Кибервойните на Русия – на щат във военното министерство

Русия вече има собствена кибервойска в структурите на спецслужбите и Министерство на отбраната – специалистите, които работят там, много добре разбират от хакерство и как да се възползват от уязвимите места в програмите. Едно разследване на известното онлайн издание Meduza разкрива как се прави това.

На 5 ноември американската телевизия NBC съобщи, че хакери, които работят за американското правителство, са получили достъп до руската електроенергийна система и други части от критичната инфраструктура. Киберсигурността стана една от главните теми в последните месеци в Америка и в президентската кампани. Американските власти много пъти заявяваха, че именно Русия стои зад извадените на бял свят мейли и електронна комуникация на ръководството на предизборния щаб на Демократическата партия и кандидатът й Хилари Клинтън, както и на документация на Световната антидопингова агенция (WADA).

Още по темата:

Москва отрича съпричастност към стоящата зад атаките група хакери Fancy Bear. Още повече, че руските кибервойски в структурата на Министерството на отбраната съществуват съвсем официално, а сътрудниците в тях се набират, за да търсят уязвимите места в програмите и системите.

Научно-изследователски институт „Квант“

На пететажното здание в грозен сив цвят няма табелка. Наоколо – ограда с бодлива тел, на първия етаж прозорците са боядисани с бяла боя, някои залепени с лилава лента. Къщата се намира в покрайнините на московския квартал Ховрино, наблизо – индустриална зона и следи от жп линии, случайни минувачи тук няма.

Научно-изследователският институт (НИИ) „Квант“, който се помещава в сградата, е създаден през 1978 г. на базата на конструкторско бюро по промишлена автоматика, чието дело са първите съветски компютри. Днес „Квант“ се смята за базов научен център, който се занимава с разработка на компютърни системи със специално предназначение и системи за защита на информацията.

На сайта на НИИ пише, че направленията, в които работи институтът, са от особено значение за държавата. Представител на една от руските компании, които се занимават с цифрова сигурност, казва пред „Медуза“, че „с нищо добро не се занимават в „Квант“, и съветва да се стои по-настрана.

През 2008 г. „Квант“ преминава под управлението на ФСБ – към момента там вече трета година работи като заместник излезлият от спецслужбите Георгий Бабакин. През 1998 г. той завършва института по криптография, връзки и информатика към академията на ФСБ, а до 2005 г. е на работа във ФАПСИ и ФСБ.

На 1 април 2011 г. Бабакин получава деликатно писмо от Италия – пише му Марко Бетини, сътрудник на компанията Hacking Team. Към писмото са прикрепени три файла: ръководство по използване на програмата-вирус Remote Control System, нейна демоверсия и препратки за сваляне.

Remote Control System (програмата е известна и като „Галилей“) позволява да следите всички действия на заразеното устройство: да вземе скрийншота, да се свърже с уеб камерата и микрофона, за да прихване кореспонденция в месинджърите и електронната поща, разпознава какви клавиши натиска собственикът на компютъра или смартфона. А собственикът на специалното разузнавателно средство (СРС) може да ги види в удобен интерфейс. Програмата се предлага на пазара и се продава законно, била е купена в държави с диктаторски режими – под претекст „за засилване на борбата с престъпността.“

На 4 април Бетини изпраща още едно писмо на руснака: „Пробвахте ли демото? Как е? Кажете, когато сте готови да заразявате. На кого да изпратя цените – на вас или на „Инфотекс“? (Руският разработчик на защитени програми за спецслужбите и Министерство на отбраната – Б.р.)

Бабакин отговаря: „Благодаря, сега заедно с „Инфотекс“ работим над инсталиране на демото и свързване към сървъра. Цените може да изпратите и на „Инфотекс“, ние сме партньори. Смятам, че те не използват СРС, така че аз всичко ще им изпратя :)“.

На 5 април Бабакин отново пише на Бетини: „Как сте с времето за презентация през май в Москва?“. По всичко личи, че става въпрос за презентация на програмата за ФСБ. От друга кореспонденция става ясно, че пред сътрудници на службата е показано как програмата може да следи заразени лаптопи.

В мейлите представители на Hacking Team обсъждат, че реакцията на ФСБ е била много положителна и от въпросите им станало ясно, че дотогава те са имали опит с легалните нарушения, но не могат да заразят мобилни устройства и компютри Mac.

