[personal profile] dreamgirth

Из России с паникой

Уютные медведи, беспруфные хаки - и вымогательство Силиконовой Долины.

Яша Левин.




Русские хакеры взломали Америку

После неожиданной победы Дональда Трампа в ноябре эти четыре слова потрясли страну. Инсайдеры демократической партии, либеральные эксперты, экономисты, члены Конгресса, шпионы, голливудские знаменитости и неоконы всех цветов и уровней секретности - все эти достойнейшие души дрогнули в ужасе от умопомрачающей скомпроментированности новых порядков американских выборов. Центры ответственных и серьёзных мнений в унисон пришли к выводу о том, что Владимир Путин привёл в действие дерзкий и успешный план по подтасовке самых важных выборов в самой важной демократии мира в пользу предпочитаемого им кандидата.

Это казалось сюжетом из винтажного Джеймса Бонда. Из своего московского логова Владимир Путин заключил пакт с Джулианом Ассанжем для того, чтобы произвести массивную кибератаку с целью дискредитации Хиллари Клинтон и её свиты лояльных оперативников демпартии в глазах американского народа.

В сюжете было много поворотов, заворотов и отворотов, от которых волосы вставали дыбом - как, например, рассказы о русско-американских агентах-пенсионерах, которые собирали выплаты из нищающей пенсионной системы РФ, загорая в это время в Майами. Но ключевой афёрой, казалось, был взлом мейл-сервера Демократического Национального Комитета (ДНК, центральный комитет демпартии), а затем взлом аккаунта Gmail Джона Подесты, основателя Центра для Американского Прогресса (Center for American Progress) и передового вашингтонского инсайдера Демократов.

В ходе долгой предвыборной кампании 2016-го, WikiLeaks публиковали целый поток постыдных откровений ДНК- хотя их находки были не более компроментирующими, чем внутренняя переписка какой-нибудь частной компании среднего пошиба: тупые офисные сплетни, мелочные интрижки с прессой, и грязные попытки подкосить соперников в топ менеджменте (в данном случае Бёрни Сандерса). Действительно, было бы более удивительно узнать что ДНК занимались своими делами как-то иначе. Но сам факт взлома информации был диспозитивным в глазах функционеров демпартии и их многочисленных защитников в либеральной прессе. В конце концов, сообщалось что WikiLeaks так же получили информацию о Республиканском Национальном Комитете - и они ничего с этим не сделали. Очевидно, что это был кибер-шпионаж самого изощрённого вида.

С Трамповской стороны дела всё было мутнее. Политические советники Трампа имели связи с Россией и Украиной - но это было не так уж удивительно, учитывая благосклонные для авторитарных режимов условия лоббистского климата в Вашингтоне. Во время предвыборной кампании этот кандидат от республиканцев не хотел говорить что-либо критичное о Путине. Действительно, Трамп пошёл наперекор десятилетиям республиканской традиции, открыто хваля лидера РФ как сильного, харизматичного политика, способного довести дело до конца. Но поскольку Трамп также отказался раскрыть свою налоговую декларацию, догадки о коммерческом альянсе между ним и российским автократом были по определению конъюнктурой. Однако это не было препятствием для диких теорий, с кульминацией в январе в виде будоражащего репортажа Buzzfeed о том, что разведслужбы США полагали что у Путина есть компромат на Трампа - видео его утех с проститутками в московском отеле, в котором ранее останавливались Барак и Мишель Обама. Эта янки-марионетка не только осквернил комнату, в которой жила первая пара США - он, предположительно, ещё и заставил своих нанятых любовных спутниц помочиться на кровать. Смотри же, о целомудренная американская республика, какое унижение уготовил для тебя Владимир Путин!


(хак-группа - Энергетический Медведь)


Обоссака

Досье, опубликованное Buzzfeed, уже давно было в циркуляции; при ближайшем рассмотрении, это оказался переработанный анализ компромата (opposition research) неудачной кампании Джеба Буша. Его автор - это бывший агент британской разведки, очевидно падкий до торговли непристойной спекуляцией. К концу этой последней сенсационной главы в саге о русских хакерах, никто из зрителей не узнал больше, чем они знали когда политическая пресса только начала с придыханием распространять обвинения. Не смотря на это, Белый Дом Обамы выдворил российских дипломатов и расширил санкции против режима, в то время как ФБР продолжило расследовать предполагаемые контакты между официальными лицами предвыборной кампании Трампа и оперативниками российской разведки.

Эта последняя деталь не сказать, что вдохновляет. В то время как громкие обвинения о российском следе во взломе ДНК разлетались как горячие пирожки, мы узнали что ФБР так никогда и не произвели независимое расследование этих заявлений. Вместо этого, официальные лица Бюро беспечно подписались под выкладками CrowdStrike, частной компании кибербезопасности, нанятой Демократическим Национальным Комитетом. Вместо того чтобы беспокоиться о построении солидного обвинения в российском шпионаже, CrowdStrike предпочли просто сказать своим клиентам из ДНК то, что они хотели услышать: после беглого осмотра, CrowdStrike объявили виновными русских. Мэйнстримная пресса, стоявшая наготове для малейшего намёка на сверхдержавный скандал и слабо подкованная в определении киберугроз, так же приняла отчёт CrowdStrike как неопровержимую истину.

