Эскалация напряженности в секторе Газа в октябре 2023 г. ожидаемо повлекла за собой кратное увеличение нагрузки на цифровую инфраструктуру Израиля: по данным мониторинговых агентств, доля атак на израильские ресурсы с началом острой фазы конфликта выросла в среднем на 18%. Из них более половины пришлось на правительственные веб-сайты и веб-сайты служб безопасности.
При этом из всего многообразия киберкоманд, участвовавших в акциях против Израиля, наибольшее внимание привлекла группировка с условным обозначением «Storm-1133», чью деятельность связывают с ХАМАС (а также косвенно с Ираном). Проведенные ею акции вновь активизировали дебаты вокруг вопроса существования постоянно действующего «хакерского крыла» ХАМАС и уровня его реальных возможностей.
В этой связи представляется интересным проследить, как изменился подход ХАМАС к организации борьбы в цифровом пространстве, и какие меры может предпринять Израиль для купирования угрозы.
Деятельность по продвижению интересов ХАМАС в киберпространстве с течением времени стала более системной и ощутимой. Однако в масштабах палестино-израильского противостояния в целом основная «нагрузка» по ведению цифровой борьбы по-прежнему ложится преимущественно на хактивисткие команды, не имеющие прямой связи с ХАМАС, в то время как «кадровые» специалисты Движения в большей степени делают упор на проведение кампаний по кибершпионажу. Попытки же нарастить «ударную» составляющую (в первую очередь за счет акций «Toufan Al-Aqsa») пока носят эпизодический характер и не слишком меняют итоговую картину.
В то же время появление «Toufan Al-Aqsa» в качестве постоянного исполнителя киберакций против Израиля можно трактовать как попытку ХАМАС закончить формирование собственного «цифрового бренда» и полноценно использовать успехи «хакерского крыла» в пропаганде. Формирование «постоянной напряженности» в киберпространстве также может стать ответом ХАМАС на успехи ЦАХАЛ в секторе Газа: в этом случае уход «в цифру» будет трактоваться уже не как стратегическое поражение Движения, а как продолжение его борьбы в новом измерении.
Что касается Израиля, то для него текущий опыт противостояния полезен в первую очередь с точки зрения возможности совершенствования национальной системы цифровой защиты с учетом выявленных технических и законодательных аспектов. Однако без должной проработки вопроса дискуссионные моменты (такие как наличие труднопреодолимых правовых коллизий и пр.) могут углубить разногласия между ключевыми субъектами кибербезопасности, что негативно скажется на устойчивости израильской системы цифровой обороны.
Эскалация напряженности в секторе Газа в октябре 2023 г. ожидаемо повлекла за собой кратное увеличение нагрузки на цифровую инфраструктуру Израиля: по данным мониторинговых агентств, доля атак на израильские ресурсы с началом острой фазы конфликта выросла в среднем на 18%. Из них более половины пришлось на правительственные веб-сайты и веб-сайты служб безопасности.
При этом из всего многообразия киберкоманд, участвовавших в акциях против Израиля, наибольшее внимание привлекла группировка с условным обозначением «Storm-1133», чью деятельность связывают с ХАМАС (а также косвенно с Ираном). Проведенные ею акции вновь активизировали дебаты вокруг вопроса существования постоянно действующего «хакерского крыла» ХАМАС и уровня его реальных возможностей.
В этой связи представляется интересным проследить, как изменился подход ХАМАС к организации борьбы в цифровом пространстве, и какие меры может предпринять Израиль для купирования угрозы.
«Хакерское крыло» ХАМАС: скрываемая угроза
Противостояние палестинцев и израильтян в киберпространстве имеет долгую историю: первые подтвержденные акции относятся к периоду «второй интифады» (2000–2005 гг.) и включают в себя преимущественно «дефейсы» (взломы веб-страниц с целью замещения информации или публикации провокационного контента).
При этом сами представители ХАМАС склонны вести отсчет цифровой деятельности с 2014 г., когда в составе «военного крыла» Движения («Бригады Изз ад-Дин аль-Кассам») якобы было создано специализированное подразделение цифровых операций и разведки [1]. Следует отметить, что о деятельности «хакерского крыла» широкой общественности стало известно лишь в октябре 2022 г., спустя несколько месяцев после гибели его основателя, Джумаа аль-Тахла. В опубликованном на ресурсах «Бригад Изз ад-Дин аль-Кассам» некрологе среди прочего сообщалось, что группировка под его началом провела несколько десятков киберопераций в секторе Газа и за его пределами, нанеся «болезненные удары по врагу, его безопасности и военной системе».
