Кровавый теракт, который произошел 7 октября в Израиле, стал еще одной ужасной главой в истории террора, с уровнем разрушения и опустошения, не виденным с момента создания государства. К сожалению, это не единственная плохая новость. Развитие и внедрение передовых технологий и ускоренная цифровизация открыли новые возможности для террористов по всему миру, порождая дополнительные угрозы и разнообразные методы атак, никогда ранее не виденные. Параллельно с традиционным терроризмом, использующим вооруженные средства борьбы – огнестрельное оружие, взрывные устройства или ракеты, – в последние десятилетия наблюдается рост кибертерроризма.
Некоторые видят в этом следующий этап эволюции современного террора, стремясь достичь тех же целей, но более продвинутыми технологическими средствами – и во многих отношениях более разрушительными. Это терроризм, действующий в иной сфере – интернете – и использующий различные кибератаки для нарушения сетей, компьютеров и хранимых данных с целью достижения тех же террористических целей: внушение страха и использование воинственных и насильственных средств для достижения политических, религиозных или общественных целей.
Эта угроза не нова для Дорона Амира, генерального директора и основателя IT-компании – единорога CyTaka. Он занимал различные должности в подразделениях кибербезопасности и информационной безопасности в последние десятилетия. Амир приводит в пример конкретные опасные атаки как отдельных хакеров, так и организаций или государств в киберпространстве, происходящие ежедневно. “Цели могут быть разнообразными и меняться в зависимости от конкретной цели”, – поясняет он, – “Например, кража чувствительной информации у лиц или организаций в целях мошенничества, незаконной коммерческой деятельностей, нарушения операций или требования выкупа”.
Зависимость от роста цифрового пространства
Еще одной ареной битвы в этом киберпространстве является борьба за умы. “Мир давно полагается на цифровые медиа как на основной инструмент потребления информации и относительно высокое доверие к социальным сетям, также из-за их доступности и визуализации”, – говорит Игаль Унна, бывший руководитель Национального бюро кибербезопасности Израиля и киберподразделения Шин Бет (Служба безопасности Израиля). “Вот что именно пытаются использовать враждебные элементы – как в повседневной жизни, так и особенно сейчас, в период войны”.
Унна, который в настоящее время является членом наблюдательного совета CyTaka, отмечает важность этого поля боя. “Здесь тоже мы должны добиться победы в борьбе за умы и истину”, – говорит он. “Такая победа вовсе не является очевидной, особенно когда предпринимаются попытки искажения реальности и подрыва поддержки, в которой Израиль нуждается. Израиль представляет собой кибер-супердержаву, и пришло время использовать эту силу против тех, кто жаждет нашего уничтожения”.
Эта реальная угроза стала более значительной и осязаемой, особенно в последние недели с эскалацией войны. Национальное бюро кибербезопасности недавно выявило 15 различных групп, в основном из Ирана, ежедневно инициирующих тысячи атак на Израиль. Тем временем израильская компания Check Point сообщила об увеличении на 18% кибератак на израильские цели с начала войны и резком повышении более чем на 50% количества атак на правительственные и оборонные объекты.
Специальные команды
Злоумышленники используют разнообразные инструменты: троянские кони, вредоносное программное обеспечение, вирусы, подделка IP-адресов, а также замена адресов сетевых карт модемов и компьютеров. “Инструменты, доступные атакующим, с каждым годом становятся все сложнее, при этом растет мировая зависимость от киберпространства”, – продолжает Амир, описывая масштаб угроз и предостерегая от еще одной значительной угрозы – массовых кибератак, направленных против государств, муниципальных органов или крупных корпораций. “Атаки такого масштаба и интенсивности могут нарушить, парализовать и привести к обширному разрушению важной инфраструктуры, вызвать физический вред и значительные экономические потери – даже реальный вред человеческой жизни”, – предупреждает он.
“С момента известного события мы мобилизуем все ресурсы и связи, которые у нас есть во всем мире, включая, кстати, мусульман, экспертов из различных стран. Не обязательно быть израильтянином, чтобы внести свой вклад в уничтожение ХАМАС или ИГИЛ. Просто нужно быть человеком.”
