Поймай меня, если сможешь. Что такое кибер-контрразведка и как она работает

Борьба условных разведки и контрразведки продолжается с тех времен, когда человечество перестало жить в одной пещере. Как только пещер стало больше, чем одна — сразу же вожди одних пещер захотели знать, что происходит в других. То есть, началось это противостояние очень давно.

С появлением всемирной сети Интернет, история возникновения которой началась в 1969 году, борьба контрразведок против разведок принципиально не изменилась, но была вынуждена адаптироваться под новый мощный технологический фактор.

В чем это выразилось?

 Если веками украденные завербованными агентами секретные сведения передавались резидентам разведки лично или через тайники с закладками, то теперь стало возможным передать секретную информацию по электронным каналом.  Причем, значительно быстрее и безопаснее.

Вариантов множество: от зашифрованного файла на бесплатный одноразовый email с какой-то банальной темой "коммерческое предложение" или "стань участником конкурса" — до сложных вещей типа стеганографии, TOR-серверов, сквозного шифрования, Triple-VPN, bullet-proofhosting и другой кибер-специфики.

Работа в этой высокотехнологической специфике требует соответствующих знаний и навыков, поэтому, во многих странах мира были созданы специализированные подразделения, которые имеют различные официальные названия, но, по сути, являются так называемой "кибер-контрразведкой".

Кому-то может показаться, что контрразведке стало значительно сложнее работать после вхождения интернета в широкое использование.

 На самом деле, действительно стало немного сложнее, но, в чем-то, и немного легче. Например: скажем, контрразведка заподозрила работника военного завода в продаже чертежей нового безпилотника иноземной разведке. 

Если раньше контрразведке нужно было месяцами ходить и проверять все контакты и связи подозреваемого, читать его письма и открытки, искать возможные укрытия и деньги, то теперь достаточно всего лишь поставить пару-тройку технических контролей: на узле интернет-сервиса провайдера подозреваемого и на узле его мобильного оператора.

Важно Полный тет-а-тет. Восемь причин выбрать безопасный мессенджер для общения

Наличие всех номеров мобильных телефонов устанавливается очень легко и быстро — и все выявленные номера также ставятся на контроль. Контроль за движением средств также осуществляется удаленно, через банк. Наличные, как и раньше, проконтролировать сложнее всего, но их и сложно хранить.

Итак, все сети "клиента" полностью контролируются, поэтому кибер-контрразведке остается только тщательно мониторить весь трафик, внимательно читать переписку, вылавливать зашифрованные файлы и подозрительные месседжи.

Даже если шпион соблюдает требования конспирации, пользуется средствами анонимизации, постоянно "чистит" свои девайсы, пользуется исключительно "шифрованными" мессенджерами, — на это у контрразведки могут быть (и есть) свои контр-меры:

— VPN подозреваемого может иногда "отваливаться", а он этого не заметил; если он каждый день удаляет сообщение, а его никто не хватает за руку, и это продолжается годами — когда-нибудь шпион расслабится и забудет это удалить (тем более, что часто "удаленное" можно восстановить, а для "гарантированного уничтожения информации" требуются специальные знания и средства). 

— Перехваченный зашифрованный файл все же можно расшифровать, хотя на это могут уйти месяцы и даже года — зависит от количества задействованных ресурсов.

Против шифрованных мессенджеров у спецслужб также есть методики и инструментарий, как читать такие сообщения. Например, добавить еще одно устройство к аккаунту пользователя такого мессенджера через тайное клонирование сим-карты на уровне оператора связи.

Но при всей этой модной кибер-тематике все традиционные методы работы спецслужб "на холоде" (то есть, во враждебном окружении другой страны с сильной контрразведкой) остаются актуальными: тайна операции, личные встречи агента с резидентом, метки в публичных местах, система сигналов и знаков, встречи с агентом за рубежом (где возможности контрразведки существенно ограничены), передача образцов секретных изделий и тому подобное.

Просто ко всем этим исконным разведывательно-контрразведывательным методам добавился еще один: передача информации по электронным каналам. 

Но выявление и документирование деятельности агентурной сети разведок иностранных государств — не единственная задача для кибер-контрразведки, хотя и одна из главных.

Существенной угрозой являются также хакеры-преступники, которые могут объединяться во временные или постоянные группы.

 Абсолютное большинство из них ведут свою противоправную деятельность с целью получения выгоды: 

• украсть из электронных сетей жертв информацию для последующей ее перепродажи (в том числе, враждебным спецслужбам) или использовать ее для прямого вывода средств с банковских счетов; 
• инфицировать систему объекта критической инфраструктуры вирусом-шифровальщиком (ransomware) и требовать уплаты выкупа; 
• выявить критическую уязвимость в сети компании-жертвы и шантажировать жертву опубликованием уязвимости; 
• тайно перехватить управление компьютерной сетью организации и установить в ней свои серверы, с которых атаковать других жертв, или "майнить биткоин" с тайным использованием вычислительных ресурсов компании-жертвы, и тому подобное.

