Йеменская киберармия: раунд второй?

В последние несколько месяцев интенсивность боевых действий в Йемене значительно возросла. Сторонники движения «Ансар Аллах» (хуситы), пользуясь разногласиями в рядах антихуситской коалиции, развернули наступление, ввиду чего фронт пришел в движение сразу в нескольких мухафазах — Ходейде, Таизе и Марибе. Пока ситуация складывается преимущественно в пользу хуситов, что вызывает беспокойство у Саудовской Аравии: в Эр-Рияде вскользь заговорили о необходимости использовать цифровое оружие для стабилизации ситуации.

Однако открытие антихуситского «цифрового фронта», хоть и кажется легким решением, таит в себе ряд угроз. В частности, масштабная кибероперация может привести к возрождению Йеменской киберармии — хакерской группировки, доставившей Эр-Рияду немало проблем в первой половине 2010-х гг., — что лишь усложнит итоговую конфигурацию конфликта.

Несмотря на то, что борьба за Йемен сегодня по-прежнему строится на классических методах ведения войны, начало более активного цифрового противостояния является лишь вопросом времени. Однако вопрос, в каком именно виде переродится YMAH в текущих условиях, до сих пор остается без ответа.

Хакеры в боях за Йемен

Следует начать с того, что о Йеменской киберармии (Yemen mohmeed alnopey Hazazi, YMAH) известно довольно мало. Активный период деятельности данной группировки длился менее года (декабрь 2014 г. – ноябрь 2015 г.), что, впрочем, не помешало ей стать одним из важных символов первого этапа гражданской войны.

Артур Хетагуров:
Кибермощь Ирана

Пик активности YMAH пришелся на весну 2015 г. Тогда «цифровое сопротивление» нанесло сразу несколько болезненных ударов по Эр-Рияду. В апреле 2015 г. они атаковали серверы базирующейся в Лондоне саудовской газеты «Al-Hayat» (один из ключевых «рупоров» дома Саудов за пределами арабского мира), спонсируемой экс-министром обороны Королевства Халидом бин Султаном Аль Саудом, который в 2009 г. руководил операцией «Выжженная земля» по подавлению шиитского мятежа в Йемене. Хакеры стерли архив номеров и разместили на его месте пропагандистские брошюры движения «Ансар Аллах» и государственную символику Йемена, а на главную страницу сайта поместили послание с угрозами в адрес Саудовской Аравии. Тогда же впервые было использовано закрепившееся за группировкой название «Йеменская киберармия». Однако эту атаку мало кто воспринял всерьез — в том числе потому, что основное внимание в тот период уделялось проблеме радикализации мусульманских хакерских групп и их перехода под знамена «Киберхалифата ИГИЛ» (Организация признана террористической, ее деятельность запрещена на территории РФ).

Месяцем позже хакеры YMAH сделали еще один выпад, проведя масштабную эксфильтрацию данных Министерства иностранных дел Королевства и похитив более 1 млн файлов, включая личные данные сотрудников МИД, архив дипломатической переписки, а также документы с грифом «для служебного пользования». Впоследствии часть этих материалов была передана WikiLeaks и стала поводом для ряда громких дипломатических скандалов, а в Королевстве была введена уголовная ответственность за дальнейшее распространение данных документов.

Вплоть до ухода в тень в ноябре 2015 г. YMAH не наносила прямых ударов (за исключением неподтвержденных DDoS-атак на саудовские правительственные сайты в августе 2015 г.), однако вела постоянную слежку за дипломатическими представительствами и государственными учреждениями Королевства (в том числе с использованием троянской программы «Gholee»). В общей сложности, заражению подверглись 550 целей.

Несмотря на то, что с момента первой атаки YMAH прошло уже более пяти лет, эксперты по-прежнему не располагают данными ни о штатной структуре группировки, ни о ее примерной численности, что, в свою очередь, порождает оживленную дискуссию в академических кругах. Наиболее популярная версия гласит, что YMAH является политическим проектом Ирана. Согласно ей, все операции против саудовских объектов проводились иранскими проправительственными хакерами с территории Исламской Республики, а целеполагание осуществлялось высокими офицерами КСИР. В пользу этой теории говорит, в первую очередь, факт, что к началу гражданской войны Йемен считался одним из наиболее уязвимых (с точки зрения цифровых угроз) государств, а также имел сниженный потенциал развития собственной киберсистемы, ввиду чего появление у него полноценной хакерской группировки, способной обходить защиту саудитов (на тот момент входивших в топ-20 мировых рейтингов кибербезопасности), не представлялось вероятным в столь короткий промежуток времени. Кроме того, в качестве косвенного подтверждения «иранского следа» в деятельности YMAH называют наличие в отслеженных атаках последних большого количества иранских IP-адресов.