Другие игроки в разведке тоже не отличились. Директор Департамента Национальной Разведки (DNI) произвёл на свет смехотворный отчёт о т.н. дезинформационной кампании России с целью помешать президентским выборам, державшийся на таких глубоких открытиях, как негативные репортажи RT о кампании Клинтон и критика скандальной практики фрэкинга в нефтяной индустрии США как дьявольский замысел для расширения рынка экспорта российского газа. [ИЧСХ те же люди, что слопали этот мем про анти-сланцевую пропаганду русни, сейчас визжат о том что Трамп строит экспортные газопроводы (в т.ч. для сланцевиков в Дакоте) для того чтоб дать часть контрактов на сталь для труб русским. L - Long con.] Директор DNI на тот момент Джеймс Клаппер намекнул Конгрессу - в издевательски размытых и неопределённых терминах - что есть и более глубокие и определяющие находки, доказывающие серьёзное и распространённое российское вмешательство в президентские выборы - но эти доказательства должны оставаться секретными. [избитая и стандартная уловка, во всех памятных обосрамсах применялась] Для наблюдателей вашингтонской шпионской сцены, перфоманс Клаппера напомнил о его роли в сообщениях о твёрдых доказательствах вот-вот грядущего появления ОМП в арсенале Саддама Хуссейна. [Да-да, вы не ослышались, это был тот же самый Джеймс Клаппер на том же самом посту

Среди обвинений и контробвинений было легко потерять перспективу серьёзности дела. Если утверждения о хаке правдивы, то перед нами действительно опасный кризис, угрожающий демократической системе Америки.

Серьёзность обвинения требует спокойного, взвешенного, детально документированного расследования - практически противопложность тому, что мы пока наблюдаем. Градус дикой спекуляции дошёл до того, что некоторые из самых уважаемых про-западных голосов в российской оппозиции выразили беспокойство. Сколько бы они ни ненавидели Путина, они не верят в провальные расследования. "В реальном мире, вне мыльных опер и шпионских романов... Любые выводы о личностях хакеров, их мотивации и целях должны основываться на твёрдых, очевидных доказательствах," пишет Леонид Бершидский. "На данный момент, они неадекватны. Это особенно печально, учитывая что взломы Демократического Национального Комитета были одними из ключевых событий бушующей войны пропаганд 2016-го."

Недостаток надёжных доказательств, непрозрачная природа кибератак, межпартийные разборки и клевета, и раздувание страхов нацбезом сделали навигацию в этом конкретном скандале исключительно трудной. Могут пройти года до того, как мы узнаем что на самом деле произошло. Тем временем, я хотел бы вам рассказать одну поучительную историю. Это история о предыдущем случае, когда американские и европейские кибер-эксперты обвинили Россию в атаке против другой страны - и едва не спровоцировали войну с ядерной державой. Мораль истории в том, что кибервойна - это чреватый опасностями театр конфликта с высокими ставками, в котором естественная неопределённость аттрибуции (attribution, вычисление и определение атаковавшего хакера/группы) может быть политизирована и использована для поддержки любой желаемой версии событий.



(хак-группа - Медведь-Берсерк)


Все Теперь Грузины

В августе 2008-го, между Россией и Грузией разразилась война. При поддержке тяжёлой артиллерии, Градов и танков, Грузия начала внезапное вторжение в Южную Осетию - крошечную сепаратискую республику в горах на севере, которая была центром давно тлеющего территориального спора.Продолжительный артобстрел разрушил некоторые райоы Цхинвала, столицы Южной Осетии,  до основания. Гражданским не было дано никакого предупреждения - те, кто выжил после начала штурма прятались в подвалах или спасались бегством. Российские миротворческие силы, размещённые в Ю. Осетии по соглашению с ОБСЕ с 1992-го г., были атакованы. К концу первого дня, грузинские силы были на грани захвата всего города.

Харизматичный президент Грузии Михаил Саакашвили, избиравшийся на националистисческой платформе, обещал вернуть сепаратистские районы. Его первоначальный успех продлился недолго. Российские самолёты били по грузинским командным пунктам и коммуникациям, в то время как российские войска двигались в Южную Осетию. К концу второго дня удача отвернулась от грузин: они начали отступать. К пятому дню, российские войска установили контроль над Южной Осетией и большими частями северной Грузии. Танки и пехота вошли в несколько северных городов и беспрепятственно продвигались всего в одном часе езды от грузинской столици, Тбилиси, где эйфория и ликование сменились болезненным страхом. Ленты новостей показывали как Саакашвили бежал в ужасе от пролетавших над ним россиских самолётов. Он жевал галстук в телеэфире, отчего канал BBC колко подметил: "президент Грузии обжёвывает своей следующий шаг. Стал ли он слабее или сильнее, чем раньше?"

Слабее, разумеется. Но по итогам войны Россия и Грузия обе стремились объявить себя жертвами. Россия указывала на то, что Грузия развязала войну; Грузия обвиняла Россию в полномасштабном вторжении. Президент Саакашвили воззвал к США в надежде что те вмешаются в войну на стороне Грузии.

Белый Дом Буша был сильно настроен в пользу Грузии. Эта страна уже годами была важным для неоконов проектом в общей грандиозной схеме по отрыву бывших советских республик от влияния Москвы. Американские НГО и такие инструменты мягкой силы, как USAID, поддержали восхождение Саакашвили во время "Революции Роз." С 2004-го г. администрация Буша предоставляла щедрую военную поддержку правительству Саакашвили, оборудовала её армию и обучала её солдат. Джон Маккейн и Хиллари Клинтон вместе номинировали Саакашвили на Нобелевскую Премию Мира в 2005-м. Поддержка Грузии была межпартийной и продолжалась вплоть до атаки на Южную Осетию; более тысячи американских солдат проводили совместные учения рядом с осетинской границей в июле. 

