Секретная военная группа из США помогает украинцам бороться с российскими кибератаками: как она работает
Несмотря на прогнозы многих аналитиков, Россия не смогла уничтожить украинские компьютерные системы массированной кибератакой во время вторжения в этом году. Одной из причин этого провала РФ может быть работа малоизвестного подразделения американских военных, охотящихся на противников в Интернете, сообщает BBC.
BBC получила эксклюзивный доступ к кибероператорам, вовлеченным в эти глобальные миссии.
В начале декабря прошлого года небольшая военная группа США во главе с молодым майором прибыла в Украину с разведывательной поездкой перед большей операцией. Но майор быстро сообщил, что ей нужно остаться.
«В течение недели мы собрали всю команду, готовую выйти на охоту», – вспоминает один из членов команды.
Они пришли выявлять россиян в интернете, но их украинские партнеры дали понять, что работу нужно начинать немедленно.
«Они оценили ситуацию и сказали мне, что команда назад не поедет, — рассказывает генерал-майор Уильям Хартман, возглавляющий Национальную кибернетическую миссию США. — Почти сразу мы получили доклад, что «сейчас в Украине все по-другому». Мы не стали передислоцировать команду, мы ее усилили».
Начиная с 2014 года, Украина испытала одни из самых больших в мире кибератак. Среди них было и первое в истории кибернападение, когда электростанцию дистанционно отключили среди зимы.
В конце прошлого года представители западной разведки наблюдали за подготовкой российских военных и были все больше озабочены тем, что новая лавина кибератак будет сопровождать вторжение, парализовав связь, энергетику, банковские и государственные службы, чтобы таким образом проложить путь к захвату власти.
Военное киберкомандование США хотело выяснить, проникли ли российские хакеры в украинские системы, прячась глубоко внутри. В течение двух недель их миссия стала одной из крупнейших операций с участием около 40 военнослужащих из всех вооруженных сил США.
В январе они были в авангарде, когда Россия начала прокладывать путь в киберпространстве для будущего вторжения, во время которого киберзащита Украины должна была подвергнуться беспрецедентному испытанию.
Проникновение в компьютерные сети в течение многих лет было в основном связано со шпионажем — воровством тайн — но в последнее время его все больше милитаризовали и связывали с более деструктивной деятельностью, например саботаж или подготовка к войне.
Это означает новую роль для американских военных, чьи команды принимают участие в миссиях Hunt Forward, в ходе которых они исследуют компьютерные сети стран-партнеров в поисках признаков проникновения.
«Они – охотники и знают поведение своей «добычи», – объясняет оператор, ведущий оборонную работу против России.
С 2018 года военные операторы США были вовлечены в спецоперации в 20 странах, обычно близких союзниках Штатов, в Европе, на Ближнем Востоке и в Индийско-Тихоокеанском регионе. Правда, среди них не было таких стран, как Великобритания, Германия или Франция, которые имеют собственный опыт и менее вероятно будут нуждаться или желают посторонней помощи.
Большая часть их работы была направлена на борьбу с государственными хакерами из Китая и Северной Кореи, но Россия была их величайшим противником. В некоторые страны отправляли сразу несколько команд специалистов. Среди таких стран и Украина, где кибератаки впервые были связаны с полномасштабной войной.
Приглашение американских военных в другую страну — вопрос довольно щепетильный и даже противоречивый, поэтому многие партнеры просят, чтобы присутствие США оставалось тайным — команды редко носят форму. Но все чаще правительства решают открыто сообщать о миссиях.
В мае Литва подтвердила, что трехмесячная работа с сетями обороны и иностранных дел завершена. Защита этих ведомств стала приоритетной из-за беспокойства по поводу угроз со стороны России после вторжения в Украину.
Хорватия принимала последнюю миссию. «Охота была тщательной и успешной, мы обнаружили и предотвратили злонамеренные атаки на государственную инфраструктуру Хорватии», — говорит Даниэль Маркич, глава Службы безопасности и разведки страны.
«Мы смогли предложить США новое «охотничье поле» и поделиться нашим опытом и приобретенными знаниями», — добавляет он.
