В минувшую пятницу, 28 февраля, стало известно, что министр обороны США Пит Хегсет дал распоряжение прекратить кибероперации против России. Насколько длительным окажется это киберперемирие и каковы будут его последствия?
- Введение
- Почему Пентагон свернул кибероперации?
- Как отреагировала Россия?
- Какими будут последствия киберперемирия?
- Выводы
Введение
28 февраля издание Recorded Future News сообщило, что в середине месяца министр обороны США Пит Хегсет приказал Киберкомандованию Армии США (United States Cyber Command, USCYBERCOM) прекратить операции против России. Об этом стало известно благодаря трем источникам издания в Пентагоне.
Рисунок 1. Въезд в штаб-квартиры Киберкомандования, АНБ и Центральной службы безопасности США
Позже существование данного распоряжения подтвердили контакты ещё трёх СМИ: CNN, New York Times и Associated Press. Последние подчеркнули, что решение принято задолго до скандальной ссоры президентов Дональда Трампа и Владимира Зеленского 28 февраля.
Американское правительство также правительство расторгло пятилетний контракт с IBM, который заключило Агентство по международному развитию США (USAID). Документ регулировал направление специалистов в сфере кибербезопасности в конкретные страны, например в Албанию, Азербайджан, Косово, Молдавию, Румынию и Черногорию. Это была одна из программ под эгидой USAID, которые отменила администрация Трампа.
Последствия представленных решений могут оказаться далеко идущими. Есть предположение, что проукраинские хакеры могут перейти к атакам на американские компании. Вероятно, заинтересованные лица попытаются провести более заметные акции «под чужим флагом» с целью сорвать российско-американские контакты.
Почему Пентагон свернул кибероперации?
По данным Recorded Future News, Пит Хегсет приказал прекратить планирование новых операций против России. Подробностей источники издания не привели, однако точно известно, что данное распоряжение не касается собственно разведывательных операций.
Несмотря на зимний сезон, в отпуск отправились десятки сотрудников Киберкомандования, которые занимались противодействием зарубежному вмешательству в американские выборы. Такой косвенный признак может указывать на исполнение упомянутого распоряжения, считает Associated Press. По оценкам Recorded Future News, всего в операциях против России были задействованы 2000 из 5700 сотрудников Киберкомандования.
«На кого именно распространяется и как долго будет действовать приказ министерства обороны — не ясно, поскольку грань между наступательными и оборонительными кибероперациями часто размыта», — рассуждают авторы New York Times. Стоит отметить, что на сугубо разведывательные операции запрет Хегсета не распространяется.
По их мнению, продолжение разведывательных действий способно помочь переговорному процессу, поскольку позволит лучше оценить ситуацию в России. Тогда американской стороне удастся определить несущественные требования, от которых можно отказаться без ущерба для себя.
В комментарии для CNN бывший сотрудник Киберкомандования Джейсон Кикта назвал приостановку киберопераций распространённой практикой в период важных переговоров. Таким образом дополнительно обеспечивается отсутствие рисков, связанных с действиями, которые могут оказать провокационный или дестабилизирующий эффект на переговорный процесс между сторонами.
Киберкомандование США работает довольно активно и агрессивно. Ещё в 2018 году оно получило карт-бланш, речь шла в том числе о превентивных мерах в отношении компаний и стран, которые атакуют объекты в США. После начала боевых действий на Украине Киберкомандование участвовало в кибератаках на Россию, и это было признано официально. По данным, приведённым New York Times, госорган активно проявил себя в атаках на российскую энергетику.
Как сообщает РБК, среди акций Киберкомандования — атака на систему дистанционного электронного голосования и на ресурсы Центральной избирательной комиссии в сентябре 2024 года. По словам директора департамента международной информационной безопасности МИД России Артура Люкманова, такие нападения проходят «практически ежедневно».
