Парламентарии Соединённых Штатов вновь собрались на слушания, посвящённые состоянию национальной кибербезопасности, заслушав межведомственный доклад, который описывает масштабы, разновидности и последствия хакерских атак.
Документ готовился усилиями сразу нескольких правительственных структур и, по задумке авторов, должен снабдить законодателей исчерпывающей картиной угроз. Доктор юридических наук, заслуженный юрист России, заведующий кафедрой международного права Российского государственного социального университета профессор Юрий Жданов подверг содержание отчёта скрупулёзному анализу и поделился своими выводами в беседе с «МК».
По наблюдениям Жданова, граждане и власти Соединённых Штатов остро реагируют на деятельность хакеров, будучи убеждены, что киберинциденты пронизывают буквально все госструктуры, от общенациональных и муниципальных ведомств до коммерческих фирм и рядовых обывателей. Именно этим объясняется проведение масштабного межведомственного расследования, которое охватило весь спектр сетевой активности противников и методики их идентификации, а его плодом стал представленный в Конгрессе отчёт.
Юрист обратил внимание на любопытную особенность, касающуюся источниковой базы: львиная доля сведений была почерпнута из базы данных налогового ведомства CRS, по которому также наносились хакерские удары. Сама же налоговая служба прочёсывала официальные интернет-порталы американского истеблишмента, подведомственные Пентагону, Министерству внутренней безопасности, Минюсту, Управлению директора национальной разведки и Агентству по кибербезопасности и защите инфраструктуры – именно этот пул ведомств и значится составителем доклада.
Особого упоминания заслуживает, с точки зрения профессора, характерная оговорка, вмонтированная прямо в тело документа: результаты исследования, говорится там, транслируют точку зрения компетентных лиц в области кибербезопасности и права, однако рассматривать их в качестве исчерпывающих не следует. Подобная ремарка порождает у эксперта резонный вопрос: неужели сами разработчики испытывают сомнения в полноте и достоверности тех сведений, что легли на стол конгрессменам?
На интернет-ресурсе американского Министерства юстиции размещены пресс-релизы начиная с 2009 года, что само по себе значительно сужает горизонт доступных для поиска обвинительных актов и официальных сообщений. Теоретически могут существовать и другие, не публиковавшиеся в открытом доступе, но рассекреченные заключения, хранящиеся в судебных электронных архивах, однако такие материалы недоступны для поиска в интернете и потому не попали в финальную подборку. Вдобавок официальные представители государства порой приписывают ту или иную хакерскую кампанию враждебному правительству или криминальному синдикату, но не утруждают себя предъявлением доказательств, и подобные эпизоды также оставлены за скобками документа.
Откуда исходит угроза?
Структурно отчёт выстроен так, чтобы максимально упростить конгрессменам понимание самой природы кибератак. В нём последовательно раскрывается методология атрибуции в цифровой среде, шкала уверенности в выводах о принадлежности атаки и типология наиболее распространённых видов атак. Американские эксперты подразделяют все фиксируемые инциденты на две большие группы: те, что федеральные структуры приписывают субъектам, выступающим от лица государств, и те, что инкриминируются криминальным сообществам, движимым жаждой наживы. Различие между этими категориями, как полагают в Вашингтоне, носит фундаментальный характер. Сам процесс идентификации злоумышленника – предприятие крайне трудоёмкое, но отнюдь не безнадёжное. Следователи пытаются реконструировать целостную картину случившегося, опираясь не только на показания пострадавшей стороны, но и на кросс-верификацию этих сведений с уликами, добытыми в государственном и корпоративном секторах. Жданов признаёт, что в целом такой подход укладывается в общепринятую мировую практику. Другое дело, что злоумышленники предпринимают титанические усилия, чтобы запутать следы, уничтожая любые цифровые следы и разворачивая каждый раз принципиально новую инфраструктуру.
В Соединённых Штатах вновь разразилась паника, связанная с заявлениями о хакерских атаках со стороны Китая на критически важные объекты американской инфраструктуры.
