Эта статья подготовлена в рамках проекта Целевой группы по вопросам политики США в отношении России, Украины и стран Евразии.

Введение

7 октября 1996 года, задолго до того, как киберпреступления стали обычным делом, была взломана информационно-вычислительная система Колорадского горного университета — хакеры, воспользовавшись уязвимостью университетской операционной системы SunOS, получили доступ к компьютеру «Крошка Доу», установленному в Коричневом корпусе университета. Затем они произвели целую серию взломов баз данных Национального управления по аэронавтике и исследованию космического пространства (NASA), Национального управления океанических и атмосферных исследований (NOAA), ВМС и ВВС США, а также получили доступ к данным многочисленных университетов и военных объектов США. В результате этой продолжавшейся несколько лет операции злоумышленники собрали огромное количество информации, составляющей государственную, военную и коммерческую тайну.

Бен Бьюкенен
научный сотрудник Центра Белфера, участник проекта по кибербезопасности и противодействию киберпреступности

 

Расследование показало: добытых хакерами данных было так много, что, чтобы распечатать их все, понадобилась бы стопка бумаги высотой с монумент Вашингтона (Гранитный обелиск в Вашингтоне высотой 169 м — прим. ред.). Следователи отметили одну характерную деталь: большинство незаконных операций осуществлялось в ночное время. Поэтому, а также из-за того, что хакеры использовали сложные пути и конфигурации для пересылки данных, расследование получило условное название «Лунный лабиринт». Постепенно становилось все более очевидным: следы ведут в Россию.

Строго говоря, название «Лунный лабиринт» уже не встречается в официальных документах1. После того как оно попало на обложки журналов и даже на тенниски и футболки следователей по этому делу, правительство США заменило его на новое кодовое обозначение. Однако само явление, которое назвали «Лунным лабиринтом» — российские кибероперации, атаки на самые разные американские цели, — не исчезло. Больше того, проблемы, появившиеся в конце 1990-х, стали еще более серьезными.

Майкл Салмайер
директор проекта по кибербезопасности и противодействию киберпреступности в Центре Белфера

 

Для следующей президентской администрации США российские кибероперации должны стать одной из наиболее актуальных проблем. В целом за два последних десятилетия подобные операции стали более эффективными. Россия продемонстрировала, что способна не только не отставать от современных тенденций, но и в ряде случаев разрабатывать инновационные решения. Так что новой американской администрации предстоит принять соответствующие меры для защиты американских сетей перед лицом значительной российской угрозы.

Угроза распространяется по двум направлениям: с одной стороны, речь идет о сборе информации, с другой — о несанкционированном проникновении в ИТ-системы, которое подвергает риску американские объекты. Оба эти направления подробно рассмотрены в следующем разделе. В третьем разделе предложены возможные способы снижения или устранения этих угроз.

Операции по сбору информации

Шпионаж как таковой появился еще до возникновения современных государств. Однако расследование по делу «Лунного лабиринта» показывает, что киберпространство дало шпионажу новые, инновационные по своей сути инструменты. Кибероперации зачастую более эффективны, менее заметны и занимают меньше времени, чем традиционные формы шпионажа. И США, и Россия используют киберпространство для сбора информации, безусловно, они продолжат это делать и в дальнейшем2.

Дело «Лунного лабиринта» живет — российские оперативники продолжают собирать самые разные данные. В 2014–2015 годах была зафиксирована целая серия хакерских атак на ключевые ИТ-системы государственных учреждений США, основными целями были Государственный департамент, Пентагон и Белый дом. В конечном счете хакерам удалось добиться некоторого успеха: например, они получили копии секретных документов или доступ к конфиденциальным информационным каналам. Эти случаи незаконного проникновения в информационные системы привлекли внимание администрации США и были упомянуты в знаковом выступлении главы Пентагона Эштона Картера в апреле 2015 года — он подчеркнул важность обеспечения защиты информационных сетей США3.

