WikiLeaks ВИРТУАЛЬНАЯ КИБЕР АТАКА ПРОТИВ ГОСУДАРСТВА

СЕКРЕТНО
SECTION 01 OF 04 TALLINN 000366
SIPDIS
SIPDIS
DEPT FOR EUR/NB
E.O. 12958: DECL: 06/04/2017
МЕТКИ: PREL PGOV ECON ETRD NATO RS EN
ТЕМА: КИБЕРАТАКИ В ЭСТОНИИ: ПЕРВАЯ В МИРЕ ВИРТУАЛЬНАЯ АТАКА ПРОТИВ ГОСУДАРСТВА
ССЫЛКИ: A) TALLINN 276 B) TALLINN 280 C) TALLINN 347 D)
LEE-GOLDSTEIN EMAIL 05/11/07
Засекречено: Посол С. Дэйв Филлипс согласно 1.4 (b) и (d)
1. (S) Аннотация. С 27 –го апреля Эстония стала жертвой первых в мире координированных кибератак, направленных против государства и его политических и экономических инфраструктур. Сенсационный характер данного дела в сочетании с узкотехническими деталями предмета обсуждения привели к появлению большого количества дезинформации в общественности. Несмотря на то, что в настоящее время продолжается работа над международным анализом и анализом Правительства Эстонии (ПЭ), эти атаки выявили уязвимость правительственного и частного секторов в инфраструктуре Интернета относительно атак данного характера. Более месяца многие вебсайты, серверы и маршрутизаторы Эстонии, в том числе правительства, банков, средств массовой информации, подвергались массированным кибератакам. Защита против атак оказалась чрезвычайно дорогостоящей как для ПЭ, так и для частного сектора. Эксперты киберзащиты ПЭ и частного сектора ссылаются на характер и сложность этих атак как на доказательство соучастия в них Правительства России. Конец аннотации.
Виртуальные Выстрелы Слышны по Всему Миру
———————————–
2. (C) Кибератаки против вебсайтов Эстонии начались 27-го апреля вслед за массовыми беспорядками в Таллине, вызванными подготовкой Правительством Эстонии (ПЭ) переноса так называемого «Бронзового солдата», памятного монумента в честь окончания Второй Мировой Войны, установленного в Советский период (Refs A and B). Первоначально атаки были направлены на вебсайты ПЭ, а именно – президента Эстонии, премьер-министра, министерства иностранных дел (МИД), министерства юстиции (МЮ) и парламента, среди прочих. По информации ХХХХХХХХХХ, первоначальные атаки были технически несложными и «выглядели более как кибермятеж, чем кибервойна». Однако все наши эстонские собеседники ясно признавали политический характер этих атак. На форумах русскоязычного Интернета велись дискуссии с призывами к атакам эстонских вебсайтов и предоставлялись скачиваемые инструменты программного обеспечения для проведения атак. По информации ХХХХХХХХХХХХ, первоначальные атаки ограничивались рассылкой спама (массированная рассылка несанкционированных электронных сообщений) и кибервандализмом (например, фотография премьер-министра Эстонии Андруса Ансипа на вебсайте Партии Реформ была искажена) и казались не более чем реакцией виртуальной банды на проблему с Бронзовым Солдатом. Эстонские средства массовой информации и комментаторы в прессе быстро обвинили Москву в ответственности за произошедшее, трактуя эти атаки как один из актов возмездия со стороны России за перенос Бронзового Солдата (Ref C).
3. (S) Однако 30-го апреля кибератаки на вебсайты ПЭ начали приобретать более широкое направление – от простой рассылки спама до координированных атак DDoS (Distributed Denial-of-Service, распределённая атака типа «отказ в обслуживании»). (Примечание. Атака DDoS означает посылку большого количества бессмысленных или сформированных в неправильном формате запросов (флуд) к компьютерной системе с целью поглощения ее ресуров и создания помех для доступа к ней для легитимных пользователей. Конец примечания.) Например, вебсайт президента, имеющий объем пропускной способности 2 миллиона Мбит (мегабит в секунду), подвергся атаке трафиком в 200 миллионов Мбит. Хотя ни одна из используемых для совершения атак технологий не являлась новой, их тактики и инструменты регулярно менялись с целью помешать властям Эстонии заблокировать атаки. Одним из инструментов с самым разрушительным эффектом стали «боты». (Примечание. Ботами являются компьютеры и/или серверы, контролируемые третьей стороной.) Бот-атаки исходили от провайдеров со всего мира (например, США, Канады, России, Турции, Германии, Бельгии, Египта, Вьетнама и пр.). Атаки регулярно исходили из одной бот сети, спадали и затем возобновлялись при использовании других бот сетей с разными провайдерами. По информации ХХХХХХХХХХХ, длительность атак варьировалась от одной минуты до нескольких часов. Наиболее длительная атака продолжалась свыше десяти часов, обрушив 90 миллионов Мбит трафика на нацеленные конечные точки. По информации ХХХХХХХХХХХ, мнение ПЭ заключалось в том, что за этими более сложными кибератаками стояло небольшое, но неизвестное количество отдельных лиц, что быстро уменьшило объемы трафика первоначальных киберповстанцев.
