Ось против зла

О чем договорились Россия и США за первые три месяца консультаций по кибербезопасности

“Ъ” стали известны подробности консультаций между Россией и США по кибербезопасности. По данным российских источников “Ъ”, за несколько месяцев Москве и Вашингтону удалось возобновить сотрудничество в областях, которые на протяжении многих лет были заморожены. В результате был нанесен удар по кибергруппировкам Evil Corp., TrickBot и REvil. Американские официальные лица, впрочем, по-прежнему призывают к коллективному давлению на Россию в киберсфере.

Фото: Дмитрий Азаров, Коммерсантъ  /  купить фото

Фото: Дмитрий Азаров, Коммерсантъ  /  купить фото

Взаимодействие между Россией и США по вопросам обеспечения информационной безопасности было, по сути, заморожено в 2014 году — на фоне конфликта вокруг Украины Вашингтон заблокировал большинство существовавших ранее двусторонних механизмов, в том числе в киберсфере. Ситуация еще более усложнилась после того, как власти США обвинили Россию во вмешательстве в президентские выборы 2016 года. В итоге вплоть до недавнего времени сотрудничество двух стран в киберпространстве было сведено к минимуму. Однако, как рассказали “Ъ” несколько информированных источников с российской стороны, за последние месяцы ситуация в корне изменилась.

Напомним, возобновить межведомственные контакты в киберсфере весной предложил президент США Джо Байден. Это произошло после того, как ряд крупных американских энергетических и промышленных компаний были атакованы вирусами-вымогателями, распространители которых, по данным американских властей, находились в России. О решении запустить двусторонние консультации по кибербезопасности президенты Владимир Путин и Джо Байден официально объявили 16 июня на саммите в Женеве. При этом с учетом нервной реакции вашингтонского истеблишмента на любые контакты с Москвой стороны условились избегать излишней публичности (см. “Ъ” от 19 июня).

В итоге за минувшие три месяца переговорщикам, по словам источников “Ъ”, удалось достичь прогресса в трех сферах.

Во-первых, возобновился регулярный диалог экспертов компетентных ведомств в формате Кремль—Белый дом. Сообщалось о как минимум четырех раундах состоявшихся двусторонних консультаций.

Во-вторых, было восстановлено взаимодействие в рамках американо-российского Договора о взаимной правовой помощи по уголовным делам 1999 года. В результате, как поясняют собеседники “Ъ”, из США стали поступать недостающие материалы для уголовно-процессуального пресечения деятельности ряда международных кибергруппировок, в частности Evil Corp., TrickBot и REvil. Российской стороной также запрошены имеющиеся у американских коллег сведения о деятельности группы хакеров, связанных с использованием вредоносного программного обеспечения REvil / Sodinokibi. Кроме того, американцев проинформировали о пресечении деятельности преступной группировки, использовавшей вредонос Dyre / TrickBot, и привлечении виновных к уголовной ответственности. Москва рассчитывает на дальнейшее заинтересованное сотрудничество со стороны США по этим вопросам.

В-третьих, как говорит один из собеседников “Ъ”, были «активизированы ранее игнорировавшиеся США контакты между национальными центрами реагирования на компьютерные инциденты», «налажены обмен информацией о компьютерных атаках, совершаемых из информационного пространства обеих стран, а также оперативное подтверждение полученной информации и ее проработка уполномоченными органами».

Напомним, о постоянном диалоге между национальными центрами реагирования на компьютерные инциденты Москва и Вашингтон договорились еще в июне 2013 года, когда Владимир Путин и его тогдашний американский коллега Барак Обама подписали пакет межправсоглашений о мерах доверия в сфере информационно-коммуникационных технологий. Российские власти тогда рассчитывали, что это станет началом плодотворного сотрудничества в киберсфере, но потом случились Крым и Донбасс, и США отказались от взаимодействия с Россией по ряду направлений, включая кибербезопасность.

Между тем, по данным Национального координационного центра по компьютерным инцидентам, США входят в число стран, с территории которых в последние годы совершается наибольшее количество кибератак на российскую инфраструктуру.

Об этом же, выступая в субботу на пресс-конференции по итогам визита в Нью-Йорк на сессию Генассамблеи ООН, заявил и глава МИД РФ Сергей Лавров. «За последний год наибольшее количество хакерских атак на наши ресурсы были из США, примерно половина. Мы 45 раз направляли официальные запросы с конкретным указанием фактов, требующих разбирательства, американским коллегам. Ответов было только девять. В наш адрес было около десяти запросов, на каждый были даны ответы»,— рассказал министр. При этом он добавил, что после саммита в Женеве «американцы согласились перейти от спорадических обвинений и жалоб к системной работе».

По словам источников “Ъ”, главным итогом этой системной работы «стал запуск механизмов двустороннего взаимодействия». «Сейчас мы работаем над совершенствованием и повышением эффективности диалога. Рассчитываем расширить круг обсуждаемых в этом формате вопросов обеспечения информационной безопасности наших стран»,— уточнил один из собеседников “Ъ”.