Как часть грузинского пиар-наступления, Бело Буша продолжал твердить свои стабильные антипутинские пункты. Годами США описывали Путина как властного лидера, повёрнутого на мировом господстве. Вторжение в Грузию, казалось, подтверждало официальную историю: Россия не остановится ни перед чем, чтобы подавить демократические надежды её соседей.

Это был опасный момент. Вице-президент Дик Чейни настаивал на прямом столкновении с русскими в "ограниченных военных вариантах" - включая авиадунар по Рокскому тоннелю, связывающим Северную и Южную Осетию и использовавшемуся для подвоза подкреплений. К счастью, Буш, в честь которого назвали улицу в Тбилиси, дрогнул, разумно побоявшись настоящей войны с Россией.

Этот эпизод произошёл во время выборов президента США. Сенатор Джон Маккейн использовал этот конфликт для иллюстрации его лавров ястреба во внешней политике, настаивая что Америка должна защитить ростки грузинского демократического общества от авторитариста-Путина. Утверждая что "сегодня, мы все грузины," Маккейн призывал к вводу войск НАТО против России, что начало бы войну с ядердной державой. 

Я был в Москве в то время, делал репортажи о войне. Те из нас, кто писал об этом регионе, понимали, что Грузия не невинаа. У этнического конфликта между осетинами и грузинами были старые, глубокие корни - действительно, вторжение Грузии в Южную Осетию назревало столетиями. Осетины считают территорию Южной Осетией родной землей, принадлежавшей им векам, в то время как грузины видят в осетинах сравнительно недавних вторженцев. Когда Южная Осетия объявила независимость после распада СССР, ульта-националистский первый президент Грузии попытался подавить сепаратистское движение силой. После непродолжительной войны, осетины выстояли - и Грузия с Южной Осетией разошлись в шатком мире, подкреплёном российскими, грузинскими и осетинскими миротворцами. Россия раздавала паспорта южноосетинцам и предоставляла военную защиту, сделав эту территорию де-факто частью федерации. 

Опытные наблюдатели запутанной геополитики региона понимали что Россия несёт немалую часть ответственности, но что вина лежала в первую очередь на Саакашвили. Когда он пришёл к власти, он взял на себя образ средневекового короля, объединяющего страну. "Сегодня Грузия раздроблена и унижена. Мы должны восстановить её территориальную целостность. Грузия существовала и будет существовать. Грузия станет сильной, объединённой страной" - так он заявил в 2004-м. При тающей политической поддержке внутри страны, Саакашвили жаждал популярной войны. Стычки у границ Абхазии и Южной Осетии участились; наконец, Грузия дала первый залп.

Внезапно, Америка оказалась на краю пропасти: война из-за сложного сектарного конфликта в далёкой части мира. Американские законодатели хотели простого объяснения - и к их удобству, им таковое предложили: кибер-агрессия.


(хак-группа - Модная Медведица)


Сайты погружаются во тьму 


Когда начиналась война, ряд грузинских веб-сайтов был атакован. ЦБ Грузии был хакнут, согласно российским новостям. Внутренние сети не были взломаны, но хакеры подработали главную страницу, дав грузинской валюте - лари - не самый предпочтительный обменный курс, что побудило правительство издать указ, прекративший все электронные банковые сервисы. МИД Грузии был хакнут, и его домашняя страница была заменена на слайдшоу, изображавшее Саакашвили как Гитлера. "И судьба его будет та же," заявляло мрачное сообщение в стороне. 

Русскоязычный форум названный "стоп Грузия" внезапно появился в онлайне - причём с хостингом в США. На камуфляжном бэкграунде форумчане осуждали грузинскую пропагандистскую войну против России. "Мы, как представители российского хакерского подполья, не потерпим грузинских провокаций." Форум был примитивен и выглядел так, будто был состряпан за пару часов. Его основной функцией была дистрибуция простой, легкодоступной програмы, позволявшей любому с интернет-соединением стать частью DoS-атаки [да-да, она самая, ионочка]. Форум также предоставлял удобный список грузинских вебсайтов-целей, и помогал организовать и направить действия кибер-толпы. 

Официальные лица Грузии объявили эти кибер-атаки стратегическим манёвром российских военных сил, предназначенные для подавления коммуникационных систем страны, что помогало военному вторжению. Скоординированная природа атак, настаивали они, доказывала что Россия планировала вторжение заранее. В официальном отчёте правительства заявлялось: "Первые выстрелы вторжения в Грузию были сделаны в интернете - это доказывает что российская агрессия произошла до действий Грузии." Правительство назвало участников этой атаки "кибер-террористами."

Эксперты по кибербезопасности оказались тут как тут, подтверждая и расширяя обвинения грузин. Некоторые обвиняли скрытную киберкриминальную группировку из Санкт-Петербурга, которую аналитики окрестили "Российской Бизнес-Сетью" и связали с ФСБ, секретной полицией России. Другия считали что в этом были задействованы "Наши", молодёжная националистическая организация Кремля. Американские военные также подали голос, соглашаясь с тем что Россия использовала кибератаки для дизориентации правительства Грузии. "Русские просто вырубили коммандные сети правительства, чтобы скрыть своё вторжение" - так сказал в репортаже Ассошиэйтед Пресс бывший секретарь ВВС США Майкл Винн 13-го августа.

