Кибервойна

Джен Истерли, глава Агентства по кибербезопасности и безопасности инфраструктуры США (CISA), как и вся команда Байдена, ушла в отставку и дала прощальное интервью Wired. Само интервью, на мой взгляд, не очень содержательное, но так или иначе фиксирует взгляд одного из ключевых лиц прошлой администрации на политику в сфере кибербезопасности и восприятие угроз.

Неожиданно интервью спровоцировало обсуждение в Телеграме. Я, в частности, увидел вот этот пост Владимира Дащенко с воспоминаниями о личном опыте общения с американцами. Но я хочу сделать несколько уточнений.

Во-первых, Владимир пишет, что CISA выросла из US ICS-CERT. Это не совсем так. US ICS-CERT был одним из подразделений внутри Министерства внутренней безопасности (DHS), а конкретно National Protection & Programs Directorate (NPPD) (см. картинку). Тут нужен небольшой экскурс в историю. DHS было создано после терактов 11 сентября 2001 года и представляло собой лоскутное одеяло из программ и команд, собранных из разных ведомств. К 2007 году под эгидой NPPD были собраны подразделения, отвечающие за защиту критической инфраструктуры от физических и киберугроз. А в 2018 году, во время первого президентсва Трампа, NPPD (вместе со всеми своими подразделениями, включая ICS-CERT) было повышено до уровня самостоятельного агентства, подведомственного DHS, — так и появилось CISA.

Во-вторых, из поста складывается впечатление, что CISA ничем кроме своей однобокости и хиповой руководительницы внимания не заслуживает. На самом деле это очень мощное ведомство, которое играет ключевую роль в формировании американской политики в сфере кибербезопасности, о некоторых инициативах я рассказывал в канале. Собственно, зачем было создано такое агентство? В США исторически была проблема с безопасностью невоенных сетей. Военными занималось Минобороны, а вот сети гражданских ведомств, не говоря уже об отраслях экономики, защищались как попало. CISA занимается координацией как раз с гражданской стороны. Например, оно выступает куратором тех секторов КИ, которые не закреплены за профильными министерствами.

В-третьих, в посте про Джен Истерли сказано, что, мол, вот такой у неё экстравагантный образ, что она не ужилась при новой администрации. Однако дело тут в другом. С созданием CISA должность главы агентства стала политической, поскольку кандидатура утверждается в Сенате. Когда меняется администрация (особенно с одной партии на другую) все политические назначенцы уходят. Исключения бывают (например, Боб Гейтс), но весьма редки.

Вообще, как я уже писал, политика в сфере кибербезопасности в США во многом сохраняет преемственность от администрации к администрации, поэтому стоит фокусироваться не на персоналиях, а на институтах, законах, программах. Например, показательно, что среди указов, отменённых Трампом, не было одной из самых последних инициатив Байдена по повышению кибербезопасности — вполне возможно, что её и реализуют в той или иной форме, поскольку она вписывается в логику американской политики и содержит разумные меры. Судя по его первому сроку, чем подход Трампа к киберпространству действительно может отличаться от предшественника, так это готовностью более свободно и демонстративно использовать наступательные возможности.

Вчера на протяжении нескольких часов по всему миру наблюдался сбой ChatGPT. Согласно журналу OpenAI, было зафиксировано два инцидента с API и ChatGPT, из-за которых суммарно у пользователей были проблемы с сервисом почти 4 часа. Но деталей в этих отчётах мало.

В российских СМИ — сначала в Mash, потом в НСН — распространилась информация, что сбой ChatGPT якобы был вызван атакой российских хакеров (назывались группы 22с, GreedyProjects и хакер с ником palach pro). В канале palach pro сообщения об атаке появились в районе 15:00 по Москве; согласно DownDetector, жалобы на работу сервиса начались примерно с 14:00 (по отчётам OpenAI, первый инцидент начался в 14:33).

В американских СМИ пока заявления про причастность российских хакеров не заметили. По отчётам OpenAI причину сбоя назвать сложно. Например, когда в ноябре 2023 OpenAI подвергся DDoS-атаки, которую проводила Anonymous Sudan, в одном из отчётов причиной сбоя была названа активность, похожая на DDoS. Но в случае других атак Anonymous Sudan в декабре 2023 и феврале 2024 в отчётах OpenAI говорилось только об ошибках.