Российские хакеры разработали множество средств и изощренных приемов для получения нужной им информации. Уровень их изобретательности проиллюстрируем одним из наиболее впечатляющих инновационных решений. Чтобы скрыть свои электронные команды и управляющие сообщения (ключевой индикатор враждебного проникновения), агенты отправили со взломанных компьютеров ложные вызовы по спутниковым телефонным сетям, действующим в определенных районах. Установить связь с помощью ложных вызовов невозможно, но и цель хакеров была не в этом: российские агенты с помощью спутниковых антенн смогли бы получать сообщения — и защитникам сети было бы сложно их отследить4.

Стоит отметить, что российские хакеры не ограничиваются простым сбором информации. Другие государства могут использовать полученную информацию, чтобы разрабатывать определенные решения в рамках более или менее принятых норм шпионажа, России же этого недостаточно — она, похоже, собирается использовать собранные данные в зарубежных операциях по усилению своего влияния. Скорее всего, именно хакеры, которые, вероятно, связаны с российскими государственными институтами, взломали серверы фондов Джорджа Сороса «Открытое общество» и обнародовали полученные документы. Некоторые документы были фальсифицированы — чтобы создать впечатление о поддержке фондами Сороса определенных членов российской оппозиции5.

Для США наиболее значительным примером операции по увеличению влияния стала серия утечек в сеть электронных писем, отправленных руководителями Демократической партии США летом и осенью 2016 года. Российское вмешательство в дела таких организаций, как Национальный комитет Демократической партии и Комитет Демократической партии по выборам в конгресс США, а также в личную переписку высокопоставленных должностных лиц во время президентской кампании Хиллари Клинтон привело к появлению в открытом доступе огромного объема информации. Там были обсуждения внутренних вопросов ведения президентской кампании, в том числе рассылки сообщений, действий в кризисных ситуациях, а также весьма нелестные отзывы о политических оппонентах. Взломав сеть Демократической партии, хакеры получили информацию о внутрипартийных обсуждениях тактики и стратегии на выборах в конгресс и в президентской гонке. Публикация электронных писем показала, что у Хиллари Клинтон есть некоторое преимущество по числу голосов выборщиков перед ее основным оппонентом — сенатором Берни Сандерсом (штат Вермонт), что привело к отставке Дебби Вассерман-Шульц с поста председателя Национального комитета Демократической партии. Были и другие утечки: хакеры получили доступ к личным данным членов конгресса, включая номера их сотовых телефонов и сведения о пожертвованиях на избирательные кампании. В общем и целом масштаб проникновения показывает, что через взломанную сеть можно получить очень большой объем информации и что русские искусно справляются с ее сбором.

Получив информацию, русские предпочли передать украденные данные на сайты WikiLeaks и информационных агентств. Они также опубликовали некоторые электронные письма и документы на DCLeaks и сайте хакера, работающего под псевдонимом Guccifer 2.0. Частные экспертно-криминалистические организации и официальные представители разведывательного сообщества США считают, что следы этих операций ведут в высшие эшелоны российской власти6. Даже если у русских не было возможности повлиять на исход президентской гонки (что само по себе является спорным вопросом), очевидно, что Россия стремилась спровоцировать раскол и, возможно, посеять сомнения в законности самих выборов7. Об этом свидетельствуют и комментарии на сайте Guccifer 2.0 о «прогнившей системе». В принципе, в попытках повлиять на исход выборов нет ничего нового (и США, и СССР практиковали подобные действия в третьих странах во время холодной войны), но оказаться не субъектом, а объектом такого давления — очень непривычно для США8.

Несанкционированное проникновение в фонды Джорджа Сороса «Открытое общество» и обнародование непубличной стороны деятельности Демократической партии показывают, что Россия считает информационные операции важным направлением. Верховный главнокомандующий объединенными вооруженными силами НАТО в Европе генерал Филип Бридлав сообщил, что Россия вкладывает в эту сферу деятельности — кибероперациями она не ограничивается — большие инвестиции. Он заявил, что Россия создала инструментарий, с помощью которого может быть осуществлен «самый удивительный блицкриг в истории информационных войн». И если в прошлом информация, полученная с помощью шпионажа, обычно хранилась в секрете, Россия дала ясно понять, что правила игры изменились9.

