Хакерские атаки всерьез взбудоражили американский Конгресс
Как пишет mk.ru, Конгресс США вдруг увидел виртуальную угрозу: хакеры атакуют! И вынес свою тревогу на всеобщее обсуждение. Кто и как напал на Америку — об этом рассказывает доктор юридических наук, заслуженный юрист России, заведующий кафедрой международного права РГСУ профессор Юрий Жданов.
– Что, Соединенные Штаты действительно подвергаются столь опасным и массированным кибератакам, что даже Конгресс был вынужден заслушать доклад и выступления по поводу частоты, типов и последствий различных киберинцидентов?
– Американцы болезненно реагируют на деятельность хакеров. Они считают, что киберинциденты затрагивают практически все государственные структуры, от федеральных и региональных правительственных учреждений до частных компаний и отдельных лиц. Было проведено межведомственное расследование видов онлайн-деятельности противников, совершающих атаки, и способов их идентификации, результатом которого стал представленный Конгрессу отчет.
– Данные каких ведомств использованы в этом отчете? Кто его готовил?
– В основном использовалась информация CRS – налоговой организации (деньги в США – святое), по которой тоже осуществлялись атаки. А уже CRS искала публичные заявления на веб-сайтах правительства США, принадлежащих Пентагону, Министерству внутренней безопасности, Министерству юстиции, Управлению директора национальной разведки (ODNI) и Агентству по кибербезопасности и защите инфраструктуры (CISA). Это – создатели отчета.
Результаты расследования, как подчеркнуто в отчете, отражают понимание ответственных лиц в сфере кибербезопасности и юриспруденции, но не должны рассматриваться как исчерпывающие (что странно: есть сомнения в полноте и достоверности предоставленной Конгрессу информации?).
На веб-сайте Министерства юстиции публикуются только пресс-релизы с 2009 года, что ограничивает количество доступных для поиска пресс-релизов и обвинительных заключений. Могут существовать дополнительные обвинительные заключения, которые не были опубликованы, но рассекречены и доступны в базах данных судебных разбирательств. Эти документы недоступны для поиска в открытом доступе в интернете и, следовательно, не включены в эти результаты. Кроме того, государственные должностные лица могут приписывать конкретную кампанию государственному субъекту или преступной группе, но не предоставили доказательств или подтверждающей информации (например, список жертв или имя конкретного субъекта в стране). Такие случаи не включены в этот список.
Кстати, для облегчения понимания Конгрессом самой сути кибератак в отчете описывается установление авторства в киберпространстве, степень достоверности установления авторства и распространенные типы кибератак. Выделены две категории кибератак со стороны иностранных противников против организаций в Соединенных Штатах: кибератаки, которые федеральное правительство приписало субъектам, действующим от имени государств, и кибератаки, которые правительство приписало преступным группировкам, стремящимся к личной выгоде.
– Есть разница?
– По мнению американских специалистов – есть, и существенная. Установление авторства кибератак — сложная, но не невозможная задача. Официальные лица стремятся получить полное представление о кибер-инциденте не только от жертвы, но и путем сопоставления этой информации с другими доказательствами из государственного и частного секторов, чтобы сделать вывод об авторстве. И это – нормальная мировая практика.
Существует процесс, позволяющий неоднократно и последовательно устанавливать авторство и уровень уверенности в нем. И это несмотря на то, что противники предпринимают шаги, чтобы осложнить эти усилия, скрывая и удаляя любые следы своей деятельности, а также используя новую инфраструктуру, затрудняющую отслеживание кампаний атак.
Авторы отчета считают, что государства являются одними из наиболее изощренных субъектов, осуществляющих кибератаки. Поэтому директор национальной разведки обязан ежегодно представлять Конгрессу со стороны разведывательного сообщества оценку угроз в глобальном масштабе. Кстати, нынешний директор национальной разведки, Тулси Габбард, объявила о своей отставке. Не сошлась в позициях с администрацией Трампа. Возможно, этот доклад об угрозах – последний с ее стороны.
***
– Позвольте угадаю, кто представляет для США наибольшую опасность. Неужели опять Россия?