Хорошая новость: что-то наконец подешевело. Плохая новость: это базы данных.

Участившиеся случаи утечек в российских компаниях привели к снижению их стоимости в даркнете. За 2024 год количество оригинальных баз данных на теневых форумах превысило показатели прошлого года, более 60% из них распространяется бесплатно. Но некоторые все еще стоят до $1 тыс.

https://www.kommersant.ru/doc/7445929

Судя по научным статьям и приговорам, в России приложение MOBILedit было одним из популярных инструментов, которым пользовались правоохранители для извлечения цифровых доказательств. В статье 2023 года на Хабре отмечается, что MOBILedit недоступен российским экспертам из-за санкций. При этом в более свежей статье 2024 года в «Вестнике Восточно-сибирского института МВД России» говорится: «Результаты исследования практики деятельности ОВД показывает, что наиболее популярными программными инструментами среди оперативных подразделений ОВД являются "MOBILedit" и "Мобильный криминалист"». В связи с объявлением компании Compelson нежелательной может возникнуть вопрос об использовании её продукта в России.

Очевидно, легально использовать софт от организации, чья деятельность признана нежелательной в России, могло бы повлечь ответственность как участие в деятельности этой организации. А вот пользоваться нелицензионной версией этой программы? Или приобретённой через посредника?

На прошлой неделе я предположил, что Генпрокуратура продолжит признавать западные ИБ-компании нежелательными в России, и назвал возможным кандидатом чешскую компанию Compelson, производителя программы MOBILedit для извлечения данных из телефонов и других устройств. В прошлом году российские дипломаты в ООН привели этот софт как пример продукта, предоставляемого западными компаниями Украине, который используется для перехвата переписки российских граждан.

Прогноз сбылся быстрее чем за неделю: вчера Генпрокуратура признала деятельность Compelson нежелательной в России со следующим обоснованием:

«Снабжает спецслужбы и правоохранительные органы различных государств, включая США, программным обеспечением, позволяющим получать доступ к информации на электронных устройствах, в том числе к удаленным данным, исследовать и анализировать ее. После начала СВО участники организации передали вооруженным силам и спецслужбам Украины бесплатные лицензии на программы и технические средства. С их помощью осуществляется доступ к информации, содержащейся в мобильных телефонах и смарт-часах, аккаунтах в социальных сетях и "облачных" хранилищах данных, в автоматическом режиме проводится анализ файлов, контактов, переписки, истории звонков и перемещений владельца устройства.
От имени директора организации в сети "Интернет" распространяется информация о том, что украинскими силовиками используется программное обеспечение Compelson "для защиты от России"».

Это уже третья ИБ-компания, чья деятельность признана в России нежелательной. В декабре этот статус получила американская Recorded Future, а на прошлой неделе — канадская OpenText (за деятельность приобретённой ей Micro Focus). Как я уже писал, потенциально в этот список может попасть любая ИБ-компания, сотрудничаящая с западными (прежде всего американскими) госорганами и тем более с Украиной. Вплоть до Microsoft и Google, хотя в силу их размера и популярности их продуктов в России их деятельность пока нежелательной вряд ли будут признавать. Но за счёт компаний поменьше этот список, скорее всего, будет пополняться и дальше.

Малварь? Вредоносное программное обеспечение? Боевые вирусы?

А может, всё-таки средства программно-математического воздействия (СПМВ)??

В Краснодаре из-за кибератаки некоторые городские парковки временно стали бесплатными: «Сейчас инфраструктура оператора связи — ООО «СвязьРесурс-Кубань» — не работает из-за внешней хакерской атаки. Поэтому приняли решение сделать парковки со шлагбаумами временно бесплатными». Проблема коснулась только парковок со шлагбаумами, а на остальных по-прежнему нужно платить.

Это уже не первый случай, когда действия хакеров непредвиденным образом оборачиваются для горожан бесплатной парковкой. В конце октября два дня не взималась плата за парковки в Твери. В обоих случаях парковки не были целью злоумышленников: в Твери деструктивной атаке подверглась городская администрация, а в Краснодаре под DDoS-атаку попал оператор связи (которые в целом являются одной из частых мишеней для кибератак).