Однако министерство внутренней безопасности США, подразделением которого является Агентство по кибербезопасности и защите инфраструктуры (CISA), заявило о том, что киберугрозы, которые исходят из России, по-прежнему остаются под наблюдением с его стороны. Об этом сообщила пресс-секретарь госоргана Триша Маклафлин в соцсети X (рис. 2). Поводом послужила просьба прокомментировать появившиеся в отдельных СМИ сообщения о том, что органам внутренней безопасности США якобы отданы распоряжения перестать отслеживать киберугрозы, инициированные в России.
Рисунок 2. Сообщение Триши Маклафлин в соцсети X
Между тем, Пентагон воздержался от официальных комментариев. Там только заявили , что безусловным приоритетом минобороны является безопасность войск и военных объектов США. Со ссылкой на анонимный источник в самой структуре Bloomberg опроверг существование приказа Хегсета о приостановке киберопераций против России.
Как отреагировала Россия?
По некоторым оценкам, российская сторона сама начала движение в сторону деэскалации противостояния в киберпространстве. Ещё 2 декабря 2024 года, спустя несколько недель после победы Дональда Трампа, было объявлено о задержании Михаила Матвеева, также известного как Wazawaka, m1x, Boriselcin, Uhodiransomwar. Госдепартамент и ФБР объявили его в розыск по обвинению в вымогательстве с использованием программ-шифровальщиков и предложило вознаграждение — 10 млн долларов (рис. 3).
Рисунок 3. Объявление Госдепа и ФБР о розыске Михаила Матвеева (Wazawaka)
Атаки программ-шифровальщиков на американские компании и учреждения часто связывали с деятельностью «русских хакеров», их существование всегда было для США болезненной темой. Арест российскими властями заметного игрока на этом теневом рынке, который привел к выводу его из активной деятельности многие расценили как своего рода жест доброй воли со стороны Москвы. Поскольку речь идёт о представителе российской группировки, действующей вне страны, событие оказалось вторым прецедентом после процесса по делу REvil.
По мнению некоторых экспертов (рис. 4), следующим шагом стало закрытие телеграм-бота «Глаз Бога» 27 февраля. Формальным поводом послужило нарушение новых требований по защите персональных данных, чреватое уголовной ответственностью. Допустимо предположить, что таким образом российские власти стремятся снизить активность операторов шифровальщиков в России, которые действуют в том числе против американских компаний.
Впрочем, в 2021 году «Глаз Бога» уже пытались закрыть, но он снова начал работать. Как заявил РБК основатель “Глаза Бога” Евгений Антипов, это связано с тем, что сервисом активно пользуются сотрудники российских правоохранительных органов.
Рисунок 4. Сообщение AzAI Security в соцсети X в связи с закрытием «Глаза Бога»
Лидер демократического меньшинства в американском Сенате Чак Шумер назвал решение Пентагона приглашением на атаки объектов критической инфраструктуры США от администрации Трампа для российских хакеров.
В отчёте CrowdStrike по итогам 2024 года говорится о снижении активности российских хакеров, а также иранских и северокорейских, притом что китайские позволяют себе гораздо более заметные действия. К составлению документа приступили существенно раньше, чем стали известны итоги президентских выборов в США, тогда никто не ожидал оживления российско-американского диалога.
Какими будут последствия киберперемирия?
Дальше ситуация может развиваться как по благоприятному для России сценарию, так по противоположному. Есть также вероятность того, что некоторые проукраинские группировки по-прежнему будут атаковать цели в России, но дополнительно развернут действия и против американских учреждений и компаний.
Если обеим сторонам действительно удастся снизить напряжённость в киберпространстве, допустимо ожидать смягчения или даже снятия ряда санкций. Формальным поводом для их введения стало участие в кибератаках, в том числе вмешательство в электоральные процессы. Соответствующие планы администрация США уже прорабатывает.