– В том числе. В отчете сказано, что ведущими субъектами угроз являются Китай, Россия, Корейская Народно-Демократическая Республика и Иран.
– Даже не удивлен. Что этим «субъектам» вменяется в вину?
– В отчете есть перечень провинностей. Атаки из этих стран включают в себя шпионаж за государственными учреждениями путем доступа к компьютерам государственных и частных организаций, кражу у них конфиденциальной информации, кражу интеллектуальной собственности и уничтожение или потенциальное уничтожение компьютерного оборудования. Государства-противники также могут направлять частные организации или преступные группы для осуществления атак в целях достижения целей своих стран. В общем, ничего нового.
– Приводятся ли примеры «государственных» атак?
– В отчете перечислены отдельные кибератаки на Соединенные Штаты в период с 2012-го по 2025 год, совершенные, по мнению властей, каким-то государством или государственными субъектами, действующими от имени страны. Целью атак были университеты, аналитические центры, оборонные подрядчики и аэрокосмические компании с целью кражи конфиденциальных данных, в том числе интеллектуальной собственности, связанной с технологией турбовентиляторных двигателей.
– Что вменяется конкретно?
– Например, Министерство юстиции США 19 мая 2014 г. в своем пресс-релизе заявило: «США предъявляют обвинения пяти китайским военным хакерам в кибершпионаже против американских корпораций и профсоюзной организации в целях получения коммерческой выгоды».
Опять же, 30 октября 2018 г. все то же Минюст США утверждал: «Китайские разведчики и завербованные ими хакеры и инсайдеры годами сговаривались красть конфиденциальные данные коммерческой авиации и технологические данные».
Кибершпионов обвиняют во взломе компьютеров американских производителей с целью кражи конфиденциальной информации в интересах китайских государственных предприятий, в кибершпионаже против американского разведывательного сообщества.
– Не удивлюсь, что есть и пресловутый российский след?
– Российский след - избитая тема. Привычным стал рефрен: российский агент похитил кибер-инструменты, используемые разведывательными службами, и продал их российскому правительству, размещал в интернете рекламные объявления, содержащие вредоносное ПО, а группа злоумышленников, занимающаяся распространением программ-вымогателей в интересах российских спецслужб, повредила данные более чем 1000 организациям и украла более 16 миллионов долларов.
Более того, 29 октября 2025 г. Министерство юстиции США заявило: «Бывший генеральный директор американского оборонного подрядчика признал себя виновным в продаже украденных коммерческих секретов российскому брокеру».
Напомню, Россию обвиняли и в краже технологии производства вакцин против ковида-19, и в фальсификации результатов президентских выборов в США, когда победил Дональд Трамп, да и во многом еще чего.
– Сложившаяся и очень выгодная позиция – во всех своих неудачах – действительных и мнимых, - винить Россию и лично президента Путина. Удобно. Что говорится в отчете о «вольных», так сказать, хакерах?
– Авторы отчета констатируют, что киберпреступники располагают меньшими ресурсами, чем государственные структуры (что и так очевидно), и реже используют новые и передовые методы в своих кампаниях. Однако их атаки часто оказываются весьма эффективными. Большинство преступников преследуют финансовые цели и используют киберпространство как средство для осуществления схем получения прибыли (вот уж не удивили своими выводами! – Ю.Ж).
Однако быстрое получение денег не является обязательным условием. То есть, ради большого куша можно подождать. Кибератаки на жертв в Соединенных Штатах со стороны субъектов, находящихся за рубежом, включают в себя взлом компьютеров для создания и поддержания ботнетов, схемы компрометации корпоративной электронной почты, кампании по взлому, а также атаки программ-вымогателей.
– Как предполагается решать эту проблему?
– При рассмотрении Конгрессом вариантов сдерживания в обсуждении предлагается учитывать три фактора: знание известных противников, типы деятельности, которую они осуществляют в интернете, и способы их идентификации правительством США. Обладая этой информацией, политики могут лучше понять риски, с которыми сталкивается страна и отдельные сектора.