С приходом Трампа прекратилась работа Комиссии по кибербезопаности (Cyber Safety Review Board, CSRB) под эгидой CISA. Действующий глава Министерства внутренней безопасности США (DHS) Бенджамин Хаффман прекратил членство участников всех консультативных органов при ведомстве, среди которых и CSRB.

Комиссия по кибербезопасности действует с 2021 года по образцу комиссий по расследованию авиакатастроф с целью не только анализа конкретной проблемы, но и формулирования более общих рекомендаций. В её состав входили представители ведомств и эксперты из частного сектора. За время своего существования CSRB выпустила отчёты по уязвимости Log4j, по атакам группировки Lapsus$, а также о компрометации почтовых ящиков Microsoft Exchange Online (о последнем я писал более развёрнуто). Очередной отчёт должен был быть посвящён атакам на американский телеком, в которых США винят китайскую группировку Salt Typhoon, но, согласно Reuters, роспуск комиссии фактически прерывает это расследование до возобновления работы CSRB. Причём, по словам одного источника, если она соберётся без прежних членов, то подготовку отчёта придётся начинать практически с нуля.

Комитет национальной безопасности не располагает информацией об атаках российских хакеров, сообщает агентство КазТАГ.

«Наряду с уполномоченными органами в рамках компетенции КНБ реализует комплекс мер для обеспечения информационной и кибербезопасности электронных ресурсов государственных органов и критически важных объектов информатизации. Имеющиеся средства национального координационного центра информационной безопасности РК и оперативные центры информационной безопасности настроены на обнаружение, блокировку и нейтрализацию работы вредоносных программ. Информацией о причастности к этим атакам российских хакеров не располагаем».

Повод для такого заявления — вышедший неделю назад отчёт Sekoia о кампании группировки UAC-0063 (которую исследователи со средней степенью уверенности связывают с APT28), нацеленной на страны Центральной Азии включая Казахстан. Новости по мотивам отчёта выпустили казахстанские СМИ (Orda, Курсив), запросив также комментарии у МИД и Министерства цифрового развития. В итоге спустя несколько дней сообщения прокомментировал КНБ.

Дональд Трамп помиловал основателя Silk Road Росса Ульбрихта

Президент США Дональд Трамп сообщил в соцсети Truth Social, что он «полностью и безоговорочно» помиловал Росса Ульбрихта — основателя закрытого в 2013 году даркнет-маркетплейса Silk Road.

https://xakep.ru/2025/01/22/ross-ulbricht-pardoned/

Кстати, канал Silent Crow, похоже, снесли из Телеграма уже во второй раз (в первый раз — после утечки данных якобы из Росреестра).

Заявление по поводу сегодняшней утечки опубликовало Минцифры. В нём предположение про подрядчика, прозвучавшее ранее от Ростелекома, превратилось в официальную версию: «Сегодня на инфраструктуру подрядчика Ростелекома была совершена хакерская атака. Она никак не затронула Госуслуги. Все данные портала находятся под надёжной защитой».

Из этого следует, что атака была совершена сегодня. При этом злоумышленники (Silent Crow) утверждают, что находились в инфраструктуре жертвы не меньше месяца. Как отмечал канал «Утечки информации», информация в слитых таблицах датируется 20.09.2024.

Также внимания заслуживает второй абзац: «Чувствительные персональные данные частных клиентов компании-подрядчика также не утекли. Упомянутые в анонимных сообщениях интернет-ресурсы не предназначены для обслуживания клиентов-физических лиц. На них не хранятся и не обрабатываются персданные».

По прочтении у вас может сложиться впечатление, что персданные не утекли — они же не хранятся и не обрабатываются на упомянутых интернет-ресурсах! Однако в действительности это не означает, что персданных там нет: дампы содержат запросы клиентов, которые могут включать ФИО, телефоны, электронную почту. Собственно, вот и персданные.

