Спіймай мене якщо зможеш. Що таке кібер-контррозвідка і як вона працює
Інтернет — це те місце, де практично будь-яка дія залишає чіткий слід. І завдання спецслужби полягає у тому, щоб знати, де знайти вірні сліди, отримати їх, адекватно проаналізувати і зробити правильні висновки.
Боротьба умовних розвідки і контррозвідки триває відтоді як людство перестало жити в одній печері. Як тільки печер стало більше, ніж одна — відразу ж вожді одних печер захотіли знати, що відбувається в інших. Тобто, почалося це протистояння дуже давно.
З появою всесвітньої мережі Інтернет, історія виникнення якої почалася у 1969 році, боротьба контррозвідок проти розвідок принципово не змінилася, але була змушена адаптуватися під новий потужний технологічний фактор.
У чому це виявилося?
Якщо століттями вкрадені завербованими агентами секретні відомості передавалися резидентам розвідки особисто або через сховки з закладками, то тепер стало можливим передати секретну інформацію по електронних каналах. До того ж значно швидше і безпечніше.
Варіантів безліч: від зашифрованого файлу на безкоштовний одноразовий email з якоюсь банальною темою "комерційна пропозиція" або "стань учасником конкурсу" — до складних речей типу стеганографії, TOR-серверів, наскрізного шифрування, Triple-VPN, bullet-proofhosting та іншої кібер-специфіки.
Робота у цій високотехнологічній специфіці вимагає відповідних знань і навичок, тому, в багатьох країнах світу створили спеціалізовані підрозділи, які мають різні офіційні назви, але, по суті, є так званою "кібер-контррозвідкою".
Комусь може здатися, що контррозвідці стало значно складніше працювати після входження інтернету в широке використання.
Насправді, дійсно стало трохи складніше, але у чомусь і трохи легше. Наприклад: контррозвідка запідозрила працівника військового заводу у продажі креслень нового безпілотника іноземної розвідки.
Якщо раніше контррозвідці потрібно було місяцями ходити і перевіряти всі контакти і зв'язки підозрюваного, читати його листи і листівки, шукати можливі укриття та гроші, то тепер достатньо всього лише поставити пару-трійку технічних контролів: на вузлі інтернет-сервісу провайдера підозрюваного і на вузлі його мобільного оператора.
Наявність всіх номерів мобільних телефонів встановлюється дуже легко і швидко — і все виявлені номери також ставляться на контроль. Контроль за рухом коштів також здійснюється віддалено, через банк. Готівку, як і раніше, проконтролювати найскладніше, але її і складно зберігати.
Отже, все мережі "клієнта" повністю контролюються, тому кібер-контррозвідці залишається тільки ретельно моніторити весь трафік, уважно читати листування, виловлювати зашифровані файли та підозрілі меседжі.
Навіть якщо шпигун дотримується вимог конспірації, користується засобами анонімізації, постійно "чистить" свої девайси, користується виключно "шифрованими" месенджерами, — на це у контррозвідки можуть бути (і є) свої контр-заходи:
- VPN підозрюваного може іноді "відвалитися", а він цього не помітив; якщо він щодня видаляє повідомлення, а його ніхто не хапає за руку, і це триває роками — коли-небудь шпигун розслабиться і забуде це видалити (тим паче, що часто "видалене" можна відновити, а для "гарантованого знищення інформації" потрібні спеціальні знання і засоби).
- Перехоплений зашифрований файл все ж можна розшифрувати, хоча на це можуть піти місяці і навіть роки — залежить від кількості залучених ресурсів.
Проти шифрованих месенджерів у спецслужб також є методики та інструментарій, як читати такі повідомлення. Наприклад, додати ще один пристрій до акаунту користувача такого месенджера через таємне клонування сім-карти на рівні оператора зв'язку.
Тобто, для боротьби проти кібер-шпигунства кібер-контррозвідці, крім високого рівня знань і технічної кваліфікації її співробітників, потрібні тільки уважність, наполегливість і безперервність роботи. Адже організована і добре фінансована група людей завжди здатна перемогти самітника.
Але при всій цій модній кібер-тематиці всі традиційні методи роботи спецслужб "на холоді" (тобто, у ворожому оточенні іншої країни з сильною контррозвідкою) залишаються актуальними: таємниця операції, особисті зустрічі агента з резидентом, мітки в публічних місцях, система сигналів і знаків, зустрічі з агентом за кордоном (де можливості контррозвідки істотно обмежені), передача зразків секретних виробів тощо.
Просто до всіх цих споконвічних розвідувально-контррозвідувальних методів додався ще один: передача інформації по електронних каналах.
Але виявлення і документування діяльності агентурної мережі розвідок іноземних держав — не єдине завдання для кібер-контррозвідки, хоча і одне з головних.
Суттєвою загрозою є також хакери-злочинці, які можуть об'єднуватися у тимчасові або постійні групи.
Абсолютна більшість з них веде свою протиправну діяльність з метою отримання вигоди:
- вкрасти з електронних мереж жертв інформацію для подальшого її перепродажу (зокрема, ворожим спецслужбам) або використовувати її для прямого виведення коштів з банківських рахунків;
- інфікувати систему об'єкта критичної інфраструктури вірусом-шифрувальником (ransomware) і вимагати сплати викупу;
- виявити критичну уразливість в мережі компанії-жертви і шантажувати жертву опублікуванням уразливості;
- таємно перехопити управління комп'ютерною мережею організації та встановити у ній свої сервери, з яких атакувати інших жертв, або "майниит біткоїни" з таємним використанням обчислювальних ресурсів компанії-жертви, тощо.
