Вместе с введением санкций был опубликован доклад, посвященный анализу действий, предпринимаемых так называемыми «русскими хакерами». Отчет был подготовлен Национальным центром кибербезопасности и интеграции коммуникаций (NCCIC) совместно с ФБР. Сами атаки, о которых говорится в документе, получили название Grizzly Steppe («Гризли в степи»).
Правительство США подтверждает, что во вторжениях в государственную интернет-инфраструктуру участвовали две различные группировки. Первая — APT 29 — начала свои действия летом 2015 года, вторая же — APT 28 — занялась подобным весной 2016 года. Название группировок — аббревиатура фразы Advanced Persistent Threat — «Расширенная постоянная угроза».
Данные, содержащиеся в отчете, напоминают информацию, которую публиковала компания ESET в своем докладе о деятельности Fancy Bear и Cozy Bear. Это еще одни имена APT 28 и АРТ 29. В обоих докладах упоминаются и такие названия, как Sednit, Pawn Storm, Sofacy, Tsar Team, Strontium и TG-4127.
«Ключевое различие в том, что в отчете ESET — только информация технического характера. Компания вне политики, мы не занимаемся поиском виновных, включая «прокремлевских» хакеров», — рассказали «Газете.Ru» в пресс-службе ESET Russia. Специалисты изучают исключительно схемы атак, цели, вредоносные программы и уязвимости, чтобы обеспечить безопасность киберпространства и защитить пользователей.
«Идентифицировать атакующих можно только при наличии исчерпывающих доказательств. Строить догадки — недопустимо. Поэтому в отчетах ESET — только подтвержденные факты, там нет предположений об источниках атак или государственной принадлежности хакеров», — подчеркнули в российском офисе компании.
Согласно материалам NCCIC, летом 2015 года хакеры из APT 29 разослали более тысячи электронных писем, содержащих вредоносные ссылки. В числе жертв были связанные с правительством США лица и организации.
Вредоносное ПО, загружаемое по присланному подставному адресу на компьютер жертвы, позволило APT 29 заполучить доступ к аккаунтам лиц, связанных с избирательной системой.
В свою очередь APT 28 весной организовала похожую вредоносную рассылку, в которой от лица администрации того или иного интернет-сервиса (например, Google) говорилось о необходимости сменить пароль. Из-за неосторожности пользователей хакеры смогли получить данные от нескольких высокопоставленных членов Демократической партии.
Правительство США настаивает, что эта информация была публично раскрыта и попала в прессу. Вероятно, под этим подразумевается публикация переписки демократов, которую на своем сайте выложил проект WikiLeaks.
В докладе NCCIC говорится, что злоумышленники продолжают рассылать подобные сообщения. Последний раз такой спам шел в ноябре 2016 года, спустя несколько дней после окончания выборов в США.
Отмечается, что хоть в материалах и представлены фрагменты технических деталей, но по-прежнему нет пояснений, почему данные атаки осуществлены российскими специалистами при поддержке Кремля.
Консультант ПИР-Центра Олег Демидов отметил, что в докладе нет упоминания IP-адресов, которые использовались в ходе операции, но они были в отчете Crowdstrike, компании, которая первая подробно рассказала о Fancy Bear.
«Перед нами краткая техническая характеристика самого средства атаки, но никак не данные о том, как была организована инфраструктура атаки, кто и откуда ее вел», — говорит эксперт.
Взломщики ушли на праздники
В правительственном отчете не сказано и о том, как данные группировки связаны с организациями, против которых были введены санкции.
Помимо ГРУ в черный список США попали АНО «Профессиональное объединение конструкторов систем информатики», ООО «Специальный технологический центр» (СТЦ) и компания «Цифровое оружие и защита» (ЦОР, бывшая Esage Lab).
В первой из них «Газете.Ru» ответили, что «все ушли на праздники», и добавили, что компания является режимным объектом и не предоставляет информацию. В СТЦ не ответили на запрос, не удалось связаться и с ЦОР.
«По объемам своей деятельности все три организации — «малый бизнес» с оборотами в несколько десятков миллионов рублей. Но при этом они решают очень интересные нишевые задачи и по большей части сидят на госзаказах»,
— считает Демидов. При этом каких-то подробностей работы данных структур, которые еще не были опубликованы в прессе, эксперт не знает.