Если подлинность данных подтвердится, то Роскомнадзор окажется в странной ситуации. Скорее всего, утечка повлечёт дело об административном правонарушении по ч. 1 ст. 13.11 КоАП (не верите мне? — депутат Антон Горелкин уверен, что виновные понесут наказание), в ходе которого Роскомнадзору нужно будет обосновывать, почему утечка была (точнее, почему имела место обработка персданных в случае, не предусмотренном законодательством Российской Федерации в области персональных данных, либо обработка персданных, несовместимая с целями сбора этих данных). При том, что его материнская организация, Минцифры, с самого начала заявила, что персданных там не должно быть.

И ещё один момент. В пресс-релизе использовано слово «чувствительные», которое довольно субъективно. Например, для клиентов утечка связки ФИО и электронной почты может быть и не очень чувствительной по сравнению с гипотетической утечкой банковских данных. А вот для бизнеса утечка даже такой связки может быть вполне чувствительной, особенно с учётом увеличения штрафов за допущение утечки (которое, правда, вступит в силу только в мае).

Новая утечка от Silent Crow

Сегодня группировка Silent Crow заявила о взломе Ростелекома, сопроводив это публикацией данных, якобы похищенных с сайтов «Закупки ПАО Ростелеком» и основного сайта компании. Как отмечает канал «Утечки информации», в слитых дампах «содержится 154 тыс. уникальных адресов эл. почты и 101 тыс. уникальных номеров телефонов».

Ростелеком уже прокомментировал сообщения об утечке, назвав вероятной причиной инцидент информационной безопасности у одного из подрядчиков.

«В ответ на анонимные посты об утечке данных, приписываемой интернет-ресурсам "Ростелекома", компания сообщает, что ранее фиксировала инциденты информационной безопасности у одного из своих подрядчиков, обслуживавших данные ресурсы. Наиболее вероятно, что утечка произошла из инфраструктуры подрядчика. "Ростелеком" предпринял меры по устранению выявленных угроз. В настоящее время мы изучаем содержимое базы данных, чтобы определить, какая часть данных была скомпрометирована и относится ли она к компании. Предварительно можно сказать, что утечки особо чувствительных персональных данных не было».

При этом Ростелеком всё же рекомендовал пользователям якобы взломанных ресурсов «сбросить пароли и включить двухфакторную идентификацию, где она доступна». Также в компании уточнили, что эти ресурсы «не предназначены для обслуживания клиентов-физических лиц - там не хранятся и не обрабатывается персональные данные частных клиентов». [Переписал этот абзац, раньше тут была рекомендация от депутата Антона Немкина, но на самом деле она от Ростелекома.]

Silent Crow появилась на радаре совсем недавно: первой акцией группировки был слив данных, якобы похищенных у Росреестра, в начале января (Росреестр взлом отрицал). После этого группировка публиковала утечки, связанные, как утверждалось, с российским офисом Kia, сайтами «АльфаСтрахование-Жизнь» и «Клуб Альфа Банка».

Сразу после инаугурации Дональд Трамп издал пачку президентских указов (пока меньше половины из обещанных ста). Вот мой краткий обзор тех, которые касаются информационной безопасности.

Трамп отозвал почти 80 «вредных» президентских указов своего предшественника. Среди них прежде всего указ 2023 года о безопасном развитии и использовании искусственного интеллекта (Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence). Это ключевой и самый объёмный документ администрации Байдена по регулированию ИИ, содержащий широкий (и по-прежнему заслуживающий внимания) набор мер по обеспечению безопасности в этой области. Некоторые республиканцы критиковали этот указ за введение барьеров для инноваций. В общем, политику в сфере ИИ новая администрация во многом будет переписывать. Ещё один отменённый указ был издан всего пару недель назад и касается Бюро национального директора по кибербезопасности (Providing an Order of Succession Within the Office of the National Cyber Director). Сам этот пост был учреждён только в 2021 году Конгрессом (то есть его нельзя просто не назначать), а указ касается преемственности на случай смерти или нетрудоспособности занимающего его лица. Скорее всего, отмена указа связана с пересмотром кадровой политики, но кибердиректор сохранится.

