У семи нянек... Советник Трампа Питер Наварро якобы угрожал выгнать из разведывательного альянса Five Eyes Канаду (сам он это отрицает). А ведь ещё недавно обсуждалось расширение этой группы за счёт Японии.

В Японии тем временем идут законодательные приготовления к активизации деятельности в киберпространстве. В феврале правительство утвердило и внесло в парламент законопроекты (см. здесь на японском), которые в т.ч. позволят полиции и Силам самообороны проводить операции против злоумышленников, атакующих критическую инфраструктуру Японии.

В очередном отчёте (PDF) OpenAI про удаление аккаунтов, замеченных за недостойным поведением, приведены восемь кейсов. Среди них: использование OpenAI для генерации маркетингового питча некого решения для мониторинга соцсетей предположительно для китайских властей (но не кода); генерация контента для нечестного прохождения собеседований — похожая на схемы по трудоустройству северокорейских айтишников в западные компании под чужими именами; генерация политически окрашенных комментариев в соцсетях на английском и статей на испанском; генерация сообщений для мошенничества по схеме pig butchering для злоумышленников, предположительно действующих из Камбоджи; изучение инструментов для взлома акторами, чьи техники похожи на северокорейские APT-группировки. И др.

По сравнению с первым отчётом от OpenAI, который вышел год назад и был посвящён в основном использованию ИИ прогосударственными группировками, в последнем речь идёт в основном о предполагаемых нарушителях гораздо менее продвинутого уровня. То ли OpenAI удалось отвадить APT-группировки от использования её сервисов, то ли те стали более скрытными. Или просто отказались от ChatGPT в пользу опенсорсных решений типа DeepSeek.

Написал вчера про подготовку Японией законодательной базы для проведения операций в киберпространстве. Но и четверть века назад японцы занимались примерно тем же:

«На днях стало известно, что Министерство обороны Японии приняло решение о развитии специальной службы, в задачу которой входит активное противодействие любым попыткам вторжения хакеров в компьютерные системы, обеспечивающие безопасность страны.

Более того — военные островного государства не собираются отсиживаться в обороне, отбивая атаки иноземных злоумышленников на японские серверы. Министерство обороны намерено создать средства, которые могли бы разрушить, используя Интернет, системы компьютерной защиты иностранных государств.

[...]

Японские СМИ, передавшие данное сообщение, отмечают все же необходимость достижения международных соглашений о возможности и допустимых пределах "применения силы" против хакеров, угрожающих национальной безопасности государств. С этим нельзя не согласиться. Действительно, едва ли правильно будет в качестве меры "возмездия" атаковать компьютеры страны, с территории которой действовал хакер».

(Источник: «Известия» от 26 октября 2000 года.)

У «Глаза бога» то ли обыски, то ли технические проблемы.

Wazawak'е ограничили свободу

В конце прошлого года Михаила Матвеева, известного под никами Wazawaka, Boriselcin, Uhodiransomwar и другими и разыскиваемого в США, приговорили к 1,5 годам ограничения свободы по ч. 1 ст. 273 УК за создание компьютерной программы, которую он «планировал использовать для доставления на компьютерное оборудование неопределенного круга иностранных организаций как через физический доступ к оборудованию, так и используя программу удаленного доступа к рабочему столу компьютерного оборудования, после чего использовать доставленное созданное им вредоносное программное обеспечение для шифрования данных на персональных компьютерах неопределенного круга иностранных организаций, с целью блокирования доступа пользователю компьютерной информации к зашифрованным на нем файлам».

Матвеев с обвинением согласился, вину признал. Суд принимал решение в особом порядке, без проведения судебного разбирательства. В качестве смягчающих обстоятельств были учтены «признание вины и раскаяние в содеянном, наличие на иждивении троих малолетних и одного несовершеннолетнего детей, активное способствование раскрытию и расследованию преступления, выразившееся в сообщении подробной и значимой для дела информации об обстоятельствах содеянного, участии при осмотре вещественных доказательств».

