Кибервойна

В Гааге готовятся расследовать военные киберпреступления

Международный уголовный суд (МУС) уже несколько лет думает над тем, как в рамках своего мандата работать с киберпреступлениями. Промежуточным результатом этого процесса стала подготовка офисом прокурора МУС проекта политики о киберпреступлениях, подпадающих по действие Римского статута (Draft policy on cyber-enabled crimes under the Rome Statute).

Пара слов о терминах. В названии документа использовано словосочетание cyber-enabled crimes, под которым понимаются преступления, в которых кибервозможности используются как инструмент. Это традиционные киберпреступления, которые с появлением компьютеров можно совершать новыми способами. Например, кража, но не из кармана, а из криптокошелька. В отличие от них cyber-dependent crimes — это чисто компьютерные преступления, каковых в доцифровую эру не было. В русском встречал перевод cyber-dependent как «киберзависимые», а cyber-enabled как «киберинструментальные».

В соответствии с Римским статутом юрисдикция МУС ограничивается четырьмя группами преступлений: преступлениями геноцида, преступлениями против человечности, военными преступлениями, преступлениями агрессии. Также суд обладает юрисдикцией в отношении преступлений против отправления им правосудия. Соответственно в проекте политики предпринята попытка разобраться, как можно расследовать и привлекать к ответственности за эти преступления, совершённые с помощью киберсредств.

В целом при всех сложностях и неопределённостях авторы документа считают, что определённые киберпреступления подпадают под юрисдикцию МУС, некоторые примеры приводятся в качестве иллюстрации. Так, все деяния, характеризуемые в Римском статуте как геноцид, теоретически могут быть совершены с использованием киберсредств. Согласно проекту политики, в этом контексте нет существенной юридической разницы, погибли люди от пуль или от кибератаки на критическую инфраструктуру. Цифровые технологии могут использоваться как инструмент для предотвращения деторождения в группе, подвергаемое геноциду, или для насильственной передачи детей. Авторы не считают, что в обозримом будущем может произойти геноцид с использованием только киберсредств, но убеждены, что они, вероятно, будут использоваться в любых преступлениях геноцида наряду с другими инструментами, а следовательно соответствующие киберпреступления должны учитываться и в работе МУС. Примеры сценариев приведены и по другим группам преступлений.

Отдельно авторы останавливаются на преступлениях против отправления правосудия, которые могут принимать форму распространения дипфейков, взломов, шантажа и угроз через интернет, фальсификации доказательств с помощью кибератак и так далее. Отмечается, что такие преступления уже стали реальностью, и в качестве примера в документе упоминается кибератака на МУС в 2023 году.

Завершающая часть доклада посвящена практическим аспектам реализации предложенной политики. Офис прокурора намерен расследовать релевантные преступления как своими силами, так и во взаимодействии с государствами, в том числе на основе таких многосторонних инструментов, как Будапештская конвенция и новая Конвенция ООН против киберпреступности. Предусмотрен и механизм сотрудничества с частным сектором и неправительственными организациями.

Если резюмировать, то документ предлагает распространить полномочия МУС на все деяния с использованием цифровых технологий, которые так или иначе связаны с преступлениями, определёнными Римским статутом. Но это не означает, что суд будет браться за любые киберпреступления. Приоритет будет отдаваться наиболее серьёзным нарушениям. На практике в краткосрочной и среднесрочной перспективе действия в киберпространстве могут быть релевантны для работы офиса прокурора прежде всего в той степени, в какой они способствуют совершению преступлений в физическом мире.

Проект политики сейчас открыт для публичных консультаций, специалисты могут направить свои комментарии до 30 мая.

Кибердипломатический казус произошёл между США и Гватемалой. С середины прошлого года до февраля 2025 власти центральноамериканской республики и американские военные из Южного командования проводили совместную проверку кибербезопасности МИД Гватемалы. Вчера посольство США заявило, что вся информационная система министерства была взломана кибершпионскими группировками из Китая. Также американские дипломаты подчеркнули «приверженность поддержке Гватемалы в борьбе с глобальными угрозами и построении более защищённой цифровой инфраструктуры для регионального процветания».

Следом о результатах совместной проверки, «проведённой в духе партнёрства и взаимного уважения», отчиталось и Южное командование ВС США. Американские военные сообщили об обнаружении в некоторых правительственных системах гватемальского правительства связанной с Китаем группировки APT15 (Vixen Panda, Nickel, Nylon Typhoon). США рассматривают Китай как главный источник киберугроз и акцентируют внимание на этом в своей внешней политике.

Однако вскоре выяснилось, что американские оценки не были согласованы с местными властями. МИД Гватемалы возразил, что упомянутая атака на самом деле произошла ещё в 2022 году, и тогда уже выходило заявление по этому поводу. Но в целом МИД остался доволен сотрудничеством с США и отметил, что оно «позволит укрепить институциональные возможности в области безопасности и внедрить комплексный подход к активной оценке и противодействию киберугрозам с помощью передовых мер безопасности и усилий по повышению устойчивости».

В сеть утекли материалы о проверках ФСБ!

