Атрибуция: серьезная проблема для киберсанкций ЕС

• Приписывание кибератак является суверенным актом государств-членов ЕС. Однако все они имеют разные технические и разведывательные возможности. Это приводит к отсутствию последовательности в европейской кибердипломатии, например, при введении киберсанкций.
• Анализ ответных мер политики на киберинциденты со взломом WannaCry, NotPetya, Cloud Hopper, ОЗХО и Бундестага выявил следующие проблемы: атрибуция занимает много времени и зависит от разведывательных данных партнеров по НАТО; технические реалии и юридические факты для классификации и преследования кибератак не всегда совпадают; взвешивание критериев для установления того, что является преступлением, неясно.
• Киберсанкции должны быть соразмерными, целенаправленные меры и деструктивные атаки, такие как WannaCry или NotPetya, должны повлечь за собой более суровое наказание, чем обычные случаи кибершпионажа, такие как Cloud Hopper или взлом Бундестага. ЕС должен соответствующим образом адаптировать свои инструменты.
• ЕС следует ужесточить правовые критерии и гармонизировать стандарты доказывания для установления авторства. Совместное киберподразделение ЕС и EU INTCEN, часть Европейской службы внешних действий, должны быть усилены для улучшения обмена криминалистической информацией и более эффективной координации политики атрибуции.
• Государства-члены ЕС и их союзные партнеры должны лучше координировать политические сигналы для осуждения кибератак. С этой целью имело бы смысл разрешить квалифицированному большинству голосовать за принятие киберсанкций.

Проблемы и рекомендации

Европейский союз впервые ввел так называемые «киберсанкции» против лиц, связанных с правительством России, Северной Кореи и Китая, в июле 2020 года. Меры включают запрет на поездки и замораживание активов. Они применяются в 27 странах ЕС и были приняты в качестве дипломатического или политического ответа на злонамеренные кибероперации против ЕС.

Киберсанкции – это лишь один из распространенных дипломатических инструментов, входящих в набор инструментов кибердипломатии ЕС. Их интенсивность регулируется таким образом, чтобы оставаться ниже порога вооруженного конфликта. С 2017 года государства-члены ЕС используют этот набор инструментов, чтобы попытаться скоординировано реагировать на серьезные кибероперации в рамках Общей внешней политики и политики безопасности (CFSP). Однако демонстрация и реализация пропорционального, последовательного и, прежде всего, юридически обоснованного ответа ЕС на кибератаки является очень сложной задачей.

Дипломатический ответ должен быть последовательным с юридической, технической и политической точек зрения на случай, если включенные в перечень лица оспорят ограничительные меры ЕС (финансовые санкции или ограничения на поездки) в суде. В соответствии со статьей 263 IV Договора о функционировании Европейского Союза (TFEU) объекты таких карательных мер пользуются полной правовой защитой Европейского суда (ECJ).

Если ЕС хочет ввести законные киберсанкции, ему сначала необходимо тщательно и разумно определить происхождение (атрибуцию) кибератак. Однако на уровне ЕС процесс атрибуции, то есть технического, правового и политического определения индивидуальной ответственности за кибератаки, является непоследовательным и отчасти противоречивым. Причины этого многообразны. Присвоение является суверенным актом государств-членов, обладающих различными техническими и разведывательными возможностями.

Роль ЕС заключается только в координации, сборе судебно-медицинских доказательств и обмене разведданными между государствами-членами и институтами ЕС. Учитывая растущее количество и интенсивность атак в киберпространстве и информационном домене (CIR), атрибуция имеет ключевое значение. Также необходимо уметь поддерживать принцип ответственного государственного поведения, который продвигает ЕС.

Таким образом, центральный вопрос, на который пытается ответить это исследование, заключается в следующем: как процесс атрибуции кибератак с правовой, технической и политической точки зрения функционирует в ЕС? Каковы недостатки, нестыковки и противоречия в этом процессе? Каковы последствия принятия ЕС киберсанкций? Какие уроки можно извлечь из анализа исторических случаев применения санкций? В исследовании анализируются пять конкретных кибератак против ЕС (WannaCry 2017, NotPetya 2017, Operation Cloud Hopper 2016, взлом Бундестага 2015 года и атака 2018 года на Организацию по запрещению химического оружия, которая была предотвращена) и обнаруживает:

Во-первых, способность атрибуции ЕС сильно зависит от обмена разведывательными данными с США и Великобританией. В то время как разведывательный альянс «Пять глаз» (состоящий из США, Великобритании, Канады, Австралии и Новой Зеландии) координирует свою атрибуцию, публичное наименование и обличение таким образом, что это оказывает сильное влияние на СМИ, процессы координации в ЕС-27, естественно, медленнее. Между киберинцидентом и введением санкций проходят месяцы, если не годы. Для повышения эффективности подачи политических сигналов необходимо ускорить установление авторских прав и усилить координацию между государствами-членами.

