«ГРУ или ФСБ не станут использовать собственные активы, которые можно отследить: это будет считаться актом войны», — сказал OCCRP Джон Ди Маджо, главный стратег в области безопасности сервиса Analyst1.
Вполне вероятно, что Москва будет привлекать банды хакеров-вымогателей и другие преступные сети к разрушительным кампаниям против важнейших секторов: финансового, энергетического, здравоохранения и коммуникаций.
«Преступный аспект предоставляет им идеальное прикрытие и обеспечивает правдоподобное отрицание, — говорит Ди Маджо. — Я твердо верю, что так все и будет: они привлекут к работе преступные организации».
В апреле разведывательный альянс «Пять глаз» сообщил, что Кремль «рассматривает варианты потенциальных кибератак», и призвал «защитников критической инфраструктуры подготовиться и смягчить потенциальные риски» на фоне российского вторжения в Украину.
Представители альянса сообщили, что атаки на критические сферы могут стать ответом на беспрецедентные международные санкции против путинского режима и материальную поддержку Украине со стороны западных правительств.
Гэвин Уайлд, старший сотрудник Фонда Карнеги за международный мир, говорит, что самое разрушительное кибероружие остается в исключительной собственности российского правительства, однако у Кремля есть «все причины» мобилизовать преступные группы — отчасти из-за дополнительного хаоса, который они создают.
«Когда работают подобные посредники, возникает много вопросов: это новая группировка или старая под другим названием? В этом случае страна-мишень тратит куда больше ресурсов, нежели когда видна более четкая связь с правительством», — объяснил он.
Многие считают российский рынок преступных киберуслуг одним из самых сильных в мире. «Они годами совершенствовали бизнес по взлому систем, — говорит Джон Хульквист, вице-президент Mandiant Threat Intelligence. — Представьте: в вашем распоряжении есть бандиты, которые очень и очень хороши в своем деле».
Хульквист отмечает, что в России органы, отвечающие за борьбу с киберпреступниками, также контролируют разведку в этой сфере, а значит, у них «имеется пул талантливых лиц, которых они могут в любой момент привлечь к работе».
«В некоторых случаях вариантов немного: сотрудничество со спецслужбами или тюрьма», — добавил он.
У Москвы есть и финансовые причины обратиться к преступникам. В зависимости от характера взаимоотношений с силовыми структурами иногда подобные посредники не требуют финансирования, а успешные атаки с использованием программ-вымогателей обеспечивают приток капитала в то время, когда Россия все больше изолируется от мировой экономики.
«Позволяя российскому киберпреступному сообществу расширяться, Кремль привлекает в Россию деньги и создает масштабную сеть хакеров, которых можно при необходимости использовать в своих цлеях. При этом постоянно контролировать и финансировать их не обязательно», — считает Джастин Шерман, зарубежный сотрудник инициативы по кибербезопасности Атлантического совета.
Как сообщал ранее OCCRP, более половины специалистов из области энергетики считают, что кибератаки в этой сфере приведут к человеческим жертвам, а также нанесут значительный ущерб имуществу и окружающей среде. Это показал опрос DNV, норвежской компании по управлению рисками.
Уайлд объяснил, что защиты требуют не только ИТ-системы предприятий этой области, но и зачастую гораздо более уязвимые технологии, необходимые для обеспечения различных функций подконтрольной им инфраструктуры.
«Речь идет о программах, которые непосредственно вращают шестерни. В отличие от ИТ-систем такие вещи граничат с физическим пространством, поэтому цепная реакция может быть катастрофической», — говорит он.
Среди потенциальных целей не только промышленные системы. Хульквист отмечает, что цепочки поставок в значительной степени зависят от сложных транспортных и логистических систем. По его словам, «если они начнут рушиться, может сложиться ситуация, которая отразится на всей экономике».
Гибридная война — важная часть российского наступления: согласно апрельскому отчету Microsoft, с начала вторжения в Украину не менее шести группировок по указу правительства провели 240 киберопераций против государственных и частных организаций.
Однако всплеск вредоносной и разрушительной деятельности отмечают и в других странах — во многих случаях причастны преступные банды, которые подозревают в связях с Кремлем.
Восьмого мая Коста-Рика объявила чрезвычайное положение: хакеры-вымогатели группы Conti несколько недель атаковали госучреждения, в том числе больницы и поликлиники.
Преступники пообещали вернуть украденные из Минфина данные за 10 миллионов долларов, однако позже опубликовали информацию в интернете и запросили вдвое больше, угрожая попыткой свергнуть правительство.
Хакеры из Killnet проводят многочисленные DDoS-атаки в Румынии, Молдове, Чехии и Италии — одну они устроили во время проходившего в Турине Евровидения, от участия в котором Россию отстранили.
В открытом доступе мало информации, подтверждающей киберпреступных групп с Россией. Тем не менее, по словам исследователей, данных более чем достаточно, чтобы предположить, что более влиятельные группировки действуют с одобрения (по крайней мере непрямого) спецслужб.
«Совокупность косвенных доказательств указывает на то, что преступники действуют если не с молчаливого согласия, то, может, даже в сотрудничестве с российскими спецслужбами», — сказал Уайлд.
Evil Corp — возможно, одна из самых известных групп киберпреступников в мире — использует вредоносные программы для кражи банковских данных; преступники похитили более ста миллионов долларов у предприятий и их клиентов.
В Минфине США утверждают, что с 2017 года предполагаемый лидер группировки Максим Якубец работает на ФСБ — по некоторым данным, его тесть ранее занимал в спецслужбе высокую должность.
Между тем в февральской утечке с одного из внутренних серверов Conti содержится переписка членов банды, которые обсуждали повседневную деятельность группировки. Они в том числе упоминали Литейный проспект в Санкт-Петербурге, где расположено местное управление ФСБ.
Ди Маджо и Уайлд считают возвращение банды хакеров-вымогателей REvil показательным примером. С 2019 года группировка провела в США ряд крупных атак, в том числе пытаясь шантажировать таких публичных персон, как тогдашний президент Дональд Трамп, Брюс Спрингстин и Мадонна.
В прошлом июне в Женеве прошел американо-российский саммит, на котором американский президент Джо Байден обратился к Владимиру Путину и выразил беспокойство насчет деятельности банды. После этого ФСБ арестовала более десятка членов синдиката. Тем не менее специалисты по безопасности подтвердили, что REvil возобновила деятельность в апреле этого года.
Тем временем российские власти отказываются выдвигать обвинения в атаках на американские предприятия — на этом фоне на преступных интернет-форумах поговаривают, что группировка работает на спецслужбы.
«Для меня тот факт, что REvil не предъявляют обвинений, выглядит как потенциальный сигнал о том, что в этом противостоянии маски сброшены», — сказал Уайлд.