Другой указ Трампа откладывает решение по TikTok'у на 75 дней. Приложение было заблокировано 19 января по закону с благозвучным названием PAFACA (Protecting Americans from Foreign Adversary Controlled Applications Act), одно из ключевых положений которого вступило в силу как раз в этот день. В своём указе Трамп утверждает, что это был очень неудачный тайминг, поскольку у него как у президента не осталось времени на оценку, представляет ли всё-таки TikTok достаточную угрозу для блокировки или нет. В этой связи он поручает отсрочить блокировку на два с половиной месяца, чтобы новая администрация имела возможность принять решение о дальнейшей судьбе приложения.

Ещё один указ Трампа запрещает госорганам и чиновникам оказывать воздействие на частные компании таким образом, что это ограничивает свободу слова. Под этим понимается политика предыдущей администрации по взаимодействию с онлайн-платформами в целях борьбы с дезинформацией — по мнению республиканцев, под благим предлогом госслужащие на самом деле занимались цензурой. В конце прошлого года республиканцы в Конгрессе добились прекращения финансирования одного из объектов своей критики — Центра глобального взаимодействия в Госдепартаменте. К новой администрации уже адаптируются технологические гиганты, так, недавно Марк Цукербрег заявил об отказе от фактчекинга на своих платформах, а ещё летом он приводил примеры давления со стороны администрации Байдена.

Наконец, чуть более конкретным становится идея о создании нового департамента под руководством Илона Маска — Департамента обеспечения государственной эффективности (Department of Government Efficiency, DOGE). Своим указом Трамп наделяет DOGE полномочиями по модернизации технологий и программного обеспечения федерального правительства. В ведение DOGE передаётся существующая команда государственных цифровизаторов (United States Digital Service, USDS, созданная ещё при Бараке Обаме, теперь называется United States DOGE Service). Во всех ведомствах должны быть созданы DOGE Teams — команды, которые будут реализовывать президентскую DOGE-повестку (по сути, цифровую трансформацию, если говорить российским бюрократическим языком) под общим контролем из одного центра. При этом USDS наделяется широкими полномочиями: согласно указу, ведомства должны обеспечить этой службе полный доступ ко всем несекретным ведомственным документам (agency records), программному обеспечению и информационным системам. USDS при этом должна придерживаться строгих стандартов в части защиты данных.

В какой мере эти указы будут выполнены, сказать сложно, поскольку в некоторых случаях решения президента недостаточно (например, Трамп также принял указ, серьёзно ограничивающий предоставление гражданства США по праву рождения, что идёт вразрез с американской Конституцией).

Приговор по делу SugarLocker

Недавно опубликованный приговор Александру Ермакову открывает новые подробности дела SugarLocker.

Кратко напомню предысторию: примерно год назад Австралия, Великобритания и США наложили санкции на россиянина Александра Ермакова якобы за его причастность ко взлому австралийского страховщика Medibank осенью 2022 года. В феврале F.A.C.C.T. сообщила о своём участии в операции Бюро специальных технических мероприятий МВД по вычислению и задержанию троих участников группы вымогателей SugarLocker, которая работала под вывеской компании Shtazi-IT. Благодаря пресс-релизу выяснилось, что среди задержанных лиц был и Александр Ермаков, попавший под западные санкции. К осени дело дошло до суда. В октябре приговор был вынесен Александру Ермакову, а его коллега Михаил Ленин (Шефель) был признан невменяемым. Однако текст приговора опубликован только сейчас.

Меня, с международной точки зрения, прежде всего интересовало, была ли связь между уголовным преследованием в России и западными санкциями. Спойлер: нет — как минимум в рамках завершённого дела в отношении Ермакова.

Суд признал Ермакова виновным по ч. 2 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ; совершённое группой лиц) и в качестве наказания назначил ему два года ограничения свободы: не выезжать за пределы (страны? города?), не менять места жительства без согласия надзорного органа, раз в месяц являться туда для регистрации.

Из документа следует, что по делу проходили двое фигурантов, второй, согласно заключению судебно-психиатрической комиссии, страдал психическим расстройством — очевидно, Ленин/Шефель. Также в деле фигурируют некие неустановленные лица.

