. Такую киберугрозу, отметил он, в Киберкомандавании видели в так называемой "фабрике троллей", приписываемой Пригожину. В США считали, что фабрика может повлиять на общественное мнение в период выборов, поэтому решили воздействовать на нее. "В октябре 2018 года Киберкомандование рассылало предполагаемым троллям предупреждения. А во время выборов Киберкомандование якобы лишило их доступа к интернету. Эту атаку подтверждало РИА ФАН, правда, уточняло, что она не увенчалась успехом. А в 2020 году Трамп официально признал, что санкционировал эту операцию", — сказал Шакиров. Кроме того, в СМИ задокументирован случай участия USCYBERCOM в ликвидации управляемого русскими хакерами ботнета TrickBot. Еще, по данным The Washington Post, Киберкомандование атаковало инфраструктуру действующей с территории России хакерской группировки REvil. "Детали этих операций неизвестны, нельзя наверняка сказать, была ли затронута инфраструктура на территории России — вполне возможно, что были взломаны серверы, которые злоумышленники арендовали в других странах", — заявил Шакиров. Он добавил, что USCYBERCOM неоднократно публиковало образцы вредоносного кода, который якобы используется спецслужбами России. Эксперт считает, что подобные образцы могли быть добыты как и из американских компаний, которые были атакованы якобы российскими спецслужбами, так и в результате атак Киберкомандования на инфраструктуру спецслужб России. Стоит отметить, что целью USCYBERCOM в разное время становилась не только Россия. Так, например, в 2016 году данное подразделение американской армии провело спецоперацию Glowing Symphony, направленную против ИГИЛ. Одной из ключевых целей Glowing Symphony был взлом соцсетей лидеров ИГИЛ для ослабления пропаганды террористической организации. В 2019 году, по данным американских СМИ, USCYBERCOM атаковало системы управления ракетами и ракетными пусками Ирана. Служебные хакеры Заслуги Киберкомандования США в контексте атак на Россию довольно скромны. Во всяком случае те, о которых известно публично. Однако, если верить словам секретаря Совбеза России Николая Патрушева, USCYBERCOM проводит атаки на РФ и не публично — под флагами других государств и при помощи сторонних специалистов. "Киберкомандование Пентагона, Агентство по национальной безопасности и Центр передового опыта НАТО по киберзащите в Таллине осуществляют планирование и направляют информационные атаки под украинским флагом на критическую информационную инфраструктуру нашей страны. К таким атакам активно привлекаются американскими спецслужбами украинские хакерские группировки", — сказал Патрушев в 2023 году на встрече с представителями БРИКС. К тому же, как было отмечено выше, USCYBERCOM — лишь один из нескольких инструментов, которыми американцы орудуют в международном киберпространстве. Взять, например, упомянутое Патрушевым АНБ, которое тесно связано с Киберкомандованием США. Компании в сфере информационной безопасности, включая "Лабораторию Касперского", неоднократно связывали с АНБ как минимум одну хакерскую группировку — Equation Group. При этом из отчета той же "Лаборатории Касперского" от 2015 года следует, что жертвами обсуждаемой группировки в разное время становились предприятия в более чем 30 странах, включая Россию. "Equation Group — это очень сложная организация, создающая угрозы, которая участвовала в многочисленных операциях по эксплуатации компьютерных сетей, начиная с 2001 года или, возможно, даже с 1996 года. Equation Group использует множество видов вредоносного ПО, некоторые из которых по сложности и изощренности превосходят другие хорошо известные угрозы. Equation Group, вероятно, является одной из самых изощренных атакующих групп в мире. Также она является наиболее продвинутой группой из тех, которые мы когда-либо видели", — отметили тогда в "Лаборатории Касперского". Из отчета российской компании следует, что основной род деятельности Equation Group — кража информации. Причем информации, которая после используется в более агрессивных кибератаках. Например, в "Лаборатории Касперского" выяснили, что Equation Group сотрудничала с группой Stuxnet, которая известна атакой на иранский завод по обогащению урана в Натанзе, существенно отбросившей программу ядерного оружия Ирана назад. При этом Stuxnet, также как и Equation Group, связывается некоторыми экспертами по кибербезопасности с АНБ. "Кибератаки могут спонсироваться государствами, а могут быть финансово мотивированными. Атрибуция кибератак какой-либо стране — сложный процесс. Мы можем по техническим особенностям в коде вредоносной программы понять, на каком языке говорят злоумышленники. Однако это не всегда работает, особенно, когда используются международные языки, к которым относится английский", — сказал "Газете.Ru" руководитель Kaspersky GReAT в России Дмитрий Галов в ответ на вопрос о деятельности американских хакерских групп. Вместе с тем Галов не стал проводить связь АНБ с Equation и Stuxnet, но отметил, что "за ними могут стоять англоговорящие злоумышленники". В анонимной беседе с "Газетой.Ru" эксперт одной из американских ИБ-компаний также подтвердил, что американские спецслужбы атакуют Россию, но делают это осторожно, так как "не ищут эскалации и не хотят давать поводов для начала третьей мировой войны". "США любят работать чужими руками. Например, на Украине уже лет 10 работают специалисты CrowdStrike и ИБ-подразделения Microsoft. Они собирают телеметрию со всех государственных машин и с их помощью видят каждый шаг России в киберпространстве. Это позволяет составлять четкую картину о наступательных действиях России в цифровом пространстве. В большинстве случаев такая помощь предоставляется Украине бесплатно. Точнее — взамен на то, что украинские хакеры будут атаковать РФ", — сказал эксперт. Он подчеркнул, что в плане наступательных операций "США любят работать чужими руками". Конкретные примеры такой работы специалист не привел, но рекомендовал обратить внимание на серию документов Vault 7, опубликованных WikiLeaks в 2017 году. В Vault 7 говорится о том, что ЦРУ и АНБ активно разрабатывают и используют средства для взлома устройств и проведения кибератак как против других стран, так и внутри США. Американские спецслужбы как сами разрабатывают вредоносное ПО, так и пользуются чужими. По данным WikiLeaks, в распоряжении ЦРУ имеется архив UMBRAGE, в котором хранятся образцы вирусов других хакеров, включая русскоязычных, а также методологии их использования. "С помощью UMBRAGE и связанных с ним проектов ЦРУ не только увеличивает общее количество типов атак, но и вводит в заблуждение [исследователей информационной безопасности], оставляя "отпечатки пальцев" групп, у которых были украдены методы атак. ЦРУ крадет чужие вирусы и использует их в атаках под чужим флагом", — гласит отчет WikiLeaks. Примечательно, что конкретно версия об использовании UMBRAGE для атак под чужим флагом, во многих зарубежных СМИ в итоге была подана как теория заговора. Тем не менее значительно позже — в феврале 2024 года — в США к 40 годам заключения за шпионаж был приговорен бывший инженер-программист ЦРУ Джошуа Шульте, который и передал WikiLeaks информацию о средствах ведения кибервойн американскими спецслужбами. Косвенно факт приговора Шульте только подтверждает правдивость заявлений WikiLeaks о функциях UMBRAGE. "Если вы читаете про кибератаки из Северной Кореи и России, то большинство из них — это американцы, французы или британцы", — заключил эксперт по информационный безопасности, который предпочел не раскрывать свою личность.