На самом деле документы на основе одного и того же шаблона рассылают с прошлого года мошенники в Телеграме. Можно почти в режиме реального времени наблюдать эволюцию схемы fake boss.

Спикер Курултая Башкирии предлагает считать хакеров военной целью

О кибервойне уже думают не только военные эксперты, депутаты Госдумы и федеральные министры, но и законодатели из региональных парламентов.

На днях председатель Курултая Башкортостана Константин Толкачёв озвучил ряд мыслей на эту тему на заседании Комиссии Совета законодателей РФ по вопросам законодательного обеспечения национальной безопасности и противодействию коррупции.

Он отметил, что «кибервойска в современных реалиях — такой же род войск, как и любой другой, угроза национальной безопасности от кибервойск противника, как и наносимый ими урон, колоссальны. Соответственно и подавление таких подразделений Вооруженными Силами Российской Федерации должно осуществляться аналогично тому, как это происходит в отношении военной техники, личного состава противника, эшелонов с вооружениями, пунктов дислокации наемников».

Также Константин Толкачёв предложил «дать определения в отечественном правовом поле таким понятиям, как "кибервойна" и "информационная война", регламентировать меры противодействия данным явлениям, а также установить нормы ответственности за ведение кибервойны», которые должны быть строже, чем за обычное кибермошенничество.

По мнению Толкачёва, базы хакерских группировок и мошеннические колл-центры на территории Украины «станут в таком случае законными целями Вооруженных Сил Российской Федерации с вытекающим из этого нанесением по ним ударов доступными средствами поражения, как по любым другим украинским воинским формированиям».

Что касается колл-центров, то ранее подобные идеи озвучивал телеведущий Владимир Соловьёв, а Владимира Путина спрашивали об этом во время прямой линии.

А вот про удары по хакерам в России ещё никто, вроде бы, не говорил, поэтому эта сомнительная пальма первенства отправляется в Уфу.

В переводе на международно-политический то, что предлагает спикер Курултая, означало бы значительное понижение порога применения силы. Конечно, в недавней истории было всякое, можно вспомнить как минимум два задокументированных случая американских ударов по хакерам-игиловцам в 2015 году. А в 2019 году Израиль оправдывал авиаудар по зданию в Газе тем, что там находились хакеры Хамас. Однако в целом такие случаи остаются исключениями, а устойчивого стремления государств применять военную силу по хакерам не заметно. Потому что такое решение может оказаться обоюдоострым.

Есть контакт?

В мае исполняется год с момента создания под эгидой ООН глобального реестра контактных пунктов по вопросам безопасности в сфере ИКТ. По сути, это «телефонная книга», которая должна упростить взаимодействие между странами по вопросами кибергроз на политическом и техническом уровнях. Страны обмениваются контактами своих уполномоченных органов, а администрирует реестр Управление по вопросам разоружения Секретариата ООН. Идея обсуждалась много лет на переговорах по кибервопросам в ООН в рамках Групп правительственных экспертов (ГПЭ) и Рабочих групп открытого состава (РГОС). В итоге создать глобальный реестр решили только в 2023 году. Это первый практический инструмент сотрудничества, появившийся в результате многолетних переговоров, и пока единственное конкретное достижение действующей РГОС.

От России политическим контактным пунктом выступает Департамент международной информационной безопасности МИД, а техническим — Национальный координационный центр по компьютерным инцидентам (НКЦКИ). В ООН российская делегация выступает проводником идеи развития контактных пунктов. В прошлом году в РГОС было представлено подготовленное НКЦКИ «Руководство по созданию технического контактного пункта ООН». А в феврале Россия поддержала проведение на полях РГОС мероприятия Института ООН по проблемам разоружения на тему расширения участия стран в глобальном реестре.

Из презентации представительницы НКЦКИ (PDF) на этом мероприятии можно узнать, что пока создание реестра контактных пунктов сталкивается с многими сложностями.

Во-первых, участвуют в сети далеко не все страны. По состоянию на февраль информацию о своих контактных пунктах в реестр внесли 113 из 193 членов ООН. С сентября прошлого года количество участников увеличилось лишь на 8.

Во-вторых, среди тех, кто назначил контактные пункты, нет единообразия. Некоторые страны указали от 1 до 8 технических контактных пунктов, следовательно контрагентам сложно понять, кто за что отвечает и куда обращаться с информацией о конкретной киберугрозе. Более того, НКЦКИ столкнулся с 4 случаями, когда контактные центры не имели полномочий пресекать вредоносную деятельность на национальном уровне. В ответ на запрос они сетовали, что не могут заставить провайдеров заблокировать вредоносный IP-адрес, и советовали связаться напрямую. Но почему иностранная компания будет реагировать на запрос иностранного госоргана, если она не будет реагировать на запрос местного органа, спрашивает НКЦКИ.

В-третьих, некоторые страны указали только дипломатический, но не технический контактный пункт. Причиной этого является либо отсутствие CERT'а, либо, как считает НКЦКИ, намерение некоторых стран превратить реестр в политизированный инструмент и не заниматься техническим сотрудничеством.