Один конкретный взлом стал своего рода образцом подозрительного российского кибер-наступления, и так же удобным предупредительным сигналом для ещё больших российских угроз в будущем. В июле, сразу после визита Кондолизы Райс - прилетевшей в Грузию чтобы подкрепить американскую поддержу её амбициям по выходу из сферы влияния России - сайт Саакашвили был взломан потом джанк-реквестов с такой строчкой текста: "win+love+in+Russia."

Что это всё означало? Война едва закончилась, но Джон Маркофф, давний компьютерный репортёр New York Times, предложил следующий ответ: "как оказалось, июльская атака могла быть генеральной репетицией для полномасштабной кибервойны, как только началась стрельба между Россией и Грузией. Согласно техническим экспертам в интернете, это был первый случай, когда кибератака совпала с "горячей" войной." Другие журналисты также подключились: Wall Street Journal, CNN, Washington Post. Согласно киберэкспертам, консенсус заключил что Россия действительно стояла за этими атаками - и риторика становилась всё более воинственной. 

В итоге в течение одного-двух новостных циклов интернет-аналитики превратились в подстрекателей к войне и кибер-ястребов, приравнявших рудиментарные атаки через интернет к ядерному оружию. "Эти атаки по сути имели тот же эффект, что был бы от военной атаки. Внезапно оказалось, что в киберпространстве любой может построить атомную бомбу," рассказал в интервью Washinton Post Рафаль Рохозински, уважаемый кибер-аналитик из Citizen Lab. Financial Times согласились: "Кризис в Грузии не только пробудил страхи воинственной России. Он так же напомнил что новый тип войны - потенциально столь же разрушительный, что и предыдущие поколения - уже почти на пороге: кибервойна."

Именно так: дефейс правительственного сайта повторяющейся текстовой строчкой из примитивных слоганов теперь стал эквивалентом опережающего ядерного удара 21-го века. Эта истерия какое-то время взбалтывалась и вылилась в страхи о том, что Америка была безоружна против подобных атак России. Ведущий CNN Джон Робертс заявил: "То, что подобное может случиться здесь, в Америке, вызывает глубокую обеспокоенность."


(хак-группа - Турбинная Панда, Китай)


Пойнт, Клик, Паника

Я начал расследовать кибервойну как только она началась. Я знал кое-что о том, как работают компьютеры, сайты, и интернет, два года учившись кибернетике в Бёркли [элитный калифорнийский универ], и у меня были серьёзные сомнения в кибернетическом измерении русско-грузинской войны. Хаки и атаки все казались очень простыми и по большей части нацеленными на некритичные кибер-порталы - церемониальные правительственные сайты, несколько новостных сайтов, публичный сайт ЦБ. Это слабо походило на разрушительную атаку на инфраструктуру, о которой теперь киберэксперты препупреждали людей. По мере того как я углублялся в историю - расспрашивая свои московские контакты, путешествуя по Грузии, интервьюируя хакеров, политиков и киберэкспертов в Европе, Росси и США - эти боевые кличи кибервойны звучали всё более и более как сфабрикованная идеологическая итерия. 

Разумеется, эти атаки были настораживающими. Взломы грузинских сайтов имели место, и они были каким-то образом связанными с войной, и российский мир интернет-криминала имел связи с силовыми структурами. Но интерпретировать эти атаки как заранее спланированную операциб российской ответки было большим - и опасным - прыжком, возможно оправдывавшим американский военный ответ. Более того, казалось ясно что большинство иследовавших эти атаки людей работали сзада наперёд. Они начали с предположения о том, что Россия начала войну и продолжили тем, что доказывали что кибератаки были частью спланированного вторжения.

Живя в то время в Москве, я увидел поражающий эффект разделённого экрана в том, что касалось грузинсокого кризиса. Америка сходила с ума из-за угрозы российских кибератак, в то время как люди в России, с которыми я беседовал, насмехались над истерией. Смотря сейчас на свои заметки с тех времён, я не могу найти ни одного российского источника, который серьёзно к этому относился. Никита Кислицин, бывший редактор журнала "Хакер", смеялся над западными экспертами кибербезопасности, которые предполагали что кибератаки на Грузию были передовым клином изощрённого плана по полному захвату страны - он объяснял что у хакеров может быть множество необычных мотивов для участия в политической кибервойне. Один из частых авторов секции "как взламывать" его журнала, например, взломал несколько грузинских сайтов просто для того, чтобы у него было о чём писать - и хвастатья. Крис Касперски, известный русский хакер и эксперт кибербезопасности, также высмеял идею о том что грузинские хаки были частью операции военной разведи. "Эти атаки мог произвести любой подросток," сказал он мне. "Хорошо обеспеченная организация, как ФСБ, модет атаковать сайты намного более эффективно." Касперски говорил, что снести пару склееных на колентке государственных и новостных сайтов - это ещё далеко не сетевая война. Действительно, было настолько же возможно что хакерские атаки были устроены самими грузинами: "в таких конфликтах, нужно смотреть на то, кому это выгодно," сказал он. "Если б я был Грузией, я бы атаковал себя."


(хак-группа - Зоркий Шакал, Ближний Восток/Афганистан)


Туманный лог данных


У этого конфликта была и друга, умалчиваемая сторона. Кибератаки просходили в обоих направлениях.

