Беларусь: киберпрорыв или российский плацдарм?

Авторитетный ресурс о кибербезопасности CyberScoop опубликовал материал под названием «Беларусь: киберпрорыв или российский плацдарм?». Авторы пишут о возможности беларусского участия в кибероперациях за рубежом и вероятности связи страны с деятельностью России в этой сфере.

Reform.by публикует перевод материала авторства управляющего консультанта Krebs Stamos Group и нерезидентного научного сотрудника Defense Priorities Гэвина Уайлда и сотрудника Atlantic Council’s Cyber Statecraft и научного сотрудника Tech, Law & Security Вашингтонского юридического колледжа Американского университета Джастина Шермана.

В связи с перспективой дальнейшей российской агрессии в Украине администрация Байдена обеспокоена российскими кибероперациями против США и их союзников. Однако пока Белый дом взаимодействует с Москвой и разрабатывает планы по борьбе с этими рисками, он должен следить за упускаемым из виду развитием событий в ближнем зарубежье России: растущей кибернетической интеграцией между Беларусью и Кремлем.

В ноябре 2021 года компания Mandiant опубликовала отчет, в котором с «высокой степенью достоверности» оценила, что кибергруппа UNC1151, которая помогала давно существующей кампании Ghostwriter в краже правительственных учетных данных и распространению дезинформации в Европе связана с беларусским правительством. В отчете также содержится оценка «умеренной уверенности«, что Беларусь «также, вероятно, по крайней мере частично ответственна за кампанию Ghostwriter».

Важно отметить, что авторы доклада добавили: «Мы не можем исключить российский вклад в UNC1151 или Ghostwriter».

В докладе поднимается вопрос о том, что Беларусь участвует в кибероперациях влияния за рубежом, и авторы прямо говорят, что руку Москвы исключать нельзя. Однако события, происходящие на этом фоне, дают основания скептически относиться к тому, что Минск способен на сложные кибероперации независимо от России. Кроме того, цели обеих стран в области безопасности и геополитики ставят под сомнение уместность какого-либо различия между продемонстрированными российскими кибероперациями и предполагаемыми беларусскими.

Беларусская APT?

В июле 2020 года компания Mandiant опубликовала отчет с подробным описанием кампании влияния, которая началась как минимум в марте 2017 года и была направлена на страны Восточной Европы с антинатовской и антиамериканской информацией. Mandiant окрестила ее Ghostwriter. Кампания была всеобъемлющей, с использованием взломанных веб-сайтов и поддельных учетных записей электронной почты для распространения фальшивых новостных статей, цитат, документов и другой информации, после чего подложные онлайн-персоны писали статьи со ссылками на эти материалы. Хотя отчет не приписывал Ghostwriter конкретному субъекту, он отметил соответствие кампании интересам российской безопасности.

В апреле 2021 года компания Mandiant опубликовала второй отчет о Ghostwriter, в котором отмечалось «расширение нарративов, таргетинга и [тактики, техники и процедур]» с июля 2020 года. Среди прочих событий в отчете упоминалось о взломе аккаунтов польских чиновников в социальных сетях для распространения дезинформации и с «высокой степенью уверенности» утверждалось, что UNC1151, «предполагаемый государственный субъект кибершпионажа«, был вовлечен по крайней мере в некоторые аспекты Ghostwriter. В докладе упоминается Беларусь — например, в связи с преследованием беларусского блогера и тем, что Беларусь является предметом некоторых дезинформационных нарративов, — но ничего не говорится о причастности Минска.

Хотя в недавнем докладе утверждается, что UNC1151 связана с беларусским правительством и, следовательно, что Беларусь причастна к Ghostwriter, интересы России и Беларуси в этой кампании сильно пересекаются. Антинатовская дезинформация и комбинированные кибер- и информационные операции вполне входят в компетенцию Москвы. Кроме того, в последнем отчете Mandiant говорится, что UNC1151 «не была нацелена на российские или беларусские государственные структуры. Она была направлена на межправительственные организации, работающие с бывшими советскими республиками, но не на их правительства«. В отчете не говорится, нацеливалась ли UNC1151 на негосударственные субъекты в России, что заставляет задуматься о том, направлялась ли она вообще на российские организации. У Минска, конечно, нет причин проводить антинатовские дезинформационные кампании в России, но это нацеливание на субъекты за пределами России близко отражает российский спектр продолжающихся киберопераций — от поддерживаемых государством до тех, которые атакуют иностранные цели и не подрывают цели Кремля.

Один примечательный намек на представителей UNC1151 можно найти на скриншотах, включенных в отчет Mandiant. Лингвистический намек на исторический колониализм Москвы по отношению к Беларуси, вероятно, также отражает ее руководящую руку в кампании Ghostwriter: кириллические «аллюзии на «Белоруссию» (термин царской эпохи, использовавшийся для обозначения «белой России» на просторах Российской империи) и «Беларусь» (термин, которым беларусы обычно называют себя, особенно после 1991 года).