По решению суда на осуждённого наложены следующие ограничения: «не выезжать за пределы муниципального образования городского округа «< адрес >», не изменять место жительства без согласия специализированного органа, осуществляющего надзор за отбыванием осужденными наказания в виде ограничения свободы; а также [...] обязанность являться в указанный специализированный государственный орган один раз в месяц для регистрации». Также в пользу государства конфискован ноутбук Матвеева.

Если в России Wazawak'у осудили только за разработку вредоносной программы, то у американского правосудия к нему гораздо больше претензий. В мае 2023 года он был обвинён в причастности к многочисленным атакам с использованием трёх семейств программ-вымогателей, Babuk, Hive и LockBit; в числе жертв назывались правоохранительный орган и здравоохранительная организация в Нью-Джерси и Департамент полиции Вашингтона (два обвинительных заключения доступны в блоге Брайана Кребса).

Приговор Матвееву отчасти похож на приговор Александру Ермакову по делу SugarLocker: последнего также осудили только за причастность к разработке и распространению вредоносной программы (шифровальщика); в деле не упоминались никакие жертвы; в качестве наказания также назначено ограничение свободы сроком в 2 года.

Киберкомандованию США поручено приостановить планирование всех операций, в т.ч. наступательных против России, сообщает The Record со ссылкой на три анонимных источника. Указание якобы поступило от министра обороны Пита Хегсета главе Киберкомандования Тимоти Хогу. Деталей известно не так много. Сообщается, что указание касается только кибервоенных, но не АНБ (то есть не разведывательной деятельности), которым также руководит Хог. Специалисты Киберкомандования начали подготовку доклада для главы Пентагона о том, какая деятельность была приостановлена и какие угрозы, по их мнению, по прежнему исходят от России.

Очередная киберразрядка?

Политика Дональда Трампа в отношении России и усилия американской администрации по созданию благоприятного фона для переговоров отражаются и на киберпространстве. Вчера стало известно о поручении министра обороны США приостановить планирование Киберкомандования против России. Кроме того, The Guardian рассказала о других признаках изменения подхода США к России в контексте кибербезопасности. Во-первых, на переговорах Рабочей группы открытого состава (РГОС) в ООН на прошлой неделе представительница США назвала источниками киберугроз Китай и Иран, но не упомянула Россию, как было принято раньше (см. стенограмму встречи здесь в разделе Session Transcript). Во-вторых, в Агентстве по кибербезопасности и безопасности инфраструктуры (CISA) недавно был принят новый меморандум о приоритетах работы, в числе которых упомянут Китай, но не упомянута Россия; по словам источника, аналитикам ведомства сказали не отслеживать связанные с Россией угрозы, хотя прежде это было важной задачей CISA.

Насколько серьёзны эти изменения, пока сказать сложно, но в целом это укладывается в логику шагов Трампа навстречу России. О том, что фокус внимания США всё больше будет смещаться на Китай, свидетельствовали высказывания членов команды Трампа, в частности Марко Рубио и Майка Уолтца ещё в конце прошлого года (более того, даже один из последних указов Байден выделял в качестве основной киберугрозы Китай).

На мой взгляд, пока речь идёт только о политических сигналах; практическим и видимым подтверждением нового курса может стать, например, прекращение официальных обвинений в адрес России. Отмеченное The Guardian выступление на РГОС любопытно, но буквально за несколько дней до него США, вводя санкции против zservers, обвинили Россию в предоставлении тихой гавани для киберпреступников.

Можно ли будет увидеть изменение курса по снижению активности Киберкомандования в отношении России? Об этом стоит сказать чуть более развёрнуто, но краткий ответ: скорее, нет.

