Лаборатории Касперского и ФСБ потрошили айфоны вместе

Обычно Россия не спешит возлагать отвественность за атаки своей цифровой инфраструктуры на другие государства, но в начале июня ФСБ сделала ряд заявлений, свидетельствующих об изменении традиционных российских подходов, считает консультант ПИР-Центра Олег Шакиров.

«Лаборатория Касперского» 1 июня сообщила о целевой кибератаке: с помощью неизвестной ранее вредоносной программы злоумышленники пытались внедрить шпионские средства в айфоны топ-менеджмента и сотрудников компании. Однако широкий резонанс эта новость получила не столько из-за технической сложности атаки, сколько благодаря политическому контексту. В тот же день заявление о выявленной шпионской акции сделала и ФСБ, возложив вину на американские спецслужбы и корпорацию Apple.

Сведения о шпионской кампании попали в публичное пространство из нескольких источников, которые содержат разные подробности и не во всем сходятся. Поэтому для начала стоит разобраться в последовательности событий.

Хронология разоблачения

Первой об атаке сообщила ФСБ, которая вместе с ФСО вскрыла «разведывательную акцию американских спецслужб, проведенную с использованием мобильных устройств фирмы Apple (США)». В коротком пресс-релизе из пяти абзацев утверждается, что примененная атакующими вредоносная программа использовала предусмотренные производителем программные уязвимости. Из этого российские силовики делали вывод о тесном сотрудничестве Apple с американским разведсообществом, в частности, с Агентством национальной безопасности (АНБ). Согласно пресс-релизу, заражению подверглись тысячи айфонов — как российских абонентов, так и номеров, зарегистрированных на иностранные диппредставительства в России, в том числе стран НАТО, государств постсоветского пространства, Израиля, Сирии и Китая.

Пресс-релиз ФСБ не содержал технического описания атаки и индикаторов компрометации, то есть артефактов, по которым можно обнаружить вредоносную активность. Однако публичные заявления ФСБ о кибератаках почти всегда ограничиваются общим описанием.

Заявление ФСБ поддержало Министерство иностранных дел, добавив, что «свидетельства подобной противоправной деятельности [использования американскими спецслужбами частных компаний для слежки] появляются каждый год».

Только после политических заявлений госорганов вышло исследование «Лаборатории Касперского», описывающее процедуру заражения айфонов неизвестной вредоносной программой в рамках кампании, обозначенной как «Операция Триангуляция». Программа попадала на телефон через сообщение iMessage и запускалась самостоятельно, без участия пользователя, после чего связывалась с сервером управления и загружала дополнительные компоненты, что в итоге позволяло злоумышленникам собирать информацию о пользователе и системе и запускать на устройстве произвольный код.

Специалисты «Лаборатории Касперского» отмечали сложность отслеживания и изучения подозрительной активности. Однако они не делали заявлений о причастности к атаке США (компания, как правило, не делает атрибуцию атак к каким-либо государствам) или Apple. Напротив, исследователи отправили часть проанализированных вредоносных программ Apple через ее программу безопасности еще до выхода отчета и до уведомления национальных команд по реагированию на компьютерные инциденты.

Наконец, «Лаборатория Касперского» обнаружила атаки только на своих сотрудников, что также расходилось с данными ФСБ о тысячах зараженных телефонов. Впрочем, в компании не считают, что она была главной целью шпионажа, и надеются обнаружить других жертв.

Связал пресс-релиз ФСБ и исследование «Лаборатории Касперского» еще один документ — бюллетень подведомственного ФСБ Национального координационного центра по компьютерным инцидентам. В бюллетене пересказывались политические обвинения, а за техническими подробностями читателя отсылали к отчету об «Операции Триангуляции».

Кто виноват

В итоге многие ключевые моменты, прежде всего роль Apple и американских спецслужб, остались непроясненной.