Таких агентів можна умовно назвати "комерційні хакери".
Окремим фактором загрози для кібер-контррозвідки є так звані "хактивісти" — ідейні хакери, які здійснюють свою протиправну діяльність не заради грошей, а заради боротьби з політичними режимами, просування ідей свободи інтернету і свободи слова, інших прав людини, боротьби за екологію, для дотримання інтересів певних соціальних, расових, релігійних та інших груп.
Якщо заради своїх ідей хактивісти готові йти на кримінальні злочини, зокрема, проти важливих державних установ або об'єктів критичної інфраструктури, — а часто так і буває — тоді кібер-контррозвідка також повинна знати якомога більше про склад таких груп, їх наміри, наявні можливості, час і місце скоєння наступного злочину — загалом, знати про них все.
Встановлення особистостей і "комерційних" хакерів, і хактівістів, і хакерів "на зарплаті" іноземних спецслужб є найважливішим завданням кібер-контррозвідки.
При цьому, першочерговим завданням є виявлення тих хакерів, які вже зараз становлять загрозу для національної безпеки.
Завдання це не така складне, як може здатися на перший погляд. Інтернет вже давно не є місцем, де можна довго залишатися анонімним.
Інтернет — це те місце, де, на відміну від фізичного світу, практично будь-яка найменша дія залишає чіткий слід. І завдання спецслужби полягає у тому, щоб знати, де знайти вірні сліди, отримати їх, адекватно проаналізувати і зробити правильні висновки.
Наприклад, так звані "хакерські форуми". Це віртуальні майданчики, де кримінальні хакери продають/купують нелегальні товари/послуги, пов'язані з кібер-злочинністю.
Всі там користуються ніками і вказують про себе лише ту інформацію, яку хочуть донести до інших відвідувачів форуму.
Але спецслужби не просто активно моніторять такі форуми, але і самі продають/купують нелегальні послуги, ведуть активні дискусії, пишуть статті, а також називають інших "ментам".
Адміністрація деяких форумів навіть веде облік подібних представників правоохоронних органів і спецслужб, яких не так вже й складно виявити.
Але сенс активної присутності кібер-спецслужби в хакерських форумах полягає у "деанонімізації" (встановлення справжнього обличчя) хакерів (actors) і хакерських груп, які є загрозою інтересам певних держав.
Деанонімізовані хакери вербуються, і в майбутньому використовуються спецслужбами у своїх інтересах.
А деякі держави (наприклад, Російська Федерація) використовують завербованих хакерів для проведення кібератак і кібер-диверсій проти своїх геополітичних противників.
Скажімо, в організації кібератак проти Демократичної партії США і впливу на результати виборів 2016 року, для відключення декількох регіонів Івано-Франківської області від енергопостачання в грудні 2015 року на 6+ годин, для часткового паралічу до третини економіки України в результаті масового поширення шкідливого пО NotPetya, і для інших численних кібер-операцій проти України з явними ознаками кібер-кримінальних злочинів.
З попереднього аспекту випливає ще одне важливе завдання для кібер-контррозвідки: сприяння посиленню безпеки інформаційно-комунікаційної інфраструктури власної країни.
Тому що сенсом існування будь-якої контррозвідки і будь-якої спецслужби є недопущення реалізації негативних сценаріїв для своєї країни. Не кількість проведених розслідувань або кримінальних справ, а саме недопущення актуалізації ризиків.
Зазвичай допомога кібер-контррозвідки у посиленні кібербезпеки країни може полягати у своєчасному інформуванні керівників важливих об'єктів про підготовку атаки проти них, або про наявну критичну вразливість системи кібербезпеки об'єкта, якою можуть скористатися хакери-злочинці.
Також внесок у посилення кібербезпеки країни може бути у формі допомоги в розслідуванні кібератак проти такого об'єкта з метою виявлення організаторів і виконавців та їх подальшої локалізації.
Потужним засобом захисту держави у кіберпросторі також може бути організація системи обміну інформацією про інциденти кібербезпеки і виявлені вразливості між усіма об'єктами критичної інфраструктури країни.
Але це завдання, швидше, притаманне спеціалізованій громадській організації з високим ступенем довіри з боку як керівників об'єктів критичної інфраструктури, так і з боку місцевої кібер-спільноти та громадянського суспільства.
Українська кібер-контррозвідка в особі ДКІБ СБУ у 2018-2019 роках здійснила спробу створити таку систему, але зазнала цілком прогнозованої невдачі, зокрема, у результаті "кадрової чистки" і українській кібер-контррозвідці після зміни політичної влади.
Звичайно, перераховане — далеко не всі завдання кібер-контррозвідки.
Є безліч допоміжних і "супутніх". Наприклад, донесення до ворожих спецслужб свідомої дезінформації, організація інформаційних спецоперацій, навіть створення власних "кібер-військ" на випадок завдання кібер-контрудару у відповідь.
У не зовсім цивілізованих країнах на подібні структури покладають також завдання стеження за політичними опонентами, дисидентами, критиками чинної влади, журналістами-розслідувачами, перехоплення їх інтернет-комунікацій, виявлення каналів можливого фінансування, створення можливостей впливати на них через можливості мережі Інтернет та комунікаційних мереж, і тому подібне.
Звичайно, для демократичного суспільства з ефективним контролем за діяльністю спецслужб це неприпустимо.
Але це не про нашу цивілізовану прекрасну європейську країну, вірно?