Еще до начала войны в августе, южноосетинские вебсайте подверглись атаке. За несколько дней до начала обстрелов, кто-то искусно взломал сайт телестанции республики, заменив новостные статьи о количестве грузинских солдат, убитых в перестрелках, на сообщения о русских наёмниках среди потерь. В то время как грузинские танки пересекали границу, другие осетинские новостные сайты - некоторые с хостингом в Москве - были атакованы хакерами. Сайт Министерства Информации Южной Осетии, информационного центра для всех южноосетинских новостей, упал под DoS-атакой. В то же время российсике новостные агенства, включая кремлёвскую Russia Today, были атакованы и вываедены в даунтайм во время войны. 

Если сощуриться и посмотреть на конфликт со стороны России и Южной Осетии [поняли, азиатские пидарахи?] то вы могли бы даже доказать с помощью этих атак ровно противоположное тому, что утверждали Грузия и западные киберэксперты: эти хакерские атаки доказывают, что именно Грузия спланировала своё вторжение. И именно это говорили мне осетины. Юрий Бетеев, основатель и главред ОсИнформ, единственного новостного агенства Южной Осетии, рассказал мне, что "они надеялись что медиа-блэкаут скроёт ужасы, которые они творили против гражданского населения и уменьшит сопротивление вторжению, как здесь так и в мире." Он был в Цхинвале когда грузинская тяжёлая артиллерия атаковала город.

Я поехал в Тбилиси в поисках доказательств предполагаемой российской кибератаки. Я назначал интервью с газетами, госслужбами и интернет-провайдерами. Все делали грандиозные заявления о российских хакерских атаках, и всем не хватало конкретных доказательств. Кавказ Онлайн, один из самых больших провайдеров Грузии, заявлял что кибератаки начались за день до военных действий - и что это, по мнению компании, было неопровержимым доказательством координации атак российским правительством. Но официальные лица интернет-провайдера не смогли предоставить какой-либо подтверждающей информации, и когда запросил сэмпл их лога с того дня, представитель компании сказал что данные были удалены. 

Мне показали бывшее советское правительственное здание в центре Тбилиси. Оно было как модернистская крепость: плита из гранита и бетона на вершине крутого холма. На седьмом этаже находился Совет Национальной Безопасноти Грузии, координирующий орган военных и разведывательных структур страны. В этом ультра-безопасном месте грузинские официальны лица раскручивали серию пунктов о том, как кибервойна доказывала российскую агрессию. "Для маленькой страны, вроде нашей, информация - это самый мощный инструмент самозащиты. Русские знали об этом" - так мне сказал директор совбеза Александр Ломаия. "Одним днём, мы обнаружили себя отрезанными от мира. Всего крупные сайты - включая правительственные и сайты СМИ - были атакованы. Их целью было ограничить наши возможности электронного сообщения, и им это удалось."

Но Грузия - это бедная, в основом деревенская страна с малой распространённостью интернета вне столицы. Её уровень интернет-активности ниже такового в странах вроде Нигерии, Бангладеша, Боливии и Сальвадора. Вы врядли смогли бы запустить кибератаку даже если хотели бы, поскольку мало кто вне Тбилиси пользуются интернетом - не говоря уже о том чтобы использовать его для чего-то важного. Это всё было хайпом и ажиотажем  - и очень поверхностным.

На самом деле, как и в Москве, критично настроенные журналисты и технари в Грузии отвергали многое из возбуждённых слухов. Да, хакерские атаки были. Да, ими могли управлять из правительства России. Но они были настолько любительскими и имели настолько мало последствии, что они не произвели почти никакого эффекта. Их единственным успехом, на самом деле, была поддержка грузинской контр-пропаганды, которая использовала малейший взлом как доказательство российской агрессии. Один журналист рассказал мне о том, как его коллеги радовались новостям о грузинских хакерских атаках против России. "Волна ликований прошла через форум когда они на несколько часов снесли Russia Today." Патриотические хакеры, вносящие свою долю в борьбе с Россией? Это именно то, в организации чего киберэксперты обвиняли российские службы безопасности, как части военного вторжения. 



(колекционные стикеры хакерских групп)


Следуя за деньгами

К тому моменту как я покинул Грузию в октябре, помешательство на кибервойне уже отпустило политических лидеров и медиа-продюсеров на Западе. Конгресс проголосовал за бэйлаут для Уолл Стрит. Русско-грузинская война выпала из коллективной памяти Америки так же быстро, как и появилась, затенённая более пугающей и прямой угрозой Америке: разрушением нашей финансовой системы и угрозой новой Великой Депрессии.

Год спустя, комиссия Евросоюза издала детальный отчёт, показавший насколько пустыми были разговоры о хакерских атаках и спланированности российской войны. Отчёт возложил вину за начало войны целиком на Грузию. Но к тому моменту русско-грузинская война была древними новостями. Никого это не волновало, и отчёт едва был упомянут в прессе. Однако Силиконовая Долина заметила.

В то время как финансовая индустрия балансировала на грани забвения, другая индустрия нарождалась: компелс кибербезопасности. На сегодняшний день это многомиллиардная растрата, использующая хлипкие методы анализа и политизированные расследования. Но он очень прибылен. Бумом движет мрачная, полная утечек реальность нашего цифрого мира. И месяца не проходит без того, чтобы какую-то крупную корпорацию или госслужбу не взломали, расплёскивая данные по всему интернету либо сливая в эксклюзивное пользование мошенникам, корпоративным шпионам, и разведслужбам. 

