Кибердиверсии как оружие спецслужб

#62
О Николае Гребенникове, собственно разработчике антивируса "Касперского", о "юристе" компании ЛК (офицере КГБ) Игоре Чекунове, о "орках" и о роли в этой схеме семьи Касперских. Сплетни и слухи от Медузы.
Read the story in English on BuzzFeed.
У «Лаборатории Касперского», крупнейшей российской компании, занимающейся кибербезопасностью, в последнее время большие проблемы на американском рынке. С осени 2017 года американским государственным учреждениям запретили пользоваться продуктами «Лаборатории» — в Америке ее подозревают в связях с российскими спецслужбами и в попытках получить доступ к засекреченным файлам. Спецкор «Медузы» Илья Жегулев выяснил, как борьба за власть и контроль внутри «Лаборатории Касперского» закончилась победой выходцев из силовых ведомств — и какими были последствия этой победы.

«Ну что, поздравляй меня!» — шутливо сказал Евгений Касперский, зайдя в кабинет к одному из топ-менеджеров своей компании. Как вспоминает собеседник «Медузы», проработавший в «Лаборатории Касперского» почти десять лет, он понимал, какой у начальника праздник: на календаре было 20 декабря (какого именно года, собеседник не помнит), и все в компании знали, что на этот день встреч с Касперским планировать не следует. День работника органов безопасности, который обычно называют просто Днем чекиста, Касперский ежегодно отмечает в кругу друзей из Федеральной службы безопасности — и даже командировки обычно планирует так, чтобы 20 декабря остаться в Москве, утверждает источник «Медузы».

В 2017 году праздник оказался испорчен Дональдом Трампом. За неделю до Дня чекиста президент США придал статус закона сентябрьскому решению министерства внутренней безопасности, которое запретило госучреждениям пользоваться продукцией «Лаборатории Касперского», мотивировав это тем, что разработанные ей программы могут быть использованы российскими спецслужбами для получения доступа к американским правительственным документам. Обвинения в сотрудничестве с российскими властями в неблаговидных целях нанесли серьезный ущерб компании Касперского, которая зарабатывает главным образом на западном рынке: в 2016 году на Северную Америку и Европу приходилось более 60% выручки «Лаборатории».

Несмотря на то что в собственном расследовании компании утверждается, что антивирус Касперского работал как заявлено — и никто не использовал его для похищения данных, «Лаборатория» признает, что у нее есть проблемы. «Наши продажи государственным органам США являются лишь малой долей всего бизнеса компании в Северной Америке. Однако по мере развития этой ситуации запрет [министерства внутренней безопасности] с большой вероятностью приведет к существенным потерям не только в государственном сегменте, но и среди частных пользователей», — говорит Андрей Булай, официальный представитель «Лаборатории Касперского». (Сам Евгений Касперский не захотел отвечать на вопросы «Медузы».)

Возможным связям «Лаборатории Касперского» с российским государством, равно как и обвинениям в том, что антивирус использовался для скачивания секретной информации, было посвящено множество публикаций (например, в Bloomberg, The New York Times, The Washington Post и других изданиях). По словам собеседника «Медузы», ранее работавшего в руководстве компании, проблемы у нее начались после того, как в первой половине 2010-х изменилась структура управления «Лаборатории». Прямое отношение к этим изменениям имели выходцы из спецслужб.

Похититель из ФСО
Выпускник Высшей школы КГБ Евгений Касперский начинал карьеру в 1991 году в небольшой фирме у своего бывшего преподавателя, а через шесть лет вместе с женой создал собственную компанию. Касперский занял в ней пост технического директора, отвечавшего за разработку антивирусов; гендиректор Наталья Касперская курировала коммерческую деятельность «Лаборатории». Распределение ролей не поменялось даже в 1998 году, когда супруги развелись: пост генерального директора Касперская занимала еще почти десять лет, уступив его бывшему мужу только в 2007-м. После этого в компании начали формироваться три управленческих клана, рассказывает собеседник «Медузы», в тот момент работавший одним из топ-менеджеров «Лаборатории».

«Клан технарей» возглавлял Николай Гребенников, технический директор компании и фактически главный разработчик антивируса. Вторая группа влияния состояла из финансистов западного толка, которые считали, что компании надо активнее вести себя на мировом рынке и выходить на IPO; в их числе были международные менеджеры «Лаборатории» Гарри Ченг и Стив Оренберг, занимавшиеся делами «Лаборатории Касперского» в Азии и Америке, и некоторые их российские коллеги. В третий клан входили люди, в прошлом связанные с российскими силовыми структурами, — в частности, бывший офицер КГБ Игорь Чекунов, отвечавший в компании за безопасность и юридические вопросы. (Евгений Касперский утверждает, что Чекунов никогда не работал в КГБ, а просто проходил срочную службу в погранвойсках, которые подчинялись Комитету госбезопасности СССР.)

Утром 19 апреля 2011 года сын Евгения и Натальи Касперских Иван вышел со станции метро «Строгино» и направился в офис компании InfoWatch, основанной его матерью, — четверокурсник дважды в неделю подрабатывал там программистом. В это время из зеленого автомобиля, стоявшего на обочине, выбрался человек и схватил Касперского; подбежавший откуда-то второй мужчина помог затолкать юношу в машину. На глаза ему надели маску. По пути похитители сменили автомобиль — и в итоге отвезли Ивана Касперского в загородный дом.


Иван Касперский и Наталья Касперская перед заседанием суда над обвиняемыми в похищении Касперского-младшего, 25 декабря 2012 года


Глеб Щелкунов / Коммерсантъ


Обвиняемые в похищении Ивана Касперского слушают вердикт суда, 6 марта 2013 года


Евгений Биятов / Sputnik / Scanpix / LETA


Евгений Касперский в это время находился в Лондоне. Ему позвонили неизвестные и сообщили, что его сын похищен, а также потребовали выкуп — три миллиона евро. Касперский немедленно позвонил Чекунову, который взял на себя координацию операции по спасению сына начальника. Уже через четыре дня Ивана Касперского (все это время его держали в наручниках в бане) приехал освобождать отряд спецназа.

Есть несколько версий того, кто и зачем похитил Ивана Касперского. Один из злоумышленников, Николай Савельев, в первых показаниях заявил, что он вместе со своим сыном и знакомыми решил украсть Ивана Касперского ради денег — перед этим они посмотрели по телевизору передачу про Евгения Касперского. Этой же версии придерживался суд, в марте 2013 года приговоривший четырех участников преступления к тюремным срокам от семи до 11 лет. Позднее Савельев изменил показания и заявил, что реальным организатором похищения был сотрудник ФСО Алексей Устимчук (в одной из публикаций утверждалось, что он однажды сфотографировался в кресле президента России). Устимчук, по словам дочери Савельева, накануне похищения изучал аналогичные преступления; о том, что его участие в преступлении не было адекватно расследовано, также говорил муж Натальи Касперской, владелец компании «Ашманов и партнеры» Игорь Ашманов.

Устимчука как военного судили отдельно в особом порядке; благодаря сделке со следствием он в августе 2012-го получил срок в четыре с половиной года и не был лишен ни звания, ни наград — а семья Касперских отозвала гражданский иск к Устимчуку на 120 миллионов рублей, получив от него извинения и 10 тысяч рублей компенсации за бумажник и телефон, которых Иван недосчитался после похищения.

По словам бывшего топ-менеджера «Лаборатории», знакомого с обоими Касперскими, Наталья подозревала в организации похищения Игоря Чекунова. В разговоре с «Медузой» Касперская не стала опровергать эту информацию, сообщив лишь, что «какие бы ни были у нас подозрения, их к делу не пришьешь».

Рождение «орков»
В ноябре 2011-го, через полгода после похищения, «Лаборатория Касперского» заключила с ФСО контракт на поставку своей продукции. По словам источника «Медузы», работавшего в руководстве компании, именно после похищения влияние клана силовиков в лаборатории резко возросло. «Касперский резко все понял, поменял курс, отменил IPO, вышиб американских инвесторов и большинство иностранных топов», — рассказывает он. Летом 2011 года Наталью Касперскую не переизбрали председателем совета директоров «Лаборатории», а в феврале 2012-го она продала остававшиеся у нее акции компании. Как сообщал Bloomberg, в 2012-м был заморожен процесс выхода компании на IPO, который должен был происходить в партнерстве с американским инвестиционным фондом General Atlantic; акции, уже купленные партнерами, выкупили обратно. Одновременно в компании ввели мораторий на наем иностранных топ-менеджеров (Евгений Касперский заявлял, что информация Bloomberg о моратории не соответствовала действительности).

В «силовой клан», рассказывает бывший топ-менеджер, кроме Чекунова входили исполнительный директор компании Андрей Тихонов и глава службы безопасности Алексей Кузяев — по словам собеседника «Медузы», работавшего в компании, первый дослужился в российской армии до звания подполковника военной разведки, а второй является бывшим офицером ФСБ. В «Лаборатории Касперского» отказались отвечать на вопросы о прошлом сотрудников, сообщив, что они «сами решают, какими персональными данными или деталями биографии они готовы делиться». В официальной биографии Тихонова указано, что он закончил службу в армии в звании подполковника; Кузяев в своем LinkedIn сообщает, что является выпускником академии ФСБ.

Кузяеву, как говорит собеседник «Медузы», подчинялся Руслан Стоянов — бывший офицер МВД, курировавший отдел расследования компьютерных инцидентов, специально созданный при «Лаборатории» для сотрудничества с силовиками. «Это был созданный внутри департамент, который обслуживал ФСБ и МВД, — рассказывает бывший высокопоставленный сотрудник компании. — Сами они себя называли „орки“, им очень нравилось это название». Представитель «Лаборатории» Андрей Булай, не упомянув фамилию Кузяева, сообщил, что отдел расследования киберинцидентов не подчиняется руководителю службы безопасности компании.

