Cyberatak, który przejął iPhone’y w rosyjskiej firmie technologicznej, jest obwiniany przez hakerów rządu USA. Czy atak i odpowiedź rosyjskiego rządu mogą oznaczać przepisanie narracji o tym, kim są dobrzy i źli ludzie w cyberprzestrzeni?

Camaro Dragon, Fancy Bear, Static Kitten i Stardust Chollima – to nie są najnowsi superbohaterowie filmów Marvela, ale nazwy nadane niektórym grupom hakerskim, które budzą największy strach na świecie.

Przez lata te elitarne cyberzespoły były śledzone od włamania do włamania, kradnąc tajemnice i powodując zakłócenia rzekomo na rozkaz ich rządów.

Firmy zajmujące się cyberbezpieczeństwem stworzyły nawet ich karykatury.

Za pomocą kropek na mapie świata marketerzy tych firm regularnie ostrzegają klientów o tym, skąd pochodzą te „zaawansowane trwałe zagrożenia” (APT) – zwykle z Rosji, Chin, Korei Północnej i Iranu.

Ale części mapy pozostają wyraźnie puste.

Dlaczego więc tak rzadko słyszy się o zachodnich zespołach hakerskich i cyberatakach?

Duże włamanie w Rosji, odkryte na początku tego miesiąca, może dostarczyć pewnych wskazówek.

Ze swojego biurka z widokiem na Kanał Moskiewski pracownik cyberbezpieczeństwa obserwował, jak w firmowej sieci Wi-Fi zaczęły rejestrować się dziwne impulsy.

Dziesiątki telefonów komórkowych pracowników jednocześnie wysyłało informacje do dziwnych części internetu.

Ale to nie była zwykła firma.

Była to największa rosyjska firma cybernetyczna Kaspersky, badająca potencjalny atak na własnych pracowników.

„Oczywiście nasze myśli zwróciły się bezpośrednio do programów szpiegujących, ale na początku byliśmy dość sceptyczni” — mówi główny badacz ds. bezpieczeństwa Igor Kuzniecow.

„Wszyscy słyszeli o potężnych narzędziach cybernetycznych, które mogą zmienić telefony komórkowe w urządzenia szpiegowskie, ale pomyślałem o tym jako o rodzaju miejskiej legendy, która przydarza się komuś innemu, gdzie indziej”.

Po żmudnej analizie „kilkudziesięciu” zainfekowanych iPhone’ów Igor zdał sobie sprawę, że ich przeczucia były słuszne – faktycznie odkryli dużą, wyrafinowaną kampanię hakerską przeciwko ich własnemu personelowi.

Typ ataku, który wykryli, jest koszmarem dla cyberobrońców.

Hakerzy wymyślili sposób na zainfekowanie iPhone’ów po prostu wysyłając wiadomość iMessage, która automatycznie usuwa się po wstrzyknięciu złośliwego oprogramowania do urządzenia.

„Wham, jesteś zarażony – i nawet tego nie widzisz” – mówi Igor.

Cała zawartość telefonu ofiar była teraz wysyłana z powrotem do atakujących w regularnych odstępach czasu. Udostępniono wiadomości, e-maile i zdjęcia – nawet dostęp do kamer i mikrofonów.

Trzymając się wieloletniej zasady firmy Kaspersky, by nie wskazywać palcami, Igor mówi, że nie interesuje ich, skąd ten cyfrowy atak szpiegowski został przeprowadzony.

„Bajty nie mają narodowości – a za każdym razem, gdy obwinia się jakiś kraj za cyberatak, jest to zrobione z agendą” – mówi.

Ale rosyjski rząd jest tym mniej zaniepokojony.

W tym samym dniu, w którym Kaspersky ogłosił swoje odkrycie, rosyjskie służby bezpieczeństwa wydały pilny biuletyn informujący, że „odkryły operację rozpoznawczą amerykańskich służb wywiadowczych przeprowadzoną przy użyciu urządzeń mobilnych Apple”.

Rosyjskie służby cyberwywiadu nie wspomniały o Kaspersky, ale twierdziły, że zainfekowanych zostało „kilka tysięcy telefonów” należących zarówno do Rosjan, jak i zagranicznych dyplomatów.

Biuletyn oskarżył nawet Apple o aktywną pomoc w kampanii hakerskiej. Apple zaprzecza, że ​​było w to zamieszane.

Domniemany sprawca – Agencja Bezpieczeństwa Narodowego Stanów Zjednoczonych (NSA) – powiedział BBC News, że nie ma komentarza.

Igor twierdzi, że Kaspersky nie współpracował z rosyjskimi służbami bezpieczeństwa, a rządowy biuletyn ich zaskoczył.

Niektórzy w świecie cyberbezpieczeństwa będą tym zaskoczeni – wydaje się, że rosyjski rząd wydaje wspólne oświadczenie z Kaspersky, aby uzyskać maksymalny wpływ, rodzaj taktyki coraz częściej stosowanej przez kraje zachodnie do ujawniania kampanii hakerskich i głośnego wytykania palcami.

Po tym ogłoszeniu szybko i przewidywalnie nastąpił chór zgody sojuszników Ameryki w cyberprzestrzeni – Wielkiej Brytanii, Australii, Kanady i Nowej Zelandii – znanych jako Five Eyes.