Фирмы кибербезопасности приняли вызов. Они притягивают средства из самых больших домов венчурного капитала: Sequoia, Google Capital, и т.п. Неудивительно, что собственное агенство венчурного капитала ЦРУ, In-Q-Tel, был одним из ведущих инвесторов в этой области. Все эти фирмы представляют себя объективными криминальными следователями, терпеливо процеживающими все улики для того, что бы найти виновных и определить способы зашиты. Они были связаны и диагнозами и аттрибуцией бальших хаков пристыженных клиентов вроде сети магазинов Target, банка J.P. Morgan, и Sony Pictures. Инвесторы и разведслужбы расхваливают критически важные услуги, предоставляемые этими конторами в среде, полной злонамеренных киберугроз. 

Но в частных беседах - а так же в мало замечаемых публичных - профессионалы разделяют более мрачный взгляд на комплес кибербезопасности. И чем больше я всматривался в истерию вокруг предполагаемого вмешательства русских хакеров в наши выборы, тем больше а начал видеть в этом хрестоматийный пример всего неправильного и опасного в бизнесе кибер-аттрибуции.


(хак-группа "Уютный Медведь", коллекционный календарь)


Модные Медведи, Уютные Медведи - Ой-ё!

Возьмите, например, CrowdStrike, самая горячая фирма кибербезопасности существующая сегодня. Расположенная в Ирвине, штат Калифорния, CrowdStrike была основана в 2012-м году двумя ветеранами бизнеса кибер-аттрибуции: Джорджем Куртцем и Дмитрием Альперовичем. Оба до этого работали в McAfee, бывший антивирус, ставший массивной фирмой кибербезопасности, частично в собственности Intel. Но Куртц и Альперович увидели открывшуюся возможность на рынке для нового типа киберкомпании-бутика, и решили открыть свой собственный бизнес. Они также взяли к себе Шона Генри, высокорангового сотрудника ФБР, занимавшегося в бюро глобальными расследованиями в киберпространстве. 

CrowdStrike позиционирует себя как фирма кибербезопасности нового поколения с полным спектром услуг. Представители компании настаивают что кибербезопасность больше не дело одной только защиты - информации и способов нападения стало слишком много чтобы защититься от всего сразу. Вам нужно знать нападающего на вас. "Зная их возможности, цели, и способы их достижения - это недостающий кусок паззла в сегодняшних оборонительных технологиях," писал Джордж Куртц."Опознавая противника... мы можем ударить по ним там, где это принесёт эффект."

CrowdStrike вышла в большие игроки в 2015-м, получив влияние в $100 млн. от Google Capital (теперь Capital G), что было первой инвестицией Гугла в фирму кибербезопасности.  Время оказалось подходящим, потому что CrowdStrike вот-вот предстояло выйти в первые ряды оценивателей кибер-угроз. Начиная с апреля или мая, CrowdStrike получила звонок от Демократического Национального Комитета (ДНК), с предложением расследовать возможное вторжение в их сервера. Исследователи компании сработали с удивительной эффективностью. Как рассказал один демократический инсайдер в интервью New York Times, эта компания смогла произвести точную аттрибуцию за один день. Сомнений нет, сообщили ДНК CrowdStrike - это сделало российское правительство. 

О результатах расследования первыми сообщили Washington Post - и затем с ещё большими подробностями сами CrowdStrike. В посте, озаглавленном "Медведи посреди", Дмитрий Альперович аттрибутировал хакерскую атаку двум зловещим "российским шпионажным" группам: Уютному Медведю и Модной Медведице, одним из самых искусных кибер-оперативников, которые CrowdStrike когда-либо встречала. Он писал что, "на самом деле, наша команда считает их одними из лучших противников из всего множества национальных, криминальных и хактивистских/террористических групп которые мы встречает ежедневно. Их навыки на высоте, их оперативная безовасность бесподобна, и их широкое использование "фуражных" [полагающихся на подручные ресурсы] приёмов позволяет им легко обходить множество встречаемых ими мер кибербезопасности."

[Что интересно, с недавних слов директора ФБР как минимум одна из этих групп наоборот вела себя как слон в лавке, "нехарактерно шумели", и "словно хотели, чтобы мы о них знали". Не прямое противоречие с описанием Альперовича, но малость расходится с "оперативной безопасностью" минимум, не?]

Эти кибершпионы подозревались в недавней череде атак на американские корпорации и аналитические центры, а так же недавние взомы незасекреченных сетей Госдепартамента, Белого Дома и Объединённого Комитета Начальников Штабов США. Согласно CrowdStrike, Уютный Медведь был скорее всего ФСБ, тогда как Модня Медведица была привязана  к "ГРУ, главной военной разведке России."

Тут, как говорили нам киберэксперты, было окончательное доказательство того что и ФСБ и ГРУ вместе атаковали центральный аппарат Демократической Партии. Находки CrowdStrike не просто вызвали сенсацию - они разбомбили в пух и прах весь новостной цикл. Репортажи о том, что Путин попытался взломать демократический процесс Америки обежали весь мир, попав на передовицы газет и вызвав безостановочный гвалт на кабельных новостных каналах.