Во-вторых, правовая база, разработанная для киберсанкций ЕС, не всегда отражает технические реалии киберопераций. Критерии, которым должен соответствовать киберинцидент, чтобы оправдать юридические санкции, должны быть отточены. Следует проводить большее различие между успешными атаками и попытками. Преступное намерение и стратегическую мотивацию атак редко можно установить только по техническим показателям. Тем не менее, технические индикаторы являются ключевыми для правовой оценки атаки и последующего обоснования решения о санкциях. Поэтому технические и юридические формулировки должны быть согласованы.

В-третьих, киберинциденты должны быть более четко дифференцированы в соответствии с их интенсивностью и техническими характеристиками, чтобы адаптировать дипломатический ответ ЕС и обеспечить его соразмерность: WannaCry и NotPetya нанесли ущерб на миллиарды долларов по всему миру и могли привести к гораздо более жестким карательным мерам, чем замораживание активов.

В-четвертых, государствам-членам ЕС рекомендуется гармонизировать критерии, необходимые для присвоения санкций. Кроме того, доказательства атрибуции должны быть более прозрачными, не ставя под угрозу доступ к оперативной информации. Все государства-члены должны использовать сопоставимую стандартизированную систему (вероятностный критерий), позволяющую классифицировать ответственность.

Наконец, информация об индикаторах компрометации (IoC), т. е. характеристиках и данных, указывающих на то, что система или сеть была скомпрометирована, должна быть доступна для всех заинтересованных сторон через Совместное киберподразделение в Комиссии ЕС и EU INTCEN в рамках Европейской службы внешних действий (ЕСВД). Оба учреждения должны быть усилены с точки зрения компетенции для улучшения киберразведки.

На этом фоне правительству Германии рекомендуется активно поддерживать инициативу французского председательства по реформированию набора инструментов кибердипломатии ЕС, чтобы в будущем можно было более эффективно противостоять атакам на критически важную инфраструктуру ЕС, цепочки поставок и демократические институты. Это соответствует требованиям для реализации Стратегии кибербезопасности от декабря 2020 года.

Кибердипломатия ЕС и проблема атрибуции

С 2013 года Европейский Союз разрабатывает политику и нормативные меры для реагирования на «злонамеренные» кибероперации, направленные против ЕС из третьих стран (кибербезопасность по закону) [1]. В рамках своей кибердипломатии ЕС выступает за мирное разрешение международных споров и подчеркивает важность «глобального, открытого, свободного, стабильного и безопасного киберпространства» [2]. Эта позиция уже сформировала первую стратегию кибербезопасности в 2013 году и совсем недавно была подтверждена в декабре 2020 года в текущей стратегии [3].

Заявленная цель состоит в том, чтобы поддерживать стабильность, безопасность и преимущества Интернета, а также гарантировать использование информационных и коммуникационных технологий [4]. С тех пор государства-члены ЕС играют ключевую роль в многосторонних форумах, таких как Правительственная группа экспертов и Рабочая группа открытого состава на уровне Организации Объединенных Наций (ООН), в закреплении кибернорм в действующем международном праве, а также в создании и обеспечении соблюдения основанного на правилах международного порядка в киберинформационном пространстве (КИП) [5].

В 2015 году международное сообщество согласилось с тем, что ответ на кибератаки должен быть соразмерным, т. е. что контрреакции узаконены в соответствии с международным правом только в том случае, если атаки имеют определенный масштаб и производят определенные эффекты, т. е. аналогичны по интенсивности вооруженному нападению. Требование соразмерности включает, например, воздержание от киберопераций против критически важных инфраструктур. Активная киберзащита разрешена, если государства не выполняют свои обязательства по должной осмотрительности. Эти нормы определяют действия ЕС [6].

После эффектных киберопераций WannaCry и NotPetya (обе произошли весной 2017 года) усилилось политическое давление с целью принятия мер [7]. WannaCry считается одной из самых масштабных кибератак на сегодняшний день с «жертвами» в более чем 150 странах. NotPetya – одна из самых дорогостоящих и разрушительных атак на сегодняшний день [8].