Сотрудничество со спецслужбами было настолько тесным, что «орки» из «Лаборатории» даже сопровождали группы захвата, когда те задерживали киберпреступников. «Прямо вместе с эфэсбэшниками выезжали на точку и не стеснялись этого, Стоянов выкладывал фотоотчет о том, как они захватывали группировку Lurk, — вспоминает собеседник „Медузы“. — Это беспрецедентно, конечно». (Участники Lurk обвиняются в краже около трех миллиардов рублей у банков и коммерческих организаций; «Медуза» подробно писала об этом деле.) Ведущий антивирусный эксперт «Лаборатории» Сергей Голованов подтвердил «Медузе», что специалисты компании выезжают на задержания вместе с оперативниками для технической поддержки — чтобы во время обыска не забыли или не сломали что-то важное.

Как сообщили в самой «Лаборатории Касперского», отдел расследования компьютерных инцидентов начал формироваться в 2012 году. Сервис, который предлагает этот департамент компании, «включает в себя оперативный анализ компьютерного инцидента, его расследование, а также экспертное сопровождение уголовного дела». По словам представителя компании Булая, создан он был «в связи с ростом числа киберкриминальных атак на крупные и средние бизнесы в мире и в России, а также с тем, что многие компании, ставшие жертвами кибератак, хотели бы не только восстановить работоспособность своих систем, но и добиться уголовного преследования преступников». Сотрудники отдела, рассказывает Булай, «обладают знаниями и опытом на стыке высоких технологий, компьютерной криминалистики и уголовного и уголовно-процессуального законодательства, что позволяет им осуществлять судебные экспертизы и принимать участие в следственных действиях в качестве технических специалистов».


Сотрудники «Лаборатории Касперского» в головном офисе компании в Москве, 29 июля 2013 года


Сергей Карпухин / Reuters / Scanpix / LETA


Глава «орков» Руслан Стоянов писал, что с 2013 года его департамент участвовал более чем в 330 расследованиях киберпреступлений. Про участие в следственных действиях компания не раз рассказывала в собственных новостях. По словам собеседника «Медузы», работавшего в тот момент в компании, «Лаборатория» сотрудничала с силовиками на некоммерческой основе, не получая за это ни копейки. Это подтвердила «Медузе» пресс-служба компании; говорил об этом и сам Стоянов.

Вертухайский стиль общения
По мере того как «клан силовиков» получал все больше влияния, он начинал все чаще конфликтовать с технарями. Технический директор лаборатории Николай Гребенников, возглавлявший «клан технарей», рассказывал Forbes: еще летом 2013 года на инновационном саммите в Праге Касперский публично представил его как своего преемника на посту главы компании — однако вскоре после этого между Гребенниковым и силовиками стали происходить столкновения прямо на общих совещаниях. По словам одного из участников этих совещаний, доходило даже до крика. Проблема, как он рассказывает «Медузе», заключалась в доступе к системе Kaspersky Security Network (KSN): до начала 2014 года Гребенников как технический директор не допускал до нее службу безопасности, а ей это не нравилось. «Мордобоя не было, но орали в голос», — утверждает собеседник.

С «Медузой» Гребенников общаться не захотел; в разговоре с Forbes он также упоминал, что «роль Чекунова сильно демонизирована». В «Лаборатории Касперского» сообщили, что не комментируют «неподтвержденные слухи, касающиеся личных или профессиональных отношений между действующими или бывшими сотрудниками компании».

Kaspersky Security Network была разработана как система, позволяющая вывести борьбу с вредным программным обеспечением на новый уровень: это «облачное решение для обеспечения безопасности», благодаря которому выявлять угрозы можно гораздо быстрее. По словам источника «Медузы», участвовавшего в выводе KSN на рынок, внутри компании ее называют «киберразведкой». Система позволяет администратору затребовать с компьютера пользователя файл, который может представлять угрозу: это позволяет, в частности, анализировать и обезвреживать новые вирусы еще до того, как происходит массовое заражение. При этом, по словам собеседника «Медузы», файл этот может быть любым (например, документ или таблица) — а система работает «не только в автоматическом режиме». Таким образом, утверждает источник, сотрудник лаборатории может скачать любой файл с компьютера, на котором стоит KSN, без ведома его владельца. «Это как классный кухонный нож, который можно использовать, чтобы идеально резать хлеб, — а кто-то другой может его же качественные характеристики использовать, чтобы людей резать», — объясняет собеседник.

Представитель компании Булай сказал «Медузе», что KSN «не имеет режима ручного доступа к компьютерам». «KSN является стандартной облачной технологией автоматического анализа киберугроз, которая позволяет значительно повысить уровень безопасности пользователей, — добавил он. — Похожие системы используются всеми ведущими разработчиками». Объясняя принципы работы KSN на собственном сайте в 2015 году, «Лаборатория» сообщала, что система «вообще не обрабатывает персональные данные пользователей». В более новом документе на ту же тему компания заявляет, что «в соответствии с новейшими законодательными нормами, принятыми в ряде стран, информация, обрабатываемая „Лабораторией Касперского“, может содержать данные, которые могут считаться персональными или идентифицируемыми», — и указывает, что «не атрибутирует эти данные конкретным людям».

Подключение к KSN формально является добровольным, однако, по словам бывшего топ-менеджера «Касперского», в большинстве случаев система по умолчанию включается при установке антивируса. «Медуза» протестировала актуальные версии продуктов «Лаборатории»: в них при установке антивируса пользователю предлагается согласиться на участие в KSN; по умолчанию соответствующая галочка уже проставлена.

Собеседник «Медузы» утверждает, что лично присутствовал при демонстрации продукта, в ходе которой аналитики компании показывали, как залезли в компьютеры Gamma Group — британской фирмы, выпускающей программное обеспечение для слежки за пользователями (например, под видом обновлений iTunes), — и скачали оттуда исходный код одной из таких программ. «Позже каким-то образом этот код оказался в паблике, что сильно навредило западной компании», — рассказывает источник.

В августе 2014 года неизвестные хакеры опубликовали код программы FinFisher, разработанной Gamma Group; в том, что с ее помощью велась слежка за гражданскими активистами, обвиняли, например, правительства Египта и Эфиопии. Представитель «Лаборатории» Андрей Булай сказал «Медузе», что Gamma Group никогда не была клиентом компании — хотя теоретически британцы могли купить программное обеспечение «Касперского». «Эксперты „Лаборатории Касперского“ участвовали в исследованиях так называемого легального вредоносного ПО, создаваемого Gamma Group и другими аналогичными компаниями, продукты компании защищают от него наших клиентов», — добавил Булай. По его словам, аналитики компании не имели доступа к компьютерам Gamma Group, и «Лаборатории» неизвестно, кто стоял за утечкой данных британской компании. В Gamma Group не ответили на вопросы, связанные с «Лабораторией Касперского».


Евгений Касперский на открытии математической школы в Подмосковье, 1 сентября 2017 года


Валерий Шарифулин / ТАСС / Scanpix / LETA


Евгений Касперский, по словам бывшего топ-менеджера «Лаборатории», в спорах технарей с силовиками не участвовал. «Во-первых, он боится этих ребят сам, — объясняет собеседник „Медузы“. — Они могли при всех на него рыкнуть: „Че, тебе есть что сказать?“ По-гопнически так. Вообще, стиль общения у них был даже не ментовско-эфэсбэшный, а скорее вертухайский». При этом, как сообщал Bloomberg в марте 2015 года, Касперский вместе с Чекуновым и другими сотрудниками регулярно ходили в баню, что тоже не нравилось технарям. Forbes указывал, что иностранные менеджеры компании жаловались Гребенникову, будто их хотят убрать из компании, потому что они «водку не пьют, в баню не ходят».

В феврале 2014 года, когда конфликт между разными командами «Касперского» был в самом разгаре, Гребенников вместе с иностранными топ-менеджерами подловили Евгения Касперского на конференции в доминиканской Пунта-Кане и представили свой план развития компании. Как вспоминал Гребенников в интервью Forbes, план этот в том числе предлагал и понижение влиятельного представителя «клана силовиков» Тихонова: из исполнительного директора он должен был перейти в советники. Выслушав топ-менеджеров, основатель компании вскоре сообщил коллегам, что намерен уволить Гребенникова. В конце апреля 2014-го он вызвал технического директора к себе в кабинет и сказал ему, что тот «предал компанию». «У революционеров два пути: либо трон, либо Сибирь. Вы идете в Сибирь!» — сказал, по словам Гребенникова, Касперский.

В результате к осени 2014 года были уволены шесть российских и иностранных топ-менеджеров — борьба силовиков с двумя другими кланами закончилась полной победой. «Чекунов с [тогдашним коммерческим директором „Лаборатории“ Гарри] Кондаковым избавились от этого квазипреемника [Гребенникова], ничего не понимающего в корпоративных интригах», — предполагал, комментируя публикацию Forbes об уходе Гребенникова на сайте Roem, муж Натальи Касперской Игорь Ашманов.

По словам бывшего топ-менеджера «Касперского», после разгрома «технарей» проблем с получением доступа к KSN у Чекунова и его группы уже не было.

«Касперский» против США
Совместные водные процедуры с людьми из ФСБ вскоре обернулись первой репутационной угрозой для «Лаборатории». В марте 2015 года Bloomberg опубликовал расследование «Компания, которая защищает ваш интернет, связана с российской разведкой»: в нем, в частности, упоминалось, что Касперский ходит в баню с сотрудниками спецслужб. Агентство указывало, что с 2012-го людей, связанных с государством, в компании стало больше — и что «Лаборатория» никогда не расследует российский кибершпионаж. Сам Касперский заявил, что когда он ходит с людьми в баню, для него они просто друзья. «Я хожу в сауну со своими коллегами. Не исключено, что одновременно то же здание посещают сотрудники российских спецслужб, но я их не знаю», — писал Касперский в своем блоге, критикуя публикацию Bloomberg.