През 2012-2014 г. „Инфотекс“, от името на НИИ „Квант“, изплаща на италианската компания 451 000 евро. По-късно компанията ще заяви, че е купила СРС-то за „повишаване на нивото на експертизата на компанията в областта на практическата информационна безопасност“.

През 2013 г. Георгий Бабакин, след 15 години работа в структурите на ФСБ, става ръководител на проекти в департамента по информационна сигурност на „МТС“. Според руски опозиционери „МТС“ си сътрудничи със спецслужбите. През април 2016 г. руският опозиционер Олег Козловский и сътрудникът на Фонда за борба с корупцията Георгий Албуров обвиниха „МТС“, че са разбили акаунтите им в Telegram.

Българска следа

Не само ФСБ се интересуват от сделки за СРС-ата за кибератаки. Онлайн изданието разказва как представители на държавната корпорация „Ростех“ са участвали в тестването на системата за организация на мощни мрежови DDoS атаки.

Бившият сътрудник на руската IT-компания Qrator Александър Вяря разказва, че през февруари 2015 г. отиват на среща в България, заедно с Василий Бровко, тогава директор на комуникациите в „Ростех“, и представители на компанията Packets Technologies демонстрират система, която позволява бързо да се изваждат от строя „лоши“ сайтове, като например Slon.ru и сайта на Министерството на отбраната на Украйна.

Бровко обяснява, че бил на срещата, за да анализира как да запази системата от заплахи. След тази история Александър Вяря, опасявайки се за своята безопасност, заминава за Хелзинки, където моли за политическо убежище.

Историите на „Квант“ и „Ростех“ са рядкост – когато интересите на руската държава и свързаните с нея киберструктури излизат в публичното пространство. В последните години руските военни чиновници са направили достатъчно изявления, от които може да се заключи: Русия вече има собствена кибервойска в структурите на спецслужбите и Министерство на отбраната – специалистите, които работят там, много добре разбират от хакерство и как да се възползват от уязвимите места в програмите.

В края на 2015 г. представителят на МО Роман Кордюков казва в прав текст: „Русия разработва технология за водене на кибервойна“.

Войската на информационните операции

Мъж презарежда автомат и го слага на масата до лаптопа, който отваря и започва да набира код. На фона на хардрок от миналия век се появява надпис: „Научна рота на Руската федерация (РФ)“. Във видео, изготвено в духа на филмите за хакери, се виждат фрази като: „Ако ти успешно си завършил ВУЗ“, „Ако си специалист по технически науки“, „Ако си готов да използваш своите знания“, „Ние ще ти дадем възможност!“. На заинтересуваните се обещава работа в „мощни изчислителни комплекси“.

„Хакерското“ рекламно видео се появява в един от форумите на руското МО през юли 2015 г. Според Meduza почти карикатурния маниер на изобразяване на кибервойника по някакъв начин го доближава с видеото от сайта Fancy Bear, който принадлежи на хакерската групировка, за която се твърди, че удря по цели в сферите на интереси на Русия.

Идеите за „научни роти“, които да станат основа на руските кибервойски, военните чиновници подхвърлят през 2013 г. На 6 ноември 2012 г. министър на отбраната става Сергей Шойгу.

Още след назначаването си той започва да проявява интерес към киберсигурността и също се изказва за необходимостта от създаване на руски кибервойски – по аналог с американските Cyber Command, които също са към американското военно министерство и се занимават с военни кибероперации и защита на американските компютърни мрежи.

През юли 2013 г. Шойгу обявява началото на „големия лов“ на млади програмисти. „Говорим за лов в добрия смисъл на думата, това е продиктувано от обема програмни продукти, от който ще се нуждае армията в следващите 5 години“, обяснява той на среща с ректорите на технически ВУЗ-ове, в които има катедри по информаицонна сигурност.

Конкретното приложение за математиците и програмистите обяснява вицепремиерът Дмитрий Рогозин, който наблюдава военното министерство. Пръв от руските чиновници той настоява за създаване на киберкомандване. „Това е свързано с осигуряване на информационната сигурност на държавната инфраструктура“, казва Рогозин.

Според източници, основните задачи пред руските кибервойски стават: „обработка на информацията, постъпваща отвън, а също и борба с киберзаплахите“. Разбира се, всички служещи в ротите трябва да владеят английски език на високо ниво.

