«Кибермухи» отдельно: будущее хакерского движения в Саудовской Аравии

Киберпространство Ближнего Востока становится ареной противостояния. Каждое государство стремится выработать свою стратегию поведения на «цифровом ристалище», которая, с одной стороны, позволила бы эффективно решать оперативные задачи, а с другой — не провоцировала бы оппонентов на жесткие ответные шаги.

Не стала исключением и Саудовская Аравия. Эр-Рияд делает большую ставку на цифровые технологии, а потому пытается построить многоуровневую и сбалансированную систему защиты, в том числе путем интеграции хакерского сообщества в национальную киберсистему. Об одном из проектов под кодовым названием «Кибермухи» («Cyber-Flies») и пойдет речь в данной статье.

Следует начать с того, что термин «Кибермухи» в саудовском дискурсе не синонимичен понятию «хакерская группировка». Скорее, это условное наименование для обозначения всех лояльных Эр-Рияду «серых» специалистов, включая одиночек. А некоторое время назад в орбиту проекта входили и просаудовски настроенные хакеры из других стран региона.

Большинство экспертов сходятся во мнении, что появление «Кибермух» было обусловлено последствиями резонансной атаки иранских проправительственных хакеров на объекты инфраструктуры Саудовской Аравии с использованием вируса «Shamoon» (2012 г.) — данная акция по сей день воспринимается саудитами как одна из наиболее разрушительных и болезненных.

«Отцом» и главным куратором проекта «Кибермух» стал Сауд аль-Кахтани — советник и один из ближайших соратников наследного принца Мохаммеда бин Салмана, хорошо знакомый со спецификой цифрового мира. Считается, что именно аль-Кахтани принадлежит идея использовать небольшие группы формально не зависящих друг от друга хакеров для проведения масштабных операций в информационном пространстве с целью дискредитации оппонентов бин Салмана на территории страны и за рубежом. Под его же началом проводились массовые «цифровые контратаки» и взломы аккаунтов оппозиционных деятелей, а также «сочувствующих» из числа граждан других стран с целью получения компрометирующих сведений.

После освобождения аль-Кахтани от должности в 2018 г. проект был передан в ведение Национального управления кибербезопасности (NCSA), созданного годом ранее. С переходом изменился и характер задач, которые ставились перед хакерами, в частности, акцент сместился на обеспечение безопасности «цифрового периметра» страны в соответствии с положениями национальной кибердоктрины. Кроме того, важной задачей стало оппонирование хакерским группировкам, наносящим удары по саудовской инфраструктуре — «Йеменской киберармии» («Yemen mohmeed alnopey Hazazi»), «Киберхалифату ИГИЛ*» и др. Имиджевые операции, ранее являвшиеся визитной карточкой «Кибермух», не исчезли из их арсенала, однако стали использоваться точечно.

Несмотря на то, что «хакеры-патриоты» долгое время занимали важное место в системе саудовской безопасности, превратить их в полноценное киберподразделение пока не удается ввиду ряда препятствий. Однако их окончательная легализация через закрепление в национальной структуре кибербезопасности — дело времени (фактически, первым шагом стала их передача под начало NCSA в 2018 г.). Другой вопрос, по какому пути будет проходить дальнейшая интеграция.

На данный момент можно выделить минимум три варианта — «Турецкий», «Израильский» и «Иранский». В соответствии с «Турецким» вариантом, Эр-Рияд начнет постепенно формировать из наиболее эффективных группировок «Кибермух» некую подвижную надстройку, которая в перспективе станет «Ядром» создаваемой киберармии. Несколько иную конфигурацию предполагает «Иранский» вариант — в данном случае «Кибермухи» сохранят текущую зонтичную структуру, однако внешний контроль над ними будет многократно усилен. Компромиссным выглядит «Израильский» вариант, в рамках которого наиболее перспективные хакеры из числа «Кибермух» будут интегрированы в создаваемые под конкретные цели киберподраздения (с четким разделением на оборонительные и наступательные треки), а сам проект со временем станет тренировочным: с его помощью будет осуществляться отбор новых кадров в существующие государственные подразделения. Сам же концепт «хакеров-патриотов» со временем отойдет на второй план.

