Кибервойна

Страны БРИКС решили создать реестр контактных пунктов для обмена информацией о компьютерных атаках, сообщает МИД. В феврале о таком предложении со стороны России рассказала представительница НКЦКИ.

Напоминаю, что речь идёт о механизмах обмена информацией о киберугрозах, прежде всего технического характера. Как правило, такой обмена происходит между национальными командами реагирования на компьютерные инциденты (CERT'ами), в России за это направление отвечает НКЦКИ.

В прошлом году было решено создать глобальный реестр под эгидой ООН — там будут как технические, так и политические контактные центры (вероятно, за политику будут отвечать дипведомства).

Сети для обмена информацией по киберугрозам между государствами созданы на региональном уровне: в ОБСЕ, АСЕАН, Организации американских государств и пр. Участники ОДКБ взаимодействуют в рамках Консультационного координационного центра по вопросам реагирования на компьютерные инциденты.

У России есть двусторонние соглашения по информационной безопасности со всеми старыми участниками БРИКС, а также с Эфиопией. Вероятно, обмен какой-то информацией на двустороннем уровне уже ведётся.

Sandworm повысили до APT44

Mandiant выпустила большой отчёт (текст в PDF) про хакерскую группу Sandworm, которую связывают с российской военной разведкой (американские власти — на официальном уровне). Исследователи киберугроз отслеживают деятельность Sandworm уже на протяжении 10 лет, ей приписывают, в частности, атаки на украинскую энергосистему в 2015 и 2016 годах и глобальную атаку с помощью шифровальщика без возможности восстановления NotPetya в 2017 году (от которой пострадали в т.ч. многие российские организации).

В отчёте утверждается (стр. 7), что группа представляет риск распространения новых концепций и методов взлома, и якобы именно в связи с осознанием этого риска сама Россия проводит учения по защите от вредоносной деятельности, похожей на атаки Sandworm — здесь речь идёт о прошлогоднем разборе софта, вероятно разработанного для киберполигона Ростелеком-Солара.

Из-за того, что, по оценке Mandiant, Sandworm «представляет активную и устойчивую угрозу правительствам и операторам критической инфраструктуры по всему миру», компания решила присвоить ей наименование согласно своей традиционной таксономии — APT44.

Исследователи Mandiant также связывают (стр. 12) с Sandworm/APT44 деятельность трёх хактивистских группировок: XakNet, CyberArmyofRussia и Солнцепёк (последняя в декабре взяла ответственность за выведения из строя украинского мобильного оператора Киевстар). При этом не утверждается, что эти группы являются частью APT44, но у последней якобы есть возможность влиять на их деятельность, в т.ч. публиковать через них похищенные данные.

Главным инфоповодом для СМИ на основе отчёта стали как раз заявления хактивистов, а именно CyberArmyofRussia. В отчёте сообщается (стр. 13), что 17 и 18 января этого года CyberArmyofRussia взяла ответственность за манипулирование интерфейсами автоматизированных систем управления объектов водоснабжения в США и Польше, опубликовав в подтверждение соответствующие видео. А 2 марта в канале этой же группы было опубликовано ещё одно заявление о взломе гидроэлектрической станции во Франции.

Mandiant отмечает, что две недели спустя местные власти в США подтвердили кибератаку. В коротком сообщении от начала февраля со ссылкой на сити-менеджера города Мьюлшу, штат Техас, говорится, что 18 января «взлом был обнаружен после того, как один из жителей города обратился в полицию с необычной проблемой — переполненным баком для воды. [Сити-менеджер] Санчес сказал, что городские власти изучили ситуацию и обнаружили сбой в системе, который был относительно вне контроля городских властей. Это не вызвало никаких перебоев в обслуживании».

Про атаки на физические объекты написали CNN, Le Monde и Wired. Из статьи CNN можно узнать некоторые подробности инцидента в Техасе:

«Хакеры взломали систему удаленного входа в промышленную программу, позволяющую операторам взаимодействовать с резервуаром для воды, сообщил CNN сити-менеджер Рамон Санчес. Резервуар с водой переполнялся в течение 30-45 минут, прежде чем власти Мьюлшу отключили взломанное оборудование и перешли на ручное управление, сообщил Санчес в электронном письме. По словам Санчеса, власти Мьюлшу заменили взломанную систему и предприняли другие меры для защиты сети».

Le Monde утверждает, что в случае атаки на Францию злоумышленники преувеличили свой успех: они утверждали, что атаковали плотину, но журналисты узнали, что в действительности инцидент произошёл на водяной мельнице в небольшом городке.

Энди Гринберг, автор книги про Sandworm, замечает в этой связи, что атаки на физические объекты, скорее всего, дело рук не самой Sandworm, а слабо связанных с ней групп. Mandiant тоже подчёркивает, что пока не может самостоятельно подтвердить связи этих атак с Sandworm.

ZLONOV пишет в мини-обзоре на сервис поиска по утечкам от НКЦКИ: "никакие пароли УЛВДП вводить не предлагает".