Главными источниками угрозы в докладе ожидаемо поименованы Китайская Народная Республика, Российская Федерация, Северная Корея и Иран. Инкриминируемые этим государствам деяния охватывают широкий спектр: от шпионажа за правительственными структурами через несанкционированное проникновение в компьютерные сети государственных и коммерческих организаций до похищения закрытых сведений, кражи объектов интеллектуальной собственности и выведения из строя аппаратного обеспечения.
В хронологическом разрезе документ охватывает период с 2012 по 2025 год и приводит конкретные эпизоды, за которыми, по версии американских властей, стоят правительства либо аффилированные с ними группы. Среди мишеней фигурируют высшие учебные заведения, аналитические центры, оборонные подрядчики и аэрокосмические корпорации.
«Российский след»
Что касается пресловутого «российского следа», то это, по оценке профессора, давно избитая тема. Он напомнил, что Москву в разное время обвиняли и в хищении технологии производства вакцинных препаратов от ковида, и в манипуляциях с итогами президентских выборов в США, когда победа досталась Дональду Трампу, и в массе прочих грехов.
Типовыми нарративами, по словам Жданова, стали утверждения о российском агенте, якобы похитившем киберинструментарий у западных спецслужб и перепродавшем его Москве, о распространении в глобальной сети вредоносных программ через рекламные баннеры и о хакерской группировке, действующей в интересах российских разведывательных органов и сумевшей нанести ущерб свыше чем тысяче организаций, выкрав более 16 миллионов долларов.
Анализируя блок, посвящённый негосударственным игрокам, авторы доклада приходят к малооригинальному заключению: киберпреступники располагают куда более скромными ресурсами, нежели правительственные структуры, и заметно реже прибегают к передовым и неизведанным методикам, но при этом результативность их операций зачастую оказывается весьма впечатляющей. Подавляющее большинство злоумышленников гонится за финансовой выгодой и воспринимает цифровую среду исключительно как инструмент для запуска мошеннических схем, хотя сиюминутное получение наживы не является для них жёстким императивом – в предвкушении солидного куша они готовы запастись терпением.
Расследование кибератак
Профессор детально разобрал прописанный в отчёте алгоритм расследования подобных инцидентов. На старте следователи скрупулёзно изучают характеристики самого события: методы, которыми орудовал противник, задействованное им вредоносное программное обеспечение и специфические черты атаки. Затем усилия направляются на обнаружение инфраструктуры. Полученные сведения перекрёстно сверяются с аналитическими выкладками государственных органов и отраслевых экспертных организаций относительно мотивов атакующего, а также с данными из внешних источников.
Для формализации выводов введены три уровня достоверности атрибуции. Высокая степень означает, что следователи вне всякого разумного сомнения и в отсутствие какой-либо жизнеспособной альтернативы убеждены в виновности конкретной стороны. Умеренная степень сигнализирует, что доказательства ясны и убедительны, но альтернативные версии полностью не исключаются. Низкая степень применяется, когда улики указывают на определённого фигуранта, однако в информационном массиве зияют серьёзные лакуны.
В документе также классифицированы основные разновидности атак: ботнеты, компрометация корпоративной электронной почты, DOS и DDOS, фишинг, атаки нулевого дня и атаки на цепочки поставок.
Ключевой же вывод, к которому пришёл Юрий Жданов по итогам изучения документа, лежит отнюдь не в технической плоскости. Подлинный двигатель регулярных парламентских слушаний по киберугрозам он усматривает в финансовой сфере. Профессор напомнил, что ещё в 2016 году на аналогичных заседаниях конгрессменам была озвучена астрономическая цифра ущерба от хакерской активности в 109 миллиардов долларов, причём нет уверенности, что эта сумма не была откровенно раздута. С тех пор размах бюджетных запросов на нужды кибербезопасности колебался от 10-40 миллионов до 1,9-15 миллиардов долларов.
«Смысл, как всегда, в деньгах – это самое нежное место у англосаксов, – подвёл черту юрист. – На борьбу с хакерами (как правило – с российскими) Белый дом у Конгресса всегда просил деньги, рассказывая о всяких ужастиках. Аппетиты растут. Посмотрим, сколько запросит американская администрация на этот раз после рассмотрения Конгрессом своего отчёта».