В отчете описываются отдельные кибератаки на организации в Соединенных Штатах, которые были обнаружены или прекращены в течение последнего десятилетия (даже если эта активность наблюдалась и раньше), и содержится информация о заявлениях об авторстве в киберпространстве, уверенности в авторстве и распространенных типах кибератак.
***
– Каков алгоритм расследования кибератак?
– Сначала следователи изучают характеристики самого события, такие как методы, используемые противником (т. е. техники, тактика и процедуры, применяемые для осуществления атаки), любое используемое вредоносное ПО (т. е. тип программного обеспечения, которое использовало уязвимость для доступа) и особенности атаки (например, регистрация нажатий клавиш или шифрование данных).
Затем следователи стремятся обнаружить инфраструктуру, используемую для осуществления атаки (например, серверы управления и контроля, взаимодействующие с вредоносным ПО). Обычно эту информацию объединяют с анализом государственных органов и отраслевых организаций относительно намерений злоумышленника (например, причины выбора конкретной жертвы в качестве цели) и информацией из внешних источников (например, отчеты компаний по кибербезопасности, анализ аналитических центров и новостных СМИ). При анализе этой информации следователи стремятся минимизировать человеческие ошибки, подтвердить гипотезы из различных источников и рассмотреть конкурирующие теории атрибуции. Наконец, следователи обычно предоставляют свою оценку и уровень достоверности.
Есть три уровня такой достоверности. Высокая степень уверенности отражает оценку, согласно которой следователи, вне всякого разумного (!) сомнения и при отсутствии жизнеспособной альтернативы, считают, что приписываемая сторона несет ответственность за нападение.
Умеренная степень уверенности означает, что следователи считают доказательства ясными и убедительными, но возможны и альтернативные варианты.
Низкая степень уверенности используется в случаях, когда доказательства указывают на конкретного участника событий, но при этом имеются существенные пробелы в информации.
Несмотря на наличие процесса определения авторства и системы для выражения уверенности в таком утверждении, разработка обоснованного заявления об авторстве остается сложной задачей. Например, опытные злоумышленники продолжают разрабатывать и внедрять новые методы и создавать новую инфраструктуру для различных атак, что может затруднить отслеживание известной активности от одной атаки к другой. Кроме того, они, как правило, стремятся замаскировать свою деятельность под легитимную и удалить записи о своих действиях в сети.
– Что является решающим в установлении авторства кибератаки?
– Источник информации. Утверждения об авторстве встречаются в самых разных источниках. Авторитетность этих источников находится в широком диапазоне. Наивысший уровень авторитетности имеют первичные источники, за ними следуют вторичные источники, предполагаемые источники и, наконец, наименее авторитетные предположения.
– Как их различить?
– Увы, методы Шерлока Холмса, Эркюля Пуаро или Жеглова тут не всегда работают – действия происходят в виртуальной реальности. И, что еще запутаннее, - в сфере американской бюрократии. Попробуйте разберитесь.
Так, к первичным источникам относятся заявления государственных органов США. Наиболее авторитетным является решение суда, признавшего виновным лицо в совершении атаки — обычно в нарушении Закона о компьютерном мошенничестве и злоупотреблениях или Закона об экономическом шпионаже.
Обвинительное заключение большого жюри имеет несколько меньшую авторитетность. Официальное заявление госчиновника (например, пресс-конференция советника по национальной безопасности), указывающее на причастность того или иного лица или субъекта), является наименее авторитетным из первичных источников. Доказательства того, почему первичный источник считает, что определенное лицо несет ответственность за атаку, обычно включаются в общедоступные документы вместе с заявлением и могут быть дополнительно изучены (например, рассекреченное обвинительное заключение).
К вторичным источникам относятся заявления неправительственных организаций. Эти заявления часто исходят от компаний, занимающихся кибербезопасностью, которые публикуют результаты исследований противника или кампании атак. Как правило, эти заявления включают исследования методов ведения боевых действий, вредоносного ПО, инфраструктуры и намерений кампании или атаки. Вторичные источники обычно содержат доказательства в поддержку своих заявлений.