Опыт взаимодействия Apple со спецслужбами США действительно неоднозначен. В 2013 году из разоблачений Эдварда Сноудена стало известно, что Apple была в числе компаний, участвовавших в программе АНБ PRISM по перехвату интернет-коммуникаций и их хранению. АНБ направляла компаниям запросы о конкретных аккаунтах или адресах, в ответ получала от них соответствующие данные, которые использовались для анализа. Несмотря на то, что программа осуществлялась в рамках закона о негласном наблюдении в целях внешней разведки (FISA), ее раскрытие повлекло скандал, а участвующие в ней компании вынуждены были оправдываться перед пользователями. Apple и сегодня продолжает отвечать на запросы по закону FISA и при необходимости предоставляет спецслужбам информацию из iCloud пользователей.

С другой стороны, Apple последовательно выступала против создания для спецслужб бэкдоров — технических возможностей получить несанкционированный доступ к данным. Эту же позицию она подтвердила и сейчас — в ответе на обвинения ФСБ. В 2014 году компания реализовала идею шифрования данных в мобильных устройствах по умолчанию, что затрудняло извлечение информации как правоохранительными органами, так и самой компанией. В 2016 году Apple отказалась выполнять требование ФБР помочь разблокировать iPhone одного из нападавших, устроивших массовый расстрел в Сан-Бернардино — в итоге взломать телефон ФБР помогла австралийская хакерская фирма.

В последние годы Apple столкнулась с угрозой взлома коммерческими шпионскими программами, такими как Pegasus от израильской фирмы NSO Group. В 2021 году компания подала иск к разработчику Pegasus за эксплуатацию ранее неизвестной уязвимости.

Могла ли Apple специально оставить для спецслужб США программные уязвимости? Для компании логичнее закрывать бреши, чем в качестве жеста доброй воли оставлять их открытыми для своих, рискуя, что слабыми местами воспользуются злоумышленники. Эту версию частично подтверждают комментарии под исследованием «Лаборатории Касперского», согласно которым одна из уязвимостей, вероятно, использованных в «Операции Триангуляция», уже известна и была закрыта в iOS 16.2.

Что касается американских спецслужб, то их возможная причастность к атаке выглядит гораздо более правдоподобной. АНБ, традиционно ответственное за радиотехническую разведку, активно занимается кибершпионажем. Кроме того, разведывательные операции в киберпространстве проводят ЦРУ и другие структуры. Из тех же разоблачений Сноудена стало известно, что АНБ сформировало несколько команд для поиска путей взлома популярных систем и устройств, включая iPhone и его операционную систему.

Учитывая возможности США, спецслужбам совсем не обязательно сговариваться с Apple. АНБ или другое ведомство способно самостоятельно обнаружить уязвимости в интересующих продуктах и разработать средства их эксплуатации или приобрести такую информацию у подрядчиков, а производителя держать в неведении. Наглядным примером этого была ситуация вокруг EternalBlue — средства для взлома уязвимости в Windows. АНБ сообщило о ней Microsoft только после того, как узнало о краже своего киберарсенала хакерской группировкой The Shadow Brokers.

И, конечно, Россия представляет очевидный интерес для американского разведсообщества. Более того, как стало известно из утечки секретных документов Пентагона, значительная часть разведданных о российских планах и действиях поступает в американские спецслужбы именно за счет перехвата коммуникаций, в том числе и цифровых.

Однако доказать причастность к кибератакам государственных хакеров довольно сложно. На это могут указывать такие признаки, как выбор целей, использование известных и связанных с той или иной спецслужбой средств или инфраструктуры, сведения о причастном персонале, языковые и другие артефакты. Но в пресс-релизе ФСБ таких аргументов не приводится и сделанным выводам предлагается верить на слово.

Впрочем, даже если бы доказательства были бы предъявлены, они не заставили бы американцев публично признать свою вину. Несмотря все большее распространение государственных киберопераций и слежки, правительства почти никогда не берут за них ответственность. США, например, признали свою причастность лишь к операции Glowing Symphony по взлому электронных ресурсов участников ИГИЛ (запрещенная в России террористическая организация). В остальных случаях американские чиновники в лучшем случае ограничивались общими словами или анонимными сливами в прессу.