Напомним, в недавнем интервью “Ъ” заместитель главы МИД РФ Сергей Рябков дал понять, что Москва заинтересована в обсуждении с Вашингтоном проблемы вирусов-вымогателей, но не хочет, чтобы контакты сводились только к этой теме. «Расширение тематики и повестки дня, на чем мы настаиваем, остается нашей задачей. Сдвиги в этом направлении есть, но они недостаточны. Американские коллеги по-прежнему стремятся всю работу сфокусировать на том, что интересует их»,— посетовал он тогда.

С точки зрения России, основой для расширения повестки консультаций могла бы стать программа из четырех пунктов, которую Владимир Путин направил в Белый дом год назад. Среди прочего она подразумевает выработку двустороннего межправсоглашения о предотвращении инцидентов в информационном пространстве и обмен гарантиями невмешательства во внутренние дела друг друга. Эти темы США, однако, пока предметно обсуждать не готовы. Судя по заявлениям Джо Байдена в Женеве, после вирусов-вымогателей вторым его приоритетом в киберпространстве является защита отраслей критической инфраструктуры.

Как бы то ни было, американские официальные лица пока очень сдержанно комментируют результаты консультаций с российскими коллегами.

На этом фоне в ходе недавнего выступления в одном из вашингтонских аналитических центров директор управления Белого дома по кибербезопасности Крис Инглис констатировал, что в последние месяцы атак на американские ресурсы со стороны хакерских группировок, базирующихся в России, стало меньше. В то же время он подчеркнул, что у США нет уверенности, что эта тенденция сохранится. «Число атак значительно сократилось. Судя по всему, соответствующие преступные синдикаты частично распались. Но мое предположение, что часть из них просто залегла на дно, чтобы переждать шторм, а затем вернуться»,— заявил он. По словам Криса Инглиса, в дальнейшем многое будет зависеть от российского руководства: из его выступления следовало, что, по мнению США, власти РФ ранее закрывали глаза на действия киберпреступников. Ранее ряд американских IT-компаний и СМИ писали, что многие хакерские группировки, действующие с территории России, сотрудничают с российскими спецслужбами либо имеют с ними негласные договоренности (например, не атаковать объекты внутри страны).

Российские официальные лица подобные утверждения всегда категорически отвергали. Но, судя по всему, их американские коллеги менять свою позицию не готовы. Выступая на днях на слушаниях в Сенате США, Крис Инглис заявил о необходимости продолжения давления на Россию, с тем чтобы ее власти перестали «давать убежище хакерам или закрывать глаза на их действия», причем желательно в рамках широкой международной коалиции. По его словам, «это международная проблема, а не только американская».

Елена Черненко

Хакерские группировки с русским акцентом

Досье

Минфин США называет Evil Corp. «крупнейшей хакерской группировкой в истории». По данным американских властей, она существует с 2007 года и базируется в Москве. В 2019 году Минфин США ввел санкции в отношении группы, шести российских компаний и 17 физлиц. Их обвиняли в хищении более $100 млн из 300 банков в 40 странах. Как утверждали США, лидер Evil Corp. Максим Якубец имеет связи с российскими спецслужбами. За информацию о его местонахождении было объявлено вознаграждение в размере $5 млн. В заявлении Минфина США утверждалось, что группа ответственна за разработку и распространение вредоносного ПО Dridex, ущерб от которого в 2015 году оценивался в $40 млн. В 2020 году, по данным западных СМИ, Evil Corp. атаковала сервисы компании Garmin. За возможность восстановить работу она заплатила выкуп в размере $10 млн.

Вредоносный троян TrickBot, созданный одноименной группировкой,— один из самых известных в мире. По данным Bloomberg, с момента первого обнаружения TrickBot в 2016 году хакеры украли от десятков до сотен миллионов долларов в США у банков, юрфирм и местных органов власти. Через сеть было заражено более 1 млн компьютерных устройств в мире. В 2020 году компания Microsoft сообщила об отключении серверов сети TrickBot, которая могла быть использована для подрыва избирательного процесса в США, однако вскоре ботнет вновь продолжил свою активность. Летом 2021 года в Майами был арестован один из ведущих хакеров группировки под ником «Макс». Им оказалась 55-летняя гражданка Латвии Алла Витте. Ранее газета The Washington Post отмечала, что сетью, предположительно, управляют русскоговорящие злоумышленники.

По данным американских спецслужб, хакерская группировка REvil ежемесячно проводила не менее 15 атак. Как утверждают в Вашингтоне, группировка находится в России и может быть связана с российскими властями. В апреле 2021 года она шантажировала корпорацию Apple, взломав ее тайваньского поставщика Quanta. В мае провела атаки на серверы одного из крупнейших в США производителей мяса, компании JBS, которая была вынуждена выплатить мошенникам $11 млн. В июле REvil взяла на себя ответственность за атаку на серверы IT-компании Kaseya, в результате которой пострадали фирмы и организации в шести странах мира. В том же месяце группировка исчезла из даркнета.

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...