Президент правительства Испании Педро Санчес встретился в Киеве со своим украинским коллегой 24 февраля.

Там он объявил о выделении помощи в размере 1 миллиарда евро ежегодно в течение десяти лет для поддержки военных усилий страны. Через два дня после встречи началась кампания кибератак против испанских государственных и корпоративных объектов, которая продолжается до сих пор. Ответственность за вторжения взяли на себя группы российских хакеров, и они являются частью того, что Санчес назвал гибридной войной, которую Москва ведет против стран ЕС. «Этими атаками мы хотим сказать испанскому правительству (sic), чтобы оно прекратило поддерживать Украину. Если этого не произойдет (sic), мы перейдем к правительственным сайтам. А также к крупным компаниям», — опубликовала группа российских хакеров TwoNet в Telegram-канале 3 марта.

Среди жертв, подтвердивших факт атак или чьи вторжения были идентифицированы хакерским сообществом, числятся городские советы, провинциальные советы, советы автономных сообществ и министерства, такие как Министерство внутренних дел, обороны, иностранных дел или интеграции, социального обеспечения и миграции. Национальный криптологический центр (CCN-CERT), Генеральный штаб обороны (EMAD) и Департамент национальной безопасности также подверглись атакам, как и Ла Монклоа, Королевский дом, фонды, такие как Королевский институт Элькано или Cidob, компании, такие как El Corte Inglés или Legálitas, и СМИ, такие как Newtral.

Смешение целей не случайно: сочетаются атаки на системы, предположительно слабо защищенные, такие как городские советы или провинциальные советы, с атаками на наиболее представительные институты суверенной власти (Монклоа, оборона, внутренние дела или CCN). «Эти кибератаки направлены на то, чтобы привлечь внимание и создать ощущение, что мы беззащитны», — утверждает Марселино Мадригал, эксперт по сетям и кибербезопасности.

Большинство кибератак, зарегистрированных за последние три недели (по крайней мере, 70, согласно источникам), — это распределенные атаки типа «отказ в обслуживании» (DDoS), которые заключаются в перегрузке систем путем бомбардировки серверов лавиной запросов. «Как только они падают, злоумышленники делают снимок экрана в качестве доказательства своего успеха и выставляют его как трофей», — отмечает Эрве Ламбер, директор по глобальным операциям Panda Security. Эта разновидность кибератак, имеющая очень низкую техническую сложность, позволяет прервать работу целевых систем, но не удаляет данные. «В целом, мы наблюдали точечные и кратковременные сбои, которые не имели долгосрочных последствий для работы», — отмечают источники в Национальном институте кибербезопасности (Incibe).

Автономные или скоординированные группы?

По меньшей мере семь хакерских групп, связанных с Россией, были идентифицированы как авторы кампании кибератак. Среди наиболее активных — TwoNet или NoName057, но в ней также участвовали и другие, такие как People’s Cyber Army of Russia, Cyber Army of Russia Reborn, KillNet или Z-Pentest. «Хотя это нельзя подтвердить с уверенностью, они, вероятно, так или иначе связаны с российским правительством и его интересами», — уверяет Хосе Роселл, генеральный директор S2Grupo.

Практически невозможно установить происхождение кибератаки, если тот, кто ее совершает, обладает достаточными техническими знаниями и хочет остаться незамеченным. Вот почему многие правительства неофициально прибегают к киберпространству для проведения диверсионных действий. Мало что известно о российских хакерских командах, участвующих в кампании против Испании, помимо их самопровозглашенной приверженности общему делу (защите интересов России) и того, что они общаются друг с другом через Telegram, популярное приложение для обмена мгновенными сообщениями российского происхождения. Они используют этот канал для распространения своих заявлений и указания целей через призывы, к которым могут присоединиться автономные хакеры. Они действуют с начала войны, хотя в последние недели заметно активизировали свою деятельность. «Не стоит преувеличивать значение этих атак, которые являются скорее рутинными. В них сильный пропагандистский компонент», — отмечают источники CCN-CERT в этой газете.