Киберпотенциал с режимом или с народом?

До манипулирования режимом Лукашенко выборами в августе 2020 года и последующего подавления его политических оппонентов отношения между «последней диктатурой Европы» и Западом постепенно оттаивали. Эта динамика отразилась на беларусской экономике, в первую очередь на ее технологическом секторе. К середине 2010-х годов из этой «восточноевропейской Силиконовой долины» хлынуло более полумиллиарда долларов экспорта технологий, многие из которых предназначались для клиентов в Соединенных Штатах и Европейском союзе. По мере укрепления этих экономических связей и расширения возможностей для молодых, технически подкованных беларусов, избиратели увидели перспективы для проведения более масштабных реформ.

Однако, когда по всей стране начались массовые протесты против фальсификации результатов выборов, беларусские службы безопасности, многие сотрудники которых перешли на сторону оппозиции, столкнулись с трудностями в сдерживании беспорядков. Беларусский КГБ провел обыски в офисах Yandex и Uber в Минске, что свидетельствует об отчаянном стремлении ограничить технические возможности протестующих. По сообщениям из Москвы, Федеральная служба безопасности (ФСБ) России также протягивала руку помощи.

В течение следующего года бандитские службы безопасности режима Лукашенко постоянно терпели унижения от группы хактивистов, именуемых «Киберпартизанами». Группа, состоящая из разочарованных офицеров и диссидентов из технологического сектора, взламывала и искажала государственные сайты, похищала внутренние базы данных автомобилей и паспортов чиновников режима, а также сливала аудио- и видеозаписи неправомерных действий правительства. Эксплойты группы продолжались до 2021 года, что позволило провести расследование коррупции режима Лукашенко.

Хотя это не обязательно показательно, очевидный недостаток технического мастерства режима Лукашенко и степень зависимости от российских партнеров в борьбе с внутренними беспорядками с 2020 года кажутся несоответствующими степени изощренности кампании Ghostwriter.

Что твое, то мое, по умолчанию

Опираясь на наследие КГБ советского периода, режим Лукашенко сохранил большую часть технологической и бюрократической инфраструктуры (включая номенклатуру КГБ). Последующие соглашения, заключенные под эгидой СНГ, — в котором Россия пользуется преобладающим влиянием — в 2001 году определили приоритет совместной борьбы с компьютерными преступлениями и с тех пор только усилились, достигнув кульминации в недавнем увеличении сотрудничества в правоохранительной сфере. Степень совместимости между российскими и беларусскими службами безопасности, таким образом, все больше стирает любые значимые различия между ними. Сам Лукашенко отметил эту динамику прошлым летом, указав на «общность» их задач.

По инерции и по расчету это «общее» чувство долга распространяется и на сферу кибер- и цифрового наблюдения. Московская система законного перехвата телефонной связи (а позднее и интернет-трафика) — Система оперативно-розыскных мероприятий, или СОРМ, организованная Федеральной службой безопасности России, — была в значительной степени перенята и продублирована Беларусью, а также другими странами СНГ. На практике это означает, что «внутренний» потенциал Москвы в области технического наблюдения, скорее всего, полностью охватывает Беларусь. В отличие от американских и европейских аналогов, которые позволяют компаниям проверять обоснованность ордера на прослушивание, законы, связанные с СОРМ, в России и Беларуси обязывают поставщиков услуг устанавливать оборудование для прослушивания; соответствующие гарантии засекречены. Оснащение, обслуживание и содержание системы осуществляется одним и тем же набором российских подрядчиков, некоторые из них недавно были объединены в почти монопольную холдинговую компанию, управляемую связанным с Кремлем олигархом Алишером Усмановым. Оборудование СОРМ, тем временем, продается и устанавливается государствами по всему миру.

То, что растущий беларусский технологический сектор стал непосредственной мишенью режима Лукашенко во время протестов 2020 года, и то, что Москва продолжает одновременно добиваться индигенизации технологий, является зловещим сигналом для западных фирм, осуществляющих аутсорсинг операций в регионе (некоторые из которых, по сообщениям, приняли на себя основное бремя крупных российских киберопераций). На самом деле, не следует исключать возможность того, что российские спецслужбы похищают прибыльный исходный код, разработанный в Беларуси, задолго до того, как он попадет к конечным пользователям на Западе. Беларусь может быть не только плацдармом для проведения киберопераций против иностранных целей, но и ценным пунктом эксфильтрации иностранных технологий.

Заключение

Американские политики должны признать, что растущее сотрудничество и размытые различия между российскими и беларусскими спецслужбами будут определять ландшафт киберопераций. Российское правительство уже посылает оперативников разведки за границу для проведения киберопераций в другие страны и из других стран. Москва также создала подставные организации во многих других странах для проведения кибер- и информационных операций против иностранных целей. Этот доклад и другие события являются важным напоминанием о том, что борьба с российскими кибероперациями может все чаще означать борьбу и с беларусским участием.