Косвенным свидетельством считается возможное участие российских компаний и ведомств в форуме GovTech, который пройдёт в Вашингтоне в мае. В распоряжении «Коммерсанта» оказалось письмо директора департамента аналитического сопровождения внешнеэкономической деятельности Минэкономразвития Юрия Шишова, в котором Минцифры и отраслевым ассоциациям предложено сформировать пул российских участников данного события, пусть и в дистанционном формате.
«Сейчас экспорт ограничен санкциями, но если мероприятие в Вашингтоне способно помочь российским разработчикам получить заказы на новых рынках, этим нужно пользоваться», — подчеркнул директор Ассоциации предприятий компьютерных и информационных технологий Николай Комлев в комментарии для «Коммерсанта».
В среде проукраинских кибергруппировок начались разговоры о переориентации на атаки американских компаний и госучреждений ещё накануне телефонного разговора президентов Трампа и Путина, за которым последовало распоряжение о прекращении киберопераций. Как только стало известно о скандальном срыве переговоров между Трампом и Зеленским в Белом доме, развернулись разговоры о прекращении военной помощи Украине, которые в итоге действительно привели к приостановке поставок, призывы «воркать по ЮСА» стали массовыми на сайтах и каналах проукраинских кибергруппировок (рис. 5).
Рисунок 5. Переписка проукраинских хактивистов из группировки C.A.S.
Если такие атаки состоятся, в целом можно предположить те же сценарии, что были во время нападения на российские предприятия и госучреждения в 2022 году. Вероятны DDoS-атаки, прежде всего на плохо защищённые ресурсы, в основном малого и среднего бизнеса на Среднем Западе и Юге США, где сосредоточен электорат Республиканской партии. Также под ударом могут оказаться сайты религиозных учреждений, влияние которых также очень велико, особенно среди консервативно настроенных граждан.
Допускаются и атаки, связанные с уничтожением данных в захваченной инфраструктуре. Их сделали своей «визитной карточкой» проукраинские группировки, нападавшие на российские организации в прошлом году. Тут можно вспомнить атаку на администрацию Твери или на ВГТРК в октябре 2024 года. По данным «Лаборатории Касперского», группировка C.A.S. специализируется на нанесении максимально возможного ущерба атакованным организациям.
Попытки сторон сделать шаг навстречу друг другу вызывают серьёзное противодействие. «Понимаем, что не всех устраивает возобновление российско-американских контактов. Часть западных элит по-прежнему настроена на сохранение нестабильности в мире, и эти силы будут пытаться сорвать или скомпрометировать начавшийся диалог», — заявил Владимир Путин на заседании коллегии ФСБ России 27 февраля.
Нельзя исключить, что противодействие развернётся и в киберпространстве, например в форме провокаций «под чужим флагом». Та же C.A.S. довольно тесно аффилирована с вымогательской DARKSTAR, операторами Lockbit, который в США так или иначе связывают с Россией.
Как отметил автор материала CNN, многие в американском Киберкомандовании оказались недовольны решением главы Пентагона. В беседе с корреспондентом информагентства Джейсон Кикта назвал данный шаг опасным, поскольку он приведёт к потере преимущества: даже пауза в наступательных операциях сделает их устаревшими и, следовательно, нежизнеспособными.
Источники Recorded Future News заявили, что распоряжение о приостановке киберопераций может сорвать целый ряд миссий, в том числе на Украине. Этим тоже многие недовольны, а значит, могут так или иначе выразить свое отношение в действиях против американо-российского сближения. Единственным сдерживающим фактором остаётся военная дисциплина.
Выводы
Пока речь идёт лишь о первых шагах для снижения напряжённости между США и Россией в киберпространстве. Даже они вызывают довольно жёсткую реакцию со стороны противников действующей администрации США. И то, насколько далеко стороны могут зайти, предсказать сложно, особенно учитывая большие возможности для действий чужими руками.
Серьёзную опасность может представлять деятельность проукраинских группировок, которые способны маскироваться под российские, против американских компаний и учреждений. Многие из этих сообществ активны, многочисленны и накопили значительный опыт атак на Россию.