Тем не менее как израильские, так и зарубежные эксперты сочли информацию о «хакерском крыле» ХАМАС пропагандистским ходом, а перечисленные Движением успехи в киберпространстве преувеличенными. Подобная позиция перекликается с публичной позицией израильских органов государственной власти, которые традиционно рассматривают угрозу со стороны хакеров ХАМАС как «децентрализованную» и «плохо координируемую», а также «зависящую от внешнего участия».
Оценивая возможности ХАМАС по созданию постоянно действующих цифровых структур, специалисты, как правило, указывают на наличие большого количества сдерживающих факторов, в числе которых хроническая нехватка электроэнергии, нестабильное покрытие Интернета (усугубленное комплексным контролем Израиля над телекоммуникационными частотами), дефицит комплектующих для создания компьютерной инфраструктуры в целом. В пользу пессимистичной позиции говорит и тот факт, что в период с 2014 по 2022 г. (т.е. за 8 лет существования структуры) представители Движения практически не использовали «киберкарту» в своей пропаганде, что несколько выбивается из общего подхода ХАМАС к освещению собственных успехов и возможностей. С другой стороны, «эфирное молчание» пропагандистских структур можно считать частью «игры на понижение», конечная цель которой — создать у противника ложную убежденность в отсутствии явной угрозы и тем самым усыпить его бдительность. Тем более, что в разное время «в связке» с ХАМАС действовали арабоязычные хакерские команды (Molerats, APT-C-23 и др.), чьи возможности в целом совпадали с декларируемыми Движением.
Специалисты в области кибербезопасности также признают, что за время гипотетического существования киберподразделения ХАМАС удалось провести ряд успешных операций в цифровом пространстве, включая кампании кибершпионажа. К числу таковых относятся операция «Мираж» («Sarab», 2016–2018 гг.), в результате которой были вскрыты некоторые каналы израильских спецслужб по вербовке агентов на территории анклава, а также кампании кибершпионажа «Золотой кубок» («Golden Cup», 2018 г.), по итогам которой оказались скомпрометированы сотни мобильных устройств, принадлежащие солдатам и офицерам ЦАХАЛ, и «Бородатая Барби» («Bearded Barbie», 2022 г.), направленная против израильских госслужащих.
Более того, отдельные киберакции палестинцев повлекли за собой комплексную реакцию в виде «ударов возмездия». Среди них авиаудар по одному из объектов ХАМАС в секторе Газа, который, по сообщениям ЦАХАЛ, использовался членами «киберкрыла» (2019 г.). Это стало одним из первых случаев применения реальной силы в ответ на кибератаку и косвенно свидетельствовало о расхождении между декларируемой и фактической позициями израильских силовых ведомств относительно уровня цифровой угрозы со стороны ХАМАС.
И грянул «Шторм»?
Очередной виток палестино-израильского кризиса, пришедшийся на октябрь 2023 г., ожидаемо спровоцировал всплеск активности в киберпространстве. В его контексте любое проявление признаков системной деятельности киберподразделений, аффилированных с ХАМАС, вызывает повышенный интерес академического и профессионального сообщества. Так, особое внимание специалисты обращают на группировку с условным обозначением «Storm-1133», чья активность, по данным Microsoft, прослеживалась с начала 2023 г. и была нацелена на израильский энергетический и телекоммуникационный сектор.
Кроме того, хакеры «Storm-1133» использовали технологии социальной инженерии: выдавали себя за разработчиков ПО и менеджеров цифровых проектов, используя для легализации поддельные профили LinkedIn с целью проведения разведки, установления контактов и отправки вредоносного ПО сотрудникам израильских оборонных, космических и технологических организаций.
С началом операции в секторе Газа деятельность «Storm-1133» не слишком выделялась на фоне акций других кибергруппировок, занявших пропалестинскую позицию, однако все же сыграла свою роль: боевики ХАМАС использовали информацию, добытую хакерами «Storm-1133», при разработке плана операции «Потоп Аль-Акса». Кроме того, данные хакеры в числе немногих атаковали цифровую инфраструктуру ФАТХ, нанеся урон нескольким ее информационным ресурсам. Данная акция, вероятно, носила демонстрационный характер и была призвана подчеркнуть недовольство ХАМАС предпринимаемыми функционерами ФАТХ «полумерами». Следует отметить, что кибератаки против ФАТХ имели место и ранее, однако характеризовались меньшей частотой и уровнем сложности.