Эта история стала ещё горячей после появления на сцене хакера, называвшего себя Guccifer 2.0. Он взял на себя отвественность за взлом Демократического Национального Комитета, назвал расследование CrowdStrike фальшивкой, и начал сливать секретные документы, украденные у ДНК - включая спредшит с именами и адресами самых больших доноров ДНК. История наконец стала ядерной когда WikiLeaks каким-то образом получила в свои руки весь мейл-архив ДНК и начала сливать информацию публике.




Ужасная Система 

CrowdStrike настаивала на своём, и другие фирмы и эксперты кибербезопасности также пытались перекричать друг друга, доказывая их находки: Россия стояла за этой атакой. Большинство журналистов поверило этим знатокам на слово, не заботясь о собственных расследованиях или о проверки методов анализа, или даже о том, чтобы посмотреть как CrowdStrike пришла к такому выводу. И как они могли это сделать? Это же эксперты. Если нельзя доверять CrowdStrike и ко., то кому ещё?

К сожалению, с версией CrowdStrike были большие проблемы. Для начала, названия двух групп, которые CrowdStrike предположительно поймали, были выдумкой. Уютный Медведь и Модная Медведица это то, что наблюдатели за киберпространством называют "современными постоянными угрозами" или APT (Advanced Persistent Threat). Когда исследователи анализируют взлом, они ищут методы и инструменты, с помощью которых хакеры проникли внутрь: сорс-код, настройки языка, время компайлера, временные зоны, настройки IP и т.п. Они затем сравнивают эти улики с базой данных ранее задокументированных хаков, которые киберпрофессионалы делят между собой. Если атаки подходят под один из старых профилей, они приписываются существующей APT-угрозе. Если найдено что-то новое, создаётся новая группа с новым названием (н-р APT911), и потом ей дают более крутую кличку в своих отчётах (н-р TrumpDump).

CrowdStrike следовала протоколу для существующих APT-угроз. Её расследование взломанных серверов ДНК выдало две известных групп угроз: APT28 и APT29. В зависимости от производящей анализ компании кибербезопасности, эти две APT-угрозы как только не называли: Штурм Пешек, Sofacy, Sednit, УютнаяМашина, Герцоги, УютныйГерцог, Офисные Мартышки. Ни одну из них не связали с российскими властями с точной уверенностью. Некоторые фирмы пробовали - особенно FireEye, соперник CrowdStrike, который больше и богаче их. Но доказательства FireEye были до смешного слабыми и косвенными - в любой другой индустрии это было бы посмешищем. Оцените, примера ради, отчёт FireEye о APT29:

"Мы считаем что правительство России спонсирует эту группу из-за организаций, которые они выбрали своими целями, а так же информации, которую они похищали. Вдобавок, APT29 прекращает работу на российские праздничные дни, а их часы работы совпадают с временной зоной UTC+3, включающей такие города как Москва и Санкт-Петербург."
 
Или посмотрите на отчёт FireEye о APT28 - который, помимо всего прочего, причисляет эту хак-группу к отряду российской разведки, активно действовавшем в российском "вторжении в Грузию" - которого, как мы знаем, не было.

"Они компилируют сэмплы вирусов с настройками русского языка, во рабочее время по часовому поясу Москвы и Санкт Петербурга. Хотя у нас нет картинок здани, имён или названия агенства, чтобы их раскрыть, у нас имеются доказательства долгосрочных, скоординированных операций, которые указывают на правительственного спонсора - а именно спонсор в Москве."

Итак, FireEye знает что эти две АРТ-угрозы управляются российскими властями, потому что некоторые языковые настройки, и из-за таймстэмпов на хакерских действиях? Во-первых, какой хакер - особенно искусный русский хакер-шпион - работает в стандартные рабочие часы, с 9 до 5, и следует официальным праздничным дням? [Собственно, как показал недавний слив Викиликс у тех же ЦРУшников эта тема чуть ли не первый урок для их хакеров] Во-вторых, какие ещё места находятся в москвоском часовом поясе и полны русских? Давайте посмотрим: Израиль, Беларусь, Эстония, Латвия, Молдова, Румыния, Литва, Украина. Если включить нерусскоязычные страны (в конце концов, языковые настройки можно легко переключить с целью скрытия следа) [тоже подтверждено сливами викиликс, ЦРУ целые програмы для подделки чужого языка пишет] лист становится ещё длиннее: Греция, Финляндия, Турция, Иордания, Ливан, Сирия, Ирак, Саудовская Аравия, Сомали, Йемен, Эфиопия, Кения - и ещё много и много стран. 

Хлипкость этих улик не остановила CrowdStrike. Их аналитики нашли совпадения между инструментами и приёмами использованными во взломе ДНК и APT28 и APT29, прилепили пару звучащих по-русски названий с "медведями" в своём отчёте, и заявили что это сделали ФСБ и ГРУ. И почти все журналисты, освещавшие эту тему, слопали это не поперхнувшись.

"Вы не знаете, если там вообще кто-то есть. Это не как какой-то клуб, в котором у каждого есть карточка участника, на которой написано "Модная Медведица." Это просто выдуманное названия для группы атак и приёмов и технических индикаторов, связанных с теми атаки" - так мне рассказывал писатель и эксперт кибербезопасности Джеффри Карр [что забавно сам активно работающий с тамошней гебней и шпионами, только недавно конфу для шпионов и технарей организовал]. "Редко когда бывает какое-либо подтверждение что эта группа существует, или что утверждения были верными."