– Но ведь частные организации обычно не имеют доступа к секретной государственной информации, например, к данным радиоэлектронной разведки. Не вызовет ли сомнение заявление частной организации, обвиняющей кого-то в причастности к кибератаке, например, Китай или Россию?
– Такое вполне может быть. Поэтому компании, занимающиеся кибербезопасностью, как правило, избегают обвинять в таких атаках конкретные государства. Вместо этого компания приписывает атаку группе субъектов, за которыми она следит. Эти группы субъектов иногда называют продвинутой постоянной угрозой (APT) или используют кодовое название для исследований компании.
В качестве предполагаемых источников преимущественно выступают заявления, опубликованные ведущими средствами массовой информации. Эти заявления часто приписываются неназванным государственным чиновникам и подтверждаются другими первичными или вторичными источниками. Однако эти заявления невозможно проверить иным независимым способом.
Догадки включают в себя утверждения жертв о том, что за нападение ответственна определенная сторона, или заявления в социальных сетях об их причастности. Эти заявления редко подкрепляются доказательствами или содержат анализ.
– В общем, как-то все зыбко и сомнительно. Какие типы атак обрисованы в отчете?
– В основном используются привычные стереотипы. Так, кибератака — это термин, обозначающий различные вредоносные действия против информационных и коммуникационных технологий. Есть и более конкретные формулировки.
Ботнет («робот» плюс «сеть») – понятие, обозначающее совокупность компьютеров, контроль над которыми был захвачен одной или несколькими неавторизованными сторонами. После того, как хакер получает контроль над отдельным компьютером, он может подключить его к другим компьютерам, находящимся под его контролем, чтобы создать пул вычислительных ресурсов. Ботнеты используются для дальнейшей незаконной деятельности в Сети, такой как распространение вредоносного ПО и скрытая добыча криптовалюты.
Еще практикуется взлом корпоративной электронной почты - мошенническая схема, при которой злоумышленник создает адрес электронной почты (обычно высокопоставленного сотрудника организации) и изменяет идентификационную информацию этого адреса, чтобы создать впечатление, что он отправлен от имени организации (например, меняет имя, связанное с адресом электронной почты). Как правило, мошенники затем отправляют электронные письма сотрудникам организации с просьбой о срочном переводе средств. Иногда это делается под видом оплаты просроченных счетов. Однако, счета являются фейковыми, а счета, на которые должны быть переведены средства, принадлежат мошенникам.
– А, то есть еще DOS и DDOS...
– Да, это атака типа «отказ в обслуживании» (DOS) или распределенная атака типа «отказ в обслуживании» (DDOS). Они препятствуют авторизованному пользователю получить доступ, например, к веб-сайту, перегружая этот ресурс несанкционированными запросами. Скажем, большим количеством запросов на загрузку веб-страницы, чем он рассчитан.
Еще вариант - взлом и утечка данных. Это когда неуполномоченное, скажем так, лицо получает доступ к хранилищу конфиденциальных данных и похищает эти данные. Получив контроль над конфиденциальными данными, злоумышленник либо публикует их, пытаясь дискредитировать жертву, либо связывается с жертвой и требует выкуп за неразглашение данных.
***
– В России преступники применяют такой прием как фишинг. В отчете для Конгресса США он упоминается?
– Безусловно, его не обошли американские спецслужбы. Речь идет об атаке, цель которой — получить доступ к системе, обманом заставив авторизованных пользователей взаимодействовать с вредоносным компьютерным кодом. Часто эта атака осуществляется путем объединения электронного письма, использующего методы социальной инженерии. То есть, это попытка манипулировать кем-либо, чтобы заставить его раскрыть информацию или совершить какое-либо действие, с вредоносной веб-ссылкой или вложением. При переходе по веб-ссылке или открытии вложения, устройство загружает и запускает вредоносное ПО.
Применяется и целевой фишинг: атака, при которой целью становится конкретный человек или конкретная группа лиц. Если цель взаимодействует с сообщением, например, открывает вложение в электронном письме или переходит по ссылке в личном сообщении, то на ее устройстве может быть установлено вредоносное ПО, позволяющее злоумышленнику продолжить свою кампанию.