Но теплые публичные заявления маскируют, что в реальности эти миссии часто начинаются непросто.
Даже страны, являющиеся союзниками США, могут волноваться, когда они вынуждены открывать для операторов чувствительные правительственные сети. Фактически разоблачения, которые сделал бывший сотрудник разведки Эдвард Сноуден 10 лет назад показали, что США шпионили как за друзьями, так и за врагами.
Это подозрение означает, что прибывающие на миссию молодые мужчины и девушки часто сталкиваются со строгим испытанием своих дипломатических навыков. Они появляются в аэропорту, увозя десятки коробок с загадочным техническим оборудованием, и им нужно быстро завоевать доверие, чтобы получить разрешение на что-то конфиденциальное – установить это оборудование в правительственных компьютерных сетях страны для поиска угроз.
Проще говоря, американцы должны убедить хозяев, что они там, чтобы помочь им, а не шпионить за ними.
«Меня не интересуют ваши электронные письма», — так Марк, возглавлявший две команды в Индо-Тихоокеанском регионе, описывает начало своих переговоров. Если демонстрация пройдет хорошо, они могут приступить к работе.
Местные партнеры иногда сидят вместе с американскими командами в конференц-залах и внимательно наблюдают, чтобы убедиться, что ничего неприятного не происходит.
«Мы должны убедиться, что нам доверяют, – говорит Эрик, имеющий 20-летний опыт киберопераций. – То, что люди сидят рядом с нами, является важным фактором в этом».
И хотя подозрения невозможно полностью развеять, общий враг объединяет.
«Единственное, чего хотят наши партнеры, – это выбросить россиян из своих сетей», – вспоминает слова одного из членов своей команды генерал Хартман.
Киберкомандование США помогает понять планы россиян или других возможных нападающих благодаря тому, что подразделение тесно сотрудничает с Агентством национальной безопасности, крупнейшим разведывательным агентством Америки, контролирующим коммуникации и киберпространство.
В одном случае доказательства проникновения поступили в режиме реального времени. Американский оператор по имени Крис, руководивший несколькими европейскими миссиями, вспоминает, как он наблюдал за подозрительным перемещением кого-то по компьютерной сети страны-партнера.
Странно было то, что это был один из администраторов локальной сети, с которыми работала команда. Этот человек стоял прямо позади Криса. Может ли это быть какая-нибудь внутренняя угроза?
«Это ты?» – спросил Крис.
«Это мой компьютер, но клянусь, что это не я», – ответил администратор, не в силах оторвать глаз от экрана. Кто-то украл его онлайн-идентификацию.
«Найти кого-то в вашей сети – сложно, в первую очередь если они используют ваши учетные данные», – объясняет Крис. Этот случай показал реальность угрозы и в свою очередь помог обеспечить больший доступ.
Американские специалисты рассказывают, что они делятся тем, что находят, позволяя местным партнерам самим изгнать россиян (или других государственных хакеров), а не делать это самостоятельно. Они также используют коммерческие инструменты, чтобы местные партнеры могли продолжить работу после завершения миссии.
Хорошие отношения приносят дивиденды. В конце одной миссии американские операторы говорят, что местные партнеры вручили им прощальный подарок – компьютерный диск с вредоносным программным обеспечением из другой сети, с которой команда не была знакома.
Каждая миссия разнится. Иногда врага удается обнаружить в первый же день поиска, как объясняет Шеннон, управлявший двумя миссиями в Европе. Но часто нужно неделю или две, чтобы раскопать более продвинутых хакеров, укрывшихся поглубже.
С хакерами из российских спецслужб, особенно умело меняющих тактику, часто играют в кошки-мышки.
В 2021 году выяснилось, что россияне использовали программное обеспечение от компании под названием SolarWinds для проникновения в сети покупавших его клиентов, включая правительства.
Американские операторы стали искать следы их присутствия. Генерал Хартман говорит, что любивший головоломки сержант-техник в Cyber Command заметил, как россияне хоронили свой код в одной европейской стране. Расшифровав его, он смог установить, что россияне прячутся в сети. После этого было обнародовано восемь разных образцов вредоносного программного обеспечения, приписываемых российской разведке. Это позволило промышленности улучшить защиту.
