Кибератака на защищенные сайты немецкого правительства: след ведет в Россию

Кибератака на защищенные сайты немецкого правительства: след ведет в Россию

Очередной хакерский скандал в Германии, с одной стороны, даже не слишком удивил: сколько таких уже было, да они уже стали практически нормой. С другой стороны, несколько неожиданным стало откровение о продолжительности атаки – много месяцев, больше года. Это уже не атака, это целая «оккупация».

 Атаки на защищенные сайты немецкого правительства хакеры готовили долго и тщательно, отмечает Укринформ.

Нет, немецкие политики, конечно, изобразили недоумение: как так, наши системы же так хорошо защищены, выводы из прошлых атак сделаны! И призвали спецслужбы и IT-шников к ответу, по-быстрому организовав в бундестаге в четверг экстренные слушания. За закрытыми дверями, конечно же.

Фото: Getty Images / AFP / J. Macdougall

После 2 часов заслушивания представителей министерств и спецслужб руководители профильного парламентского комитета вышли к прессе и сказали несколько слов, сразу предупредив, что никаких ответов ни на какие вопросы не будет. Председатель комитета Армин Шустер горестно поведал, что «это была настоящая кибер-атака на часть правительственных сетей; все еще продолжающаяся атака».

Его коллега Константин фон Нотц заметил, что спецслужбы представили «хорошие аргументы», почему в последние недели они по некоторым вопросам не давали информацию политикам. «Но все равно совершенно неприемлемым является то, что лишь вчера вечером мы узнали о происходящем из сообщений dpa», – заявил при этом депутат, назвав настоящей проблемой то, что информация доходит до общественности таким образом, еще до того, как об этом были уведомлены соответствующие контролирующие органы. Обидно, тут не поспоришь.

Фото: Stephan Röhl / flickr

Теперь, очевидно, будут искать, кто же слил сведения информационному агентству. К слову, не лишним был бы и вопрос о том, не навредила ли такая взрывная эксклюзивная новость операции спецслужб, которые, как оказалось, узнали о проникновении в сеть еще в конце прошлого года и с тех пор взяли ситуацию под контроль (по их утверждениям), пытаясь вычислить: кто и что именно было целями хакеров и откуда их «вылазки» совершались.

БЕЗЗАЩИТНЫЕ ЗАЩИЩЕННЫЕ СЕТИ

Итак, в среду МВД Германии после утечки вынуждено было признаться в том, что произошел «инцидент в сфере безопасности», который имеет отношение к информационным технологиям и федеральным сетям.

Федеральными сетями, как оказалось, были Федеральная администрация – информационная служба Берлин-Бонн (IVBB), которая считается особо защищенной сетью федерального правительства Германии. Ею пользуются как ведомство канцлера, так и министерства (в первую очередь, иностранных дел и обороны) и ведомства, бундестаг и бундесрат.

«Инцидент» в настоящее время расследуется Федеральным управлением информационной безопасности (BSI) и разведывательными службами, в частности, разведкой и контрразведкой.

Немецкие специалисты полагают, во-первых, что проникновения длились, очевидно, в течение всего прошлого года, во-вторых, что за атакой стоит группа, которая взломала сервер бундестага в 2015 году. Тогда основным подозреваемым назвали хакерскую группу АРТ28, крышуемую, по убеждению специалистов, российскими спецслужбами.

Руководитель американской аналитической команды при компании FireEye Бенджамин Рид, говоря об АРТ28, за которой внимательно наблюдает с 2014 года, в интервью изданию Welt отмечает, что речь идет «определенно не об обычной группировке хакеров-преступников, которые действуют из финансовых соображений». По его словам, выбор целей, используемые методы, выжидание годами ясно указывают на участие государственных органов и солидное государственное финансирование. Он не берется судить, какая именно спецслужба стоит за APT28, но участие российских спецорганов даже не ставится под сомнение. Многие эксперты склонны думать, что этой спецслужбой является Главное разведывательное управление РФ.

КИБЕР-МАРШ НА ЗАПАД

Бенджамин Рид выразил предположение, что данная кибератака на немецкие государственные сайты могла быть частью акции, организованной в рамках всего европейского сообщества.