С другой стороны, некоторые эксперты справедливо указывают на то, что хакеры YMAH хоть и вели борьбу с Эр-Риядом, могли не поддерживать контакт с Тегераном, являясь частью независимой хакерской сети (например, Anonymous). В этом случае наличие персоязычных элементов кода, а также локальных IP-адресов является обманкой (т. н «игрой дыма и зеркал»), характерной для хакерских войн. Не исключено, что YMAH намеренно использовали подобные очевидные «подсказки», чтобы отвести от себя подозрения, а также добиться более активного участия Тегерана в борьбе за Йемен.

Исчезнувшие?

Леонид Цуканов:
Силы безопасности ССАГПЗ: цифровое измерение

Йеменская киберармия исчезла из поля зрения так же внезапно, как и появилась. И вокруг ее исчезновения сломано не меньше копий, чем вокруг темы ее принадлежности. Среди прочего ряд западных экспертов выдвигают предположение, что YMAH являлась краткосрочным проектом хакерского сообщества, и ее уход в тень был обусловлен достижением поставленных целей (привлечение внимания к негативной стороне саудовской политики в Йемене). По этой же причине хакеры Йеменской киберармии не реализовали ни одной акции по нанесению физического урона своим целям.

С другой стороны, подчеркивается, что после 2015 г. атаки на цифровую инфраструктуру Саудовской Аравии со стороны пройеменски настроенных группировок (большинство из которых даже не имели названия) продолжились — последняя и наиболее крупная относится к июлю 2021 г. (атака «ZeloX» на серверы Saudi Aramco с последующей кражей 1 ТБ данных). Более того, стиль борьбы предельно схож с почерком YMAH (вплоть до использования программ из группы «Gholee») — за тем лишь исключением, что новые группировки не выносят на передний план идею борьбы за свободу Йемена от саудовского влияния. В общей сложности на счету неназванных группировок около трех сотен успешных выпадов в адрес МИД, Министерства обороны, Службы общей разведки и других государственных учреждений Королевства — правда, большая часть украденных данных не имела практической ценности (за исключением случая с Saudi Aramco), а атаки несли скорее имиджевый урон. Тем не менее борьба за Йемен в цифровом пространстве не утихала после ухода YMAH, что позволяет говорить о существовании некоторой преемственности идей внутри хакерского сообщества.

В связи с этим возникает резонный вопрос: если цифровой фактор из йеменского конфликта никуда не исчезал (хоть и был выражен крайне незначительно), почему Йеменская киберармия должна появиться именно сейчас, после более чем пяти лет отсутствия? В первую очередь, этому способствуют масштабные изменения оперативной обстановки в Йемене. На фоне наступления хуситов коалиция все активнее применяет передовые средства разведки, а также рассматривает сценарий использования цифровых средств для шпионажа за лидерами «Ансар Аллах» (с целью их последующей ликвидации), ввиду чего хуситам (как наиболее ярким представителям антисаудовского фронта) необходимо будет уже в краткосрочной перспективе быть готовыми к отражению ударов саудитов в киберпространстве — и возвращение в игру YMAH (как одного из символов «цифрового сопротивления») в этом контексте выглядит вполне логичным.

Во-вторых, использование цифровых средств борьбы позволит хуситам расширить поле противостояния с Саудовской Аравией. Учитывая, что силы ПВО Королевства в последнее время более эффективно справляются с ракетными и дронными атаками «Ансар Аллах», использование киберпространства для нанесения ударов (пусть и в форме булавочных уколов) создаст серьезный вызов для Эр-Рияда. Конечно, ожидать каких-то масштабных операций не стоит, поскольку за прошедшее с момента последней подтвержденной активности YMAH время Саудовская Аравия серьезно повысила свой киберпотенциал, однако постоянные кибератаки (в том числе на объекты сторонников Эр-Рияда в Йемене) позволят хуситам создать ощущение перманентной угрозы даже в глубоком тылу коалиции и тем самым ускорить ее раскол.