В 2021 году после встречи Владимира Путина и Джо Байдена в Женеве Россия и США возобновили взаимодействие по проблемам кибербезопасности; эксперты DiploFoundation назвали это киберразрядкой. Однако сотрудничество продлилось всего несколько месяцев и было заморожено американской стороной после начала войны. Результатами киберразрядки, по сути, стали несколько уголовных дел в России (в отношении участников REvil, Infraud Organization и, возможно, сети кардерских сайтов), а также обмен между Россией и США списками критической инфраструктуры, которую нельзя атаковать (скорее всего, без какого-то углубления, просто официальными перечнями секторов КИ/КИИ).

В контексте недавних российско-американских встреч тема кибербезопасности публично не звучала. Более того, с обеих сторон недоверие друг к другу за последние годы только углубилось. Но нельзя исключать, что взаимодействие в этой сфере возобновится. Если это произойдёт, то оно может охватывать следующие темы.

Во-первых, это борьба с киберпреступностью. Профессиональное сообщество США убеждено, что Россия могла бы сделать больше для борьбы с группировками вымогателей. России для расследований нужны данные из США. Также летом во Вьетнаме откроется подписание Конвенции против киберпреступности. В России к ней неоднозначное отношение, но российская сторона заинтересована в полноценном запуске этого инструмента. Есть риск, что Трампу конвенция не понравится (наследие Байдена; новые обязательства), и США не станут её подписывать. Но Россия может обставить это как взаимовыгодную сделку: вместе подписываем конвенцию и боремся с криминалом.

Во-вторых, может возобновиться обсуждение некого двустороннего соглашения о кибербезопасности. Россия много лет предлагает США подумать, как снизить киберугрозы военно-политического характера. Например, заключить соглашение о предотвращении киберинцидентов по аналогии с советско-американским соглашением 1972 года о предотвращении инцидентов на море — такое предложение Путин выдвинул на излёте первого срока Трампа.

Ещё одна тема — судьба будущих переговоров по информационной безопасности в ООН.

Операции Киберкомандования против России, часть 1

Новость о том, что Киберкомандованию США якобы поручено приостановить планирование действий против России, вызвала немалый резонанс в узких кругах. В западном экспертном сообществе возмущаются тем, что администрация Трампа решила прекратить противодействие России в киберпространстве. Российские комментаторы не верят, что США прекратят кибероперации. В проукраинских хакерских чатах обсуждают, считать ли теперь США законной целью для атак.

Что интересно, все эти обсуждения исходят из того, как будто речь идёт о чём-то реальном и осязаемом. На самом деле, как мне кажется, информации о том, чем занимается Киберкомандование и как изменится его деятельность в отношении России (даже если сообщение о паузе достоверно), крайне мало. Повторюсь, что эта новость ложится в логику Трампа и может быть попыткой послать политический сигнал, но пока рано судить, каковы будут быть практические последствия.

Прежде всего, согласно The Record, речь идёт о приостановке планирования, то есть не вполне ясно, касается ли указание уже действующих миссий. Также оно не распространяется на АНБ, то есть на разведывательную деятельность, которая, как мне кажется, составляет львиную долю того, чем занимаются государства в компьютерных сетях друг друга.

Какие операции против России проводило Киберкомандование, и, соответственно, какую деятельность может затронуть приостановка? Во время промежуточных выборов в Конгресс в 2018 году Киберкомандование делало рассылку по сотрудникам медиа-структур Евгения Пригожина и якобы даже вывело из строя инфраструктуру «фабрики троллей» — позднее эту операцию официально признал Трамп. Кстати, нынешний глава Киберкомандования Тимоти Хог был одним из руководителей отвечавшего за противодействие России подразделения, Russia Small Group. Согласно анонимным источникам, американские кибервоенные готовились проводить информационные операции против российской элиты в случае вмешательства России в выборы 2020 года. По словам Пола Накасоне, на тот момент главы Киберкомандования и АНБ, в 2020 году обе структуры зафиксировали появление в Африке «фабрик троллей», якобы связанных с Россией, и поделились этой информацией с ФБР, а также с CNN.