В тв програма Шойгу потвърждава сериозността на намеренията си, сравнявайки кибератака с оръжие за масово поразяване. На практика той потвърждава думите на президента Владимир Путин за „поразяващата сила на информационните атаки“, прозвучали в речите му на Съвета по сигурността.

През пролетта на 2014 г. в руското МО се появява „войска за информационни операции“ за „кибепротивоборство с вероятен противник“. По-късно обяснението е, че те са предвидени при „нарушения на работата на информационните мрежи на вероятен противник“.

Създадени са под формата на „научни роти“ във военни части по цялата страна. Набират се випускници на технически ВУЗ-ове – математици, програмисти, криптографи, инженери. В анкетата при постъпване те трябва да попълнят какви езици за програмиране владеят.

През септември 2015 г. към Министерството на отбраната се открива кадетска школа за IT-технологии, а три месеца по-късно Военна академия завършват първите випускници на научната рота „спецназ по информационна сигурност“.

Първата световна кибервойна

През 2007 г. ескалацията на конфликтите на Русия с други страни започва да съвпада във времето с кибератаки срещу противници на руското правителство. Сценарият е почти винаги един и същ – паралелно с провеждането на военни операции, срещи или преговори, неизвестни осъществяват DDoS атаки срещу правителствени сайтове, хакват пощенски кутии на политици, поставят обидни изображения върху техните сайтове или пускат компромати в близки до руските власти медии.

За първи път това се случва с Естония през пролетта на 2007. Дискусията около преместването на паметника на съветските войници, загинали във Втората световна война, от центъра на града към военното гробище се превърна в международен конфликт: външно министерство връчи протестна нота на посланика на Естония, пред естонското посолство в Москва имаше протести на прокремълското движение „Наши“.

След това хакерите атакуваха сайта на президента, министър-председателя, правителствени агенции, банки – атаките ги извадиха от строя за няколко седмици. На сайта на управляващата в Естония Партия на реформите се появи обръщение, което според хакерите е трябвало да произнесе нейният лидер и премиер Андрус Ансип – да поиска прошка от руското население на Естония и обещание да върне паметника на мястото му. Една от най-атакуваните банки изразходва близо 10 милиона евро, за да се възстанови от атаката. В свой доклад Elliot School of International Affairs нарече атаката „Първата световна кибервойна“.

Отговорност за организирането на атаките пое комисарят на движение „Наши“ Константин Голоскоков.

През 2008 г. историята се повтаря по време на военния конфликт с Грузия. Хакери атакуваха правителството – банки, транспортни, телекомуникационни компании. На главната страница на личния сайт на президента Михаил Саакашвили се появи карикатура, която го сравни с Хитлер.

През същата година хакери атакуваха правителствени сайтове в Литва – след в страната освен нацистките, забраниха и съветските символи. На интернет страницата на управляващата Социалдемократическа партия те „развяха“ съветското знаме.

В средата на 2010 г. атаките зачестиха – и целите станаха по-сериозни. „Руските хакери са изтървани от каишката“, казва Том Келерман, директор на една от големите световни компании за киберотбрана – Trend Micro. А шефът на американското разузнаване Джеймс Клапър определи Русия като най-сериозната кибер заплаха.

През ноември 2015 г. хакерите атакуваха турски правителствени сайтове – веднага след като Турция свали руския Су-24 на границата със Сирия. Няколо атаки бяха извършени през 2014-2015, след смяната на правителството в Украйна и след началото на въоръжения конфликт в югоизточната част.

Така през май 2014 г. хакери атакуваха ЦИК на Украйна в навечерието на президентските избори. Организация, наричаща себе си „CyberBerkut“ (КиберБеркут) блокира работата на украинското МВР, сайтовете на главната прокуратура, украински телевизионни канали, хакна пощенски кутии на украински политици.

През декември 2015 г. друго нападение на групата намери уязвими места в т.нар. критична инфраструктура – електрически мрежи. И без ток за кратко време остана област Ивано-Франковск.

Доклад на Crowdstrike посочи през 2015 г., че „КиберБеркут“ е свързан с руските специални служби. Threatconnect смята, че те са или част от групата Fancy Bear, или се управляват от едно място.