Удерживание целей в зоне риска

Отнюдь не все российские кибероперации направлены на сбор информации. Цель наиболее значимых из них — наращивание потенциала наступательных действий в отношении возможных будущих целей, что специалисты по вопросам стратегии иногда называют удерживанием целей в зоне риска. Такие операции и готовность России использовать полученный доступ к информации для деструктивных действий заслуживают самого пристального внимания.

Удерживание ключевых целей в зоне риска — важный элемент многих современных военно-стратегических концепций. Основная идея заключается в том, что в случае начала военных действий или возникновения чрезвычайных обстоятельств у стороны/сторон конфликта есть возможность уничтожить ключевые цели или вывести их из строя — чтобы лишить противника возможности вести боевые действия или переложить на него тяжесть потерь. Если говорить о военных действиях без применения ядерного оружия, многие средства, которые используются для удерживания ключевых целей противника в зоне риска, не требуют развернутой подготовки для поражения каждой отдельной цели; авиаудары или крылатые ракеты можно быстро перенацелить или отложить запуск, пока обстановка не станет более благоприятной и безопасной. Однако операции в киберпространстве устроены по-другому. Получение цифрового доступа к цели и разработка способов воздействия на нее зачастую требуют дополнительного времени. Таким образом, страны, которые хотят обладать уникальными возможностями для нападения, должны начинать вторжение заранее10.

Именно так действует Россия. Она провела целый ряд операций по проникновению в критическую инфраструктуру и другие ключевые цели. С Россией связывают появление на многих ключевых объектах, особенно европейских, следов кода, разработанного на основе хакерской программы и известного как «ЧернаяЭнергия» (BlackEnergy)11. Рассуждая о неких изощренных злоумышленниках, к которым он почти наверняка относит и Россию, директор Агентства национальной безопасности США Майкл Роджерс заявил в сентябре 2015 года, что иностранные государства «не жалеют времени и сил, пытаясь получить доступ к верхним ступеням власти США, а также к прочим жизненно важным объектам инфраструктуры… так они создают для себя возможности и пути, которыми воспользуются, если захотят»12.

Иногда российские хакеры не просто разрабатывают пути проникновения, но и проверяют, как они работают. Приведем для примера два случая, обративших на себя особое внимание. Первый — атака на известный французский телеканал TV5 Monde. Нападение произошло 8 апреля 2015 года, хакеры проникли в ключевые части системы. Их целью были электронная почта и административное управление, а также критически важное оборудование, в том числе то, что кодирует видеосигнал для трансляции. Техникам потребовалось более трех часов, чтобы восстановить, хотя бы частично, вещание, и больше дня, чтобы канал заработал в полном объеме. По оценкам, ущерб составил 5 млн евро. Плюс внедрение новых мер и систем защиты от кибератак — еще несколько миллионов евро в год13.

Второй пример российского вмешательства — кибератака на электроэнергетическую систему Украины. 23 декабря 2015 года Ивано-Франковская область на Западе Украины погрузилась во мрак. Цифровые взломщики перепрограммировали почти 60 размыкателей цепи и подстанций, в результате больше 230 тысяч человек остались без электричества. Затем, точно рассчитав время, злоумышленники начали координированную телефонную атаку («отказ в обслуживании») против самой энергетической компании, чтобы ей было сложнее общаться с потребителями услуг. К тому же хакеры отключили резервные генераторы компании, оставив без света и технический персонал. Электричества не было всего лишь шесть часов: так быстро восстановить его подачу удалось только потому, что энергосистемы на Украине могут функционировать в ручном режиме управления, чего нельзя сказать обо всех энергосистемах США14.

Точно определить, какая именно страна стояла за этими событиями, не удалось, но нам представляется, что российское вмешательство имело место в той или иной степени15. Идентификация в принципе сложная задача, ее еще предстоит решать специалистам по кибербезопасности. Довольно долго считалось, что найти, кто отвечает за подобные операции, невозможно, но это утверждение уже не кажется столь незыблемым. Кроме того, существуют разные степени ответственности или виновности — например, при технической неисправности оборудования, ошибке оператора, политической заинтересованности какого-либо государства и т. д. И даже в последнем случае для таких политических субъектов, как государство, существует разная степень ответственности.