Также существует вероятность, что с началом операции «Потоп Аль-Акса» аффилированные ХАМАС хакеры (ранее обозначенные как «Storm-1133») стали действовать под самоназванием «Toufan Al-Aqsa». На связь между двумя структурами указывают как идентичный уровень возможностей группировок, так и «почерк» атак, а также совпадение ряда «уничтоженных целей», упоминаемых хакерами в официальных релизах.
Усиление «ударного потенциала» палестинских хакеров отчасти связывают с «иранским фактором»: Тегеран предположительно поддерживает ХАМАС в конфликте с Израилем и ранее неоднократно участвовал в палестинских кибероперациях в качестве третьей стороны («иранский след», в частности, прослеживался в атаках, пришедшихся на период израильской операции «Нерушимая скала», 2014 г., а также в некоторых последующих киберакциях ХАМАС). В этом контексте продвигаемая Тегераном концепция «Исламского сопротивления» легко распространяется и на цифровое пространство, которое приобретает формат полноценной сферы борьбы.
Кроме того, Движение стремится заручиться поддержкой других «сочувствующих» акторов (Катар, Турция), где развиты технологии кибершпионажа. В отдельных случаях речь идет не только об использовании технологических наработок, но и о создании полноценных «киберцентров», что объясняет активизацию работы израильских спецслужб по выявлению палестинских хакерских ячеек на территории сопредельных стран.
«Контригра» в цифровом пространстве
Реакция Израиля на цифровую угрозу со стороны ХАМАС в целом мало отличается от его стандартной модели реагирования на кибервызов и сочетает в себе использование как государственных, так и частных инструментов.
Начиная с первых дней конфликта, профильные ведомства Израиля реализуют комплекс мероприятий, направленных на смягчение последствий атак, а также информируют население о потенциальных источниках новых угроз; противодействуют информационным спекуляциям. Поддержку оказывает «частный сектор»: так, на фоне активизации лояльных ХАМАС хакеров несколько крупных израильских киберкомпаний (Sepio, CheckPoint и др.) объединили усилия для мониторинга рисков безопасности цифровой инфраструктуры. Кроме того, по запросу спецслужб Израиля NSO Group и Candiru, компании-лидеры в области разработки средств киберразведки, подключились к операциям по определению местоположения захваченных ХАМАС заложников.
Также большое значение приобрел «внешний периметр» киберобороны, выраженный в задействовании дружественных киберподразделений и команд. Например, произраильская киберкоманда ThreatSec в ответ на DDoS-атаки израильских ресурсов нанесла серию ударов по инфраструктуре интернет-провайдеров, предоставляющих услуги в секторе Газа (в первую очередь, Alfanet), в результате чего было выведено из строя более 200 серверов. И хотя представители Alfanet объяснили перебои в работе своих сервисов «физическим ущербом» от израильских бомбардировок, влияние цифрового воздействия на инфраструктуру также было упомянуто ими в числе возможных причин неполадок. Учитывая, что нарушение работы интернет-провайдера затрагивает большое количество пользователей, урон от контракции для жителей анклава можно охарактеризовать как ощутимый.
Кроме того, цифровые удары наносятся и по чувствительной инфраструктуре Ирана — с целью переноса фокуса внимания Тегерана. Так, в декабре 2023 г. хакеры атаковали систему управления автозаправочными станциями, в результате чего была нарушена работа более 60% (по другим данным — 70%) объектов на территории страны. Ответственность за проведение масштабной атаки взяла на себя группировка «Хищный воробей» («Predatory Sparrow»), которую принято считать ключевым проводником интересов израильских силовых структур. Ранее данная киберкоманда уже проводила аналогичные «акции возмездия» в отношении иранской КИИ, например — в 2022 г. хакерами была выведена из строя система управления сталелитейными производствами в Исламской Республике.