Reakcją Chin było szybkie zaprzeczenie, mówiąc, że cała ta historia była częścią „zbiorowej kampanii dezinformacyjnej” z krajów Five Eyes.

Urzędnik chińskiego MSZ Mao Ning dodał regularną odpowiedź Chin: „Faktem jest, że Stany Zjednoczone są imperium hakerskim”.

Ale teraz, podobnie jak Rosja, Chiny wydają się przyjmować bardziej agresywne podejście do wzywania zachodnich hakerów.

Ostrzeżenie to pojawiło się wraz ze statystykami chińskiej firmy 360 Security Technology – odkryła ona „51 organizacji hakerskich atakujących Chiny”.

Firma nie odpowiedziała na prośby o komentarz.

We wrześniu ubiegłego roku Chiny oskarżyły również Stany Zjednoczone o włamanie się do finansowanego przez rząd uniwersytetu odpowiedzialnego za aeronautykę i programy badań kosmicznych.

„Chiny i Rosja powoli doszły do ​​wniosku, że zachodni model ujawniania informacji w cyberprzestrzeni jest niezwykle skuteczny i myślę, że obserwujemy zmianę” — mówi Steve Stone, szef Rubrik Zero Labs i były pracownik wywiadu cybernetycznego.

„Powiem też, że myślę, że to dobra rzecz. Nie mam problemu z tym, by inne kraje ujawniały, co robią kraje zachodnie. Myślę, że to fair play i myślę, że to właściwe”.

Wielu odrzuca chińskie zarzuty, że Stany Zjednoczone są imperium hakerskim jako hiperbolę – ale jest w tym trochę prawdy.

Według Międzynarodowego Instytutu Studiów Strategicznych (IISS) Stany Zjednoczone są jedyną potęgą cybernetyczną pierwszego poziomu na świecie, opartą na ataku, obronie i wpływaniu.

Główna badaczka rocznika, Julia Voo, również zauważyła zmianę.

„Szpiegostwo jest rutyną dla rządów, a teraz tak często przybiera formę cyberataków – ale toczy się bitwa narracji, a rządy pytają, kto zachowuje się odpowiedzialnie i nieodpowiedzialnie w cyberprzestrzeni” – mówi.

A sporządzenie listy grup hakerskich APT i udawanie, że nie ma zachodnich grup, nie jest prawdziwym przedstawieniem rzeczywistości, mówi.

„Czytanie tych samych raportów o atakach hakerskich tylko z jednej strony zwiększa ogólną ignorancję” – mówi pani Voo.

„Ogólna edukacja społeczeństwa jest ważna, ponieważ w zasadzie to w niej w przyszłości będzie rozgrywać się wiele napięć między państwami”.

„Nie jest to bardzo szczegółowe, ale bardziej niż w innych krajach” – mówi.

Ale brak przejrzystości może również wynikać z samych firm zajmujących się cyberbezpieczeństwem.

Pan Stone nazywa to „stronniczością danych” – zachodnie firmy zajmujące się cyberbezpieczeństwem nie dostrzegają zachodnich hacków, ponieważ nie mają klientów w konkurencyjnych krajach.

Ale może też zaistnieć świadoma decyzja, aby włożyć mniej wysiłku w niektóre dochodzenia.

„Nie wątpię, że prawdopodobnie istnieją firmy, które mogą uderzyć i ukryć to, co mogą wiedzieć o zachodnim ataku” – mówi Stone.

Ale nigdy nie był częścią zespołu, który celowo się powstrzymywał.

Lukratywne kontrakty z rządami, takimi jak Wielka Brytania czy Stany Zjednoczone, stanowią również główne źródło dochodów dla wielu firm zajmujących się cyberbezpieczeństwem.

Jak mówi jeden z badaczy cyberbezpieczeństwa z Bliskiego Wschodu: „Sektor wywiadu cyberbezpieczeństwa jest silnie reprezentowany przez zachodnich dostawców, a interesy i potrzeby ich klientów mają na nie duży wpływ”.

Ekspert, który poprosił o zachowanie anonimowości, jest jednym z kilkunastu ochotników regularnie współpracujących z APT Google Sheet – darmowym internetowym arkuszem kalkulacyjnym śledzącym wszystkie znane przypadki działań cyberprzestępców, niezależnie od ich pochodzenia.

Ma zakładkę dla APT „Nato”, z pseudonimami takimi jak Longhorn, Snowglobe i Gossip Girl, ale ekspert przyznaje, że jest ona dość pusta w porównaniu z zakładkami dla innych regionów i krajów.

Mówi, że innym powodem braku informacji o zachodnich cyberatakach może być to, że często są one bardziej ukryte i powodują mniej szkód ubocznych.

„Kraje zachodnie mają tendencję do przeprowadzania swoich operacji cybernetycznych w bardziej precyzyjny i strategiczny sposób, w przeciwieństwie do bardziej agresywnych i szeroko zakrojonych ataków związanych z narodami takimi jak Iran i Rosja” – mówi ekspert.

„W rezultacie zachodnie operacje cybernetyczne często generują mniej hałasu”.

Innym aspektem braku raportowania może być zaufanie.

Łatwo jest zlekceważyć rosyjskie lub chińskie zarzuty hakerskie, ponieważ często brakuje im dowodów.

Ale zachodnie rządy, kiedy głośno i regularnie wskazują palcem, rzadko, jeśli w ogóle, przedstawiają jakiekolwiek dowody.