Настоящие проблемы у «Лаборатории Касперского» начались через два года — в разгар обсуждения возможных попыток хакеров, якобы связанных с российским государством, вмешаться в ход выборов президента США. 11 мая 2017-го этот вопрос обсуждался на слушаниях в американском сенате; когда один из сенаторов спросил, доверяют ли руководители американских силовых ведомств компании Касперского, все шестеро ответили отрицательно. В июле тот же Bloomberg опубликовал новое расследование: на сей раз в нем фигурировала внутренняя переписка работников «Лаборатории», из которой следовало, что компания активно сотрудничает с ФСБ и разрабатывает программное обеспечение для борьбы с хакерами по заказу ведомства. Кроме прочего, в письмах упоминались некие «активные контрмеры» — под этими словами, как указывали журналисты, могла подразумеваться слежка за хакерами и выезд сотрудников «Лаборатории» на рейды вместе с силовиками. Куратором сотрудничества с ФСБ агентство называло того же Чекунова. (Евгений Касперский писал, что под «активным противодействием» подразумевается «техническая экспертиза, которая поможет национальным и международным киберполицейским органам выявить и нейтрализовать киберпреступников».)





Сенатор от Флориды Марко Рубио задает вопрос о продуктах «Лаборатории Касперского» на слушаниях по вмешательству России в выборы президента США, 5 ноября 2017 года


Larry Henry


В «Лаборатории Касперского» также заявили, что у них «нет и не было неэтичных связей», но американцы, для которых к тому времени любое упоминание о связи с Россией превратилось в приговор, уже не слушали. Американских сотрудников «Лаборатории» начали вызывать на допросы (кстати пришелся и тот факт, что компания платила за выступление на форуме по кибербезопасности опальному Майклу Флинну незадолго до того, как его назначили советником Трампа по национальной безопасности). В июле компанию исключили из списка авторизованных поставщиков для госзакупок; а в сентябре последовал и официальный запрет на использование антивируса американскими государственными учреждениями. В тексте, обосновывающем этот запрет, отдельно упоминалась KSN как технология, при использовании которой необходимо «согласиться на перемещение большого количества частных данных на серверы „Касперского“».

Впрочем, главное обвинение в адрес «Касперского» попало в публичный доступ осенью. 10 октября крупнейшие американские издания — The New York Times, The Washington Post, The Wall Street Journal — опубликовали материалы, в которых утверждалось, что сотрудники «Лаборатории Касперского» имели доступ к секретным файлам Агентства национальной безопасности США. Сведения об этом появились благодаря израильским спецслужбам, которые взломали «Лабораторию» еще в 2015 году (и рассказали об этом американцам). Израильтяне утверждали, что провели собственный эксперимент — и выяснили, что антивирус специально ищет файлы, похожие на секретные.

«Возможности системы это прекрасно позволяют, — уверен один из бывших топ-менеджеров „Лаборатории“. — Можно спокойно искать по ключевым словам все интересующие Москву файлы с определенными названиями».

Вскоре выяснилось, что утечка файлов АНБ произошла с домашнего компьютера одного из сотрудников агентства — на нем был установлен антивирус Касперского. «Лаборатория» ответила на публикации американской прессы заявлением, в котором признала, что KSN идентифицировала файлы на компьютере сотрудника как потенциально вредоносные — и действительно отправила их во внутреннюю сеть «Лаборатории». Евгений Касперский категорически отрицает, что его программы могли целенаправленно искать секретные файлы. Одновременно основатель «Лаборатории» утверждает, что обнаруженный системой архив содержал вредоносные файлы (например, эксплойты), связанные с хакерской группировкой Equation Group, — то есть, по сути, полученные компанией данные показывали, что АНБ связано с разработками кибероружия. По его словам, когда он узнал об обнаруженном грифе секретности, то немедленно приказал удалить скачанные системой файлы. Касперский не уточняет, сообщал ли он АНБ об этом инциденте.

«Ни юридический отдел компании, ни служба безопасности, ни отдел расследования компьютерных инцидентов не обладают доступом к Kaspersky Security Network», — уверяет представитель «Лаборатории» Булай. По его словам, такой доступ есть только у сотрудников департамента исследований и разработки, а полученную системой информацию компания использует «только в обезличенном виде и в виде данных общей статистики».

К тому моменту, как «Лабораторию Касперского» прямо обвинили в кибершпионаже в интересах ФСБ, один из ключевых сотрудников компании уже несколько месяцев сидел в российской тюрьме. Руководитель «орков», помогавших спецслужбам, Руслан Стоянов был арестован в январе 2017 года — вскоре после ареста Сергея Михайлова, одного из руководителей Центра информационной безопасности ФСБ, важнейшего среди российских силовиков специалиста по киберпреступности. Обоих обвиняют в госизмене; данные следствия засекречены. Однако в недавнем расследовании The Bell говорится, что Михайлов через Стоянова, с которым они много лет дружили, делился с зарубежными спецслужбами информацией о российских хакерах (некоторые из этих хакеров заявляли, что у них есть «крыша» в ФСБ). Источники The Bell утверждают: о том, кто стоял за взломом Демократической партии (в Америке предполагают, что атаки курировало Главное управление Минобороны РФ), в США узнали тоже от Михайлова и Стоянова.

По словам бывшего топ-менеджера «Лаборатории Касперского», Касперский часто ходил в баню именно вместе с Михайловым и Стояновым.


Руслан Стоянов, бывший глава отдела расследований компьютерных инцидентов «Лаборатории Касперского»


Страница Руслана Стоянова в Facebook


В «Лаборатории» заявляли, что арест Стоянова никак не связан с его работой на Касперского. Сам Стоянов в апреле 2017 года отправил из тюрьмы письмо российским властям, в котором предостерег их от того, чтобы давать хакерам «иммунитет от возмездия за кражу денег в других странах в обмен на разведданные». «Если государство вдруг решит прижать волну „патриотического“ хакерства, то сразу столкнется с огромным технологическим и кадровым превосходством новой российской киберпреступности. Например, на расследование инфраструктуры группы Lurk у нас ушло около двух лет, — писал бывший глава „орков“. — Только представьте, что такую группу консультировали бы госслужащие, а в „Лаборатории Касперского“ уже бы часть отдела экспертов посадили, а часть сделали бы неработоспособной. Это выглядит как полный кошмар». В августе 2017 года один из обвиняемых по делу Lurk заявил в суде, что под присмотром кураторов из ФСБ участвовал во взломе серверов Демократической партии США и переписки Хиллари Клинтон.

В декабре 2017 года «Лаборатория Касперского» подала на американское правительство в суд: в иске указано, что запрет, наложенный министерством внутренней безопасности, неконституционен, поскольку основан на сомнительных доказательствах и нарушает право компании на справедливое разбирательство.

19 января компания Касперского отчиталась о финансовых показателях за 2017 год: в заявлении говорится, что общая выручка «Лаборатории» увеличилась на 8%, в то время как объем продаж в Северной Америке снизился на те же 8%. При этом бывший топ-менеджер компании утверждает, что «сейчас в Америке „Касперский“ фактически закрыт, осталась одна маленькая команда в Бостоне». По его словам, у компании также есть офисы во Флориде и Сиэтле, но там работают по два-три сотрудника. От продаж антивируса отказались крупные американские торговые сети, например BestBuy. В декабре 2017 года компания официально объявила о закрытии офиса в Вашингтоне, заявив, что «его назначение исчерпано». Несколько лет назад именно с его открытия началась история партнерства «Лаборатории» с правительством США.


Илья Жегулев

При участии Дениса Дмитриева и Даниила Туровского
 
#63
Не Израилем единым. Для расследования ФБР предоставила доказательства голландская безопасность и разведка (@AIVD). Они проникли в российскую государственную группу киберпреступников Cozy Bear с лета 2014 года. Даже имели доступ к системе видеонаблюдения, разоблачающей вовлеченных хакеров.

Что еще смешно в российской ментальности - хакеры, которые ходят в офис, где рабочий день сидят под надзором чекистов.


гугло-перевод
AIVD предоставили важные доказательства вмешательства России в американские выборы. Например видео с российскими хакерами.

Агентов AIVD инфильтровали летом 2014 года в печально известную российскую hackgroup Cozy Bear. Они первыми видят, как российские хакеры выбирают цели в США в период выборов: Демократическая партия, Министерство иностранных дел и даже Белый дом. Это критические доказательства и основания для ФБР начать расследование.

Автор: Хейб Моддерколк 25 января 2018 года, 21:00

Когда в компьютерной сети университетского здания рядом с Красной площадью в Москве летом 2014 года поселяется голандский агент, он понятия не имеет о последствиях. Но через год он и его коллеги из Zoetermeer видят, как российские хакеры начинают атаковать Демократическую партию в Соединенных Штатах. Хакеры AIVD, похоже, не только вошли в здание; они находятся в компьютерной сети печально известной российской группы хакеров «Уютный медведь». И они могут видеть все, хотя русские их не видят.