В 2019 году также была нашумевшая новость о том, что США якобы размещают вредоносный код в российской энергосистеме и другой инфраструктуре (без прямой привязки к Киберкомандованию), но это сообщение Трамп называл недостоверным.

Возможности Пентагона использовались против киберпреступников, которые, по мнению США, действуют из России. Так, в 2020 году Киберкомандование провело операцию против ботнета TrickBot, а в 2021 против REvil.

С 2018 года Киберкомандование начало проводить так называемые поисковые операции за рубежом (hunt forward operations): специалисты командования направлялись в партнёрскую страну для отработки сотрудничества с местными коллегами и совместного поиска киберугроз. По логике США, в ходе таких поездок американские специалисты могли обнаруживать вредоносные программы, которые уже используются против стран поменьше, а в перспективе могут быть применены и против Америки. Генезис этих операций был связан именно с противодействием российской угрозе, а первые миссии направлялись в т.ч. в Македонию и Черногорию.

С декабря 2021 по февраль 2022 года Киберкомандованию при поддержке Европейского командования США направило специалистов с такой поисковой миссией на Украину. В частности они участвовала в реагировании на атаку на украинские государственные сайты в январе 2022 года: многие сайты подверглись дефейсу (посланием «бояться и ждать худшего»), а часть инфраструктуры была уничтожена вайпером. В мае 2022 США назвали виновной в атаке Россию, а в 2024 вынесли обвинения против шестерых граждан России.

(Продолжение)

Операции Киберкомандования против России, часть 2

(Начало)

Во время войны руководство Киберкомандования делало несколько заявлений общего характера. В июне 2022 Пол Накасоне заявил, что его структура проводила оборонительные, наступательные и информационные операции в поддержку Украины. Позднее он вновь говорил о наступательных операциях — каких именно, так и не уточнялось, но, по оценке журналистки Ким Зеттер, под это определение подпадает широкий спектр действий, от сбора разведданных до деструктивных атак.

Отчитываясь перед Конгрессом, Пол Накасоне, а затем и пришедший ему на смену Тимоти Хог подчёркивали оборонительные функции командования в ходе кризиса. Например, в марте 2023 Накасоне заявил в Палате представителей, что с начала кризиса «Киберкомандование сфокусировалось на защите средств безопасной связи в Европейском командовании США и Украине, обеспечении надежности системы управления ядерным оружием (nuclear command and control) и укреплении защиты [информационной сети Минобороны] DoDIN». В апреле 2024 года Хог описал деятельность Киберкомандования примерно так же: «С начала кризиса Киберкомандование сотрудничает с военными и гражданскими партнерами, чтобы укрепить безопасность и оборону DoDIN, повысить устойчивость наших союзников по НАТО и обеспечить защиту нашей критически важной инфраструктуры, особенно системы управления ядерным оружием».

Кроме общих формулировок за последние три года представители Киберкомандования не сообщали о конкретных атаках против России. Если смотреть на отчёты российских и зарубежных ИБ-компаний, то прямых указаний на активность Киберкомандования тоже обнародовано не было. Исключением можно считать историю со слежкой через айфоны («Операция Триангуляция»), в организации которой ФСБ обвинило американские спецслужбы, в частности АНБ — родственную Киберкомандованию структуру.

В России есть школа мысли — прежде всего на официальном уровне, — что все украинские/проукраинские кибератаки организуются или координируются США и Киберкомандованием. Так, в 2023 Олег Сыромолотов, тогда замминистра иностранных дел, заявил: «Показательно, что Соединенные Штаты на практике реализуют свои агрессивные доктрины. Не скрывают, что киберкомандование проводит операции против нашей страны. Нам хорошо известно, что Вашингтон активно вербует хакеров-наемников, тренирует так называемую украинскую "IT-армию", задействует ИКТ-потенциалы своих союзников и подконтрольных частных компаний для осуществления атак на российскую информационную инфраструктуру». В 2024 в ООН представительница России утверждала: «На Украину направляются отряды киберкомандования США и многонациональных киберсил ЕС, которые обучают и координируют хакеров, собирают данные о способах взлома и уязвимостях российских систем для последующей передачи Пентагону и АНБ, натовским военным структурам». ФСБ также обвиняла США в организации кибератак против России.