Дорон Амир
Перед началом войны Дорон Амир (47 лет) уделял большую часть своего времени другим областям – развитию киберсектора в Израиле и за рубежом, а также продвижению Соглашений о нормализации отношений в мусульманских странах (Авраамические соглашения). Он делал это в первую очередь через созданный и управляемый им IT-проект – CyTaka, который направлен на укрепление кибербезопасности в странах, поддерживающих Израиль. Однако, подобно многим другим согражданам, после трагедии 7 октября, принял решение отложить все текущие дела и сосредоточился на главной цели – борьбе с кибертерроризмом.
“С момента теракта и на протяжении последних недель мы мобилизуем все ресурсы и связи, которые у нас есть в Израиле и в мире”, – говорит он, “включая, кстати, мусульман, киберэкспертов из различных стран, которые добровольно предложили свою помощь и участие в борьбе”. В специальном военном штабе, созданном непосредственно 7 октября, ‘специальные команды’ начали работать круглосуточно. Их цели широкие и простираются от выявления критической информации до целевой нейтрализации любой враждебной деятельности, поддерживающей террор, которую им удалось обнаружить.
Эта реальная угроза стала более значительной и осязаемой, особенно в последние недели с эскалацией войны. Национальное бюро кибербезопасности недавно выявило 15 различных групп, в основном из Ирана, ежедневно инициирующих тысячи атак на Израиль.
“Глобальная платформа нашей компании изначально была создана для обмена важной информацией в области кибербезопасности и была предназначена для борьбы с вымогательствами и кибератаками – специально в гражданском киберпространстве”, – объясняет Амир. “Война потребовала быстрого изменения. Мы интегрировали платформу против кибертерроризма – воздействуя на уровень достоверности информации, доходящей до мировых СМИ, вызывая отклонение и ненависть через распространение поддельного контента, психологическую войну и использование атакующего киберпространства для вымогательства денег, используемого террористическими организациями”.
Иными словами, гражданская оборонительная деятельность в мирное время быстро превратилась в атакующую деятельность в условиях войны, и гражданская оборонительная киберподдержка стала атакующей. “Мы фактически связываем хакеров, инициирующих атаки или стремящихся добровольно участвовать в антитеррористических миссиях”, – уточняет Амир. “В эти группы входят очень известные хакеры из многих стран, включая мусульманские, осуждающие и противостоящие террору. Точно так же, как объединяются борцы за окружающую среду”.
“Всем ясно, что это не что-то политическое, а базовый человеческий акт. В конце концов, не обязательно быть израильтянином, чтобы приложить усилие к уничтожению ХАМАС и ИГИЛ. Достаточно быть человеком, противостоящим жестокому террору.
И как это происходит на практике? Как хакеры осуществляют атаки в отношении ‘киберактивистов-террористов‘?
“В этой сфере существует разнообразие атак. Например, гибридные атаки для выявления паролей сайтов и профилей, распространяющих провокационную информацию, поощряющую терроризм. Создание фишинговых сайтов, подражающих сторонникам террора, и возможность выявления ‘кибертеррористов‘, которых, после проверки дополнительными векторами, можно подвергнуть ‘целенаправленной технологической нейтрализации'”.
“Информация, которую мы собираем, также помогает нам в проведении социальной инженерии – особых техник, разработанных для управления подозреваемыми пользователями с целью извлечения информации или проведения действий, раскрывающих их связь с кибертеррористической деятельностью. Некоторые предстоящие успехи будут обусловлены внедрением руткита в системы, поддерживающие террористическую деятельность – программ, позволяющих операционной группе вести деятельность с высокими правами и без ограничений. Мы также применяем специальное программное обеспечение на базе искусственного интеллекта, которое позволяет нам быстро выявлять фальшивые профили с использованием алгоритмов сравнения изображений, включая анализ информации, распространенной с использованием глубокого фейка, и отредактированных фотографий, загруженных в социальные сети.”
От слов Амира, а также от эмоций, с которыми он описывает ход событий, легко понять, что в его глазах это – миссия. Теракт 7 октября вернул его на 22 года назад – к башням-близнецам 11 сентября.