Например, AIVD наблюдает, как российские хакеры бомбардируют партийное правительство Демократической партии, проникают в компьютерные системы и отправляют тысячи электронных писем и документов. Они предупреждают своих - не в раз - их американские коллеги обслуживают ЦРУ и НСА. Тем не менее, пройдут месяцы до того, как Вашингтон сможет увидеть реальную значимость этого предупреждения: русские смешались в американской избирательной битве с взломом. И хакеры AIVD видят, как все это происходит.
Важные доказательства для участия России

Голландский агент, согласно шести американским и голландским источникам с непосредственным знанием материала в Волкскранте и Ньювуоре при условии анонимности, дает важные доказательства участия России в хакерстве Демократической партии. Это также является основанием для того, чтобы ФБР начало расследование влияния этой российской интервенции на избирательную битву между кандидатом от Демократической партии Хиллари Клинтон и кандидатом от Республиканской партии Дональдом Трампом.

После выборов Трампа в мае 2017 года расследование ФБР было передано специальным прокурором Робертом Мюллером, а также сосредоточено на контактах между штабом президентской кампании Трампа и правительством России. Однако основной задачей остается расследование влияния России на выборы. Это попытка подорвать демократический процесс и акт, который обостряет отношения между двумя сверхдержавами с серией дипломатических ответных действий.

Три разведывательных агентства США с большой уверенностью говорят, что Кремль стоял за нападением на Демократическую партию. Эта уверенность, подтверждают источники, они вытекают из лет доступа хакеров AIVD к офисному пространству в центре Москвы. Доступ настолько особенный, что директора главных американских разведывательных служб слишком рады получить голландцев. Поскольку голландцы не только предоставляют технические доказательства нападения на Демократическую партию, они, похоже, знают гораздо больше.

Это «повезло», а это означает, что модуль взлома AIVD получит информацию в 2014 году, которую они могут использовать. Команда делает CNA, что означает Computer Network Attack. Этим хакерам разрешено выполнять наступательные операции: атаковать враждебные сети и проникать. Это относительно небольшая команда в более крупном цифровом бизнес-подразделении от 80 до 100 человек. Все кибер-операции связаны с этим. Одна часть фокусируется на прослушивании или запуске источников, например, в другой команде - Computer Network Defense. Это подразделение снова входит в состав Объединенного сибирского кибер-подразделения, совместного подразделения AIVD и MIVD с 300 человек.

Неизвестно, какую информацию знают хакеры о русских, но ясно, что в нем содержится ключ к определению местонахождения одной из самых известных групп хаков в мире, Cozy Bear, также называемой APT29. С 2010 года эта группа нападает на правительства, энергетические компании и телекоммуникационные компании. Компании и министерства также подвергаются нападению со стороны Cozy Bear в Нидерландах. Специалисты из лучших разведывательных служб, таких как англичане, израильтяне и американцы, охотились на них в течение многих лет, как и аналитики из крупнейших компаний кибербезопасности.
 

Progressor

Модератор
Команда форума
#64
Американцы выложили официальный отчет о многочисленных попытках проникновения российских хакеров на объекты критической инфраструктуры, в частности, энергетическую систему Америки (а также на авиационные, водные и критически важные сектора производства). По данным киберразведки Соединенных Штатов, злоумышленники из России регулярно совершают хакерские атаки на атомные электростанции.

«Теперь у нас есть доказательства того, что они [хакеры] сидят за машинами, которые подключены к системам энергетической инфраструктуры, что позволяет им в любой момент отключить их или совершить диверсию», — заявил руководитель направления кибербезопасности Symantec Эрик Чин. via

Газета Washington Post обвинила "российских хакеров" в последней кибератаке, которой подверглись электростанции США. Газета напомнила, что в декабре 2015 года российские хакеры провели атаку на энергетическую систему в Украине, оставив без электричества 225 000 человек.
 
#68
Любой ресурс, хоть каким-то краем выглядывающий в интернет, атакуется 24/7.
Кто эти падлы?
Посмотреть вложение 72350
Это реально какие-то боты.
Я когда-то делал эксперимент - ставил сервер с открытыми наружу ftp, telnet и ssh и запущенным fail2ban как сторож. Повторял эксперимент неоднократно. Так вот, рекорд был 40 минут. То есть через 40 минут после открытия портов по ssh началась попытка подбора пароля.
По телнету ломятся через 2 часа, по ftp - через 12 часов.
Даже по 80 порту примерно через пару месяцев начинают ломать. Это скриншот я делал лично с моего сервака
 
#69
Это реально какие-то боты.
Я когда-то делал эксперимент - ставил сервер с открытыми наружу ftp, telnet и ssh и запущенным fail2ban как сторож. Повторял эксперимент неоднократно. Так вот, рекорд был 40 минут. То есть через 40 минут после открытия портов по ssh началась попытка подбора пароля.
По телнету ломятся через 2 часа, по ftp - через 12 часов.
Даже по 80 порту примерно через пару месяцев начинают ломать. Это скриншот я делал лично с моего сервака
Сегодня взломщик моего RDP в отчаяньи представился как 噤扈龛耱疣蝾 (Jinhukanmo бородавки саламандра):giggle:
Потому что на ADMINISTRATOR, DIRECTOR, BOSS, SQL, SKLAD, 1C ему никто не открыл.
 
#70
Сегодня взломщик моего RDP в отчаяньи представился как 噤扈龛耱疣蝾 (Jinhukanmo бородавки саламандра):giggle:
Потому что на ADMINISTRATOR, DIRECTOR, BOSS, SQL, SKLAD, 1C ему никто не открыл.
Я где то видел в этихвашихинтернетах список наиболее часто повторяющихся логинов. Скорей всего его и подобный юзают
 
#71
Я где то видел в этихвашихинтернетах список наиболее часто повторяющихся логинов. Скорей всего его и подобный юзают
Это, похоже, пользователь, которого создаёт китайский (анти)вирус типа Tencent при заражении установке.
 
#72
Русская школота кибервоины на войне. Жены американских военных получали угрозы от российских хакеров, выдававших себя за террористов из ИГИЛ и изображавших "Киберхалифат".
Russians Posed as ISIS Hackers, Threatened US Military Wives


In this Monday, April 9, 2018, photo, Angela Ricketts poses with a screen shot of a message she received from a group claiming to be Islamic State supporters, in Bloomington, Ind. Russian spies masqueraded as Islamic State supporters to threaten vocal spouses of U.S. military personnel, including Ricketts, The Associated Press has found. (AP Photo/Michael Conroy)

The Associated Press 8 May 2018 By Raphael Satter

PARIS — Army wife Angela Ricketts was soaking in a bubble bath in her Colorado home, leafing through a memoir, when a message appeared on her iPhone from hackers threatening to slaughter her family.
"Dear Angela!" the Facebook message read. "Bloody Valentine's Day!"

"We know everything about you, your husband and your children," the message continued, claiming that the hackers operating under the flag of Islamic State militants had penetrated her computer and her phone. "We're much closer than you can even imagine."
Ricketts was one of five military wives who received death threats from the self-styled CyberCaliphate on the morning of Feb. 10, 2015. The warnings led to days of anguished media coverage of Islamic State militants' online reach.

Except it wasn't ISIS.

The Associated Press has found evidence that the women were targeted not by jihadists but by the same Russian hacking group that intervened in the American election and exposed the emails of Hillary Clinton's presidential campaign chairman, John Podesta.
The brazen false flag is a case study in the difficulty of assigning blame in a world where hackers routinely borrow one another's identities to throw investigators off track. The operation's attempt to hype the threat of radical Islam also presaged the inflammatory messages pushed by internet trolls during the U.S. presidential race.

Links between CyberCaliphate and the Russian hackers — typically nicknamed Fancy Bear or APT28 — have been documented previously. On both sides of the Atlantic, the consensus is that the two groups are closely related.
But that consensus never filtered through to the women involved, many of whom were convinced they had been targeted by Islamic State sympathizers right up until the AP contacted them.

"Never in a million years did I think that it was the Russians," said Ricketts, an author and advocate for veterans and military families. She called the revelation "mind blowing."

"It feels so hilarious and insidious at the same time."

'COMPLETELY NEW GROUND'
As Ricketts scrambled out of the tub to show the threat to her husband, nearly identical messages reached Lori Volkman, a deputy prosecutor based in Oregon who had won fame as a blogger after her husband deployed to the Middle East; Ashley Broadway-Mack, based in the Washington, D.C., area and head of an association for gay and lesbian military family members; and Amy Bushatz, an Alaska-based journalist who covers spouse and family issues for Military.com.

Liz Snell, the wife of a U.S. Marine, was at her husband's retirement ceremony in California when her phone rang. The Twitter account of her charity, Military Spouses of Strength, had been hacked. It was broadcasting public threats not only to herself and the other spouses, but also to their families and then-first lady Michelle Obama.

Snell flew home to Michigan from the ceremony, took her children and checked into a Comfort Inn for two nights.

"Any time somebody threatens your family, Mama Bear comes out," she said.

The women determined they had all received the same threats. They were also all quoted in a CNN piece about the hacking of a military Twitter feed by CyberCaliphate only a few weeks earlier. In it, they had struck a defiant tone and suspected that CyberCaliphate decided to single them out for retaliation.

"Fear is exactly what — at the time — we perceived ISIS wanted from military families," said Volkman, using another term for the Islamic State group.

Volkman was quoted in half a dozen media outlets; Bushatz wrote an article describing what happened; Ricketts, interviewed as part of a Fox News segment devoted to the menace of radical Islam, told TV host Greta Van Susteren that the nature of the threat was changing.

"Military families are prepared to deal with violence that's directed toward our soldiers," she said. "But having it directed toward us is just complete new ground."

'WE MIGHT BE SURPRISED'

A few weeks after the spouses were threatened, on April 9, 2015, the signal of French broadcaster TV5 Monde went dead.

The station's network of routers and switches had been knocked out and its internal messaging system disabled. Pasted across the station's website and Facebook page was the keffiyeh-clad logo of CyberCaliphate.