Никакой ошибки нет. Изначально на сайте можно было искать и по паролям. Я проверял словарную классику: qwerty и password. Подтверждение видно на скриншоте. Но теперь этот вариант поиска действительно убрали.

Вспомнил, что уже почти как два года назад в России планировали создать отраслевой консорциум по информационной безопасности. Ждём?

https://t.me/cyberguerre/624

Находка для ценителей кибердипломатии и бюрократии. В 2022 году в Госдепартаменте создали Бюро по киберпространству и цифровой политике (Bureau of Cyberspace and Digital Policy). Некоторые детали о его работе можно узнать из прошлогоднего отчёта Счётной палаты США.

Бюро создавали несколько лет, и в итоге в него включили отделы из других подразделений Госдепартамента. Один из них называется отдел по Международной политике в области информации и коммуникаций (International Information and Communications Policy, ICP). До этого ICP входил в состав Бюро экономических и бизнес-вопросов.

Но чего я не знал, так это того, что изначально ICP было создано как бюро ещё в 1985 году! (Тогда аббревиатура была не ICP, а CIP.) Как бюро (для аналогии — департамент в МИД России) оно просуществовало до 1994 года, после чего было понижено до отдела в составе Бюро экономических и бизнес-вопросов. И вот в 2022 году ещё раз мигрировало.

Но по сути Бюро по киберпространству и цифровой политики — это и есть воссоздание изначального Бюро CIP/ICP, только в обновлённом качестве.

А появлению CIP/ICP предшествовало создание в 1981 году в Госдепартаменте должности координатора по международной политике в области информации и коммуникаций.

Короче говоря, кибердипломатия имеет долгую историю.

Не повышение осведомлённости, а wetware vulnerability management.

Завершено дело по кардерским магазинам

В Москве вынесен приговор шестерым фигурантам дела по кардерским магазинам. Как сообщает Коммерсантъ, реальные сроки получили двое человек, остальным назначили уже отбытый в СИЗО срок или исправительные работы.

«По материалам дела, подсудимым инкриминировалось «приобретение, хранение с целью сбыта, использование и сбыт электронных средств, которые содержат информацию при платеже, аналогичную платежной карте американских банков».

По данным правоохранителей, фигуранты предоставляли клиентам данные кредитных карт Visa и MasterCard ряда крупных американских банков, которые позволяли осуществлять покупки. По данным силовиков, услугами хакеров пользовались те граждане, в основном россияне, которые хотели скрыть от контролирующих и надзорных органов в своей стране приобретение дорогих предметов. При этом схема покупки была простой и не причиняла ущерба реальному владельцу карты: клиент хакеров перечислял на карту необходимую сумму и тут же приобретал на нее нужную покупку. При этом держатель карты какое-то время информации о проведенных с ее помощью операциях не получал.

Однако в конце концов владельцы карт узнали о махинациях с ними, и расследованием занялось ФБР. Там предположили, что хакеры действуют с территории РФ, и передали соответствующую информацию российским коллегам. После этого оперативники управления «К» МВД нашли сайт, где предполагалась услуга по приобретению данных банковских карт, вычислили злоумышленников, провели контрольную закупку и в начале 2022 года задержали подозреваемых. Их доставили в Москву, где по решению Басманного суда отправили под стражу».

Фигуранты дела были задержаны в феврале 2022 года. Тогда же сотрудники управления «К» МВД конфисковали (и задефейсили) четыре сайта кардерских магазинов (Trump’s Dumps, Ferum Shop, Sky-Fraud и UAS). Напрямую задержания с закрытием сайтов не связывались, но Брайан Кребс обратил внимание, что все домены конфискованных сайтов были зарегистрированы через компанию одного из фигурантов Артёма Зайцева ООО «Гет-Нэт» (Зайцев — один из двоих, получивших реальный срок).

В статье Коммерсанта самый ценный — последний абзац, начинающийся так: «Подсудимые в целом остались довольны приговором».

Но дело группы кардеров (которая в суде настаивала, что группой не является) — только часть истории. Некоторые из фигурантов дали показания на сотрудника пермского УФСБ Григория Царегородцева, который якобы покровительствовал их бизнесу.

Он был задержан в апреле прошлого года по обвинению в получении особо крупной взятки от кардеров (сначала указывалась сумма в 100 млн, теперь в 160), грубо говоря, для решения вопросиков с делом против них. Царегородцева судят в Пермском гарнизонном суде, где он настаивает, что всего лишь совершил мошенничество, и просит о снисходительном отношении: «Не ошибается тот, кто ничего не делает, прошу строго не наказывать».

И ещё одно дело, которое параллельно рассматривается в Перми, касается корпоративного спора за акции компании «Гет-Нэт».

«Осужденному к реальному сроку 9 апреля в Савеловском суде Москвы владельцу пермской компании «Гет-Нэт» Артему Зайцеву не удалось во второй инстанции выиграть суд с бывшей супругой своего подельника Александра Ковалева. Последний также получил реальный срок наказания».

