Субъекты национальной государственной угрозы: разведывательные службы на переднем крае следующей войны

(Ди Карло Мазели)
17/01/22

НАТО неоднократно заявляло, что «кибератака, нацеленная на одну страну, является агрессией для всех стран-членов". Статья 5 Атлантического альянса, устанавливающая право на коллективную оборону, вступит в силу немедленно после НАТО считает киберпространство новым измерением вооруженных столкновений наравне с землей, небом, воздухом и космосом.

Incipit более актуален, чем когда-либо, и вдохновил меня вместе с чтением очень интересной книги. «Кибервойна, следующая война Вентуры» Альдо Джаннули и Алессандро Куриони, посвященные кибервойне, чтобы подвести итоги того, что мы переживаем в это «цифровое время».

В наши дни открытая война возможна только в периферийных сценариях и при условии, что армии крупных держав не противостоят друг другу непосредственно на земле. Недавняя история показывает, что военные действия могут вестись только как непрямая война через конфронтацию между второстепенными субъектами, каждый из которых находится под защитой великой державы, или в форме скрытой или, что еще лучше, каталитической войны, когда один субъект развязывает войну между двумя. его конкуренты, оставаясь в тени.

Применение скрытых форм ведения войны должно сопровождаться другими, более или менее скрытыми формами невоенной борьбы, такими как, например, политическая дестабилизация, экономическая война, саботаж, санкции и т.п. и он должен обладать определенной гибкостью, чтобы модулироваться в соответствии с потребностями, момент за моментом.

Именно в этом контексте кибервойна приобретает центральную и стратегическую роль, подрывая, однако, в некотором роде традиционную иерархию власти.

Мы сталкиваемся с тем, что определяется Острая сила, режущая способность, которая, по словам Джаннули, представляет собой логическое развитие этого Мягкая сила на основе практик соблазнения и культурного влияния, теоретизированных американцем Джозефом Наем в XNUMX-х годах. То Острая сила характеризуется как система, не исключительно мирная, направленная на:

  • влиять на общественное мнение посредством пропаганды и манипулирования информацией;

  • проникнуть в экономику страны, воздействуя на систему импорта/экспорта и на основные коммерческие логистические узлы;

  • влиять на политический выбор соответствующего государства, не колеблясь прибегать к методам шантажа.

Возглавляя эту конфликтную систему могут быть только спецслужбы разных стран.

Если разведка второй половины двадцатого века была по большей части идеологической, то нынешняя движется в геополитической и геоэкономической перспективе. В то время как предыдущие стратегии имели в центре цель территориального контроля, нынешняя мыслит с точки зрения сетей связи.

Огромный сбор данных требует методов интеграции, проверки, обработки и анализа, для чего службы оснащены сложными системами, основанными на алгоритмах, а результаты иногда перепродаются промышленным и финансовым компаниям. Это рецидив той безграничной войны, которая уже началась и которая создаст серьезные проблемы, особенно для демократических систем. Большая часть сражений будет происходить прямо на поле кибер война.

11 мая 2017 года, по-видимому, кругами, связанными с правительством Северной Кореи, WannaCry, вирус, который приобрел характеристики червь, то есть вредоносных программ способный к самораспространению, который может быть деактивирован своего рода аварийным кодом, точно так же, как ракета, запущенная по ошибке. Почти месяц спустя он появляется NotPetya; в этом случае атака была бы предпринята группой, близкой к российским кругам, которые в прошлом наносили удары вместе с другими вредоносных программ Украинская электросеть.

Трудно сказать, можно ли считать атаки WannaCry и NotPetya реальными конфликтами. Факт остается фактом: в обоих случаях нам приходилось иметь дело с «финансируемыми государством» организациями, которые прибегали к кибероружию военного производства. Если первый случай трудно атрибутировать, то во втором участвуют две страны, Россия и Украина, находящиеся в состоянии вражды, что говорит о том, что можно мельком увидеть характеристики нового типа военной операции с киберпространство, которое добавляет к традиционным конфликтным доменам: земля, вода, воздух и космос.

2017 год также знаменует собой границу между старой бизнес-моделью вредоносных программ которые имели своей целью единое устройство и новую модель, которую оно предоставляет вредоносных программ которые атакуют всю бизнес-организацию.