The cyberattack shocked France, coming on the heels of jihadist massacres at the satirical magazine Charlie Hebdo and a kosher supermarket that left 17 dead. French leaders decried what they saw as another blow to the country's media. Interior Minister Bernard Cazeneuve said evidence suggested the broadcaster was the victim of an act of terror.

But Guillaume Poupard, the chief of France's cybersecurity agency, pointedly declined to endorse the minister's comments when quizzed about them the day after the hack.

"We should be very prudent about the origin of the attack," he told French radio. "We might be surprised."

Government experts poring over the station's stricken servers eventually vindicated Poupard's caution, finding evidence they said pointed not to the Middle East but to Moscow.

Speaking to the AP last year, Poupard said the attack "resembles a lot what we call collectively APT28."

Russian officials in Washington and in Moscow did not respond to questions seeking comment. The Kremlin has repeatedly denied masterminding hacks against Western targets.

'THE MEDIA PLAYED RIGHT INTO IT'

Proof that the military wives were targeted by Russian hackers is laid out in a digital hit list provided to the AP by the cybersecurity company Secureworks last year. The AP has previously used the list of 4,700 Gmail addresses to outline the group's espionage campaign against journalists, defense contractors and U.S. officials. More recent AP research has found that Fancy Bear, which Secureworks dubs "Iron Twilight," was actively trying to break into the military wives' mailboxes around the time that CyberCaliphate struck.

Lee Foster, a manager with cybersecurity company FireEye, said the repeated overlap between Russian hackers and CyberCaliphate made it all but certain that the groups were linked.

"Just think of your basic probabilities," he said.

CyberCaliphate faded from view after the TV5 Monde hack, but the over-the-top threats issued by the gang of make-believe militants found an echo in the anti-Muslim sentiment whipped up by a St. Petersburg troll farm — an organization whose operations were laid bare by a U.S. special prosecutor's indictment earlier this year.

The trolls — Russian employees paid to seed American social media with disinformation — often hyped the threat of Islamic State militants to the United States. A few months before CyberCaliphate first won attention by hijacking various media organizations' Twitter accounts, for example, the trolls were spreading false rumors about an Islamic State attack in Louisiana and a counterfeit video appearing to show an American soldier firing into a Quran.

The AP has found no link between CyberCaliphate and the St. Petersburg trolls, but their aims appeared to be the same: keep tension at a boil and radical Islam in the headlines.

By that measure, CyberCaliphate's targeting of media outlets like TV5 Monde and the military spouses succeeded handily.
Ricketts, the author, said that by planting threats with some of the most vocal members of the military community, CyberCaliphate guaranteed maximum press coverage.

"Not only did we play right into their hands by freaking out, but the media played right into it," she said. "We reacted in a way that was probably exactly what they were hoping for."
___
Satter reported from Paris. Associated Press writers Michael Conroy in Bloomington, Indiana; Jeff Donn in Plymouth, Massachusetts; and Desmond Butler in Washington contributed to this report.
This article was written by Raphael Satter from The Associated Press and was legally licensed through the NewsCred publisher network. Please direct all licensing questions to legal@newscred.com.
 

melbu

Помножен на ноль
#73
Русская школота кибервоины на войне. Жены американских военных получали угрозы от российских хакеров, выдававших себя за террористов из ИГИЛ и изображавших "Киберхалифат".
Как минимум выглядит по скотски.
Думаю ответка нам обязательно прилетит( Но после ЧМ2018
 
#74
Кибервоины пилят свою malware BlackEnergy дальше, малоэффективная атака третьей версии в 2015 по объектам в Украине лишь заставила бойцов "научных рот" удвоить усилия.

VPNFilter

Talos Group - May 23, 2018

Intro

For several months, Talos has been working with public- and private-sector threat intelligence partners and law enforcement in researching an advanced, likey state-sponsored or state-affiliated actor’s widespread use of a sophisticated modular malware system we call “VPNFilter.” We have not completed our research, but recent events have convinced us that the correct way forward is to now share our findings so that affected parties can take the appropriate action to defend themselves. In particular, the code of this malware overlaps with versions of the BlackEnergy malware — which was responsible for multiple large-scale attacks that targeted devices in Ukraine. While this isn’t definitive by any means, we have also observed VPNFilter, a potentially destructive malware, actively infecting Ukrainian hosts at an alarming rate, utilizing a command and control (C2) infrastructure dedicated to that country. Weighing these factors together, we felt it was best to publish our findings so far prior to completing our research. Publishing early means that we don’t yet have all the answers — we may not even have all the questions — so this blog represents our findings as of today, and we will update our findings as we continue our investigation.

Both the scale and the capability of this operation are concerning. Working with our partners, we estimate the number of infected devices to be at least 500,000 in at least 54 countries. While the list may not be complete, the known devices affected by VPNFilter are Linksys, MikroTik, NETGEAR and TP-Link networking equipment in the small and home office (SOHO) space, as well at QNAP network-attached storage (NAS) devices. The behavior of this malware on networking equipment is particularly concerning, as components of the VPNFilter malware allows for theft of website credentials and monitoring of Modbus SCADA protocols. Lastly, the malware has a destructive capability that can render an infected device unusable, which can be triggered on individual victim machines or en masse, and has the potential of cutting off internet access for hundreds of thousands of victims worldwide.

The type of devices targeted by this actor are difficult to defend. They are frequently on the perimeter of the network, with no intrusion protection system (IPS) in place, and typically do not have an available host-based protection system such as an anti-virus (AV) package. We are unsure of the particular exploit used in any given case, but most devices targeted, particularly in older versions, have known public exploits or default credentials that make compromise relatively straightforward. All of this has contributed to the quiet growth of this threat since at least 2016.

This post provides the technical findings you would normally see in a Talos blog. In addition, we will detail some thoughts on the tradecraft behind this threat, using our findings and the background of our analysts, to discuss the possible thought process and decisions made by the actor. We will also discuss how to defend against this threat and how to handle a device that may be infected. Finally, we will share the IOCs that we have observed to this point, although we are confident there are more that we have not seen.

Read More here
 
#75
Подоспело объяснение, почему Cisco так откровенничало.

Exclusive: FBI Seizes Control of Russian Botnet
The FBI operation targets a piece of sophisticated malware linked to the same Russian hacking group that hit the Democratic National Committee in 2016.
Kevin Poulsen
05.23.18 6:25 PM ET

FBI agents armed with a court order have seized control of a key server in the Kremlin’s global botnet of 500,000 hacked routers, The Daily Beast has learned. The move positions the bureau to build a comprehensive list of victims of the attack, and short-circuits Moscow’s ability to reinfect its targets.
The FBI counter-operation goes after “VPN Filter,” a piece of sophisticated malware linked to the same Russian hacking group, known as Fancy Bear, that breached the Democratic National Committee and the Hillary Clinton campaign during the 2016 election. On Wednesday security researchers at Cisco and Symantec separately provided new details on the malware, which has turned up in 54 countries including the United States.
VPN Filter uses known vulnerabilities to infect home office routers made by Linksys, MikroTik, NETGEAR, and TP-Link. Once in place, the malware reports back to a command-and-control infrastructure that can install purpose-built plug-ins, according to the researchers. One plug-in lets the hackers eavesdrop on the victim’s Internet traffic to steal website credentials; another targets a protocol used in industrial control networks, such as those in the electric grid. A third lets the attacker cripple any or all of the infected devices at will.
The FBI has been investigating the botnet since at least August, according to court records, when agents in Pittsburgh interviewed a local resident whose home router had been infected with the Russian malware. “She voluntarily relinquished her router to the agents,” wrote FBI agent Michael McKeown, in an affidavit filed in federal court. “In addition, the victim allowed the FBI to utilize a network tap on her home network that allowed the FBI to observe the network traffic leaving the home router.”
That allowed the bureau to identify a key weakness in the malware. If a victim reboots an infected router, the malicious plugins all disappear, and only the core malware code survives. That code is programmed to connect over the Internet to a command-and-control infrastructure set up by the hackers. First it checks for particular images hosted on Photobucket.com that held hidden information in the metadata. If it can’t find those images—which have indeed been removed from Photobucket—it turns to an emergency backup control point at the hard-coded web address ToKnowAll[.]com.

“One plug-in lets the hackers eavesdrop on the victim’s Internet traffic; another targets a protocol used in the electric grid. A third lets the attacker cripple any or all of the infected devices at will.”

On Tuesday, FBI agents in Pittsburg asked federal Magistrate Judge Lisa Pupo Lenihan in Pittsburgh for an order directing the domain registration firm Verisign to hand the ToKnowAll[.]com address over to the FBI, in order to “further the investigation, disrupt the ongoing criminal activity involving the establishment and use of the botnet, and assist in the remediation efforts,” according to court records. Lenihan agreed, and on Wednesday the bureau took control of the domain.

The move effectively kills the malware’s ability to reactivate following a reboot, said Vikram Thakur, technical director at Symantec, who confirmed to the Daily Beast that the domain was taken over by law enforcement on Wednesday, but didn’t name the FBI. “The payload itself is non-persistent and will not survive if the router is restarted,” Thakur added. “That payload will vanish.”

In other words, average consumers have the ability to stop Russia’s latest cyber attack by rebooting their routers, which will now reach out to the FBI instead of Russian intelligence. According to the court filings, the FBI is collecting the Internet IP addresses of every compromised router that phones home to the address, so agents can use the information to clean up the global infection.
“One of the things they can do is keep track of who is currently infected and who is the victim now and pass that information to the local ISPs,” said Thakur. “Some of the ISPs have the ability to remotely restart the router. The others might even send out letters to the home users urging them to restart their devices.”