За этим делом внимательно следят пермские СМИ. Если коротко, то помимо «хобби» в виде кардерских магазинов у осуждённых был успешный легальный бизнес («Как писал ранее «КоммерсантЪ-Прикамье», Ковалев и Зайцев владели одним из крупнейших хранилищ данных в Пермском крае»), и вокруг него развернулись баталии не без участия товарища Царегородцева.

Есть ощущение, что в истории много недосказанного, но и без того сюжет уже неплохо закручен.

Не самый умный трамвай

В Санкт-Петербурге произошла авария: трамвай сбил трёх пешеходов. Выяснилось, что это ретро-трамвай «Довлатов», запущенный в ноябре 2023 года и оснащённый «умной» системой Cognitive Pilot на основе искусственного интеллекта.

«Они включают систему контроля за состоянием водителя: трамвай должен остановиться, если водитель потеряет концентрацию или если на путях окажется человек или предмет».

Хотя в новостях сюжет разошёлся под заголовками типа «Умный трамвай въехал в толпу», похоже, что причина аварии более традиционна: у трамвая отказали тормоза. «Фонтанка» сообщает: «на этом этапе обкатки на трамвае не была включена "когнитива" — система, которая есть на всех новых вагонах ГЭТ».

То же самое говорит Ольга Ускова, гендиректор компании Cognitive Pilot.

Однако ИИ тут всё-таки причём, правда, не напрямую. Так, Ольга Ускова жалуется, что журналисты публикуют непроверенную информацию об «умном» трамвае. Но надо отметить, что на протяжении уже почти года и компания, и власти Петербурга торжественно рассказывали о том, сколько в городе трамваем с системой искусственного интеллекта. Если эти системы пока не работают, то именно на этом нужно было делать акцент в публичной коммуникации. Да, журналисты должны проверять информацию, но совершенно неудивительно, что они пишут про «Довлатов» как «умный» трамвай, если именно в таком качестве он и рекламировался.

Ещё один аспект — почему системы Cognitive Pilot не были включены. За этой темой внимательно следит «Фонтанка», в марте там был опубликован интересный материал о сложностях внедрения системы и сопротивлении водителей.

В статье говорится, что у водителей есть много претензий к «когнитиву»:

««ВКонтакте» есть группа, в которой работники ГЭТ [Горэлектротранса] и других транспортных предприятий обсуждают дела насущные. «Когнитиву» там посвящено несколько постов и множество комментариев — частично анонимных, частично авторизованных. В основном, негатив про фантомные срабатывания, резкое торможение, остановки далеко от платформы или светофора, реагирование на встречный вагон и т.п. Интонация — «не мешайте работать»».

Одна из проблем касается резкости торможения:

«Денис Минкин [гендиректор ГЭТ] сразу оговорился, что считает «человеческую» манеру вождения эталонной, но против статистики не попрешь: за год при торможении «человеком» упали 68 пассажиров, при торможении искусственным интеллектом — один».

Ещё одна проблема — торможение перед препятствием:

«Самая драматичная часть — торможение перед препятствием. Разработчик программного обеспечения Cognitive Pilot показывал, как «выглядят» для робота падающие на рельсы пешеходы, поворачивающая машина или собака на длинном поводке. И факт остается фактом — машина видит и узнает не всё и не всегда вовремя. Предприятие отслеживает все движения и сигналы системы, но посчитать, сколько раз система за год отвела от беды, сложно: слишком много сослагательного наклонения, и статистика «неслучившегося» — это вообще интересный формат

Зато есть случаи, которых почти наверняка не произошло при включенном роботе».

Но есть и много ложны срабатываний:

«Водители жаловались, что вагон оттормаживается из-за каждого перестроения соседних автомобилей на рельсы, считывает как препятствия столбы у дороги и другие объекты, на миг попадающие в створ движения, например, при повороте. Один из них рассказал, как его «тормознул» пролетевший полиэтиленовый пакет».

В статье можно узнать и про другие проблемы «умных» трамваев.

Всё это возвращает к первому пункту: если система пока только тестируется, то зачем пиарить её как рабочую?

Компания «Когнитив Роботикс» является подписантом Кодекса этики в сфере ИИ, один из принципов которого касается прозрачности информирования об уровне развития технологий ИИ, возможностях и рисках. Будем надеяться, что из сегодняшней аварии, даже если она произошла и не из-за ошибки «умной» системы, будут сделаны выводы и для развития и публичного освещения других систем искусственного интеллекта.

США ввели санкции против нескольких представителей Хамас, в том числе против Абу Убайды (другое имя Хузайфа Самир Абдулла аль-Калут), официального представителя «Бригад аль-Кассама». Утверждается, что он руководит подразделением по информационного влиянию в киберпространстве (буквально: cyber influence department) «Бригад аль-Кассама», а также был причастен закупал сервера и домены в Иране для хостинга официального сайта боевого крыла Хамаса. Также он угрожал убивать израильских заложников. Двое других лиц, попавших под санкции, связаны с операциями с помощью дронов и разведкой Хамаса.