Охота не является альтруистическим актом американских военных. Кроме приобретения практического опыта, киберспециалисты также помогают своим военным дома.
Во время одной миссии кибероператор обнаружил, что то самое злонамеренное программное обеспечение, которое они обнаружили в европейской стране, также присутствовало в правительственном учреждении США. Соединенные Штаты часто пытаются выявить и искоренить уязвимые места в своих сетях, промышленности или правительстве, из-за дублирования обязанностей между различными агентствами, даже если они отправляют своих операторов за границу.
Миссии Hunt Forward классифицируются как «оборонительные», но возглавляющий военное киберкомандование и Агентство национальной безопасности генерал Пол Накасоне подтвердил, что после вторжения России в Украину они также осуществляли и наступательные миссии. Дополнительную информацию об этом команда не раскрывает.
В январе этого года команда в Украине стала свидетелем серии масштабных кибератак. «Бойтесь и ждите худшего», — говорилось в сообщении хакеров на сайте МИД.
Американская команда наблюдала в режиме реального времени, как лавина вредоносного ПО Wiper, которое делает компьютеры непригодными для использования, поразила многочисленные правительственные сайты.
«Они смогли помочь в анализе некоторых текущих атак и способствовали передаче этой информации партнерам в Соединенных Штатах», – говорит генерал Хартман.
Целью было дестабилизировать страну перед февральским вторжением.
Когда российские войска перешли границу, американских специалистов вывели из Украины. Осознание физического риска для оставшихся украинских партнеров легло на них тяжелым бременем.
За несколько часов до начала вторжения 24 февраля кибератака подорвала поддерживавшего украинских военных американского провайдера спутниковой связи. Многие предполагали, что это станет началом волны атак, направленных на уничтожение ключевой инфраструктуры, например железная дорога. Но этого не вышло.
Вам может быть интересно: главные новости Нью-Йорка, истории наших иммигрантов и полезные советы о жизни в Большом Яблоке – читайте все это на ForumDaily New York.
«Одна из причин, почему россияне, возможно, не добились такого успеха, состоит в том, что украинцы были лучше подготовлены», — говорит генерал Хартман.
«Мы гордимся тем, что они смогли защищаться. Многие люди в мире думали, что Украина будет разбита. Но этого не произошло, — говорит Эл, старший технический аналитик, который был членом оперативной группы в Украине. — Они сопротивляются».
Украина постоянно испытывает кибератак, которые в случае успеха могут повлиять на инфраструктуру. Но страна продолжала защищаться лучше, чем многие ожидали. Украинские чиновники говорят, что это произошло частично благодаря помощи союзников, в том числе и киберкомандованию США, а также их собственному постепенно растущему опыту.
Теперь США и другие союзники обращаются к украинцам, чтобы учиться у них.
«Мы продолжаем делиться информацией с украинцами, они продолжают делиться информацией с нами, – объясняет генерал Хартман. – В этом и заключается идея этого долговременного партнерства».
Поскольку представители украинских и западных разведок выражают обеспокоенность, что Москва может ответить на недавние военные неудачи эскалацией своих кибератак, это партнерство все еще может столкнуться с последующими испытаниями.
Читайте также на ForumDaily:
Российская ракета, выпущенная по Украине, рухнула на территории Молдовы
На Аляске проснулся вулкан, который спал 800 лет: города вокруг находятся в зоне риска
Как перевод часов влияет на здоровье и что делать, чтобы адаптироваться быстрее
Подписывайтесь на ForumDaily в Google NewsХотите больше важных и интересных новостей о жизни в США и иммиграции в Америку? — Поддержите нас донатом! А еще подписывайтесь на нашу страницу в Facebook. Выбирайте опцию «Приоритет в показе» — и читайте нас первыми. Кроме того, не забудьте оформить подписку на наш канал в Telegram и в Instagram— там много интересного. И присоединяйтесь к тысячам читателей ForumDaily New York — там вас ждет масса интересной и позитивной информации о жизни в мегаполисе.