The court order only lets the FBI monitor metadata like the victim’s IP address, not content. As a technical matter, Thakur said there’s no danger of the malware sending the FBI a victim’s browser history or other sensitive data. “The threat capability is purely to ask for additional payloads,” he said. “There is no data that is leaked from these routers to the domain that is now controlled by an agency.”
Если кратко - зараженный маршрутизатор погружает код из жестко закодированного веб-адреса ToKnowAll [.] Com. ФБР взяло под свой контроль этот домен (и теперь держит в руках тестикулы всех владельцев зараженных маршрутизаторов).
 
#76
Чекисты занялись продвижением через ООН идеи идеи китайца Фан Биньсина о "суверенном DNS", т.е. о контроле над системой корневых серверов DNS.

В настоящий момент в России уже действует система вмешательства режима в работу DNS, и провайдеры без сопротивления ее исполняют, но эффективность такого контроля невысока, он обходится без труда.
Как стало известно “Ъ”, этой осенью Россия представит в ООН две новые инициативы в сфере кибербезопасности. Одна из резолюций будет содержать свод правил поведения государств в интернете, вторая призовет к кардинальному пересмотру сложившейся системы борьбы с киберпреступностью. Москва рассчитывает прежде всего на поддержку государств ОДКБ, ШОС и БРИКС, понимая: США и страны ЕС российские предложения, скорее всего, отклонят. Одновременно власти РФ намерены активизировать работу над созданием «альтернативного интернета», неподконтрольного их идеологическим соперникам.

«Киберкодекс» для государств

Россия готовится к дипломатическому наступлению в сфере международной информационной безопасности. На открывающейся в сентябре 73-й сессии Генеральной ассамблеи (ГА) ООН Москва, как стало известно “Ъ”, представит две новые резолюции. Первая будет озаглавлена так же, как документ, который российская делегация традиционно вносит на рассмотрение ГА все последние годы: «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности». Но по содержанию резолюция будет существенно отличаться от прежних версий.

Ранее вносимые Москвой резолюции содержали достаточно обтекаемые формулировки, а потому были приемлемы для большинства стран—членов ООН. За последний подобный документ в декабре 2016 года проголосовало 181 государство (одна страна воздержалась, против не выступил никто). Резолюция, в частности, призывала к совместной работе над выявлением существующих и потенциальных угроз в киберпространстве и стратегиями их отражения, не наносящими вред свободному потоку информации. Кроме того, в документе высказывалась поддержка созданной в 2004 году группе правительственных экспертов (ГПЭ) ООН, ответственных за выработку правил поведения государств в интернете. Как уже писал “Ъ”, в 2015 году ГПЭ удалось согласовать первую версию такого «киберкодекса». Эксперты, в частности, призвали государства не атаковать объекты критически важной инфраструктуры друг друга (АЭС, предприятия ТЭКа, системы управления транспортом, банки и т. д.), не вставлять «закладки» (вредоносные программы) в производимую ими IT-продукцию и перестать «огульно» обвинять друг друга в кибератаках, но прилагать усилия по борьбе с хакерами, осуществляющими диверсии с их территории или через нее.

Однако в июне 2017 года произошло событие, которое и заставило Москву пересмотреть свою позицию: участники группы разругались и разошлись, не назначив новой встречи. В новой резолюции Россия намерена призвать к возобновлению работы группы. Между тем в текст также решено внести альтернативный вариант «киберкодекса» для государств: его основой станет документ Шанхайской организации сотрудничества (ШОС) «Правила поведения в области обеспечения межнациональной информационной безопасности».


Как российские дипломаты, военные и предприниматели предложили бороться с киберугрозами

Эти правила помимо прочего предусматривают запрет на использование информационно-коммуникационных технологий (ИКТ) «для вмешательства во внутренние дела других государств и в целях подрыва их политической, экономической и социальной стабильности», предотвращение использования государствами «своей доминирующей позиции в сфере информационных технологий» и гарантии того, что «все государства должны играть одинаковую роль в международном управлении». В документе сказано, что «права, которые человек имеет в офлайновой среде, должны также защищаться и в онлайновой среде», но в то же время уточняется, что эти права могут быть ограничены «для уважения прав и репутации других лиц» и «для охраны госбезопасности, общественного порядка, здоровья или нравственности населения».

Когда страны ШОС впервые обнародовали этот свод в 2015 году (его распространили среди членов ООН, но как резолюцию не оформляли), большой поддержки он не получил. США и страны Евросоюза увидели в нем попытку усиления контроля государств над интернетом и ограничения свобод пользователей.

В Москве и сейчас не рассчитывают на консенсус, но надеются, что инициативу поддержат страны Организации договора о коллективной безопасности (ОДКБ), ШОС и БРИКС.

По данным “Ъ”, этот вопрос обсуждался рабочей группой экспертов БРИКС по вопросам обеспечения безопасности в сфере использования ИКТ, а также в ходе состоявшихся на прошлой неделе консультаций силовых структур БРИКС в южноафриканском Дурбане (делегацию РФ возглавлял секретарь Совбеза Николай Патрушев). И там, и там члены БРИКС высказали поддержку российской идее.

Вторая резолюция будет озаглавлена «Противодействие использованию информационно-коммуникационных технологий в криминальных целях». По словам источника “Ъ”, знакомого с подготовкой документа, власти РФ призовут к принятию на уровне ООН «актуальной с точки зрения современных угроз в информационной сфере» конвенции по борьбе с мировой киберпреступностью.

Проект такой конвенции у Москвы уже есть. О подготовленном МИД РФ при содействии ряда других профильных ведомств документе, озаглавленном «Конвенция ООН о сотрудничестве в сфере противодействия информационной преступности», “Ъ” первым сообщил в прошлом году (см. “Ъ” от 13 апреля 2017 года). По задумке Москвы этот документ должен прийти на смену Будапештской конвенции Совета Европы о компьютерных преступлениях 2001 года. На сегодняшний день эту конвенцию ратифицировали 53 страны и подписали еще четыре, включая все страны ЕС, а также США, Японию, Австралию и Израиль. Единственной страной—членом Совета Европы, не подписавшей конвенцию, стала Россия.

Москву не устраивает ст. 32 конвенции — о «трансграничном доступе к хранящимся компьютерным данным» — она позволяет различным спецслужбам без официального уведомления проводить операции в компьютерных сетях третьих стран.
Власти РФ считают, что предоставление иностранцам таких возможностей будет угрожать безопасности и суверенитету страны.

Подготовленный властями РФ альтернативный документ спецслужбам других стран таких привилегий не дает. В то же время в МИД РФ подчеркивают, что российская конвенция учитывает многочисленные происшедшие с 2001 года в сфере IT-преступлений изменения и приемлема для всех стран—членов ООН, а не только для западных. Документ направлен на борьбу с такими преступлениями, как неправомерный доступ к информации в электронной форме, неправомерный перехват и воздействие на информацию, нарушение функционирования ИКТ, создание, использование и распространение вредоносных программ, распространение спама, незаконный оборот устройств, хищение с использованием ИКТ, преступления, связанные с детской порнографией, сбор информации в электронной форме путем введения пользователя в заблуждение, преступления, связанные с охраняемой внутригосударственным правом информацией, нарушение авторских прав с использованием ИКТ.

В ОДКБ, ШОС и БРИКС и эту инициативу Москвы готовы поддержать, однако шансы на то, что резолюция, по сути призывающая к отказу от Будапештской конвенции, будет принята странами Запада, невелики.

Резолюции ГА ООН носят лишь рекомендательный характер и даже в случае широкой поддержки будут служить не более чем моральным ориентиром, в реальности никого ни к чему не обязывая. Власти РФ, впрочем, рассматривают и возможность реализации весьма практических мер, направленных на изменение текущей модели управления интернетом.

На то, что в текущей модели управления глобальной сетью слишком большую роль играют США, российские чиновники жалуются уже много лет. В марте о том, что «все средства управления интернетом находятся в руках Соединенных Штатов», в интервью американскому телеканалу NBC заявил и президент РФ Владимир Путин. И хоть, например, представители ICANN (Корпорации по управлению доменными именами и IP-адресами) не устают говорить, что о доминировании одной страны речь не идет (см. интервью главы ICANN Йорана Марби в “Ъ” от 14 июня), опасения властей РФ развеять не получается.

В ноябре 2017 года газета РБК со ссылкой на полученный редакцией протокол заседания Совбеза РФ сообщила: этот орган под руководством Николая Патрушева поручил Минкомсвязи и МИДу заняться созданием в странах БРИКС собственной системы корневых серверов DNS. То есть, по сути, альтернативного интернета. Идея тогда была раскритикована многими экспертами как ненужная и слишком дорогостоящая.


Глава ICANN Йоран Марби об управлении архитектурой интернета

Между тем, по данным информированных источников “Ъ”, работа над этой системой продолжается. При этом российские власти активно взаимодействуют с Китаем. В частности, Москву весьма заинтересовали идеи Фан Биньсина — ИТ-инженера и бывшего ректора Пекинского университета почты и телекоммуникаций, а ныне директора и главного инженера Центра управления компьютерной сети и управления информационной безопасности. Он известен как «отец китайского файервола» за его решающий вклад в создание системы тотальной интернет-цензуры в КНР. Господин Фан часто ездит по форумам дружественных Китаю стран и продвигает там концепцию «киберсуверенитета».

По его словам, этот тип суверенитета базируется на четырех постулатах: национальные государства должны иметь полный контроль над своим сегментом интернета; государство должно иметь возможность защищать свой интернет-сегмент от любых внешних атак; все государства должны иметь равные права на использование ресурсов интернета; другие страны не должны контролировать корневые DNS-директории, через которые осуществляется доступ на китайские сайты.