(Рисунок 1. Эволюционная модель программы-вымогателя)

Я знаю, что много останавливался, но было необходимо предоставить вам вводную основу и определить контекст ссылки, иначе может показаться, что мы говорим о научной фантастике. Теперь, когда у вас есть четкое представление о сценарии, по которому мы движемся, мы можем углубить тему, касающуюся «финансируемых государством» организаций и их деятельности.

Шпионаж существовал всегда, но что кардинально изменилось, так это передовые технологии, которые обеспечивают почти каждую организацию инновационными разведывательными возможностями. С ростом зависимости от технологий кибершпионаж сеет хаос и препятствует развитию бизнеса, используя киберпространство для тайного получения конфиденциальной информации, принадлежащей правительству, организации или конкретным лицам.

Цель состоит в том, чтобы получить чистую прибыль, даже если это явно незаконная практика. Технологии, используемые для секретных компьютерных вторжений, являются передовыми, но очень часто уже использовались в прошлом, потому что они консолидированы.

Кто эти организации? О ком мы говорим? Кем они спонсируются?

Спонсируемая государством организация — это группа, спонсируемая правительством, которая насильственно атакует и получает незаконный доступ к сетям других правительств или отраслевых групп для кражи, повреждения или изменения информации..

То, что мы наблюдаем, — это разнообразные модели поведения, которые часто, но не всегда, указывают на тип злоумышленника и страну происхождения. Не имея возможности разработать эссе на эту тему, давайте попробуем обобщить характеристики некоторых основных игроков, а затем выделим мероприятия, разработанные в прошлом году.

Кража интеллектуальной собственности, по-видимому, является основным направлением деятельности Коммунистическая партия Китая.

Il Русский КРАН он больше сосредоточен на аспектах, связанных с внешней политикой и кампаниями по дезинформации.

Иранская киберармия он особенно занимался защитой от нападений, направленных на предотвращение разработки и применения ядерного оружия, но также в течение некоторого времени настолько разрабатывал наступательные методы, что его считают ответственным за некоторые из наиболее вредоносных кибератак против нескольких компаний за последние несколько лет.

Кибератаки на Северная Корея они, кажется, мотивированы как финансовыми причинами, так и капризами Ким Чен Ына. Они нацелены на финансовые учреждения для кражи средств через свою печально известную группу. Лазарь, который, давайте не будем забывать, предположительно несет ответственность за атаку программы-вымогателя. Хочу плакать и другие известные ИТ-события.

Сирийская киберармия в последнее время он сосредоточился на взломе мобильной связи, пытаясь остановить и подавить оппозицию диктаторскому режиму.

Как видите, существует множество причин киберактивности этих групп. Однако несомненно то, что эскалация продолжается с нарастающей силой.

Поискав в Интернете отчеты, касающиеся типов групп, спонсируемых государством, и попыток отнести их к различным штатам, я нашел особенно интересной карту атрибуции Microsoft, которая идентифицирует деятельность штатов на основе названий химических элементов. В следующей таблице показаны лишь некоторые из них, а также страны происхождения, из которых работают организации, выделены те из них, которые были наиболее активны в прошлом году и наиболее эффективно использовали описанную тактику.

(Таблица 1. Национальные государственные субъекты и их деятельность)

РОССИЯ

За последний год российские группы укрепили свои позиции как "угроза глобальной цифровой экосистеме«Демонстрация адаптивности, настойчивости, значительных технических навыков и структуры, которая максимально использует анонимность, а также использование инструментов, которые затрудняют их обнаружение.

(Таблица 2 – Анализ России: активность и мотивация)

Нобелий продемонстрировали, насколько коварными и разрушительными могут быть атаки на цепочку поставок путем компрометации кода обновления программного обеспечения, как в случае SolarWinds Orion. Хотя группа ограничила последующую эксплуатацию примерно 100 организациями, вредоносный код распространился примерно на 18.000 XNUMX организаций по всему миру, что делает затронутых клиентов уязвимыми для дальнейших атак.

Методы работы NOBELIUM сильно отличаются от простой установки вредоносного бэкдора и варьируются от распыления пароля и фишинга до компрометации сторонних поставщиков для создания условий для последующих атак.

В мае организация скомпрометировала учетную запись государственного агентства США с помощью механизма фишинга и спуфинга, а затем отправила фишинговое электронное письмо более чем 150 дипломатическим, международным организациям, занимающимся вопросами развития, и немеждународным организациям. отдела маркетинга того же агентства.