Политика обвинений

При всех сделанных оговорках на сегодняшний день заявления ФСБ с отсылкой к исследованию «Лаборатории Касперского» являются, вероятно, наиболее конкретным российским обвинением в адрес США в ведении вредоносной деятельности в киберпространстве. Это особенно примечательно в связи с тем, что на международном уровне Россия многие годы придерживалась и продолжает отстаивать позицию, согласно которой установление виновников кибератак проблематично, если вообще возможно. А публичная атрибуция еще и опасна, поскольку может использоваться как предлог для враждебных действий против обвиняемого государства.

В мае российские дипломаты внесли в Генассамблею ООН концепцию конвенции об обеспечении международной информационной безопасности, в которой также зафиксировано критическое отношение к атрибуции. Так, к угрозам в документе отнесена «невозможность точной идентификации источника компьютерных атак». Кроме того, в нем подчеркивается недопустимость безосновательных обвинений государств в кибератаках и необходимость обоснования выдвигаемых обвинений.

Российская критика западной практики публичной атрибуции кибератак усилилась с 2016 года, когда на фоне президентских выборов в США и победы Дональда Трампа Вашингтон и его союзники все чаще стали выдвигать обвинения против спецслужб России. Впрочем, это не мешало и российским должностным лицам время от времени называть США основным источником киберугроз для нашей страны.

С 2022 года, когда из-за «спецоперации»* Россия столкнулась с лавиной кибератак со стороны проукраинских группировок и, вероятно, хакеров, работающих и на другие государства, количество обвинений в адрес Запада только возросло. Российские ведомства, включая МИД и ФСБ, неоднократно заявляли, что США и их союзники развязали против России киберагрессию и используют Украину в качестве плацдарма для проведения атак.

В этом контексте российские заявления об участии Apple в шпионаже стоит рассматривать как очередную веху, поскольку впервые обвинение касается отдельно взятой кампании, а не вредоносной деятельности в целом.

Такой шаг мог преследовать сразу несколько целей. Например, обеспечение эффективной защиты от киберугроз. Можно говорить на дипломатических форумах об атрибуции кибератак как о некой опасной практике. Но в повседневной жизни защищающейся стороне необходимо по максимуму владеть информацией об угрозах и их возможных источниках. Поэтому предупреждение о новом векторе атак — логичный шаг для организации, ответственной за информационную безопасность в масштабах страны. Однако вряд ли можно рассматривать эту цель в качестве основной — хотя бы потому, что в заявлениях госорганов не было необходимых для специалистов по кибербезопасности технических подробностей.

Очевидно, что заявление о сговоре американских спецслужб и Apple преследует и пропагандистскую цель — подкрепить репутацию США как источника киберугроз и подорвать доверие к американским компаниям. В этом плане российская политика созвучна с действиями Китая: в апреле Национальный центр реагирования на компьютерные вирусы и местная фирма по информационной безопасности Qihoo 360 опубликовали доклад под заглавием «Хакерская империя» с разоблачением операций ЦРУ в интернете. Китайские дипломаты уже используют выражение «хакерская империя», когда отвечают на очередные американские обвинения во взломах.

Наконец, еще одна возможная цель публичных заявлений ФСБ — добавить аргументов сторонникам импортозамещения вычислительной техники. Ввоз продукции Apple в Россию продолжается по параллельному импорту, что идет вразрез с общим курсом на использование отечественной продукции. Подчеркивая, что устройства американской фирмы якобы небезопасны, силовики фактически помогают усилить позиции местных производителей. Символично, что в один день с разоблачениями ФСБ стало известно о планах правительства закупить для госслужащих до 2 млн телефонов на российской операционной системе «Аврора».

Однако нужно иметь в виду, что отечественные продукты не панацея, так как и они могут содержать баги, открывающие возможность для атак и слежки. И если представить, что спецслужбы США найдут уязвимость в российском телефоне, то они смогут использовать ее с легким сердцем, не переживая по поводу необходимости уведомлять производителя и о том, что опасности могут подвергнуться американцы.