Описанные выше атаки отражают важные характеристики российских операций, цель которых — создать у объекта ощущение уязвимости. Они показали, что мы имеем дело со страной, способной долго и терпеливо разрабатывать важные для нее задачи. В случае французского TV5 Monde злоумышленники вели наблюдение за сетью в течение нескольких месяцев, чтобы получить доступ к программам и разработать программный код, способный нанести огромный ущерб сети телеканала. Оценка последствий причиненного ущерба подтверждает эффективность такого рода операций; он мог бы оказаться гораздо более существенным, если бы в день нападения в помещении телеканала случайно не оказались технические специалисты, благодаря оперативным действиям и профессионализму которых удалось предотвратить гораздо более тяжелые последствия. Как сказал генеральный директор TV5 Monde: «Нас отделяло не более двух часов от полной потери всей телестанции»16.

В украинском случае эффективность операции тоже была обусловлена тщательным сбором технических и прочих сведений об энергосистеме. Подготовка этой операции заняла несколько месяцев. Информация, собранная и проанализированная операторами кибератаки, позволила им действовать целенаправленно и эффективно на ее заключительной стадии. Оценка последствий показывает, что «дело даже не в том, что инструменты для атаки были выбраны удачно, и не высокой квалификации нападавших, а в их умении вести долговременные разведывательные операции, без которых невозможно учесть все факторы и провести синхронизированную многоэтапную и распределенную кибератаку»17.

Кроме того, обе операции были достаточно амбициозными по предполагаемому масштабу. Хакерская атака на TV5 Monde должна была не только вывести из строя ключевые элементы оборудования телеканала, другой целью было попытаться ввести следователей в заблуждение — будто операция была организована не Россией, а другими силами. В день кибератаки ее организаторы отправили сообщения о том, что она была проведена так называемым «Кибер-Халифатом». Поскольку все происходило через несколько месяцев после расстрела сотрудников французского журнала «Шарли Эбдо», кибератака со стороны самопровозглашенного «Исламского государства» (Запрещенная в России организация) могла показаться вполне правдоподобной. И все же, несмотря на эту попытку, следователи в конечном итоге установили, что в деле замешана Россия. Остается неизвестным мотив: возможно, операция была проверкой эффективности такого рода нападений или способности западных разведслужб найти настоящих организаторов18.

Кибератака на украинскую энергосистему примечательна еще и тем, что после нее впервые был опубликован официальный отчет о длительном нарушении энергоснабжения, вызванном кибератакой. Уязвимость электроэнергетических систем давно была предметом теоретических обсуждений, и, на самом деле, взломы уже бывали19. Но российская операция на Украине продемонстрировала, что существуют агенты, которые могут эффективно вывести из строя важнейшие объекты инфраструктуры в другой стране в любое время. Эта демонстрация возможностей делает любые действия, направленные на то, чтобы создать у объекта кибератаки ощущение уязвимости, еще более угрожающими и опасными.

Ни одна из описанных кибератак не дотягивает до статуса полностью интегрированной военной операции. Хотя обе кибератаки были весьма продуманными и амбициозными, их нельзя назвать по-настоящему совместными акциями — тогда бы высокоэффективные кибератаки объединялись с военными усилиями более широкого плана. Остается открытым вопрос, смогла бы Россия в условиях полномасштабного высокотехнологичного вооруженного конфликта интегрировать кибероперации с возможностью регулирования интенсивности поражающих факторов в план боевых действий. Есть свидетельства, что во время вооруженного конфликта с Грузией в 2008 году координация между кибератаками и боевыми действиями в определенной степени осуществлялась, впрочем, эти кибератаки велись профильными специалистами, а не действующей армией20. Но эта информация не дает нам ответа на вопрос, способна ли Россия эффективно объединить кибератаки с другими военными действиями. Обычно за такие операции отвечают разные ведомства, у которых порой разные структуры командования и интересы. Мало преодолеть бюрократические разногласия — проведение совместных киберопераций требует специальных навыков и синхронизации действий. В какой степени русские овладели этими навыками и готовы их применить в вооруженных конфликтах — неизвестно.