Карр - старожил индустрии. Во время русско-грузинской войны он возглавлял опен-сорс разведывательную акцию - поддерживаюмую фирмой Palantir [целиков гебистско-шпионский проект] - в попытке понять и произвести аттрибуцию участников кибервойны. И читал его отчёты тогда и, хотя я не соглашался с некоторыми его выводами, я счёл его анализ информативным и глубоким. Его выводы тогда следовали в канве индустрии в целом и сходились в выводах о вине России в хакерских атаках на Грузию. Но в эти дни Гарр порвал с консенсусом кибермира: 

"В наше время каждый раз, когда происходит хакерская атака, наши компании кибербезопасности оглядываются назад, видят исторические архивы аттрибуции, предыдущие определения виновных, и просто продолжают переть в той же колее. Никто не знает, правы они ли нет - мы наверное уже никогда не узнаем. Так оно работает. Это ужасная система."
 
Это криминология наоборот: сперва вы выбираете виновного, затем находите доказательство вашего мнения. 


(коллекционный скейтборд "Модная Медведица")


Не для аттрибуции

Со временем, плохие доказательство накладывались поверх неподтверждённых заявлених и гигантских идуктивных прыжков логики, и дошло до того, что если вы попытаетесь сейчас понять что на самом деле происходит, вы окажетесь в полной растеряннсоти. 

Мэтт Тэйт, бывший аналитик GCНQ (британский аналог АНБ) и основатель Capital Alpha Security, ведущий влиятельный микроблог в твиттере под ником @pwnallthethings, нашёл Word-документ, украденный у Демократического Национального Комитета и слитый Guccifer'ом 2.0. Изучая сигнатуры данных, он обнаружил что документ был изменён "Феликсом Эдмундовичем" - т.е. Феликсом Дзержинским, основателем ЧК. Для Мэтта, это было доказательством того что Guccifer 2.0 был частью той же российской шпионской операции. Он действительно верит что супер-искусная шпионская группа, пытающаяся скрыть свои российские связи, зарегистрировала бы свою копию Microsoft Word на имя лидера печально известной советской службы безопасности. онтрпойнт - Мэтт не такой дурак и прикидывается; Guccifer объявился когда викиликс уже получили в свои руки файлы и готовились сливать, причём Guccifer мешал трушные файлы, бывшие у викиликс, с фейкотой - он наверняка был подсадным, дискредитировал сливы]

В это время лондонский киберэксперт Томас Рид провёл прямую линию от хака ДНК к попытке хакнуть немцев и канал TV5, и далее к атакам на Грузию и прибалтийские страны - хотя при ближайшем рассмотрении ничто из этого не было связано с российским правительством.

Gmail-аккаунт Джона Подесты был взломан рудиментарной спир-фишинговой атакой, в результате которой он ввёл свой пароль в фальшивую страницу логина в Гугл. Его имейлы тоже оказались у WikiLeaks. И кто только не связывал это действие с российской военной разведкой без каких-либо конкретных доказательств. 

Чувствуя, что их момент настал, CrowdStrike ушли в режим безудержного пиара. Компания выпустила серию отчётов об аттрибуции, с иллюстрациями в виде секси-роботов-коммунистов в уганках, используя визуальный маркетинг вместо твёрдых доказательствых. 

После того как Дональд Трамп выиграл выборы, все эти дикие заявления были приняты за неоспоримую правду. "Хакинг" выборов 2016-го стал итоговым обвинением, изобличающим выводом, с которого эксперты безопасности шли в обратном направлении в поисках доказательств. Точно так же, как атаки на интернет-инфраструктуру Грузии предоставляли окончательные доказательство российских планов вторжения, невозможный успех Трампа доказывал что российские уловки, а не коллапс американских политических институтов, привели к избранию опасного президента аутсайдера. [Внимание: на момент перевода статья могла мальца устареть :3 ]

Наблюдая за этим новым раундом истерии по кибер-аттрибуции, мне стало неуютно. Даже имя Дмитрия Альперовича звучало знакомо. Я перекопал свои заметки и вспомнил, почему: он был одним из менее заметных голосов в онлайне, продвигавших идею о том что хакерские атаки на Грузию были каким-то российским сговором. В те дни он был во главе разведанализа Secure Computing Corporation, компании кибербезопасности, которая помимо всего прочего производила инструменты цензуры для стран вроде Саудовской Аравии. Теперь же у не просто собственная большая контора, но он ещё и играет центарльную роль опасной геополитической игре. 

Иными словами, паника о хакинге выборов была продолжением на родине битвы, начатой на далёком фронтире интернет-провайдеров русско-грузинской войны. Доверчивые журналисты и шарлатаны Демократической Партии, которые игнорируют эту подоплёку, делают так на свой - и наш - страх и риск.



(хакерские группы разных стран)

Оригинал













P.S.: Все иллюстрации, кроме первой - промо-материалы КраудСтрайк. 




Просто вбрасываю, чтоб показать уровень пеара этой буквально связаной с ФБР и по слухам ЦРУ конторки.



Все их хакерские группы определяются по стране (н-р выше - Китай, панды), потом разбиваются на разные типы, описываемые прилагательным. Н-р "Готичная Панда". 



На момент перевода статьи ни одной амерской или западной группы не было обнаружено, всё экзотика и чужеземные шпионы.



Ну, вы поняли.

Profile

dreamgirth

April 2017

S M T W T F S
      1
234 5678
9101112131415
16171819202122
23242526272829
30      

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 22nd, 2017 01:11 pm
Powered by Dreamwidth Studios