Основной постулат идей Фан Биньсина схож с озабоченностями Москвы: США управляют интернетом, и существует опасность, что страна может быть от интернета отключена, если ее отношения с Вашингтоном ухудшатся. На 10-м Международном IT-форуме, прошедшем 5–6 июня в Ханты-Мансийске, Фан Биньсин заявил, что альтернативой нынешней системе корневых DNS-директорий, делающей США незаменимым центром всех коммуникаций в интернете, является система «корневого интеррута».




Согласно этой концепции, существует возможность создать прямой обмен данными между несколькими странами, чтобы запрос пользователей к сайтам своей страны и стран, присоединившихся к соглашению, шел не через корневые DNS-серверы в США, а напрямую. Фан Биньсин предлагает создать такую систему на территории стран ШОС и БРИКС. Он подчеркивает, что такая система «не заменит, а станет полезным дополнением к системе корневых DNS-серверов».

На практике пока, впрочем, идеи Фан Биньсина привели к созданию Великого китайского файервола — системы «Золотой щит», которая на май 2018 года блокировала 8 тыс. сайтов, сочтенных в Китае «нежелательными». В основном туда входят порнография и сайты, через которые распространяется политически нежелательный для китайских властей контент: все крупные западные соцсети, YouTube, Twitter, Instagram и многие крупные западные СМИ. Последней жертвой «Золотого щита» стал американский телеканал HBO, ведущий одной из юмористических программ которого Джон Оливер рассказал, что в Китае популярно сравнение председателя КНР Си Цзиньпина с Винни-Пухом.

Высокопоставленный дипломатический источник “Ъ” в одной из стран БРИКС сказал, что его государство охотно поддержит две российские резолюции в ООН, но не видит смысла в российско-китайской инициативе по созданию «альтернативного интернета». «Государства должны придерживаться базовых правил ответственного поведения в сети, и бороться с киберпреступностью можно было бы гораздо более эффективно, чем это делается сейчас,— сказал собеседник “Ъ”.— Но создавать что-то новое и явно весьма дорогостоящее вместо того, что и так хорошо работает, мы не видим смысла».

Елена Черненко, Михаил Коростиков
 
#77
Пока в 2016 кибернетические войска двух отделов ФСБ были заняты (мочили один-одного), а бойцы СВР с компьютерами общались на "вы", за Родину в киберпространстве вместо чекистов пришлось биться вооруженным силам. В бой была брошена научная рота ГРУ ГШ ВС РФ. К сожалению туда традиционно просочились шпионы (уж не знаю, в этот раз израильские или датские), но список бойцов попал в руки американцев:
  1. Виктор Борисович Нетыкшо,
  2. Борис Алексеевич Антонов,
  3. Дмитрий Сергеевич Бадин,
  4. Иван Сергеевич Ермаков,
  5. Алексей Викторович Лукашев,
  6. Сергей Александрович Моргачев,
  7. Николай Юрьевич Козачек,
  8. Павел Вячеславович Ершов,
  9. Артем Андреевич Малышев,
  10. Александр Владимирович Осадчук,
  11. Алексей Александрович Потемкин,
  12. Анатолий Сергеевич Ковалев.
 
#78
В бой была брошена научная рота ГРУ ГШ ВС РФ.
В/ч 26165 уже всплывала (например с помощью Wikileaks изображала "утечки" на французских выборах), там квалификация воинов соответствующая, их уровень документы excel подделывать. А кто делал техническую часть малвари, все эти x-туннели и x-агенты? Здесь становится интереснее с в/ч 74455.



Впрочем ФСБ (которая "орки" Касперского) тоже не стоит списывать прежде времени.

Из забавного. В документе упоминается отмывание ворованных $100k через крипту. Воровать и отмывать бабло на той же инфраструктуре, где лепить x-туннели - это фантастическая наивность, граничащая с запредельной наглостью. То самое непобедимо-лоховатое русское начало, хорошо описанное Пелевиным.

Пока в паблик ушли только фрагменты. Они достаточные для суда, но деталей недостаточно, чтобы представить всю операцию целиком, так что запасаемся попкорном.
 
#79
Собираем информацию по бойцам.

в/ч 26165, руководство
  • Борис Антонов - майор, начальник отдела фишинга (мошенничества, направленного на получение конфиденциальных данных конкретных клиентов).
  • Сергей Моргачев - подполковник, начальник отдела по внедрению X-agent
персонал отдела фишинга
  • Иван Ермаков - старший лейтенант, ботовод, его боты Кейт С. Милтон, Джеймс МакМорганс, Карен У. Миллен и пр.
  • Алексей Лукашев - старший лейтенант, ботовод, его боты Ден Катенберг и Юлиана Мартынова.
  • Дмитрий Бадин - офицер.
персонал отдела X-agent
  • Николай Козачек - лейтенант, ведущий специалист по X-agent, участвовал в разработке, отладке и внедрении malware X-agent,.известные ники kozachek и blablabla1234565.
  • Павел Ершов - предположительно лейтенант, работает у Козачка по внедрению.
  • Артем Малышев - младший лейтенант,, работает у Козачка по внедрению, ники djangomagicdev, realblatr.
  • Виктор Нетыкшо - офицер, темная лошадка, единственный, ко пробивается по научной работе (зашитил диссертацию на тему "Восстановление параметров дискретных устройств, основанное на переоценке вероятностей с использованием действительных пороговых соотношений").
в/ч 74455, руководство
  • Александр Осадчук - полковник, командир части 74455.
Часть расположена по адресу улица Кирова, 22 в подмосковных Химках, в здании, которое сотрудники ГРУ называют «башня». Куратор DCLeaks.com и (возможно) WikiLeaks, ник куратора Guccifier 2.0.
  • Алексей Потемкин - руководящий офицер части 74455, в его сферу деятельности входил контроль компьютерной инфраструктуры, участвовавшей в кибероперациях. Инфраструктура, а также профили в соцсетях, которые вели сотрудники подразделения Потемкина, использовалась для публикации украденных документов.
персонал
  • Анатолий Ковалев - офицер, сотрудник части 74455.
Применяемые техники.

Спуфинг
С марта 2016 года Лукашев, Бадин, Антонов и Ермаков рассылали письма, в которых содержался вредоносных код, 300 людям, связанным с кампанией Клинтон и структурами Демократической партии. Так, 19 марта 2016 Алексей Лукашев отправил Джону Подесте, руководителю избирательного штаба Клинтон, электронное письмо.

Он зарегистрировался под ником john356gh на сервисе, который превращал длинные названия веб-ресурсов в короткие ссылки. Он использовал свой профиль на этом ресурсе в качестве маскировки для ссылки, содержавшейся в фишинг-письме. Нажав на нее, Подеста автоматически попадал на контролируемый ГРУ веб-сайт.

Лукашев составил письмо так, чтобы оно выглядело как извещение от отдела безопасности почтового сервиса (специалисты в области IT называют подобную технику "спуфинг"). Попросту говоря, Подеста получил сообщение о том, что ему нужно изменить пароль к своему почтовому ящику и ссылку, по которой нужно было пройти.

Руководитель избирательного штаба Клинтон именно так и поступил и, как следствие, Лукашев и Ермаков получили доступ к его электронной почте, в которой содержались более 50 тысяч писем.

Затем они стали рассылать подобные фишинг-письма и другим сотрудникам штаба, в том числе и Джейку Салливану, старшему советнику по международной политике кампании Клинтон. Все подобные электронные письма посланы с почтового сервиса Yahoo пользователем hi.mymail, находящимся в России. Его ящик был замаскирован под Google.

К концу марта были взломаны ящики сотрудников штаба Клинтон, чьи имена злоумышленники нашли в соцсетях. Переписка, найденная там, была впоследствии опубликована на сайте DCLeaks.com.

Лукашев и Ермаков также создали электронный ящик от имени сотрудника кампании - имя пользователя отличалось от настоящего на одну букву. С него они разослали письма 30 сотрудникам штаба Клинтон, включив в него файл Hillary-clinton-favorable-rating.xlsx - он также вел на контролируемый ГРУ сайт.

27 июля 2016 года они впервые попытались атаковать электронный ящик, используемый в личном офисе Клинтон, а также более 50 электронных ящиков других сотрудников ее штаба.
Malware
Одновременно со взломами почты старший лейтенант Ермаков запустил специальный интернет-протокол, который идентифицировал компьютеры, планшеты и смартфоны, подключенные к сети Национального демократического комитета, затем с помощью открытых источников выяснил имена сотрудников. Через несколько дней внутренняя сеть была взломана и разведчики, действуя по этой же схеме, взломали сеть Комитета по выборам в конгресс Демократической партии.

Затем сотрудники ГРУ установили на 10 компьютерах вирус X-agent, с помощью которого впоследствии украли документы, а также контролировали действия сотрудников комитетов, получив доступ к их профилям. Эти действия также позволили расширить доступ ГРУ к сетям демократов.

X-agent переправлял все полученные данные на арендованный ГРУ сервер, расположенный в Аризоне. За получение информации с него отвечали Козачек и Малышев. К этому моменту у них уже была личные данные сотрудников Комитета по выборам в конгресс Демократической партии и их банковские реквизиты, а также данные о финансовом состоянии самого Комитета. У Ершова и Ермакова также был доступ к компьютеру, расположенному в неназванной стране, который они использовали как прокси-сервер для связи с сервером в Аризоне и компьютерной системой Комитета по выборам в конгресс Демократической партии.

Для того, чтобы сжать огромный массив данных, полученный в обоих комитетах, российские военные использовали публично доступный сервис, а затем применили специально написанную ГРУ программу X-tunnel, которая позволила им передать информацию на арендованный разведкой компьютер в американском штате Иллинойс.