На текущий момент сложно сказать, какой из вариантов изберут саудовские власти — Эр-Рияд в равной степени тяготеет ко всем трем. Тем не менее стремление сформировать собственный корпус «Белых шляп» (жаргонное наименование хакеров на государственной службе») свидетельствует о значительных позитивных переменах в саудовской политике в области цифровой безопасности.

Киберпространство Ближнего Востока становится ареной противостояния. Каждое государство стремится выработать свою стратегию поведения на «цифровом ристалище», которая, с одной стороны, позволила бы эффективно решать оперативные задачи, а с другой — не провоцировала бы оппонентов на жесткие ответные шаги.

Не стала исключением и Саудовская Аравия. Эр-Рияд делает большую ставку на цифровые технологии, а потому пытается построить многоуровневую и сбалансированную систему защиты, в том числе путем интеграции хакерского сообщества в национальную киберсистему. Об одном из проектов под кодовым названием «Кибермухи» («Cyber-Flies») и пойдет речь в данной статье.

Откуда взялись «Кибермухи»?

Леонид Цуканов:
Силы безопасности ССАГПЗ: цифровое измерение

Следует начать с того, что термин «Кибермухи» в саудовском дискурсе не синонимичен понятию «хакерская группировка». Скорее, это условное наименование для обозначения всех лояльных Эр-Рияду «серых» специалистов, включая одиночек. А некоторое время назад в орбиту проекта входили и просаудовски настроенные хакеры из других стран региона. Кроме того, «хакеры-патриоты» не имели постоянных лидеров и четко оформленной структуры: ударные группы формировались под конкретную задачу, их состав и численность постоянно менялись. По этой причине «Кибермухи» никогда не включались саудовскими официальными лицами в группу так называемых белых хакеров (экспертов в области компьютерной безопасности, находящихся на государственной службе) и рассматривались как отдельная и формально независимая квазиструктура, «ведомая лишь чувством патриотизма и желанием защитить страну». Такой подход до определенного времени был крайне удобен, поскольку, с одной стороны, позволял Саудовской Аравии сохранять формальную приверженность оборонительному принципу национальной киберполитики, а с другой — оставлял достаточное пространство для маневра в цифровом пространстве.

Большинство экспертов сходятся во мнении, что появление «Кибермух» было обусловлено последствиями резонансной атаки иранских проправительственных хакеров на объекты инфраструктуры Саудовской Аравии с использованием вируса «Shamoon» (2012 г.) — данная акция по сей день воспринимается саудитами как одна из наиболее разрушительных и болезненных. Также косвенно на изменение поведенческой модели саудовских официальных лиц повлияли события арабской весны, в ходе которых противники действующего режима активно использовали киберпространство для проведения акций. В свою очередь, продолжающийся рост уровня угроз, а также неспособность саудовских силовиков вовремя нанести ответный удар вынудили Эр-Рияд начать активные изыскания в данном направлении. В итоге уже к концу 2012 г. был запущен экспериментальный проект, при разработке которого был учтен аналогичный опыт Израиля (обеспечение секторальной защиты посредством привлечения внешних специалистов), а также Ирана (создание разветвленной системы из малых группировок). «Отцом» и главным куратором проекта стал Сауд аль-Кахтани — советник и один из ближайших соратников наследного принца Мохаммеда бин Салмана, хорошо знакомый со спецификой цифрового мира. Считается, что именно аль-Кахтани принадлежит идея использовать небольшие группы формально не зависящих друг от друга хакеров для проведения масштабных операций в информационном пространстве с целью дискредитации оппонентов бин Салмана на территории страны и за рубежом. Под его же началом проводились массовые «цифровые контратаки» и взломы аккаунтов оппозиционных деятелей, а также «сочувствующих» из числа граждан других стран с целью получения компрометирующих сведений. Именно за мастерское управление хакерами-одиночками аль-Кахтани впоследствии получил в народе (а позже и в зарубежной прессе) прозвища «Повелитель мух» и «Мистер Хэштег».