Рекомендации

Чтобы укрепить позиции Соединенных Штатов в условиях увеличения масштаба российских киберопераций, необходимо выбрать такой подход, при котором собственные операции США совершенствовались бы по трем направлениям: оборона, обнаружение и сдерживание путем устрашения. При таком подходе у высшего руководства США будет больше уверенности в надежности ключевых сетей; специалистам станет проще оперативно выявлять и предотвращать хакерские атаки со стороны России, если таковые будут иметь место; появится возможность разработать и принять более четкую военную доктрину и оперативно-стратегические планы, направленные на сдерживание России.

Необходимо усовершенствовать стандарт о базовой обороне в отношении как государственных объектов ключевой инфраструктуры, так и частных объектов жизнеобеспечения. Основная задача, которая стоит перед теми, кто занимается защитой сетей, — введение специального кода, программного обеспечения, прошедшего проверку на уязвимость, а также обновление системы безопасности, чтобы свести к минимуму возможность проникновения. В идеале такие действия уменьшат эффективность нападений и позволят обороняющейся стороне сосредоточиться на более опасных угрозах — подобных тем, что могут исходить от России. По всей вероятности, это повлечет замену систем предыдущего поколения, при проектировании которых не учитывалась необходимость максимального повышения безопасности. Что касается федеральных сетей, то конгресс должен санкционировать модернизацию важнейших элементов ИТ-инфраструктуры. В бюджетных запросах, внесенных президентом Бараком Обамой в 2016 году, был ряд инициатив, которые можно принять за отправную точку21.

С обороной связана и проблема обнаружения противника. Чем быстрее удастся обнаружить противника и удалить его из сети, тем меньше будет ущерб от вторжения. Более совершенная система защиты периметра, безусловно, один из основополагающих элементов кибербезопасности, но одной ее недостаточно. И в частном, и в государственном секторах сети необходимо разрабатывать или, если это представляется целесообразным, модернизировать так, чтобы можно было вести наблюдение за всеми происходящими в них событиями и действиями. Когда условия для сетевого наблюдения улучшатся, обороняющаяся сторона должна будет регулярно проводить мониторинг своих сетей для выявления признаков аномальной деятельности, которые могли бы указывать на то, что в сеть проник нарушитель22. Устаревающие системы, вероятно, придется постепенно заменить. Можно начать с предложения президента Обамы о модернизации ИТ в правительственных учреждениях23.

Чтобы поддержать этот курс, администрация США должна увеличить обмен информацией с организациями и лицами, представляющими частный сектор. Первым делом необходимо снять, насколько это возможно, гриф секретности с информации об угрозах, исходящих от хорошо подготовленных агентов зарубежных стран, в том числе российских, и начать обмен такой информацией с соответствующими аналитическими структурами и организациями. Анализ информации об угрозах в сочетании с усовершенствованием сетевой архитектуры помогут решать задачи по обнаружению вредоносной деятельности. Там, где это возможно, администрация США должна увеличить сбор разведывательных данных.

Кроме того, администрация США должна сама проводить или поддерживать широкомасштабные мероприятия по поиску злоумышленников, которые уже проникли в сети американских объектов жизнеобеспечения. Эта задача, скорее всего, потребует сотрудничества между государственными органами и частными компаниями в некоторых отраслях, потому что предполагает выявление фактов проникновения в сети и устранение соответствующих негативных последствий. Цель — максимально ограничить возможности России собирать данные и создавать угрозу ключевым объектам США. Устранение последствий несанкционированного проникновения в сети — сложная задача, она требует большого объема ресурсов, однако решить ее жизненно необходимо.

Последняя рекомендация относится к сдерживанию потенциального противника. Администрация США должна четко обозначить свою позицию и заявить, что киберпреступления не останутся безнаказанными, особенно те операции, которые выходят за рамки принятых норм поведения. Чтобы подтвердить серьезность своих намерений, США должны быть готовы ответить на действия, которые считают неприемлемыми. Однако такой ответ не должен ограничиваться лишь кибероперациями. Действительно, уже существует прецедент ответных действий не по аналогии — речь идет о концепции междоменного сдерживания.