4. (S) 3-го мая кибератаки распространились с правительственных вебсайтов и серверов на частные вебсайты. Hansabank и SEB, два самых больших банка Эстонии, столкнулись с самыми значительными проблемами. Принадлежащие шведским собственникам Hansabank и SEB отвечают за почти 75% всего банковского обслуживания в режиме онлайн в Эстонии. (Примечание. Примерно 90% всех денежных перечислений и оплаты счетов в Эстонии происходит в режиме онлайн. Конец примечания.) Hansabank был хорошо подготовлен, имея мощные серверы, альтернативные сайты для воспроизведения содержания (препятствуя успешным атакам DDoS) и возможность перераспределения линий доступа от зарубежных клиентов к внутренним. Однако, несмотря на то что сайт Hansabank оставался в режиме онлайн, по оценке ХХХХХХХХХХХ, это имело высокую цену – по меньшей мере 10 миллионов евро ($13,4 миллионов). Hansabank также был вынужден временно заблокировать на свой сайт доступ для всех зарубежных провайдеров с целью обеспечения достаточной широкополосной пропускной способности для своих внутренних клиентов. Однако Hansabank смог создать альтернативные механизмы доступа для своих крупных зарубежных клиентов. Внося существенные поправки в освещение атак прессой в первые дни, ХХХХХХХХХХХХ сказал, что хотя атаки на Hansabank и SEB представляли определенные сложные задачи, не существовало никакой серьезной опасности, что банковский сектор Эстонии будет отключен.
5. (S) Вторая волна кибератак пришлась на вебсайт Postimees, эстонской общественно-политической ежедневной газеты, и Eesti Paevaleht, ежедневной газеты на эстонском языке, которую используют в качестве источника новостей две трети эстонцев. «Вы можете себе представить психологический эффект, – сказал нам ХХХХХХХХХХХХ, – когда житель Эстонии пытается безуспешно оплатить свои счета или прочитать новости в онлайн». Поскольку Эстония является одной из стран с самым высоким уровнем интернетизации, собеседники из ПЭ рассматривали развитие атак как устрашающую угрозу для своих ключевых экономических и общественных инфраструктур.
6. (S) Атаки достигли своей кульминации 9-го мая, в день годовщины празднования Россией окончания Второй Мировой Войны. Чтобы справиться с возрастающим объемом атак ПЭ увеличило широкополосную пропускную способность с двух Гбит (гигабит в секунду) до восьми Гбит. Hansabank, SEB, Postimees и другие также добавили серверы для повышения широкополосной пропускной способности. Эксперт киберзащиты EUCOM назвал это «гонка кибервооружений», в которой эстонцы неоднократно повышали свою широкополосную пропускную способность, чтобы справиться с возрастающим объемом кибератак (Ref D). ХХХХХХХХХХХ рассказал нам, что ХХХХХХХХХХХХ увеличивал(а/о) «широкополосную трубу» для правительства и частного сектора безумными темпами, чтобы не отставать от атак. ХХХХХХХХХХХ рассказал нам, что одно правительственное министерство увеличило мощность своего сервера с 30 Мбит до 1 Гбит (1 Гбит равен 1000 Мбит). ХХХХХХХХХХХ сказал, что такой оборонительный ответ ПЭ и частного сектора был в конечном итоге успешным, но чрезвычайно дорогостоящим.
7. (S) Число атак неуклонно снижалось после 9-го и 10-го мая, что позволило ПЭ и частному сектору сократить свою широкополосную пропускную способность. Однако 15–го мая произошел неожиданный всплеск атак, нацеленных на Hansabank и SEB. Во время двух раздельных и координированных 15-минутных атак оба вебсайта подверглись свыше 400 атакам ботов (приблизительно половине от количества атак ботов, зарегистрированных 10-го мая) со стороны многочисленных провайдеров. Атаки привели к временному отказу в работе системы банка SEB на 30 минут. После всплеска 15-го мая число атак снизилось и их количество сейчас остается слегка выше показателей до 27-го апреля.