В мае 2016 года присутствие злоумышленников было обнаружено компанией, отвечавшей за компьютерную безопасность комитетов, и разведчики начали заметать следы. Несмотря на все усилия служб безопасности, ГРУ сумело сохранить своё присутствие в компьютерной сети демократов вплоть до октября 2016 года.
Сливы документов
Старший лейтенант Алексей Лукашов и его коллеги-разведчики зарегистрировали домен DCLeaks.com в апреле 2016 года, заплатив за него криптовалютой. В июне сайт начал работу. Впоследствии на нем были опубликованы украденные документы и демократов, и республиканцев (их разведчики получили в результате взлома еще в 2015 году).

Сайт функционировал до марта 2017 года, с его содержанием успели ознакомиться более миллиона человек. Сотрудники ГРУ, руководившие сайтом, называли себя группой американских хакеров-активистов. Они также успели открыть официальную страницу в "Фейсбуке" - она была зарегистрирована на вымышленного персонажа по имени Элис Донован. Джейсон Скотт и Ричард Джинджерли (тоже фальшивые аккаунты) стали администраторами ресурса.

Руководил операцией Алексей Потемкин. Он и его подельники, по данным следствия, также зарегистрировали пользователя @dcleaks_ в "Твиттере". Примечательно, что он, согласно документам следствия, писал посты и комментарии с компьютера, который использовался и для других хакерских атак ГРУ.

В июне 2016 года был создан вымышленный хакер-активист по имени Guccifier 2.0 - разведчики, создавшие его, для отвода глаз, настаивали на его румынском происхождении. Он стал получать отдельные заказы на информацию о конкретных конгрессменах.

В августе 2016-го Guccifier 2.0 переслал зарегистрированному лоббисту и онлайн-агентству политических новостей информацию об интересовавшем их политическом оппоненте (название компании и имя лоббиста в документах следствия не указывается). Они же получили информацию о более чем 2000 донорах Демократической партии.

В это же время сотрудники ГРУ Лукашев и Ермаков, используя Guccifier 2.0, связались с неназванным журналистом, предложив ему взглянуть на украденные документы. Он получил доступ к непубличной версии dcleaks.com.

15 августа и 9 сентября 2016 года Guccifier 2.0 связывался с человеком, регулярно контактировавшим с руководством штаба Трампа, и спрашивал, нашел ли он что-то полезное в уже обнародованных документах. Тот ответил, что находит их "крайне стандартными". Что это за человек, в расследовании не упоминается, но еще в марте прошлого года близкий советник Трампа Роджер Стоун признавался, что контактировал с Guccifier 2.0 и не нашел ничего интересного в материалах, на которые хакер дал ему ссылки.
 
Последнее редактирование:
#80
Доклад контрразведки США "Китай, Россия и Иран являются тремя самыми сильными и активными кибер игроками, вовлеченными в шпионаж и потенциальные кражи американской интеллектуальной собственности".

China, Russia, Iran Engaged in Aggressive Economic Cyber Spying
Counterintelligence report details foreign spies theft of advanced U.S. technology


Russian President Vladimir Putin and Chinese President Xi Jinping / Getty Images

BY: Bill Gertz
July 27, 2018 3:30 pm
Foreign spies from China, Russia, and Iran are conducting aggressive cyber operations to steal valuable U.S. technology and economic secrets, according to a U.S. counterintelligence report.
The report by the National Counterintelligence and Security Center, a DNI counterspy unit, concludes China is among the most aggressive states engaged in stealing U.S. proprietary information as part of a government-directed program.
Artificial intelligence and the internet of things are giving adversaries new tools for cyber spying, the report said.
Key technologies under cyber attack from foreign economic spies are related to the energy, biotechnology, defense, environmental protection, high-end manufacturing, and information and communications industries.
"China's cyberspace operations are part of a complex, multipronged technology development strategy that uses licit and illicit methods to achieve its goals," the report says.
"Chinese companies and individuals often acquire U.S. technology for commercial and scientific purposes," the report states. "At the same time, the Chinese government seeks to enhance its collection of U.S. technology by enlisting the support of a broad range of actors spread throughout its government and industrial base."
The report warned that the problem is continuing and urged greater efforts to counter Chinese cyber economic spying.
"We believe that China will continue to be a threat to U.S. proprietary technology and intellectual property through cyber-enabled means or other methods," the report said. "If this threat is not addressed, it could erode America's long-term competitive economic advantage."

Among the methods used for the Chinese economic espionage program are traditional spies attached to the Ministry of State Security and military intelligence offices as well as a wide range of non-traditional spies.
Those include some of the 350,000 Chinese students currently studying in the United States, along with Chinese engaged in business.
Beijing also uses joint ventures between Chinese and U.S. companies, research partnerships with laboratories and other research centers, the purchase of American companies, front companies, and the use of Chinese laws that seek to force American companies operating in China to provide trade secrets.
Chinese economic spying is continuing despite a promise by Chinese leader Xi Jinping in September 2015 not to engage in commercial spying. The level of cyber economic espionage, however, by China has been lower since the accord, the report said.
Security experts have identified Chinese economic espionage targeting of engineering, telecommunications, and aerospace companies.
Beijing cyber spies also hacked the popular CCleaner app that was used by China to target Google, Microsoft, Intel, and VMwar.
A Chinese hacker dubbed KeyBoy last year began conducting cyber spying operations against western corporations, and another group, TEMP.Periscope conducted cyber attacks on the maritime industry and research and academic organizations.
The security firm FireEye said "sharp increases" in Chinese cyber attacks were detected in early 2018.
"Most Chinese cyber operations against U.S. private industry that have been detected are focused on cleared defense contractors or IT and communications firms whose products and services support government and private sector networks worldwide," the report said.
The report concluded the economic spying poses a strategic threat to the United States advanced research and technology.
"China, Russia, and Iran stand out as three of the most capable and active cyber actors tied to economic espionage and the potential theft of U.S. trade secrets and proprietary information," says the 20-page report, noting that other states with closer U.S. ties also are using cyber espionage.
"Despite advances in cybersecurity, cyber espionage continues to offer threat actors a relatively low-cost, high-yield avenue of approach to a wide spectrum of intellectual property."
Russian economic espionage also threatens U.S. technology as Moscow seeks to bolster an economy hit hard by international sanctions and what the report said is "endemic corruption, state control, and a loss of talent departing for jobs abroad."
"An aggressive and capable collector of sensitive U.S. technologies, Russia uses cyberspace as one of many methods for obtaining the necessary know-how and technology to grow and modernize its economy," the report said.
Russia uses intelligence penetrations of public and private enterprises to obtain sensitive technical secrets. Commercial and academic exchanges also are used for spying, along with recruitment of Russian immigrants in the United States who have technical skills.
"Russian intelligence services have conducted sophisticated and large-scale hacking operations to collect sensitive U.S. business and technology information," the report said.
The report said the Department of Homeland Security in September 2017 ordered federal agencies to remove security software from Russia's Kaspersky Lab over concerns the software could be used by cyber espionage.
The Iranians are a growing cyber economic espionage threat, according to the report.
"The loss of sensitive information and technologies not only presents a significant threat to U.S. national security," the report said. "It also enables Tehran to develop advanced technologies to boost domestic economic growth, modernize its military forces, and increase its foreign sales."
Under a section on emerging threats, the report states that cyber spies are infiltrating software supply chain networks and using the compromised software for spying operations.
"Our goal in releasing this document is simple: to provide U.S. industry and the public with the latest unclassified information on foreign efforts to steal U.S. trade secrets through cyberspace," said the center director, William R. Evanina.
"Building an effective response to this tremendous challenge demands understanding economic espionage as a worldwide, multi-vector threat to the integrity of both the U.S. economy and global trade."
Перевод нескольких фраз
Китай является наиболее агрессивным государством, вовлеченным в кражу интеллектуальной собственности США, что является частью широкой правительственной программы властей Китая.

Кибер-операции Китая являются частью комплексной многопрофильной стратегии технологического развития, которая использует законные и незаконные методы.

Мы считаем, что Китай продолжит представлять угрозу запатентованным технологиям и американской интеллектуальной собственности с помощью кибер-инструментов и других средств. Если эта угроза не будет устранена, это может подорвать экономическое преимущество США в долгосрочной перспективе.

Китай использует как традиционные методы шпионажа, используя агентов связанных с Министерством обороны Китая и разведслужбами КНР, так и не традиционные, к которым относится, например, использование китайских студентов в США (которых сейчас 350 тысяч), а также бизнесменов и китайские корпорации, а также путем поглощения американских кампаний и исследовательских центров.

Российский шпионаж также представляет угрозу США, так как методами шпионажа Москва пытается укрепить свою экономику, пострадавшую от экономических санкций, а также от эндемической коррупции, государственного контроля и выезда высококвалифицированной рабочей силы за рубеж.

Россия является сильным и агрессивным сборщиком чувствительной технологической информации США и использует киберпространство как один из могих других методов сбора информации о ноу-хау и другой информации, необходимой для роста и модернизации российской экономики.

Россия использует разведывательные внедрения агентов в публичный и приватный сектор, чтобы похищать секретную информацию. Также используется коммерческий и научный обмен, а также вербовка российских иммигрантов в США, которые обладают необходимыми техническими навыками.

Российская разведка провела сложные и широкомасштабные кибер-операции для сбора конфиденциальной и технологической информации в США.

Департамент внутренней безопасности США в сентябре 2017 года приказал государственным органам удалить весь софт российской кампании Касперского из-за того, что программы Касперского использовались для шпионажа.

Также серьезной растущей угрозой является кибер-шпионаж Ирана, который интенсифицироовал усилия на этом поле и ворует информацию для перевооружения и модернизации своей экономики.

Создание эффективного ответа на этот грандиозный вызов требует осознания, что экономический шпионаж является всемирной, многовекторной угрозой целостности экономики США и мировой торговли в целом.