“Израильская кибербезопасность – лучшая в мире, но, к сожалению, она не предотвратила теракт. Погибло около 1200 израильтян. Если сравнить с терактом башен-близнецов – по численности населения в наших странах – это примерно, как если бы погибло 40 000 американцев. Но сейчас самая важная цель – вернуть заложников”.
Назад в прошлое
Теперь Амир использует свои кибервозможности на военные цели “в рамках закона и без нарушения правил”, на чем он настаивает. “Мы не NSO, у нас нет шпионского программного обеспечения, но есть достаточно групп свободных хакеров, понимающих, что террор – это не только аморально и беспощадно, но и без религии и национальности”.
Уже ясно, что на протяжении многих лет будут вестись дискуссии о серии разведывательных неудач, предшествовавших ужасным событиям 7 октября. Разведывательное сообщество, которое катастрофически провалилось в прогнозах и сборе критической информации, получило серьезный удар по своему имиджу и профессионализму – но также пострадала и общая репутация Израиля как глобальной кибердержавы.
“Израильская кибербезопасность – лучшая в мире, даже если, к сожалению, она не предотвратила теракт”, – говорит он. “Несмотря на это, оборонительная кибербезопасность всегда готова к защите – 24/7. Наши враги подстерегают нас в углу, просто ждут, когда мы совершим ошибку. Мы все видели ужасные результаты, которые происходят, когда армии нет рядом хотя бы на один день, и я не хочу представлять себе, что произойдет, если киберзащита исчезнет хотя бы на один час. Поэтому ясно, что израильская кибербезопасность по-прежнему является самой мощной в мире, и по простой причине – ни одна страна в мире не подвергается кибератакам, как Израиль. Ни по качеству, ни по количеству. Количество отраженных нами атак является одним из самых высоких в мире, включая атаки со стороны государств и организаций, направленные против инфраструктуры и стратегических систем без перерыва – и по мере увеличения числа атак растут и наши способности”.
Знай своего врага: Основные группы кибертеррористов
🇷🇺 Bear, Россия
Российская группа, ассоциированная с СВР. Группа инициирует кибератаки и кибервоенные операции в основном против коммерческих компаний и правительственных организаций в странах Запада и Восточной Азии. Недавно она сосредоточилась на кибератаках по институтам и сайтам в США и Украине.
Группа ответственна за серию атак, направленных против американских институтов, исследовательских институтов и организаций во время предвыборной кампании президента США в 2016 году с целью влияния и манипулирования общественным мнением в Америке.
В марте 2020 года группа была ответственна за взлом более 200 компаний и государственных органов в США, что до сих пор считается самой серьезной кибератакой в истории.
🇮🇷 Rocket Kitten, Иран
Иранская группа, осуществляющая кибератаки, в первую очередь, против Израиля, США и Саудовской Аравии. Группа в основном использует целенаправленные фишинговые атаки, чтобы атаковать компании в сфере безопасности и коммерческие компании, а также правительственные сайты, новостные сайты, журналистов, оппозиционных фигур и правозащитников.
Ранее сообщалось, что группа, получающая прямое спонсорство и финансирование от правительства Ирана, собирала чувствительные данные о тысячах пользователей из Саудовской Аравии, США, Израиля, Нидерландов и Ирана (в основном оппозиционных фигур и противников режима) с использованием целенаправленных фишинговых страниц.
В августе 2016 года сообщалось, что иранская хакерская группа взломала аккаунты около 15 миллионов иранских оппозиционных активистов и противников режима с использованием мессенджера Telegram.
🇨🇳 Red Apollo, Китай
Китайская группа, осуществляющие кибератаки против Японии, Индии, США и западных организаций. Группа фокусируется в основном на атаках с целью шпионажа и кражи интеллектуальной собственности у компаний авиационной промышленности, инжиниринговых компаний и телекоммуникаций. По данным ФБР, группа действует под руководством Китайского министерства обороны с 2006 года.
🇰🇵 Unit 180, Северная Корея
Северокорейская группа проводит кибернаступательные операции против американских и западных организаций. Атаки направлены в первую очередь на финансовые учреждения и коммерческие компании с использованием социальной инженерии, вредоносных макрокоманд, распространения вредоносного ПО и программ-вымогателей.