Никаких Явных Улик
8. (S) 2-го мая министр иностранных дел Урмас Паэт выступил с заявлением относительно имеющегося у МИД доказательства, что некоторые атаки исходили от провайдеров Правительства России (ПР). Эстонская и международная пресса передала заявление Паэта, но собеседники ХХХХХХХХХХХХ дистанцировались от этого обвинения. В частной беседе ХХХХХХХХХХ сказал нам, что не выяснилось ни одной явной улики, обличающей Москву, и, вероятно, что и ни одной и не появится. Использование ботов, прокси-серверов и тактики спуфинга чрезвычайно затрудняют определение с какой-либо долей уверенности происхождение атак. В сообщениях прессы предполагалось, что в атаки был вовлечен миллион компьютеров. Однако ХХХХХХХХХХ признал, что из-за плохой способности слежения в Эстонии ХХХХХХХХХХ может только делать предположения о количестве компьютеров и серверов, атаковавших Эстонию, и имеет еще меньше конкретной информации о происхождении атак. (Примечание. ХХХХХХХХХХХХ сказал, что цифра один миллион, указываемая прессой и ПЭ, взята из сделанной для прессы и используемой вне контекста цитаты, в которой он пытался объяснить, что может делать лишь предположения относительно числа компьютеров в количестве от 1000 до миллиона. Конец примечания.)
9. (S) ПЭ полагает, что имеет достаточное косвенное доказательство связи Москвы с атаками. Как сказал послу президент Ильвес, аренда большого количества ботов для этих атак является дорогостоящим мероприятием. Более того, как ХХХХХХХХХХ неоднократно спрашивал нас в разговорах: «Кому эти атаки выгодны?» Он высказал предположение, что зондирующий характер атак на конкретное правительство и стратегические цели частного сектора через анонимные прокси-серверы отвечает образу действия (modus operandi) режима Путина, тестирующего новое «оружие». ХХХХХХХХХХХХ сказал нам, что ПЭ теперь считает, что его первоначальная оценка «кибермятежа» могла быть неверной. «При исследовании схем атак становится ясно, что это было небольшое ядро отдельных лиц, намеревающихся осуществить атаки 9-го мая, – объяснил ХХХХХХХХХХХ. – Но когда министерство обороны объявило о своих планах перенести Бронзового Солдата 27-го апреля, они изменили свои планы, пытаясь привязать атаки к переносу памятника». Эстонский анализ этих последних сложных атак и организованности в русскоязычном Интернете привел их к выводу, что ключевые фигуры пытались замаскировать свои первоначальные атаки под кибермятеж. «Невозможно, чтобы спонтанные, популистские кибератаки имели определенный список целей и точные даты и время для скоординированных атак», – сказал ХХХХХХХХХХХ.
10. (S) Собеседники из ПЭ выразили свое чувство неудовлетворенности относительно того, что их запросы об информации от ПР или о действиях касающихся атак базирующихся в России провайдеров остались без ответа. ХХХХХХХХХХХХ жаловался, что сотрудничества с RU-CERT практически не существовало. Даже на пике полемики относительно Бронзового Солдата правительственные собеседники, регулярно работающие со своими российскими коллегами (например, правовое принуждение, пошлины и налоги, охрана границы и т.д.), говорили нам, что рабочий уровень сотрудничества был позитивным. По сравнению с этим, отсутствие реагирования со стороны ПР и персонала RU-CERT только ослабляли заверения России о своей невиновности в глазах эстонцев.
11. (S) 29-го мая Константин Колосков, Комиссар прокремлевского молодежного движения «Наши» в Транснистрии, взял на себя ответственность за некоторые ранние кибератаки. Не исключая возможности его участия, ХХХХХХХХХХХ отметил, что некоторые атаки были чрезвычайно сложными, превышающими технические способности любителя. Поясняя свою точку зрения, ХХХХХХХХХХХ и ХХХХХХХХХХХ описали атаку, использовавшую таинственный пакет данных для выведения из строя маршрутизатора ПЭ и компании Elion так быстро, что эстонцы до сих пор не имеют четкого представления о том, как это было осуществлено. ХХХХХХХХХХ описал в деталях число дополнительных атак, использующих различные инструменты, технические приемы и цели в подтверждение своего аргумента о том, что самым вероятным виновником была организованная группа с солидным финансовым обеспечением. «Колосков – это украшение витрины, – сказал ХХХХХХХХХХ, – подходящая структура для настоящих злоумышленников».
PHILLIPS