К идее, что Киберкомандование курирует действия разнообразных хактивистских групп, я отношусь довольно скептически. Для проведения тех атак, которыми они известны, у них достаточно ресурсов, навыков и мотивации и без участия США.

При этом Киберкомандование и другие американские спецслужбы действительно взаимодействуют с Украиной по кибервопросам. Помимо описанного выше (поисковая команда, защита средств связи) сотрудничество охватывает обмен информацией об угрозах: например, летом 2022 Киберкомандование в координации с СБУ публиковало полученные индикаторы компрометации для вредоносных программ, обнаруженных в украинских сетях. Американские СМИ рассказывали об истории взаимоотношений ЦРУ с ГУР и американской помощи в развитии украинской киберразведки. Вполне возможно, что американские спецслужбы могут иметь доступ к данным, полученным проукраинскими хактивистами и переданным ГУР.

Насколько полная эта картина, я, конечно, не знаю, поэтому сложно сказать, в чём проявится указание о приостановке планирования (если оно вообще дано и исполняется). По моему мнению, основная деятельность спецслужб США (как и других стран) в киберпространстве — это шпионаж, а эта работа ведётся постоянно.

Ещё несколько американских изданий написали про приостановку деятельности Киберкомандования против России. Во всех статьях речь идёт уже конкретно об операциях, а не только планировании. Общая мысль: это нормальная практика во время дипломатических переговоров. Но источники журналистов высказывают различные опасения.

Согласно New York Times, приостановка киберопераций является частью пересмотра всех операций (видимо, имеется в виду вся деятельность Пентагона) против России. Пауза была объявлена до пятничной встречи Трамп и Зеленского. При это американцам важно сохранять доступ к российским сетям в целях шпионажа, чтобы понимать, российские намерения в ходе переговоров. Журналисты считают, что Трамп и министр обороны Хегсет пошли на серьёзный риск, приостановив кибероперации: «По сути, они рассчитывают на то, что господин Путин ответит взаимностью и прекратит то, что многие называют "теневой войной", ведущейся против США и их традиционных союзников в Европе».

CNN акцентирует внимание на том, что приостановка операций — это серьёзный удар по возможностям США. Как отмечает бывший сотрудник Киберкомандования Джейсон Кикта, «если также объявлена пауза в планировании, это может привести к тому, что возможности для наступающих действий устареют и, следовательно, станут непригодными для использования. [...] Любой длительный период без проверки доступа и обновления планирования чреват тем, что этот допуск может быть потерян или что критические изменения будут пропущены».

В материале Washington Post отмечено, чтобы были приостановлены как наступательные кибероперации, так и информационные операции. Источники ожидают что пауза продлится столько, сколько идут переговоры. По словам опрошенных чиновников, приостановленные операции не были настолько агрессивными, чтобы считаться актом войны: «Они могут включать в себя выявление или уничтожение вредоносных программ, обнаруженных в российских сетях, до того, как их могут использовать против США, блокирование доступа российских хакеров к серверам, которые они, возможно, готовятся использовать для своих собственных наступательных операций, или выведение из строя сайта, ведущего антиамериканскую пропаганду». Один источник, бывший военный чиновник, отметил, что планирование возможных операций против российских сетей не было остановлено, как и кибершпионаж АНБ.

Своими мыслями на счёт этих новостей я поделился вчера.

Житель Кирова осуждён на 2,5 года лишения свободы за неправомерное воздействие на КИИ (ч. 2 ст. 274.1 УК РФ). Согласно пресс-релизу регионального управления МВД, он взломал систему медицинского учреждения: «кировчанин, преследуя корыстные мотив и цель, нейтрализовал с использованием вредоносной программы защиту информационной системы одного из региональных медицинских информационно-аналитических центров. Получив неправомерный доступ к объекту, входящему в перечень критической инфраструктуры Российской Федерации, подозреваемый изменил содержащуюся в системе информацию, чем нанес ей вред и создал угрозу функционирования».