Наконец, недавняя совместная тревога американской и британской разведки и правоохранительных органов выявила серию атак методом грубой силы, которые затронули нескольких провайдеров VPN; нападения, приписываемые APT28, Ака Необычный медведь.

Российские актеры продемонстрировали адаптивные способности и глубокое знание безопасности, что позволило им, с одной стороны, уйти от атрибуции, а с другой — преодолеть любую защиту.

NOBELIUM продемонстрировал глубокие знания наиболее распространенных программных инструментов, систем сетевой безопасности и облачных технологий, а также решений, используемых группами реагирования на инциденты, сумев проникнуть в их операционные процессы, чтобы гарантировать постоянство. Метод работы очень похож на тот, что используется другой группой российского происхождения: ИТТРИЙ.

ИРАН

На первый взгляд Иран может показаться мелким игроком, особенно по сравнению с Россией и Китаем. Это правда, что Ирана очень давно не было на сцене; тем не менее, он смог продемонстрировать обширный опыт и огромный опыт в компрометации приложений, социальной инженерии, краже и уничтожении данных.

Их обычные цели лежат на Ближнем Востоке. В частности, основными мишенями являются Израиль, Саудовская Аравия и Объединенные Арабские Эмираты. Цель состоит, прежде всего, в том, чтобы сломить суннитскую гегемонию. Однако они не упустили своего присутствия также в Европе и Северной Америке.

Этот тип асимметричного конфликта обеспечивает удобный и недорогой метод ведения «холодных войн» с политическими и идеологическими противниками Ирана.

Весьма вероятно, что группа, связанная с Ираном и известная как РУБИДИЙ руководил кампаниями программ-вымогателей Pay2Key и N3tw0rm, нацеленных на Израиль в конце 2020 и начале 2021 года. Целью кампаний программ-вымогателей RUBIDIUM был сектор израильских компаний, работающих в сфере судоходной логистики. Эти цели указывают на связь со стратегией Тегерана отомстить израильскому давлению.

В конце 2020 года группа ФОСФОРА провела фишинговую кампанию против политиков, разместив ссылки на статьи на ядерную тематику, которые направляли жертв на сайт аккредитации. Эта атака тесно связана с отношениями между Ираном и США по иранской ядерной сделке 2015 года, из которой Трамп вышел в 2018 году, таким образом вернувшись, чтобы ввести новые санкции против Исламской Республики с целью ее ослабления и подтолкнуть ее к тому, чтобы снова скатиться к договоры с западными странами.

Неслучайно, когда в Вене в апреле прошлого года в Вене возобновились ядерные переговоры, компания «PHOSPHORUS» усовершенствовала свои цели и усилила атаки.

(Таблица 3 – Анализ Ирана: активность и мотивация)

(Рисунок 2 — Иран: типичный поток компрометации ФОСФОРУС от целевого фишинга)

КИТАЙ

Имея в своем распоряжении такое количество угроз, учитывая недавно объявленные геополитические и стратегические цели, было бы глупо предполагать, что Китай не наращивает и не развивает свои операции. Как мы видели в атаках 2020 года, Китай использовал устоявшиеся методы, а также новшество в использовании программ-вымогателей, внедряемых путем использования аппаратного обеспечения систем.

В прошлом году угрозы со стороны китайских субъектов были нацелены на Соединенные Штаты с целью получения информации о политике, особенно затрагивая те государственные органы, которые осуществляют внешнюю политику в Европе и странах Латинской Америки. Для выполнения своей миссии они использовали ряд ранее неизвестных уязвимостей в различных сетевых службах и компонентах.

Среди самых известных групп я упомяну две:

  • ГАФНИЙ, группа, ответственная за утечку данных Microsoft Exchange Server в 2021 году. Атака на систему электронной почты датируется мартом и является одной из самых разрушительных за последние годы, настолько серьезной, что в Соединенных Штатах президент Байден непосредственно затронул ее. Это была одна из самых изощренных атак, поскольку она была проведена удаленно, без необходимости ввода учетных данных, что сделало личные данные доступными для использования кем угодно, с возможностью подвергнуться атакам программ-вымогателей;

  • APT27, Ака Эмиссар Панда, группа, ответственная за атаки на игровые компании с использованием программ-вымогателей и направленные на финансовое вымогательство. Это был не первый случай, когда этот актер действовал таким образом, настолько, что несколько других компаний в тот же период занимались майнингом криптовалюты.

