Остатки дипломатии: как Москва и Вашингтон борются с «русскими хакерами»

Вскоре после новогодних праздников ФСБ совместно со Следственным департаментом МВД задержала 14 человек, обвиняемых в причастности к группировке REvil. Операция проводилась после обращения правоохранительных органов США, передавших российским коллегам информацию о причастности группировки к атакам программ-шифровальщиков на зарубежные, в том числе и американские, компании. Согласно официальному сообщению, правоохранителям удалось установить полный состав группировки и ликвидировать ее.

Киберпреступники №1

REvil — известное с 2019 года семейство шифровальщиков, этим же названием нередко обозначают и причастных к их созданию и распространению русскоязычных хакеров. Создатели вредоносной программы использовали модель «шифровальщик как услуга», сдавая ее в аренду партнерам в обмен на долю полученных средств. У своих жертв злоумышленники требовали выкуп за расшифровку данных, а также шантажировали их украденной информацией.

Проблема шифровальщиков обострилась в последние несколько лет, когда вместо того, чтобы атаковать отдельных пользователей, хакеры-вымогатели переключились на крупные структуры: частные компании, медицинские и образовательные учреждения, госорганы, а размер выкупа вырос до десятков миллионов долларов. Этот тренд раньше всего проявился в США и Западной Европе, но не ограничился ими. В 2021 году, например, из-за атаки шифровальщика на несколько дней была нарушена работа порта в ЮАР, в Бразилии жертвами становились министерства финансов и здравоохранения, а в Таиланде — авиакомпания Bangkok Airways. Хотя в России давно не было громких случаев, есть оценки, что количество таких преступлений выросло в 2021 году более чем втрое. 

REvil получила известность после ряда громких атак: в 2020-м ее жертвой стала американская бутиковая юридическая фирма для знаменитостей Grubman Shire Meiselas & Sachs: хакеры слили часть документов, связанных с работой юристов на Леди Гагу, и угрожали опубликовать некую информацию о Дональде Трампе (хотя тот не был клиентом фирмы). В марте 2021 года атаке группировке подвергся производитель компьютерной техники Acer.

Но по-настоящему в центре внимания REvil оказалась летом 2021-го. 2 июня ФБР назвало группировку виновной в атаке на крупнейшего производителя мяса JBS. А месяц спустя злоумышленники потребовали выкуп у компании Kaseya, производителя программного обеспечения для удаленного администрирования, и сотен ее клиентов. К этому моменту на фоне угрозы, которую шифровальщики стали представлять для американской критической инфраструктуры, администрация Байдена сделала борьбу с ними приоритетом национальной безопасности, сопоставимым по значимости с контртеррористическими операциями.

Дипломатический канал

В своей первой реакции на операцию против REvil США приветствовали усилия России по борьбе с киберпреступниками, среди которых, по словам американцев, есть и человек, ответственный за атаку на оператора топливного трубопровода Colonial Pipeline (хотя за ним стояла другая группировка, DarkSide). Белый дом связал успех с дипломатией Джо Байдена и запуском российско-американского диалога по кибербезопасности.

Речь идет о двусторонней экспертной группе, которая была сформирована после саммита в Женеве в июне 2021 года. Ее создание само по себе стало достижением: до этого несколько лет контакты по теме информационной безопасности между Москвой и Вашингтоном почти не велись, не говоря уже о практическом сотрудничестве, которое развивалось вплоть до начала 2010-х. Для США основной темой в рамках консультаций была именно тема шифровальщиков, в то время как российская сторона выступала за более широкий диалог. Внимание к этом процессу поддерживалось и на высшем уровне: через неделю после атаки на Kaseya в июле Джо Байден во время разговора с Владимиром Путиным призвал Россию активнее бороться с группировками, действующими с ее территории и наносящими ущерб США и другим странам.

К началу осени Россия и США провели серию встреч в экспертном формате и договорились восстановить взаимодействие в рамках Договора о взаимной правовой помощи по уголовным делам 1999 года, включая предоставление материалов по конкретным хакерским группировкам, таким как REvil.

Обмен информацией был самой сложной проблемой. Российским властям не нравилось, что США публично, не используя рабочие каналы коммуникации, требуют наказать неких хакеров, о деятельности которых в Москве узнают из СМИ. В свою очередь, американское разведсообщество несколько недель обсуждало, какими данными можно поделиться с Россией. Сомнения были связаны с неудачным прошлым опытом сотрудничества с Россией в этой области. Кроме того, в апреле 2021 года при введении очередных санкций США обвинили ФСБ в сотрудничестве с киберпреступниками и пособничестве им. Тем не менее именно предоставление США информации об именах и деятельности хакеров, очевидно, сыграло ключевую роль проведении операции против Revil.

При этом Россия не единственный партнер США в борьбе с шифровальщиками. Администрация Байдена стремится собрать вокруг себя группу государств-единомышленников, которые разными средствами, от дипломатических до военных, противостояла бы этой угрозе. В октябре США провели виртуальную встречу 30 стран в рамках Инициативы по борьбе с шифровальщиками, куда не были приглашены ни Россия, ни Китай. Вскоре стало известно, что США совместно с группой стран провели собственную кибероперацию против REvil. В ноябре Европол собщил о задержании пяти подозреваемых в причастности к группировке. А в США обвинения в атаке на Kaseya предъявили гражданину Украины, находящемуся под стражей в Польше, и россиянину Евгению Полянину (был ли он среди арестованных сейчас участников REvil, неизвестно).

Политический контекст

Недоверие и политические разногласия между государствами явно играют на руку киберпреступникам. Слабое сотрудничество между правоохранительными органами позволяет группировкам уходить от ответственности. В этом смысле операция против REvil как первый осязаемый результат российско-американского диалога — шаг в верном направлении. Дальше можно было бы развивать сотрудничество, например, в борьбе с  отмыванием средств, украденных киберпреступниками. Россия заинтересована в совместных действиях против инфраструктуры, используемой для крупных DDoS-атак, с которыми в прошлом году столкнулись российские банки.

Однако оснований для оптимистических прогнозов мало. Продолжение диалога в рамках двусторонней группы, вероятно, потребует расширения повестки дня. Российская сторона сможет обоснованно заявить, что операция против REvil показывает готовность России реагировать на запросы США, а значит, встречные шаги нужны и от американцев. В Москве хотели бы, чтобы обсуждение кибербезопасности включало не только борьбу с шифровальщиками, но также и риски кибератак в военной сфере, возможность заключения соглашения о предотвращении киберинцидентов, угрозы критической инфраструктуре России. С американской стороны желания включить эти темы пока не было заметно, но, если диалог продолжится в одностороннем формате, он может быстро исчерпать себя.

Но главным препятствием могут стать проблемы с безопасностью уже не в киберпространстве, а в «офлайновом» мире. Отсутствие прогресса в переговорах России с США и НАТО и перспективы обострения конфликта на Украине выдавливают все остальные сюжеты на периферию. Если нынешний кризис не разрешится дипломатическим образом, то на сохранение сотрудничества в сфере борьбы с киберугрозами вряд ли стоит рассчитывать. Более того, конфронтация может обостриться и в этой среде: во время пресс-конференции Джо Байдена по итогам первого года своего президентства он заявил о возможном ответе с помощью киберсредств на действия России в киберпространстве против Украины.

Мнение редакции может не совпадать с точкой зрения авторов