В июне 2017 года Совет ЕС в решении ОВПБ согласился разработать «рамку дипломатического реагирования» (известную как набор инструментов кибердипломатии), чтобы позволить Союзу продемонстрировать общий, скоординированный дипломатический ответ на серьезные киберинциденты ниже порога вооруженного конфликта. Злоумышленников следует убедить воздерживаться от нападений на ЕС с помощью угроз возмездия («называние и пристыжение»).

Соответственно, в апреле 2018 года Совет объявил, что больше не будет терпеть неправомерное использование информационно-коммуникационных технологий (ИКТ) в «злонамеренных» целях [9]. 17 мая 2019 года режим киберсанкций был дополнен Регламентом (ЕС) 2019/796 об ограничительных мерах против кибератак [10].

В июле 2020 года, спустя годы после первоначальных инцидентов, Совет ЕС ввел киберсанкции против граждан Северной Кореи, Китая и России, считающихся ответственными за WannaCry, Cloud Hopper и NotPetya соответственно [11].

Задержка частично объясняется тем фактом, что определение ответственности за кибератаки является сложной задачей с технической и юридической точек зрения, поскольку для этого требуются возможности ИТ-криминалистики и разведки.

Только несколько государств-членов, включая Швецию, Нидерланды, Эстонию, Австрию, Францию ​​и Германию, обладают такими возможностями установления авторства и политической волей для обмена информацией с другими государствами-членами через EU INTCEN, подразделение анализа разведывательных данных Европейской службы внешних действий (ЕСВД).

Предпосылкой для принятия Брюсселем санкций в ответ на кибератаки является то, что ЕС может правдоподобно доказать виновника и «злонамеренные» действия. Это довольно сложная задача не только из-за децентрализованной структуры киберпространства и информационного пространства, но и из-за различных стартовых условий в государствах-членах и отсутствия аналитических возможностей в ЕСВД или на уровне ЕС.

Атрибуция является центральной проблемой в исследовании киберконфликтов и представляет особую проблему для кибердипломатии ЕС и его режима киберсанкций [12]. Политика безопасности и атрибуция кибератак являются прерогативой государств-членов ЕС. Они неохотно делятся конфиденциальной информацией на уровне ЕС, поскольку это позволяет делать выводы о возможностях национальной киберзащиты.

Обмен разведывательными данными может поставить под угрозу государственные источники и доступ к секретной информации. Коллективный совместный процесс атрибуции происходит лишь время от времени в ЕС: как правило, каждое государство-член присваивает атрибут самостоятельно.

ЕС просто пытается объединить соответствующую информацию и координировать политический ответ на кибератаки. Это обстоятельство затрудняет совместные действия государств-членов по выявлению и осуждению злоумышленников в рамках кибердипломатии ЕС. Тем не менее, скоординированная атрибуция между государствами-членами и институтами ЕС является необходимой предпосылкой для активации системы дипломатического реагирования и санкций ЕС.

Фрагментированный процесс атрибуции ослабляет доверие, легитимность и эффективность кибердипломатии ЕС. Одним из следствий является отсутствие согласованности в мерах: российские разведчики, которые подверглись киберсанкциям в виде запрета на поездки и замораживания активов в 2020 году, уже подверглись таким же ограничительным мерам в рамках другого режима санкций ЕС несколькими годами ранее. Таким образом, меры дублировали друг друга и не имели дополнительного эффекта [13].

Более того, помимо избыточности этого шага, возникает вопрос, в какой степени ограничения на поездки и заморозка счетов действительно оказывают сдерживающее воздействие на агрессоров или в конечном счете являются лишь символической политикой [14]. Более того, эффективность и легитимность киберсанкций пострадают, если правительства государств-членов не поддержат публичное осуждение виновных в кибератаках.

Каждое правительство должно решить, поддержит ли оно авторство, опубликованное другими государствами ЕС, будь то посредством дипломатии или средств массовой информации. Например, только 6 из 27 государств ЕС подтвердили санкции 2020 года против России в правительственных или дипломатических заявлениях [15]. Хотя Германия помогла ввести киберсанкции на уровне ЕС после взлома Бундестага в 2015 году, правительство Германии не спешило публично осуждать преступников. Эта половинчатость излишне снижает сигнальный эффект киберсанкций.

Учитывая требование единогласия в Совете, отсутствие согласованности снижает воздействие карательных мер. В результате кибер-злоумышленники в настоящее время недостаточно сдерживаются от совершения атак [16]. Право вето и полифония государств-членов также наносят ущерб внешнеполитическому авторитету европейцев и в международной кибердипломатии. В результате государства ЕС подрывают принцип «должной осмотрительности», согласованный в рамках ООН.

