Аргументы Недели → Шпионаж № 11(553) от 23.03.17

Операции под чужим флагом

Как хакеры ЦРУ занимаются провокациями в киберпространстве

, 08:38 ,

Джулиан Ассанж продолжает разоблачать американские спецслужбы. Его сайт WikiLeaks снова попал в заголовки большинства мировых СМИ, когда стал публиковать самый крупный за всю историю набор документов Центрального разведывательного управления (ЦРУ) США.

Обозреватель «АН» попросил рассказать о тайной глобальной программе хакерства ЦРУ ведущего специалиста по компьютерной безопасности, ветерана российских спецслужб подполковника в отставке Альберта Петровича ИЗВОЛЬСКОГО.

Секреты из сейфа №7

На этот раз матёрый компьютерщик не стал пугать журналиста гаджетами-шпионами. Он сразу стал рассказывать о сущности нового проекта Джулиана Ассанжа под кодом Vault 7 («Свод 7», или «Сейф №7»).

Оказывается, хакерские программы ЦРУ создаёт так называемая Группа инженерных разработок (EDG). Как сообщает WikiLeaks, она подчинена Директорату цифровых инноваций (Directorate of Digital Innovation, DDI) – одному из пяти основных директоратов ЦРУ, расположенных в Лэнгли, штат Вирджиния.

«Большие» аппараты ведёт Отдел интегрированных устройств (Embedded Devices Branch, EDB), пишет WikiLeaks. Именно EDB принадлежит авторство зловещей программы Weeping Angel («Плачущий ангел»). Она заражает смарт-TV Samsung и позволяет вводить телевизоры в состояние «мнимого отключения». Устройство, кажущееся выключенным, в реальности записывает разговоры в помещении и передаёт их на особый сервер ЦРУ.

В 2014 г. отдел изучал перспективы инфицирования систем управления современных автомобилей и грузовиков. «Цель перехвата контроля управления сразу не ясна. На мой взгляд, это позволило бы ЦРУ проводить практически бесследные покушения», – считает Альберт Петрович.

Отдел мобильных устройств (Mobile Devices Branch, MDB) разработал многочисленные программы взлома смартфонов, открывающие доступ к данным геолокации, аудио- и sms-пользователя, а также скрытно активирующие их камеру и микрофон. Особые усилия направлены на взлом iPhone, пишет WikiLeaks, поскольку ими пользуются элиты многих стран мира.

По словам Извольского, конечно, наибольшее внимание сразу же привлекла способность ЦРУ по инфильтрации и взлому смартфонов, «умных» телевизоров, а также возможность применения ряда кодированных приложений и сообщений. Но в тени остался другой критический аспект, который имеет далеко идущие геополитические последствия.

– Ваш брат-журналист всё больше пишет про прослушку, а нам, спецам, интереснее другое, – заметил Извольский. – Послушайте, какие сенсационные данные публикует Джулиан Ассанж.

Тайная группа 

Как стало известно из похищенных у ЦРУ секретных документов, в США существует тайная группа под кодовым наименованием UMBRAGE, входящая в состав Отдела удалённых разработок (Remote Development Branch, RDB) Центра киберразведки. Она собрала и использовала «обширную библиотеку наступательных приёмов, «украденных» из вредоносных программ, созданных в других государствах, включая Российскую Федерацию».

Как отмечают в WikiLeaks, деятельность группы UMBRAGE и смежных подразделений даёт ЦРУ возможность приписать выявленные кибератаки другим, «оставив после себя «отпечатки пальцев» тех самых хакерских групп, у которых эти наступательные программы были украдены».

По словам Альберта Петровича, все изощрённые хакерские инструменты ЦРУ имеют «подписи», указывающие на их происхождение в этом агентстве. Но, для того чтобы отвести подозрение от себя и скрыть истинный масштаб тайных киберопераций, ЦРУ привлекает методы работы UMBRAGE, создавая такие «подписи», которые позволяют приписать многочисленные кибератаки другим группам.

Сайт WikiLeaks специально обращает внимание на то, что ЦРУ особо предписывает при проведении кибератак и заражении вредоносными программами принимать меры к тому, чтобы те организации, которые будут вести расследование, не смогли увязать эти атаки с США.

В документе, озаглавленном «Руководство по методам разведки: что можно и что нельзя делать», американских хакеров и разработчиков кодов предупреждают «не оставлять в бинарных файлах данных, указывающих на то, что этот бинарный файл/инструмент был использован или создан ЦРУ, властями США или сотрудничающими с ними компаниями». Кроме того, указывается, что «отнесение бинарного файла/инструмента к противнику может оказать необратимое воздействие на прежние, текущие и будущие операции властей США и их организаций».

Конечно, основным движущим мотивом в использовании Центральным разведывательным управлением США группы UMBRAGE является сокрытие следов. Однако события последнего времени указывают на то, что группу UMBRAGE использовали для других, более гнусных и низких целей.

После того как исход президентских выборов в США в 2016 году шокировал многих в американском политическом истеблишменте, либеральные СМИ принялись обвинять Россию в том, что она проводила «тайную разведывательную операцию» с целью оказать содействие Дональду Трампу и предоставить ему преимущества в борьбе с его противником Хиллари Клинтон.