В ответ на такие действия, как взлом компьютеров официальных лиц, участвующих в президентской кампании, и обнародование их личной электронной переписки, компетентные органы США должны быть готовы найти злоумышленников и предъявить им публичное и недвусмысленное обвинение. Министерство юстиции США уже выдвинуло обвинения против китайских и иранских хакеров; в случае необходимости можно использовать этот прецедент и в борьбе с российскими агентами. Подобная публичная огласка в сочетании с возможными ограничениями свободы передвижения (под страхом ареста) в связи с предъявлением обвинения — это сигнал, что США способны идентифицировать хакеров и привлечь их к ответственности за противоправные действия. Заслуживает внимания и практика применения санкций в ответ на хакерские атаки. Распоряжение президента Обамы, подписанное в 2015 году, предоставляет Соединенным Штатам право вводить санкции в отношении других государств за их неправомерные действия в киберпространстве. Что касается России, то против нее уже были введены санкции в связи с конфликтом на Украине, однако за ними могут последовать дополнительные санкции за кибероперации24.

Кроме того, кибероперации могут сыграть роль средства сдерживания и инструмента ответного удара. Правительство США должно рассмотреть возможность разработки нестандартных и действенных методов и средств, чтобы виновная сторона заплатила за свои действия высокую цену. США уже проводили кибероперации против «Исламского государства». При необходимости Вашингтон мог бы использовать эти или иные наработки и против российских объектов. Их основополагающим принципом должна стать концентрация усилий на наиболее уязвимых участках. Один из вариантов — нацелить свои силы и средства на те объекты, которые создают угрозу территориальной целостности сопредельных с Россией и дружественных Западу стран; другой вариант, который может привести к серьезным последствиям для России, — манипулирование Системой технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ). СОРМ — это российский комплекс технических средств и мер, предназначенных для мониторинга интернета и телефонной связи. Конечно, пойти на такие меры будет нелегко, однако нельзя исключать подобную возможность, если того потребует ситуация.

После того как новая администрация начнет свою работу, у нее может возникнуть соблазн выступить с кардинально иными инициативами, противоречащими предыдущей политике. И здесь необходимо проявить терпение. Новой администрации следует без спешки разработать варианты действий, сформулировать четкую позицию по вопросу о том, какие виды деятельности в киберпространстве являются недопустимыми, а также довести до сведения российской стороны, что администрация серьезно относится ко всему, что связано с кибероперациями. В конечном итоге киберугроза со стороны России — серьезная проблема, но не катастрофическая. В ней нет ничего нового или беспрецедентного. Усовершенствование по трем направлениям — системы обороны, средств обнаружения и средств сдерживания противника — способно существенно укрепить позиции США. Этой цели можно достигнуть, тщательно продумав политические решения и инвестиции. Даже если не удастся полностью устранить угрозу со стороны российских операторов, их действиями можно управлять таким образом, чтобы обеспечить защиту интересов США.

Авторы настоящей публикации хотели бы поблагодарить семью Белфер и Фонд Уильяма и Флоры Хьюлетт за поддержку в проведении данного исследования.

Примечания

1 Более полное описание «Лунного лабиринта» представлено в публикации: Rid T. Rise of the Machines. — N. Y.: W. W. Norton, 2016.

2 Sydney J., Freedberg Jr. DNI, NSA Seek Offensive Cyber Clarity; OPM Not an ‘Attack’. — Breaking Defense. — 2015. — September 10 // http://breakingdefense.com/2015/09/clapper-rogers-seek-cyber-clarity-opm-not-an-attack/.

3 Schmidt M., Sanger D. Russian Hackers Read Obama’s Unclassified Emails, Officials Say. — New York Times. — 2015. — April 25; Carter A. Drell Lecture: Rewiring the Pentagon: Charting a New Path on Innovation and Cybersecurity (Stanford University). — Department of Defense. — 2015. — April 23.