Наконец, в дополнение к пинг-тестам сети, которые проводит ООН, НКЦКИ провёл собственный тестовый «обзвон» контактных пунктов и остался не удовлетворён результатом. В ответ на своё уведомление он получил мало ответов, большинство из которых были автоматическими. Оказалось, что многие email-адреса в реестре по техническим причинам не могут быть использованы для отправки уведомлений. По некоторым странам обмен информацией с использованием реестра показал худшие результаты, чем по ранее имевшимся каналам. В целом между техническими контактными пунктами нет единого понимания целей и задач создания и развития реестра.

Всё это указывает на то, что до полноценного запуска глобального реестра ещё не близко. Хотя постепенно эта инициатива развивается: в конце марта Секретариат ООН предложил стандартный шаблон для обмена уведомлениями между странами.

Проблема создания глобального реестра связана не только с различием потенциалов стран и политическими разногласиями, но и с тем, что страны уже обмениваются информацией об угрозах в разных форматах (региональные реестры, сети 24/7, двусторонние договорённости). То есть новый реестр будет востребован там, где этих привычных механизмов нет. И, конечно, как и все договорённости в рамках ГПЭ и РГОС, участие в реестре является добровольным.

Китайские специалисты обвиняют спецслужбы США в очередной кибератаке. Китайская ассоциация безопасности киберпространства выпустила отчёт со ссылкой на CNCERT/CC об обнаружении взлома крупного поставщика коммерческих шифровальных продуктов.

Атакующие воспользовались 0-day уязвимостью в CRM-системе, благодаря чему в марте 2024 им удалось заразить систему жертвы трояном. За полгода они украли 950 МБ данных из CRM, включая данные контрактов. Также они похитили 6,2 ГБ проектных данных из системы управления исходным кодом. Атакующие пользовались IP-адресами в Нидерландах, Германии и Южной Корее, в отчёте традиционно представлены фрагменты адресов. Атрибуция атаки США объясняется схожестью трояна с инструментами американских спецслужб, а также временными характеристиками.

По содержанию отчёт похож на январские отчёты CNCERT/CC о двух связываемых с США атаках. Он весьма краток, но всё же содержит хоть какие-то конкретные детали в отличие от недавнего отчёта CVERC о массовых атаках на зимние Азиатские игры.

Знаете ли вы, что в Москве есть памятник вирусу NotPetya в виде погрызенного жёсткого диска? Он был установлен в «Сколково» по инициативе медицинской компании «Инвитро», которая в июне 2017 стала одной из жертв глобальной атаки, изначальной нацеленной на Украину. В России от NotPetya пострадали и более крупные организации, но только в «Инвитро» придумали сделать из атаки публичную историю и показать, что компания умеет бороться как с биологическими, так и с компьютерными вирусами.

В издательстве Ravenna вышел первый том истории проекта ОГАС, советской попытки создать общегосударственную компьютерную сеть. Книга состоит из текстов непосредственных участников событий, а также исследований современных учёных Алексея Кутейникова и Алексея Сафронова.

Российских военных атакуют через AlpineQuest со встроенным трояном

Специалисты компании «Доктор Веб» обнаружили шпионскую кампанию, нацеленную на Android-устройства российских военнослужащих. Атакующие встроили троян Android.Spy.1292.origin в одну из старых версий AlpineQuest, популярной у военных топографической программы. Вредоносное приложение распространялось через поддельный телеграм-канал, созданный в октябре 2024 года. После установки оно выглядит и функционирует как оригинальная программа, благодаря чему дольше остаётся незаметным.

С помощью трояна злоумышленники получают с заражённого устройства пользовательские данные включая учетные записи, номер телефона, контакты из телефонной книги, текущую геолокацию, сведения о хранящихся файлах. Данные передаются на командный сервер, а также частично в телеграм-бот, куда сообщается о каждой смене местоположения устройства. Вредонос позволяет злоумышленникам скачивать с телефона интересующие файлы и загружать на него дополнительные модули:

«Получив информацию о доступных файлах, злоумышленники могут дать трояну команду загрузить и запустить вспомогательные модули, с помощью которых тот сможет похищать нужные файлы. Проведенный анализ показал, что создателей шпиона в частности интересуют конфиденциальные документы, которые пользователи передают через мессенджеры Telegram и WhatsApp, а также файл журнала локаций locLog, создаваемый непосредственно программой Alpine Quest.

Таким образом, Android.Spy.1292.origin не только позволяет следить за местоположением пользователей, но и похищать конфиденциальные файлы. При этом его функциональность может быть расширена через загрузку новых модулей, в результате чего он сможет выполнять более широкий спектр вредоносных действий».

Подобное использование военных и других специализированных приложений в качестве прикрытия для распространения вредоносов не редкость. Украинские власти сообщали об атаках, замаскированных под средства ситуационной осведомлённости «Крапива» и «Дельта». А в октябре прошлого года через поддельный чатбот службы поддержки приложения «Резерв+», созданного украинским Минобороны для призывников и резервистов, распространялся MeduzaStealer.