Приговор вступил в силу, но его текст не опубликован.

Военные учёные предлагают создать российские кибервойска

В мартовском номере журнала Минобороны «Военная мысль» вышла статья «Предложения по обоснованию создания кибервойск как нового вида Вооруженных Сил Российской Федерации». Авторы: полковник запаса, доктор военных наук Юрий Стародубцев (Военная академия связи), полковник, доктор военных наук Василий Иванов (Военно-научный комитет Главного управления связи ВС РФ), подполковник, кандидат технических наук Павел Закалкин (Академия ФСО).

Авторы обосновывают необходимость создания кибервойск тем, что другие государства признают киберпространство пространством ведения военных действий и уже создали аналогичные структуры (прежде всего авторы ориентируются на опыт США):

«Осуществляется милитаризация киберпространства, создаются элементы кибероружия, а в значительном числе технологически развитых государств для действий в киберпространстве на государственном уровне созданы новые структуры, предназначенные для ведения военных действий в киберпространстве и обладающие признаками нового вида вооруженных сил».

Рассуждая о необходимости создать кибервойска, авторы предлагают учитывать такие соображения, как возможный урон от кибератак как военной технике, так и гражданским системам; отсутствие в международном праве понятия «боевые действия в киберпространстве»; отсутствие развитых методов мониторинга фактов воздействия и оценки ущерба в киберпространстве; неприменимость категорий мирного и военного времени к процессу борьбы в киберпространстве.

В статье рассматривается три варианта создания кибервойск:
1) распределение задач, связанных с киберпространством, по существующим видам, родам и специальным войскам (путь, по которому изначально пошли США, где первые структуры появились в ВВС);
2) «слепое копирование чужого опыта» (прежде всего речь о модели Киберкомандования США);
3) по сути, осознанное (не слепое) копирование опыта США с учётом существующей структуры видов ВС РФ.

Начать авторы предлагают со следующих мероприятий:

«В рамках стратегического планирования разработать поэтапный план создания нового вида ВС РФ. На первоначальном этапе определить его цели и задачи, приступить к разработке организационно-штатной структуры. Это позволит подойти к военным конфликтам (войнам) в киберпространстве с более высокой степенью готовности. [...] Оценить возможности перераспределения сил и средств традиционных видов, родов и особенно специальных войск для создания первоначального ядра нового вида ВС с уточнением ранее стоящих задач. Определить высшие учебные заведения, осуществляющие подготовку специалистов для нового вида ВС РФ. Разработать учебные программы и квалификационные требования к ним».

Это уже не первая статья за последние годы, в которой российские военные и внешнеполитические эксперты предлагают более активно действовать в киберпространстве, что свидетельствует о возросшем интересе к проблемам противоборства в этой сфере.

При этом, все эти обсуждения ведутся в довольно абстрактном ключе без учёта существующего российского опыта. Не анализируются не только приписываемые России действия в киберпространстве, но и вполне официальная история создания войск информационных операций, которая освещалась в 2012-2017 годах (вплоть до сообщений о создании отдельной части в Крыму, задачами которой были названы «нарушение работы информационных сетей вероятного противника и в результате нарушение функционирования его системы управления войсками» и «обеспечение кибербезопасности своих информационных сетей»).

На самом деле из твитов за последние полгода, которые я посмотрел, удалены были в основном поздравления с разными праздниками включая День независимости, День ветеранов, Хэллоуин, Новый год, День Мартина Лютера Кинга, а также профессиональные вроде дней рождения Корпуса морской пехоты и Национальной гвардии. Также были удалены пара твитов, касающихся выступлений руководства Киберкомандования на сторонних мероприятиях.

https://t.me/alukatsky/12351