Таких агентов можно условно назвать "коммерческие хакеры".

Отдельным фактором угрозы для кибер-контрразведки являются так называемые "хактивисты" — идейные хакеры, осуществляющие свою противоправную деятельность не ради денег, а во имя борьбы с политическими режимами, продвижения идей свободы интернета и свободы слова, других прав человека, борьбы за экологию, для соблюдения интересов определенных социальных, расовых, религиозных и других групп.

Если ради своих идей хактивисты готовы идти на уголовные преступления, в частности, против важных государственных учреждений или объектов критической инфраструктуры, — а часто так и бывает — тогда кибер-контрразведка также должна знать как можно больше о составе таких групп, их намерениях, имеющихся возможностях , времени и месте совершения следующего преступления, — словом, знать о них все.

Установление личностей и "коммерческих" хакеров, и хактивистов, и хакеров "на зарплате" иностранных спецслужб является важнейшей задачей кибер-контрразведки.

При этом, первоочередной задачей является выявление тех хакеров, которые уже сейчас представляют угрозу для национальной безопасности.

 Задача эта не такая сложная, как может показаться на первый взгляд. Интернет уже давно не является местом, где можно долго оставаться анонимным.

Например, так называемые "хакерские форумы".  Это виртуальные площадки, где уголовные хакеры продают / покупают нелегальные товары / услуги, связанные с кибер-преступностью.

 Все там пользуются никами и указывают о себе лишь ту информацию, которую хотят донести до других посетителей форума. 

Но спецслужбы не просто активно мониторят такие форумы, но и сами продают / покупают нелегальные услуги, ведут активные дискуссии, пишут статьи, а также называют других "ментам".

 Администрация некоторых форумов даже ведет учет подобных представителей правоохранительных органов и спецслужб, которых не так уж и сложно обнаружить.

Но смысл активного присутствия кибер-спецслужбы в хакерских форумах заключаетсяв в "деанонимизации" (установлении настоящего лица) хакеров (actors) и хакерских групп, которые являются угрозой интересам определенных государств.

Деанонимизованные хакеры вербуются, и в дальнейшем используются спецслужбами в своих интересах. 

А некоторые государства (например, Российская Федерация) используют завербованных хакеров для проведения кибератак и кибер-диверсий против своих геополитических противников.

Важно Террористическая Сеть. Как понять, что за кибератакой стоит государство или спецслужбы?

Скажем, в организации кибератак против Демократической партии США и влияния на результаты выборов 2016 года, для отключения нескольких регионов Ивано-Франковской области от энергоснабжения в декабре 2015 года на 6+ часов, для частичного паралича до трети экономики Украины в результате массового распространения вредоносного пО NotPetya, и для других многочисленных кибер-операций против Украины с явными признаками кибер-криминальных преступлений.

Из предыдущего аспекта следует еще одна важная задача для кибер-контрразведки: содействие усилению безопасности информационно-коммуникационной инфраструктуры собственной страны.

Потому что смыслом существования любой контрразведки и любой спецслужбы является недопущение реализации негативных сценариев для своей страны. Не количество проведенных расследований или уголовных дел, а именно недопущение актуализации рисков.

Обычно помощь кибер-контрразведки в усилении кибербезопасности страны может заключаться в своевременном информировании руководителей важных объектов о подготовке атаки против них, или об имеющейся критической уязвимости системы кибербезопасности объекта, которой могут воспользоваться хакеры-преступники.

Также вклад в усиление кибербезопасности страны может быть в форме помощи в расследовании кибератак против такого объекта с целью выявления организаторов и исполнителей и их дальнейшей локализации.

Мощным средством защиты государства в киберпространстве также может быть организация системы обмена информацией об инцидентах кибербезопасности и обнаруженные уязвимости между всеми объектами критической инфраструктуры страны. 

Но это задача, скорее, присуща специализированной гражданской организации с высокой степенью доверия со стороны, как руководителей объектов критической инфраструктуры, так и со стороны местного кибер-сообщества и гражданского общества. 

Конечно, перечисленное — далеко не все задачи кибер-контрразведки.

 Есть множество вспомогательных и "сопутствующих". Например, донесение до вражеских спецслужб сознательной дезинформации, организация информационных спецопераций, даже создание собственных "кибер-войск" на случай задачи кибер-контрудара в ответ.

В не совсем цивилизованных странах на подобные структуры возлагают также задачи слежения за политическими оппонентами, диссидентами, критиками действующей власти, журналистами-расследователями, перехват их интернет-коммуникаций, выявление каналов возможного финансирования, создание возможностей влиять на них через возможности сети Интернет и коммуникационных сетей, и тому подобное.

Конечно, для демократического общества с эффективным контролем за деятельностью спецслужб это недопустимо. 

Но это не про нашу цивилизованную прекрасную европейскую страну, верно?