Наиболее крупной из имиджевых атак, реализованных подопечными аль-Кахтани, можно считать информационную кампанию против Катара на начальных этапах дипломатического кризиса (2017 г.), когда традиционные хакерские методы (DDoS-атаки, внедрение SQL-кода, туннелирование DNS и др.) чередовались с искусственно подогреваемыми волнениями в арабском сегменте крупнейших социальных сетей (прежде всего — Twitter и Facebook). Эксперты указывают, что многие информационные вбросы, осуществленные «Кибермухами» в тот период, по сей день периодически всплывают в региональной прессе и продолжают негативно влиять на региональный и глобальный имидж Дохи.

Диана Муллахметова:
Политика иранского правительства по урегулированию киберпространства

После освобождения аль-Кахтани от должности в 2018 г. (что было обусловлено последствиями его участия в резонансном «деле Джамаля Хашогги») имя нового куратора «Кибермух» официально не разглашалось, однако есть все основания полагать, что проект был передан в ведение Национального управления кибербезопасности (NCSA), созданного годом ранее. С переходом изменился и характер задач, которые ставились перед хакерами, в частности, акцент сместился на обеспечение безопасности «цифрового периметра» страны в соответствии с положениями национальной кибердоктрины. Кроме того, важной задачей стало оппонирование хакерским группировкам, наносящим удары по саудовской инфраструктуре — «Йеменской киберармии» («Yemen mohmeed alnopey Hazazi»), «Киберхалифату ИГИЛ*» и др. Имиджевые операции, ранее являвшиеся визитной карточкой «Кибермух», не исчезли из их арсенала, однако стали использоваться точечно. В частности, одна из последних крупных атак была направлена против основателя «Amazon» Джеффа Безоса (январь 2020 г.). Поводом для атаки, вероятнее всего, стала активная критика политики Эр-Рияда со стороны Дж. Безоса, а также участие последнего в церемонии памяти Джамаля Хашогги в октябре 2019 г.

Почему «Мухи» не в белых шляпах?

Несмотря на то, что «хакеры-патриоты» долгое время занимали важное место в системе саудовской безопасности, превратить их в полноценное киберподразделение пока не удается ввиду ряда препятствий.

Пожалуй, самая очевидная проблема связана со специфической моделью управления, сложившейся еще при аль-Кахтани. В отличие от Ирана, где за личиной «хакеров-патриотов» часто скрываются подразделения с постоянным штатом, жестко контролируемые властями, или Турции, где хакеры-одиночки связаны с «Ядром» (кадровыми специалистами) и четко разведены по зонам ответственности, в Саудовской Аравии взаимодействие с хакерами по-прежнему осуществляется по принципу нетворкинга и имеет преимущественно хаотический характер. В этой связи саудовские «Кибермухи» хоть и действуют в интересах Эр-Рияда, но они почти не взаимодействуют с официальными институтами (а если взаимодействуют, то опосредованно — через «вторые» и «третьи» руки). Поэтому саудовские чиновники не всегда могут осуществлять оперативное целеполагание и контролировать направление атаки. Нередко это приводит к казусам, например, в январе – феврале 2021 г. группа хакеров, причисляющих себя к «Мухам», осуществила серию кибератак на ресурсы иранских официальных лиц, а в июле 2021 г. нанесла удар по цифровой инфраструктуре министерства транспорта ИРИ. В обоих случаях произошедшее было воспринято как грубое нарушение договоренностей и негативно сказалось на интенсивности двусторонних консультаций.