Американские спецслужбы в своём докладе обвиняли Россию во взломе электронного почтового ящика шефа избирательной кампании Хиллари Клинтон Джона Подесты, а также сотрудников Национального комитета Демократической партии.

В декабре прошлого года директор Национальной разведки Джеймс Клэппер – человек, известный тем, что лгал под присягой о слежке со стороны Агентства национальной безопасности, – провёл для сенаторов брифинг «за закрытыми дверями», в ходе которого описывал якобы вскрывшиеся обстоятельства того, как российские власти «осуществляли взломы и иные вторжения» в американские выборы.

По странному совпадению утверждения разведывательного сообщества США о применении Россией кибератак для вмешательства в выборы увели внимание общественности в сторону от сообщений о том, что на самом деле власти США предпринимали попытки по взлому избирательных систем целого ряда штатов. Например, штат Джорджия сообщал о многочисленных попытках взлома избирательной системы, большая часть которых, как это было отслежено, исходила от Департамента внутренней безопасности США.

Сейчас же, когда выяснилось, что ЦРУ не только имело возможность, но и ясно выражало намерение заменять «отпечатки пальцев» в проводимых им кибератаках на «отпечатки пальцев» другой страны, достоверность утверждений ЦРУ о том, что Россия якобы «взламывала» выборы в США – или вообще делала что-либо ещё, – вызывает только усмешку. Нечего на зеркало пенять, коль у самого рожа крива. Специалистам сразу стало понятно, что на самом деле эти кибератаки проводили хакеры ЦРУ в рамках «операции под чужим флагом».

Авторитетное мнение

После того как WikiLeaks обнародовал секретные документы спецслужб США, стало ясно, что ЦРУ – а не хакеры, поддерживаемые Москвой, – стоит за серией политически вредоносных утечек из Демократической партии.

«Очевидно, что оперативники ЦРУ проводили свои тайные операции, маскируясь под так называемых российских хакеров», – утверждает генерал армии Николай Ковалёв, который был предшественником Владимира Путина на должности главы ФСБ – с 1996 по 1998 год.

«Сенсационное заявление Ковалёва основывается на одной из частей доклада WikiLeaks, описывающей рабочую группу ЦРУ под названием UMBRAGE, которая имела задание искать пути маскировки американских кибератак в качестве работы хакеров из других стран. При помощи UMBRAGE и связанных с ней проектов ЦРУ может не только увеличить общее число видов атак, но и сбить со следа тех, кто ищет виновников, оставив «отпечатки» групп, чьи техники атак были украдены», – заявляет WikiLeaks, упоминая тот факт, что UMBRAGE копировала подписи российских хакеров.

Кибердиверсанты из штата Вирджиния

Подполковник в отставке уже оседлал своего любимого конька и стал рассказывать о компьютерном шпионаже. Начал с кибердиверсий американцев против иранской ядерной программы. Они с помощью специально созданного компьютерного вируса Stuxnet отбросили её на несколько лет назад.

Впрочем, недавно американской антивирусной компанией Symantec и российской Лабораторией Касперского был обнаружен вирус ещё более совершенный, чем Stuxnet. Он получил имя Regin. Специалисты склонны считать, что этот вирус написан по заказу ЦРУ США, – очень уж гибкие и филигранные технологии в организации кода использованы. На сегодня Regin – самая сложная и изощрённая вредоносная платформа, с которой сталкивались специалисты по кибербезопасности.

Американская газета FinancialTimes пишет, что, скорее всего, Regin предназначался для использования против российских и саудовских компаний и интернет-провайдеров. Этот вирус выуживал всю секретную информацию, касающуюся нефти этих стран.

«Этот вирус очень опасен, – считает Костин Райю, руководитель центра глобальных исследований и анализа угроз Лаборатории Касперского. – Regin обладает возможностью точечно заражать корпоративные сети и позволяет перехватывать управление в них. Вредоносная программа ворует конфиденциальную информацию и обладает способностью осуществлять разнообразные атаки на инфраструктуру, которой управляют компьютеры.

В российских спецслужбах тоже считают, что вирусом Regin управляют кибердиверсанты из штата Вирджиния. Этот электронный шпион не только способен проникать в закрытые сети нефтяных компаний и собирать там информацию, но и уходит по-английски – незамеченным.

Извольский обратил внимание обозревателя «АН» на доклад Лаборатории Касперского о раскрытии международной компьютерной шпионской сети Red October («Красный Октябрь»). Эти кибершпионы в течение пяти лет скачивали терабайты информации с компьютеров госчиновников и дипломатов в странах Восточной Европы. Как утверждается в докладе, модулями сети Red October (более 30 штук) были заражены компьютеры в посольствах, научно-исследовательских институтах и государственных учреждениях, в основном расположенных в странах бывшего СССР и Восточной Европы.

Словом, кибершпионаж вёлся главным образом против России. При этом сами модули имеют множество признаков того, что они якобы разработаны... тоже в России. В английских именах – множество ошибок, характерных для носителей русского языка, в скриптах обнаружены слова PROGAи ZAKLADKA, а управление шпионскими модулями осуществлялось с доменов, прикреплённых к российским IP-адресам.

Удивительно, но выглядящий как написанный русскими вирус в течение пяти лет шпионит за самими же русскими. Провокации хакеров ЦРУ в киберпространстве продолжаются.

Подписывайтесь на «АН» в Дзен и Telegram