В приговоре события изложены следующим образом: в период с 8 марта 2021 года по 8 апреля 2022 года Ленин/Шефель нашёл на неустановленном сайте в даркнете неустановленного заказчика, который искал специалистов для разработки программы-шифровальщика и панели управления им. Заказчик передал Ленину/Шефелю ТЗ, исходный код и денежные средства. Тот определил перечень необходимых работ и передал сведения Ермакову. Далее Ермаков и Ленин/Шефель нашли неустановленных разработчичов, которые согласились за вознаграждение создать шифровальщик и панель управления, передали им полученный у заказчика исходных код и денежные средства. После чего эти неустановленные исполнители создали «вредоносные компьютерные программы «ШугарЛокер» («Sugar Ransomware»), способные скрытно от пользователя, без его согласия, осуществлять уничтожение, блокирование, модификацию и копирование компьютерной информации». Те же самые неустановленные лица разместили на арендованном виртуальном сервере панель управления, доступную по адресу sugarpanel[.]space, и разместили на этом сервере программу-шифровальщик. Далее в приговоре приводится экспертиза «Лаборатории Касперского», подтверждающая, что это действительно было ВПО, и объясняющая, как оно шифрует данные. И, наконец, Ермаков, Ленин/Шефель и неустановленные лица передали тому самому неустановленному заказчику SugarLocker и доступ к панели управления и получили остаток вознаграждения.

Собственно, это всё. Александр Ермаков с предъявленными обвинениями согласился, вину признал, в содеянном раскаялся.

Ни о каких жертвах SugarLocker в документе не говорится, тем более о зарубежных. Передавали ли австралийские правоохранительные органы российским информацию, касающуюся Ермакова, достоверно мы не знаем, но я бы предположил, что нет. В любом случае в деле ничего такого даже близко не упоминается.

Вообще на неподготовленного читателя (вроде меня) больше всего в тексте приговора производит впечатление то, сколько в нём всего неустановленного. Не установлены ни заказчик (а был ли он?), ни исполнители, ни сайты, где шло общение, ни денежные суммы. Что уж тут говорить о жертвах. При этом, судя по февральскому пресс-релизу F.A.C.C.T., у подозреваемых во время обысков были обнаружены компьютеры, мобильные телефоны и разные цифровые улики, подтверждающие противоправную деятельность.

Wired взял прощальное интервью у американского киберпосла Натаниэля Фика. Бывший военный и топ-менеджер, Фик проработал в Госдепартаменте всего чуть больше двух лет, где возглавлял созданное в 2022 году Бюро по вопросам киберпространства и цифровой политики.

Фик предостерегает будущую администрацию от изоляционистской позиции в международных делах. При этом он говорит, что общался с представителями переходной команды Трампа по поводу Китая в и этом вопрос ожидает преемственность политики. Фик считает, что в ответ на китайские кибератаки США должны повышать издержки для Пекина, если нужно, вплоть до «военных издержек» — в этом он созвучен с советником по национальной безопасности Майклом Уолтцем, предлагавшем активнее прибегать к наступательным кибероперациям, чтобы менять поведение оппонентов. Фик переживает по поводу слабой координации действий китайских хакерских групп и считает, что США необходимо, чтобы китайские власти прочно поставили свои киберсилы под контроль политического руководства страны.

Развитие инфраструктуры связи — ещё один фронт соперничества США и Китая. Здесь Фик записывает в достижения уходящей администрации международные партнёрства для развития сетей 5G, в частности подключение к продвижению западных решений Коста-Рики, а также финансирование США и их партнёрами прокладки подводного кабеля для Тувалу.

Фик считает, что запуск в Госдепартаменте нового бюро, насчитывающего 130 сотрудников, трансформировал американскую кибердипломатию. Была усилена международная помощь на этом направлении, в частности, помощь Украине, включающую софт для информационной безопасности, спутниковую связь, перенос в облако государственных данных, Фик считает образцом для будущих государственно-частных партнёрств по оказанию содействия другим странам.

Напоследок уходящий киберпосол даёт главный совет своим преемникам (впрочем, Трамп пока не предложил кандидатуру на этот пост): в киберполитике нужно действовать решительно и на мировой арене, и подталкивать к переменам такие большие организации, как Госдепартамент.