4 Tanase S. Satellite Turla: APT Command and Control in the Sky. — SecureList. — 2015. — September 9.

5 Groll E. Turns out You Can’t Trust Russian Hackers Anymore. — Foreign Policy. — 2016. — August 22.

6 Alperovitch D. Bears in the Midst: Intrusion into the Democratic National Committee. — CrowdStrike. — 2016; Rid T. All Signs Point to Russia Being Behind DNC Hack. —VICE. — 2016. — July 25; US Accuses Russia of Political Hacking, War Crimes in Syria. — New York Times. — 2016. — October 7.

7 Entous A., Nakashima E., Miller G. Secret CIA Assessment Says Russia Was Trying to Help Trump Win White House. — Washington Post. — 2016. — December 9.

8 Levin D. H. When the Great Power Gets a Vote: The Effects of Great Power Electoral Interventions on Election Results. — International Studies Quarterly. — 2016.

9 MacFarquhar N. A Powerful Russian Weapon: The Spread of False Stories. — New York Times. — 2016. — August 28.

10 Подробнее см.: The Cybersecurity Dilemma. — Oxford: Oxford University Press, 2017.

11 Fisher D. Sandworm APT Team Found Using Windows Zero Day Vulnerability. — 2014. — October 14; Baumgartner K., Garnaeva M. Be2 Custom Plugins, Router Abuse, and Target Profiles. — SecureList. — 2014. — November 3.

12 Paletta D. NSA Chief Says Cyberattack at Pentagon Was Sophisticated, Persistent. — Wall Street Journal. — 2015. — September 8.

13 Corera G. How France’s TV5 Was Almost Destroyed by ‘Russian Hackers’. — BBC News. — 2016. — October 10.

14 Zetter K. Inside the Cunning, Unprecedented Hack of Ukraine’s Power Grid. — Wired. — 2016. — March 3; Cyber-Attack against Ukrainian Critical Infrastructure. — Industrial Control Systems Emergency Response Team: Department of Homeland Security. — 2016; Lee R., Assante M., Conway T. Analysis of the Cyber Attack on the Ukrainian Power Grid. — Electricity Information Sharing and Analysis Center. — 2016. — March 18.

15 Общее описание этого вопроса представлено в двух публикациях: Healey J. Beyond Attribution: Seeking National Responsibility for Cyber Attacks. — Atlantic Council. — 2011; Rid T., Buchanan B. Attributing Cyber Attacks. — Journal of Strategic Studies. — Vol. 39, № 1. — 2015.

16 Corera. How France’s TV5 Was Almost Destroyed by ‘Russian Hackers’.

17 Lee, Assante, Conway. Analysis of the Cyber Attack on the Ukrainian Power Grid.

18 Corera. How France’s TV5 Was Almost Destroyed by ‘Russian Hackers’. Более подробно о действиях «под чужим флагом» см.: Guerrero-Saade J. A., Bartholomew B. Wave Your False Flags! Deception Tactics Muddying Attribution in Targeted Attacks. — Kaspersky Lab. — 2016. — October.

19 Например, см.: Poulsen K. Slammer Worm Crashed Ohio Nuke Plant Network. — Security Focus. — 2003. — August 19.

20 Overview by the US-CCU of the Cyber Campaign against Georgia in August of 2008. — United States Cyber Consequences Unit. — 2009.

21 Abdollah T. Obama Seeks Cybersecurity Boost to Replace ‘Ancient’ Tech. — Associated Press. — 2016. — February 9.

22 Изложение этой ключевой идеи, известной как «мониторинг безопасности сети», представлено в публикации: Bejtlich R. The Practice of Network Security Monitoring. — No Starch Press. — 2013.

23 Abdollah. Obama Seeks Cybersecurity Boost to Replace ‘Ancient’ Tech.

24 Более подробные сведения о санкциях против России представлены в публикации: Weiss A. S., Nephew R. The Role of Sanctions in U.S.-Russian Relations. — Carnegie Endowment for International Peace. — 2016. — July 11 // http://carnegieendowment.org/2016/07/11/role-of-sanctions-in-u.s.-russian-relations-pub-64056.