Косвенное влияние на статус хакерского движения оказывает религиозный фактор. На данный момент ведущие богословы страны так и не смогли сформировать единого мнения относительно феномена хакерской деятельности. С одной стороны, они считают хакерство серьезным грехом (т. к. оно нередко связано с кражей данных, взломом, шантажом и другими нравственными преступлениями), ввиду чего в издаваемых фетвах подобная деятельность подвергается серьезному порицанию. Однако, с другой стороны, улемы позитивно характеризуют подобную деятельность, если та направлена на защиту родины или борьбу с антиисламскими настроениями. Так или иначе, число фетв с критикой на данный момент серьезно перевешивает (в среднем на одну позитивную оценку приходится до десятка негативных). По этой причине Эр-Рияд не спешит выносить на передний план свои связи с хакерским движением, дабы не пошатнуть своих лидерских позиций в Исламском мире и не давать «оппозиции улемов» [международная группа исламских богословов, критикующих текущую политику Саудовской Аравии] новых поводов для выступлений.

Артур Хетагуров:
Кибермощь Ирана

В-третьих, особую роль играет имиджевый вопрос. К 2021 г. Эр-Рияд смог серьезно укрепить свои позиции в мировых рейтингах кибербезопасности (в том числе в «Global Cybersecurity Index», издаваемом Международным союзом электросвязи). Делая упор именно на «созидательный» аспект (проведение международных конференций по цифровой безопасности, развитие государственно-частного партнерства и т.д.), Эр-Рияд стремится завоевать доверие ведущих мировых акторов (в том числе и администрации Дж. Байдена, которая довольно болезненно относится к теме хакинга) и заслужить в их глазах статус «гаранта» стабильности в ближневосточном цифровом поле, а потому предпочитает работать с «хакерами-патриотами» крайне осторожно, прибегая к их услугам лишь в исключительных случаях.

Муха орла не заменит?

Тем не менее отказываться от «Кибермух» Эр-Рияд все равно не будет. Их окончательная легализация через закрепление в национальной структуре кибербезопасности — дело времени (фактически, первым шагом стала их передача под начало NCSA в 2018 г.). Другой вопрос, по какому пути будет проходить дальнейшая интеграция.

На данный момент можно выделить минимум три варианта — «Турецкий», «Израильский» и «Иранский». В соответствии с «Турецким» вариантом, Эр-Рияд начнет постепенно формировать из наиболее эффективных группировок «Кибермух» некую подвижную надстройку, которая в перспективе станет «Ядром» создаваемой киберармии. Хакерам, не вошедшим в «Ядро», будет отведена роль вспомогательных сил, призванных отвлекать на себя внимание или наносить удары по второстепенным целям.

Несколько иную конфигурацию предполагает «Иранский» вариант — в данном случае «Кибермухи» сохранят текущую зонтичную структуру, однако внешний контроль над ними будет многократно усилен. Не исключено, что при реализации данного варианта группировки будут дополнительно усилены специалистами Службы общей разведки («Аль-Мухабарат Аль-амма»), а любые попытки хакеров осуществлять самостоятельное целеполагание будут жестко пресекаться.

Компромиссным выглядит «Израильский» вариант, в рамках которого наиболее перспективные хакеры из числа «Кибермух» будут интегрированы в создаваемые под конкретные цели киберподраздения (с четким разделением на оборонительные и наступательные треки), а сам проект со временем станет тренировочным: с его помощью будет осуществляться отбор новых кадров в существующие государственные подразделения. Сам же концепт «хакеров-патриотов» со временем отойдет на второй план.

На текущий момент сложно сказать, какой из вариантов изберут саудовские власти — Эр-Рияд в равной степени тяготеет ко всем трем. Тем не менее стремление сформировать собственный корпус «Белых шляп» (жаргонное наименование хакеров на государственной службе) свидетельствует о значительных позитивных переменах в саудовской политике в области цифровой безопасности.

* Организация признана террористической, ее деятельность запрещена на территории РФ.