Время перемен
Несмотря на то, что Израиль в целом эффективно «держит удар» в киберпространстве, текущий кризис обнажил ряд дискуссионных моментов, связанных с развитием системы национальной киберобороны. Один из них — наличие труднопреодолимых правовых коллизий. Согласно действующему израильскому законодательству, «частный сектор» не наделен полномочиями вести наступательные кибероперации, ввиду чего часть компаний с соответствующей специализацией, фактически, остается «вне игры» и не может проводить превентивные акции по противодействию возможным акциям ХАМАС. Попытки же некоторых киберфирм проявлять инициативу (например, вербовать хакеров (в первую очередь, палестинцев) для выявления скрытых каналов рекрутинга ХАМАС) ожидаемо наталкиваются на противодействие со стороны специальных служб, требующих ужесточения контроля за столь чувствительным направлением. В противовес позиции силовиков лоббируется тезис, что израильская кибероборона изначально выстроена на основе баланса усилий военного и гражданского секторов (допускающем некоторые пересечение полномочий) и излишняя бюрократизация может нарушить этот баланс.
Кроме того, на передний план вышли вопросы реагирования на вторичные киберинциденты, которые не затрагивают критическую инфраструктуру страны напрямую, но негативно влияют на отдельные ее элементы. Так, в ноябре 2023 г. в результате внешнего воздействия произошел массовый сбой в системе телефонной связи, ввиду чего ключевые экстренные службы страны оставались недоступны в течение нескольких часов. Несмотря на то, что инцидент не оказал серьезного деструктивного влияния на функционирование аварийно-спасательного аппарата, вопрос модернизации национальной телекоммуникационной инфраструктуры и пересмотра стандартов ее функционирования вновь вернулся на повестку.
Еще один дискуссионный вопрос — перспектива распространения «Доктрины Дахья» [2] на другие сферы конфликта. С началом операции ЦАХАЛ на территории сектора Газа вопрос реализации «акций устрашения» для минимизации собственных потерь обсуждался неоднократно, в том числе с привязкой к цифровой борьбе. Несмотря на то, что силовые ведомства Израиля в большинстве своем и так придерживаются концепции «кумулятивного сдерживания», которая при определенных условиях предусматривает нанесение ответного удара после пресечения кибератаки, возможность перехода к тактике массированных контракций в киберпространстве (включая упреждающие) или применения боевых «сверхвирусов» (по мощи урона аналогичных Stuxnet или превосходящих его) рассматривается как маловероятная в силу труднопредсказуемых последствий.
Полноценное применение кибероружия против ХАМАС создаст опасный прецедент и гарантированно повлечет за собой аналогичные шаги со стороны Ирана и других региональных игроков, что негативно скажется на общерегиональной обстановке. С другой стороны, с учетом повышения сложности киберопераций, проводимых против Израиля, подобный сценарий не сбрасывается со счетов полностью.
***
Деятельность по продвижению интересов ХАМАС в киберпространстве с течением времени стала более системной и ощутимой. Однако в масштабах палестино-израильского противостояния в целом основная «нагрузка» по ведению цифровой борьбы по-прежнему ложится преимущественно на хактивисткие команды, не имеющие прямой связи с ХАМАС, в то время как «кадровые» специалисты Движения в большей степени делают упор на проведение кампаний по кибершпионажу. Попытки же нарастить «ударную» составляющую (в первую очередь за счет акций «Toufan Al-Aqsa») пока носят эпизодический характер и не слишком меняют итоговую картину.
В то же время появление «Toufan Al-Aqsa» в качестве постоянного исполнителя киберакций против Израиля можно трактовать как попытку ХАМАС закончить формирование собственного «цифрового бренда» и полноценно использовать успехи «хакерского крыла» в пропаганде. Формирование «постоянной напряженности» в киберпространстве также может стать ответом ХАМАС на успехи ЦАХАЛ в секторе Газа: в этом случае уход «в цифру» будет трактоваться уже не как стратегическое поражение Движения, а как продолжение его борьбы в новом измерении.
Что касается Израиля, то для него текущий опыт противостояния полезен в первую очередь с точки зрения возможности совершенствования национальной системы цифровой защиты с учетом выявленных технических и законодательных аспектов. Однако без должной проработки вопроса обозначенные ранее дискуссионные моменты могут углубить разногласия между ключевыми субъектами кибербезопасности, что негативно скажется на устойчивости израильской системы цифровой обороны.
Примечания
1. При этом некоторые эксперты склонны отсчитывать историю киберсил ХАМАС с 2012 г., мотивируя это тем, что Движение активно использовало цифровые инструменты в ходе операции и «Литой свинец» (2012 г.).
2. «Доктрина Дахья» — стратегия «ассиметричной войны», подразумевающая применение «непропорциональной силы» и разрушение гражданской инфраструктуры режимов, считающихся враждебными Израилю.