В-третьих, появление собственных киберсил для хуситов — еще и вопрос формирования имиджа. В последний год Движение особенно стремится закрепить за собой статус немаргинальной силы, способной в перспективе обеспечить мир и стабильность на территории Йемена, а также покончить с саудовским вмешательством во внутреннюю политику страны. В этой связи появление у «Ансар Аллах» армии хакеров (особенно ведущих свою историю с самого начала вооружённого конфликта) станет довольно серьезной заявкой и усилит дисбаланс по линии «Хадисты – Хуситы» в пользу последних.

Каким будет второй раунд?

Несмотря на то, что борьба за Йемен сегодня по-прежнему строится на классических методах ведения войны, начало более активного цифрового противостояния является лишь вопросом времени. Однако вопрос, в каком именно виде переродится YMAH в текущих условиях, до сих пор остается без ответа. Ниже представлены лишь несколько возможных вариантов.

Леонид Цуканов:
«Кибермухи» отдельно: будущее хакерского движения в Саудовской Аравии

Первый (и, пожалуй, наиболее вероятный) сценарий подразумевает появление у движения «Ансар Аллах» собственной хакерской группировки, которая, скорее всего, будет объявлена наследницей YMAH и станет основным оппонентом саудовских «Кибермух» в йеменском конфликте. В этом случае, ключевой миссией группировки, как и в 2015 г., будет названо противодействие Эр-Рияду — за тем лишь исключением, что в этот раз хакеры YMAH будут вынуждены более комплексно подходить к борьбе и делать упор не только на наступательные, но и на оборонительные операции.

Другой сценарий предполагает более активное вовлечение Ирана и создание последним некоего «цифрового зонтика», защищающего инфраструктуру «Ансар Аллах» (по крайней мере ее критическую составляющую) от возможных выпадов со стороны саудитов. Тем не менее подобный расклад не совсем отвечает интересам Тегерана, поскольку противоречит его договоренностям с Эр-Риядом по вопросу снижения взаимной напряженности. По этой причине Иран в случае необходимости либо ограничится игрой «по краю», вовлекая в противостояние с хакерами коалиции наиболее эффективные группировки (например, «Ливанский кедр»), либо будет способствовать появлению в Йемене новых хакерских подразделений, ранее не засвеченных в сотрудничестве с Исламской Республикой.

Впрочем, может случиться и так, что новая Йеменская киберармия будет сражаться не на стороне хуситов. Так, основой «обновленной» YMAH могут стать хакеры, лояльные Южному переходному совету и де-факто поддерживаемые ОАЭ. На данный момент ОАЭ не слишком отстают от Саудовской Аравии и Ирана в вопросах развития собственного цифрового потенциала, а потому формирование прокси-группировки в киберпространстве Йемена не станет для них большой проблемой. Абу-Даби может выгодно использовать раскрученный конструкт «цифрового сопротивления» и тем самым достичь сразу нескольких целей: увеличить «удельный вес» южан в антихуситской коалиции (и тем самым сформировать в их лице сильную альтернативу теряющим популярность просаудовски настроенным северянам), а также лишить хуситов возможности использовать фактор страха перед YMAH в их борьбе с ключевыми оппонентами. Однако данную карту ОАЭ «разыграют» лишь в том случае, если «Ансар Аллах» будет напрямую угрожать интересам Абу-Даби в регионе.

Совсем уж фантастический сценарий предполагает превращение киберпространства Йемена в «лоскутное одеяло», контролируемое малыми хакерскими группировками, сотрудничающими с основными центрами силы конфликта. Несмотря на то, что подобный сценарий, в целом, укладывается в популярную на Западе в последнее время концепцию «Семь Йеменов», он вряд ли будет реализован на практике, поскольку баланс сил (а, следовательно, и симпатий) в отдельных мухафазах меняется слишком стремительно, а более половины действующих в стране прокси-группировок (например, «Соколы Сокотры» или «Сопротивление Тихамы») не обладают необходимыми ресурсами и техническим потенциалом для появления у них полноценных хакерских подразделений. По этой причине рано или поздно любая конфигурация сведется к противостоянию двух (максимум трех) крупных сил.