(Таблица 4 – Анализ Китая: активность и мотивация)

СЕВЕРНАЯ КОРЕЯ

Еще одно чрезвычайно активное государство, если учитывать размеры и ресурсы страны по сравнению с другими государствами, — это Северная Корея.

Подавляющее большинство нападений Северной Кореи было направлено на конкретный персонал, и выбор этих целей, вероятно, был сделан на основе вероятности того, что они могут помочь Северной Корее получить дипломатическую или геополитическую информацию, недоступную для общественности.

Основные северокорейские группировки, таллий, Цинк, ОСМИЙ e церий они были сосредоточены на дипломатических чиновниках, ученых и членах аналитических центров со всего мира.

Большинство пострадавших были из трех стран: Южной Кореи, США и Японии. Тем не менее, северокорейские деятели также нацелились на ученых и представителей аналитических центров в Европе и даже в Китае и России, странах, которые обычно считаются друзьями Северной Кореи. 

Внимание к дипломатической или геополитической разведке, вероятно, было вызвано желанием Пхеньяна получить информацию, касающуюся международной ситуации. Дипломатическая цель особенно преследовалась как во время, так и сразу после выборов в США. Большой интерес Северной Кореи к сбору информации, вероятно, также был вызван необходимостью получить ответы на следующие вопросы:

  • Будет ли международное сообщество продолжать строго применять санкции против Северной Кореи?

  • Как covid-19 меняет международную динамику?

  • Какой будет политика новой администрации США в отношении Северной Кореи и как трехстороннее партнерство США, Южной Кореи и Японии будет проводить эту политику?

COVID-19 также был в центре нескольких кампаний атак, которые корейские группы провели против фармацевтических компаний. В ноябре 2020 года ZINC и CERIUM нацелились на фармацевтические компании и исследователей вакцин в нескольких странах, которые, вероятно, получат преимущество в исследованиях вакцин или получат представление о состоянии исследований вакцин в остальном мире. 

Наконец, Северная Корея также использовала чрезвычайно сложные методы социальной инженерии, невиданные ранее. В январе прошлого года ZINC провел кампанию по созданию поддельных профилей, которые, казалось, принадлежали настоящим компаниям и исследователям в области безопасности, путем создания поддельных веб-сайтов.

(Таблица 5 – Анализ Северной Кореи: активность и мотивы)

Ситуация на западе

Война, конвенциональная или нет, ведется надвое, и из того, что вытекает, однако, кажется, что это не так. На самом деле это так и причин, в основном, две:

  1. За последнее десятилетие США стали главной целью все более изощренных и опасных кибератак. Причина этого инстинктивно восходит к характеристикам США в глазах хакерских группировок по всему миру. Для этих субъектов США представляют собой очень большую поверхность для нападения и, в то же время, небезразличную перспективу наживы, экономической и информации/разведки. Достаточно сказать, что в 2020 году США стали объектом кибератак на 23,6% больше, чем любая другая страна в мире. Можно сказать, что сказанное можно увидеть в последствиях атаки на почтовые серверы Microsoft Exchange весной 2020 года. Хакерская атака, о которой идет речь, моментально сделала уязвимыми около 250 тыс. компаний, использовавших сервис Microsoft, как в помещении, так и вне его. облако, для электронной почты. Масштабы и сложность атаки привели к необходимости активировать весь аппарат киберзащиты США. Система, которая, безусловно, представляет собой авангард в этом секторе по сравнению со многими другими странами, но которая также имеет серьезные критические проблемы. Даже если в кибервойне США обладают особенно развитой наступательной и оборонительной «огневой мощью», эта сила не гарантирует господства в киберпространстве или контроля над «кибердержавой» и, следовательно, кибергегемонии нет. Тем не менее нет никаких сомнений в том, что Соединенные Штаты представляют собой державу в ведении киберконфликта.