Любопытен термин «вальвертизинг», это тоже атака, которая использует онлайн-рекламные сети для распространения вредоносного ПО и компрометации компьютерных систем. Злоумышленники покупают рекламное место и внедряют вредоносное ПО в эти объявления, стремясь легко распространить его в интернете. Когда пользователь посещает сайт, ему показывают рекламу, и он может загрузить вредоносный код через вполне легитимную рекламную сеть. Если код загружается и успешно выполняется, то компьютер становится жертвой вредоносного ПО. Как правило, ни веб-сайт, показывающий рекламу, ни рекламные сети не знают о распространении вредоносного кода.
– Юрий Николаевич, а что понимается под определением вредоносного или вымогательского программного обеспечения?
– В отчете Конгрессу есть трактовка вредоносного ПО – malware (от слов «вредоносный» (malicious) и «программное обеспечение» (software)). Относится это к программному обеспечению и микропрограммам, преднамеренно добавляемым в ИТ-продукт и предназначенным для нанесения вреда ИТ-продукту или его данным. Существует множество способов добавления вредоносного ПО в продукт, например, через вставленный USB-накопитель или загруженный из интернета.
А родственное понятие «вымогательское ПО» связано с атаками вымогательских программ, направленных на то, чтобы лишить пользователей доступа к данным и ИТ-системам путем шифрования файлов и систем, тем самым блокируя доступ. Злоумышленники обычно вымогают у жертв деньги, как правило, в криптовалюте, за расшифровку системы. В последнее время такие атаки стали сочетаться с утечками данных, в результате которых злоумышленники также крадут данные у своих жертв. Помимо блокировки компьютерных систем, злоумышленники обычно уведомляют жертвы о том, что у них есть копии их данных, и объявят о раскрытии конфиденциальной информации, если не будет выплачен выкуп, потенциально вымогая деньги дважды. Тройное вымогательство может произойти, если злоумышленники связываются с клиентами компании, чтобы сообщить им об атаке, пытаясь оказать давление на жертву, чтобы она заплатила выкуп или рисковала нанести ущерб будущим перспективам бизнеса.
В отчете Конгрессу трактуется и атака типа «человек посередине». В данном случае злоумышленник пытается внедриться между двумя компьютерами, чтобы получить доступ к обмену данными между ними, обычно с целью прослушивания разговоров между пользователями этих компьютеров. Либо напрямую, либо путем перехвата ключей шифрования для расшифровки зашифрованного текста.
– Есть ли нападения на логистические схемы?
– Обязательно. Весьма распространены атаки на цепочку поставок, при которых злоумышленник внедряет несанкционированный физический или программный компонент в продукт с целью скрытого доступа к данным или манипулирования системой. Такие атаки могут происходить на любом этапе жизненного цикла продукта, например, разработка, отгрузка или обновление.
В отчете особо оговаривается так называемая атака нулевого дня - атака, использующая ранее неизвестную уязвимость в ИТ-продукте. Этот тип нападения особенно опасен, поскольку до тех пор, пока оно не будет обнаружена, обычно нет защиты от него. Иногда эту атаку пишут как «0-Day», а иногда произносят как «о-дей».
– Известно, что подобные слушания о киберугрозах проводятся в Конгрессе США с завидной регулярностью – то раз в два года, то ежегодно, а, случается, и несколько раз в год – в зависимости от политической ситуации. Почему это происходит, в чем смысл?
– Смысл, как всегда, в деньгах – это самое нежное место у англосаксов. На борьбу с хакерами (как правило – с российскими) Белый дом у Конгресса США всегда просил деньги, рассказывая о всяких ужастиках. Так, в 2016 году на слушаниях в Конгрессе было объявлено, что ущерб от кибератак составил 109 млрд долларов (не исключено, что сумма явно завышенная). Поэтому и просьбы о субсидировании все эти годы кибербезопасности варьировались от 10 – 40 миллионов до 1,9 – 15 млрд долларов.
Аппетиты растут. Посмотрим, сколько запросит американская администрация на этот раз после рассмотрения Конгрессом своего отчета.
Автор: Андрей Яшлавский
Фото // Annette Riedl / dpa / Global Look Press ©