Консультант ПИР-Центра обратил внимание, что программно-аппаратные разработки ЦОР, видимо включая специализированное ПО для реверс-инжиниринга, подпадают под расширенные в декабре 2013 года реестры Вассенаарских договоренностей по экспортному контролю за обычными вооружениями, товарами и технологиями двойного назначения.
«Это довольно серьезные технологии. Но опять же никакой причинно-следственной связи с причастностью к государственным кибероперациям РФ здесь нет», — подчеркнул эксперт.
АНО «Профессиональное объединение конструкторов систем информатики» была основана в 1990 году и занимается производством микроэлектроники и цифровых микросхем.
По данным «СПАРК-Интерфакс», среди ее заказчиков значатся авиационная компания «Туполев» (контракт на 531 млн руб.) и ФГУП «Государственный научно-исследовательский испытательный институт военный медицины» при Минобороны (контракт на 120,14 млн руб.).
СТЦ был учрежден в 2001 году, производит компьютеры и периферийное оборудование, которое используется «во всех регионах Российской Федерации и ближнем зарубежье». Организация имеет контракты с Министерством обороны на 68 млн руб., Министерством внутренних дел — на 198,5 млн руб., а также ФГУП «Радиочастотный центр Центрального федерального округа» — на 139,8 млн руб.
Компания ЦОР была основана в 2012 году. Ее профиль — технологии цифровой защиты и нападения. А клиентами были структуры ФСО, компании «Газпром», «Транснефть», Сбербанк и другие.
Гендиректором и владельцем является Алиса Шевченко, эксперт по хакерским атакам, бывший главный антивирусный эксперт в «Лаборатории Касперского». Предположительно ее отцом является Станислав Шевченко, который до 2011 года работал директором антивирусной лаборатории в компании «Лаборатория Касперского». Станислав и Алиса добавлены друг к другу в друзья на Facebook. Сам Станислав в беседе с «Газетой.Ru» сообщил, что они «просто однофамильцы, которые работали вместе».
«Алиса Шевченко — элитный, «бутиковый» профессионал, специализирующийся по offensive security, агрессивной защите информации, тестированию защиты корпоративных клиентов через организацию контролируемых взломов», — полагает Демидов.
Сама Шевченко в своем твиттере прокомментировала включение ее в санкционный список и извинилась перед журналистами за молчание, так как сама пытается понять, почему ее «маленькая простая компания оказалась в списке вместе с ФСБ и международными террористами». Ко всему прочему она добавила, что организация давно закрыта.
Dear journalists, please forgive me my silence. I am really trying to make any sense of it...
— Alisa (@badd1e) December 30, 2016
Асимметричный киберответ
Эксперт предупреждает, что не следует считать действия администрации Обамы «истеричным шагом уходящего президента, который через несколько недель отменит Трамп». Новому президенту, по словам собеседника, придется в той или иной мере считаться с информацией от спецслужб по поводу «русских» кибератак.
«Мы по-прежнему не знаем, какими данными располагают ЦРУ, ФБР, АНБ и министерство внутренней безопасности», — добавляет Демидов.
Представитель ПИР-Центра говорит и о том, что никто пока не пытался просчитать потенциал возможных ответных шагов, особенно если они будут асимметричными. «Решение Обамы применять механизм санкций, подкрепляя решение ссылками лишь на «слабые», косвенные улики, может дать другим правительствам крайне удобный повод для ответных экспериментов», — настаивает эксперт.
Сильные санкции со слабыми доказательствами, по мнению Демидова, могут открыть «ящик Пандоры», который ударит прежде всего по глобальному IT-бизнесу и транснациональному рынку.
При этом советник президента России по вопросам развития интернета Герман Клименко в беседе с RNS заявил, что новые антироссийские санкции США не окажут эффекта на сотрудничество стран в области кибербезопасности.
«Учитывая и без того невысокий уровень сотрудничества между США и Россией в области кибербезопасности, новые санкции ничего ухудшить в этом секторе не могут», — сказал советник.