  2. Утверждение новой Политики киберзащиты, определяемой как «Всеобъемлющая», было представлено как необходимость, учитывая эскалацию программ-вымогателей и других атак, нацеленных на критически важные инфраструктуры и демократические институты. Уже на предыдущем саммите НАТО, также проходившем в бельгийской столице в 2018 году, было принято решение, что «отдельные союзники могут рассмотреть, когда это уместно, приписывание вредоносной киберактивности и реагировать скоординированным образом, признавая, что приписывание является суверенной национальной прерогативой.". Предыдущая формулировка, в дополнение к тому, что не упоминалась конкретная категория «вооруженного нападения», оставляла государствам-членам лишь возможность самостоятельно оценивать принадлежность любых нападений и реагировать соответствующим образом. Однако известные трудности с определением профилей ответственности в случае киберопераций, особенно в случае предполагаемого государственного происхождения, затрудняют применение этой возможности. Хотя новая политика недоступна, содержание окончательного пресс-релиза ясно желание сохранить оборонительный характер Североатлантического союза: предоставляя возможность любыми средствами реагировать на любые киберугрозы, не подталкивает к развитию и использованию кибернаступательных возможностей. Все это связано с тем, что кибератаки могут иметь непредсказуемые последствия, не ограничивающиеся отдельными целями, а также потому, что их использование, помимо возможности вызвать эскалацию, сделало бы эксплуатируемые уязвимости известными и, следовательно, невозможным повторное использование одних и тех же уязвимостей. методы сотрудники.

Атаки никогда не прекращаются

2021 год был еще одним ужасным годом с точки зрения кибератак и именно по этому сценарию, как мы видели, развивается кибервойна, которая все больше направлена ​​на выведение из строя сайтов и сетей государственных органов или и, что еще более опасно, он может нарушить или отключить основные услуги, повредить инфраструктуру и ее сети, украсть или изменить конфиденциальные данные, вывести из строя финансовые системы и даже решить исход президентских выборов в сверхдержаве.

В последние годы кибервойна стала одной из наиболее эффективных форм ведения войны, используемой с намерением нанести ущерб тем, кто руководит правительствами и экономиками, которые считаются вредными; этот тип войн не связан с большими затратами, как те, в которых используется обычное оружие.

Секретный характер кибервойны возвращает нас в эпоху шпионажа времен холодной войны. Сверхдержавы, и не только они, повышают ставки, пока обычные люди сидят и размышляют о том, как им повезло жить в относительно мирные времена, особенно на Западе.

Кибероружие обладает разрушительной разрушительной силой. И проблема в том, что выявить и противостоять им совсем не просто и не быстро.

Современный мир вращается вокруг информационных технологий, которым он доверился и от которых полностью зависит его существование: тот, кому удастся изменить их, выиграет кибервойны будущего, но какой ценой для пострадавшего населения и правительств?

Это вопросы, на которые я не знаю, как ответить. Что я знаю и на что я надеюсь, так это то, что каждый должен сделать шаг назад, чтобы защитить этот мир, который был дан нам, чтобы мы могли жить в мире, и чтобы каждый мог понять, что технология на самом деле, как сказал Папа, подарок. , Бога.

Ссылки

https://www.nato.int/cps/fr/natohq/official_texts_17120.htm?selectedLocale=it

https://aldogiannuli.it/tag/guerra-coperta/

(PDF) Мягкая сила: истоки и политическое развитие концепции (researchgate.net)

Вы знаете историю WannaCry? Чтобы узнать, что стоит за самым известным вредоносным ПО. - YouTube

История самой разрушительной кибератаки в истории NotPetya (hitechglitz.com)

Lazarus Group, СКРЫТАЯ КОБРА, Хранители мира, ЦИНК, НИКЕЛЕВАЯ АКАДЕМИЯ, Группа G0032 | MITRE ATT & CK®

Отчет Microsoft о цифровой защите, ОКТЯБРЬ 2021 г.

Охота на NOBELIUM, самая изощренная атака на национальное государство в истории — Блог Microsoft Security

Причудливый медведь - Википедия

APT29, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, Группа G0016 | MITRE ATT & CK®

Группа угроз RUBIDIUM - Обзор кибербезопасности (cybersecurity-review.com)

Программа-вымогатель N3TW0RM появляется в волне кибератак в Израиле (bleepingcomputer.com)

Иранские государственные хакеры переходят на программы-вымогатели - Securityinfo.it

Программа-вымогатель DearCry и атаки HAFNIUM — что вам нужно знать (cybereason.com)

APT27 - Обзор кибербезопасности (cybersecurity-review.com)

Kimsuky APT продолжает атаковать правительство Южной Кореи | 2021-06-09 | Журнал безопасности

ZINC-атаки на исследователей безопасности — блог Microsoft Security

Презентация PowerPoint (hhs.gov)