«Мы на протяжении уже нескольких месяцев наблюдаем, что APT28 целенаправленно нападает на сайты министерств обороны и иностранных дел стран Европейского Союза и пытается добыть доступ к защищенным системам», – сказал Рид. Его команда выявила электронные письма, так называемые письма-шпионы, еще известные как «фишинг», которые приходили на почтовые ящики правительств стран ЕС в последние месяцы. Это тщательно сформулированные письма для тщательно выбранных лиц. Все обставлено так, что это лицо прочтет письмо, потому что ожидает подобной информации. Для того, чтобы узнать это, за жертвой следят (с помощью интернета, естественно) неделями, а то и дольше. А уж после того, как письмо открыто, в компьютер внедряется вредоносная программа.

Примечательно, что сейчас этот фокус удалось провернуть с действительно защищенной, внутренней сетью, к которой не подключены персональные компьютеры, как, например, к сети бундестага.

Но нет, видимо, ничего невозможного для страны, породившей Антивирус Касперского. Впрочем, быть может, Рид своими разоблачениями тоже преследует собственную цель: его компания FireEye устанавливает программы-фильтры, способные выявлять и нейтрализовывать указанные выше письма.

Как справедливо заметил немецкий эксперт, директор Института цифрового общества, занимающегося стратегическими исследованиями по цифровым вопросам немецких DAX-компаний при Европейской школе менеджмента и технологий (ESMT) в Берлине Сандро Гайкен, идет настоящая «Холодная война» в цифровом пространстве между группами хакеров. И, можно добавить, между группами анти-хакеров.

Гайкен, который консультирует федеральное правительство и НАТО по вопросам IT, отмечает, что в атаках участвуют «не только обычные плохие парни, такие как Россия», которые, как правило, первыми подпадают под подозрение в кибер-атаках, но все больше и больше национальных разведывательных служб.

Встает вопрос об ускорении создания общеевропейской службы, которая могла бы противостоять подобным нападениям, предупреждать их, а в случае необходимости – сделать ответный ход.

НЕ ПОЙМАН – НЕ ХАКЕР

На теме ущерба от нынешней атаки спекулировать пока не хотят, преждевременно. А может попросту не знают. Хакеры могли, например, своровать данные о планах развития бундесвера и тайную переписку МИД.

Вслух многие немецкие политики осторожно замечают, что говорить со 100-процентной гарантией о том, кто стоит за атаками, невозможно – нет железобетонных доказательств. Нельзя исключать и возможности, когда кто-то мог устроить так, что улики будут против APT28, а происходят они из совсем другого места, есть ведь и в других странах прекрасные специалисты. И это действительно так. В кибер-пространстве, да еще и в условиях гибридной войны врага вычислить ох как сложно.

Но читая судорожные репортажи о «ЧП», не можешь избавиться от мысли, что талантливые хакеры в общем даже не слишком сильно и скрываются. Они, напротив, как будто откровенно бросают вызов: «нас не догонишь». А российские власти лишь посмеиваются – кто в усы, кто в кулак – и говорят Западу: «А вы докажите, что это мы».

Нынешняя история в очередной раз показала, что ЕС стоит все же серьезно отнестись к идее создания единых кибер-войск, которые могут отбить, предотвратить атаку, а в случае необходимости, и ответить на нее.

P.S. Когда этот материал уже был написан, все тому же агентству dpa стало известно, что за атакой скорее всего стоят кибер-шпионы группировки Snake, также известной под именами Turla и Uruburos. Она действует с 2005 года, вооружившись очень сложной и высококачественной вредоносной программой, разработанной для крупных сетей государственных учреждений, компаний и научно-исследовательских институтов.

«Змея», как считают эксперты, изначально «заползла» в компьютер одного высшего учебного заведения государственного управления, а уже оттуда,  предположительно, в конце 2016 года, – в сети федерального правительства. Хакеры работали очень медленно и осторожно…

Автор: Ольга Танасийчук, Берлин. Укринформ