Любопытно, что к этим группам российских хакеров присоединились другие группы различного происхождения, такие как Mr Hamza из Алжира; исламистская хактивистская группа из Малайзии Dxploit или антиизраильская группа Dark Storm, которая на этой неделе взяла на себя ответственность за кибератаку, затронувшую X. «Меня удивляет, что Dark Storm активизировала свою деятельность в Испании на прошлой неделе, как раз в то время, когда это делают российские группы. Очень сложно сказать, является ли это совпадением, оппортунизмом или координацией», — говорит Давид Арройо Гуарденьо, главный исследователь группы кибербезопасности и защиты конфиденциальности CSIC.

К этому коктейлю следует добавить пророссийские группы, расположенные в Испании, которые распространяют заявления хакеров и поддерживают их работу. «Существует много каналов пророссийской дезинформации, которые являются теми же самыми, что и те, кто выступает против повестки дня 2030, участвовали в тракторных протестах или распространяли антивакцинную пропаганду во время пандемии. Кажется очевидным, что это постоянные ячейки, которые стремятся создать шум и дестабилизировать правительство», — предполагает Мадригал.

Гибридная война

«DDoS-атаки раздражают, но не наносят большого ущерба», — отмечает Мадригал. И добавляет: «Эти кампании также используются для зондирования уровня безопасности жертвы для будущих атак». Это как раз одна из неизвестных, окружающих кибератаки, от которых страдает Испания: будет ли их интенсивность уменьшаться со временем или они являются прелюдией к чему-то большему, что еще впереди.

Сосредоточившись в последние дни на аргументации того, почему Испания должна увеличить военные расходы, президент правительства вписал эту кампанию в так называемую гибридную войну, которую Москва ведет против большей части ЕС. «На прошлой неделе у нас была кибератака из России», — признал президент в среду в Хельсинки после встречи со своим финским коллегой Петтери Орпо. «Важно начать основные дебаты [об увеличении военных расходов]», — сказал он.

«DDoS-атаки иногда используются в качестве дымовой завесы, чтобы скрыть более разрушительные операции», — добавляет Ламбер. «Отвлекая внимание технических специалистов на устранение видимого сбоя, злоумышленники могут воспользоваться отвлечением внимания, чтобы проникнуть через другой путь, украсть конфиденциальные данные или внедрить вредоносное ПО [вредоносный код], не будучи обнаруженными».

Эта вторая, более сложная задача, ложится на плечи другой категории хакеров: так называемых продвинутых постоянных угроз (APT), групп, спонсируемых странами, состоящих из профессионалов с возможностями, эквивалентными возможностям секретных служб. «Россия располагает высокотехнологичными группами военного кибершпионажа, такими как APT28 (Fancy Bear) и APT29 (Cozy Bear) – СВР, внешняя разведка, – которые действовали против испанских целей», — добавляет Ламбер. Этот эксперт напоминает, что в 2023 году APT28 была обвинена в проведении фишинговых кампаний (подмена личности с помощью мошеннических сообщений) против компаний испанской оборонной промышленности, таких как Navantia, с целью кражи учетных данных и конфиденциальных технологических данных. Та же группа, согласно сообщениям CNI, в том же году атаковала внутренние сети испанских министерств. Со своей стороны, APT29 также удалось получить доступ в 2023 году к облачным сервисам испанского государственного сектора через скомпрометированные электронные письма, отправленные из посольств.

«Недавние DDoS-атаки в Испании были в основном актом кибервойны низкого уровня и ограниченного воздействия, своего рода видимым возмездием за поддержку Украины. Однако к ним не следует относиться легкомысленно: помимо их пропагандистского и кратковременного разрушительного эффекта, они могут быть верхушкой айсберга более широкой стратегии», — считает Ламбер.