Правительства всегда проводили наступательные кибероперации. Но за последние несколько лет кампании стали набирать обороты и смелости. Заголовки кричат о рейдах «спонсируемых государством» или «национальным государством», нацеленных на все, от критической инфраструктуры до сложных цепочек поставок. Но присмотритесь поближе, и границы между ними и традиционной киберпреступностью становятся все более размытыми.
Что это означает для будущего ландшафта угроз и растущего воздействия киберпреступности на глобальные организации? Без какого-либо геополитического консенсуса будет намного сложнее помешать этим преступным группировкам эффективно укрываться национальными государствами.
Традиционные линии
Более 16 лет назад обнаружение атак на национальные государства было большой редкостью. Вот что сделало Stuxnet таким огромным событием, когда он сломался. Часто подобные атаки описывались как «спонсируемые государством», что добавляет некоторую двусмысленность к атрибуции. Создается впечатление, что мы знаем, что правительство, скорее всего, отдало приказ о проведении кампании — потому что цель и тип атаки не соответствовали чисто финансовым мотивам — но, возможно, не спустили курок.
Эти два термина, вероятно, довольно часто использовались неправильно на протяжении многих лет. Но это именно то, что нравится правительствам — методы анонимности затрудняют 100% атрибуцию. Все дело в правдоподобном отрицании.
Будь то национальное государство или спонсируемое государством, кампании атак обычно включали несколько ключевых элементов:
- Самостоятельные или заказные вредоносные программы и инструменты, потенциально являющиеся результатом трудоемких исследований по поиску и использованию уязвимостей нулевого дня. Это та возможность, которая дала нам EternalBlue и связанные с ним инструменты, предположительно украденные у АНБ.
- Сложные многоступенчатые атаки, часто описываемые как Advanced Persistent Threats (APT), характеризуются длительной разведывательной работой и попытками оставаться скрытыми внутри сетей в течение длительного времени.
- Сосредоточение внимания на кибершпионаже или даже разрушительных атаках, направленных на достижение геополитических целей, а не на чистую прибыль.
В некоторой степени многие из этих положений остаются верными и сегодня. Но пейзаж также стал намного сложнее.
Взгляд сегодняшнего дня
В настоящее время мы живем в мире, где глобальные убытки от киберпреступности ежегодно обходятся в триллионы долларов. Это полностью функционирующая экономика, которая генерирует больше, чем ВВП многих стран, и наполнена внештатными ресурсами, знаниями и украденными данными, которых так жаждут многие государства. Подобно тому, как законные подрядчики и поставщики оборонных услуг нанимаются правительствами из частного сектора, киберпреступники и их ресурсы все чаще становятся предметом неформальных и зачастую специальных соглашений об аутсорсинге.
В то же время произошло сокращение исторических геополитических норм. Киберпространство представляет собой новый театр военных действий, в котором ни одна из стран еще не согласовала условия участия или правила поведения. Остался вакуум, в котором некоторые страны считают приемлемым прямое или косвенное спонсирование экономического шпионажа. Дело пошло еще дальше: в некоторых случаях организованной киберпреступности позволяют заниматься своими делами, пока ее усилия направлены на борьбу с конкурирующими странами.
Таким образом, в сегодняшних условиях границы между традиционной «государственной» и «киберпреступной» деятельностью становится все труднее различить. Например:
- Многие продавцы в дарквебе теперь продают эксплойты и вредоносное ПО государственным субъектам.
- В атаках, поддерживаемых государством, могут использоваться не только специальные инструменты, но и массовое вредоносное ПО, купленное онлайн.
- Некоторые государственные атаки активно стремятся получить доход от квазикиберпреступных кампаний.
- Некоторые штаты были связаны с многочисленными фигурами и группами киберпреступников.
- Некоторые правительства обвиняются в том, что нанимают хакеров-фрилансеров для помощи в некоторых кампаниях, закрывая глаза на другие действия.
- Было высказано предположение, что иногда правительственным служащим даже разрешается подрабатывать, чтобы подзаработать.
Время действовать на опережение
Что в будущем? Просто посмотрите, какой фурор вызвал сегодняшняя эпидемия программ-вымогателей, когда киберпреступные группы обвиняются в серьезном нарушении цепочек поставок энергии и продуктов питания. США включили некоторых из них, например Evil Corp, в официальные санкционные списки. Это означает, что потерпевшие и страховщики не могут заплатить выкуп, не нарушив закон. Но эти группы продолжают переименовывать свои усилия в попытке перехитрить эти правила.
Суть в том, что, хотя рынок для их услуг все еще существует, такие группы будут продолжать работать, будь то с молчаливого благословения или при активной поддержке национальных государств.
Для исследователей угроз и специалистов по информационной безопасности, оказавшихся посередине, это не может быть большим утешением. Но есть луч света. Многие руководители высшего звена могут быть виновны в фаталистическом отношении к атакам со стороны государства: они считают, что их оппоненты настолько хорошо обеспечены ресурсами и изощрены, что нет смысла даже пытаться от них защищаться. Что ж, правда в том, что злоумышленники не обязательно являются сверхлюдьми, поддерживаемыми аппаратом и богатством целой нации. Они вполне могут использовать обычное вредоносное ПО или даже нанятых злоумышленников.
Это означает, что ваша стратегия безопасности должна быть одинаковой, независимо от противника. Непрерывное профилирование рисков, многоуровневая защита, водонепроницаемые политики, а также упреждающее и быстрое обнаружение и реагирование.