ЕС и правительство Франции объявили, что они оценят набор инструментов кибердипломатии, включая киберсанкции, в ходе предстоящего председательства в Совете. Когда ЕС вводит санкции, он должен соблюдать минимальные стандарты верховенства права по отношению к заинтересованным лицам. Это сопровождается качественными требованиями к атрибуции.

В следующих разделах этого исследования будет изложена безотлагательность реформирования структуры дипломатического реагирования и определены отправные точки для ее изменения. С этой целью сначала будут рассмотрены киберинциденты, которые впервые привели к запуску режима киберсанкций на уровне ЕС в 2020 году, а именно взлом Бундестага 2015 года, WannaCry, NotPetya (оба 2017 года), атака на Организацию по запрещению химического оружия (ОЗХО) и операция Cloud Hopper.

Основное внимание уделяется тому, насколько последовательно ЕС классифицировал эти атаки с технической, правовой и политической точек зрения. Однако в документе не анализируются оперативные процедуры атрибуции между органами безопасности, обмен информацией и знаниями между ними, а также эффективность режима санкций с точки зрения его воздействия на цели.

Политика атрибуции

Атрибуция описывает процесс возложения ответственности за кибератаку на субъект. Ключевой вопрос: кто это сделал [17]? Надежность атрибуции меняется с течением времени, поскольку знания о киберинциденте постепенно увеличиваются, а неопределенность в отношении ответственности потенциально уменьшается. Чем больше времени и аналитических навыков доступно, тем больше уверенность в атрибуции. Процесс имеет три уровня: технический, юридический и политический (см. рис. 1, стр. 11). Они основаны друг на друге, но иногда их цели противоречат друг другу:

Сочетание этих трех уровней можно определить как политику атрибуции. Имеется в виду процесс технико-правовой классификации и публичного (не)названия виновных в кибератаке, а также инициирование контрмер.

После киберинцидента первым шагом является техническая атрибуция. Это включает в себя использование ИТ-криминалистики для оценки технических артефактов и доказательств, таких как сетевые журналы или следы вредоносного ПО (известные как индикаторы компрометации, IoC) на компьютерах, затронутых атакой. Они сравниваются с инструментами, методами/тактикой и процедурами (TTP) прошлых инцидентов, а затем сопоставляются друг с другом. Исходя из этого, можно генерировать конкурирующие гипотезы о злоумышленниках, подобно тому, как это происходит в уголовных расследованиях. Проще говоря, цель технической атрибуции – собрать информацию о действиях злоумышленника («знание злоумышленника»). Этот процесс носит тактический характер, поскольку трудно вывести стратегическую или политическую мотивацию киберинцидента из простых сетевых артефактов [18].

Также сложно однозначно ответить на «общественно-политический вопрос» о том, кто сидел за компьютером и от чьего имени действовал злоумышленник. Повторное использование вредоносного ПО среди различных групп хакеров – обычное явление. Поэтому один только технический анализ не может дать прямого ответа, кто стоит за атакой. Технические признаки, такие как настройки системного языка, могут дать подсказку, но они также могут быть преднамеренными ложными флагами [19].

В ходе процессов правовой и политической атрибуции, которые не всегда четко различимы, атакуемое государство пытается ответить на более существенные вопросы: Какое лицо или организация несет ответственность за взлом? Кто отдал на это приказ? Какова была стратегическая или политическая мотивация операции?

Здесь внимание уделяется уже не чисто техническим показателям, а также политическим факторам, таким как стратегии национальной безопасности и геополитический контекст [20]. Основным элементом политической атрибуции является «название и пристыжение» нападавшего либо на двусторонней основе по закрытым дипломатическим каналам, либо публично с целью разоблачения агрессора. Целью этой политической атрибуции является то, что преступник пересмотрит свое поведение и воздержится от будущих нападений. Таким образом, политическая атрибуция может также быть публичной атрибуцией, например, совместно с союзниками и партнерами, с целью укрепления легитимности осуждения преступника перед международной общественностью.

Однако государство может также намеренно воздерживаться от публичного указания авторства, если это не кажется уместным в преобладающих политических обстоятельствах, например, во время политического кризиса, если доказательств недостаточно или если его собственные источники находятся под угрозой компрометации [21].

Более того, государству, которое занимается публичным осуждением, возможно, придется считаться с контрмерами, такими как санкции. Таким образом, политическая атрибуция всегда имеет место в контексте международных отношений и динамики власти. Политическая атрибуция часто требует «вынесения суждения», потому что технические индикаторы не ясны. Таким образом, политическая атрибуция направлена ​​не только на то, чтобы узнать, кто является агрессором, но и на то, чтобы назвать его.

Юридическая атрибуция важна и необходима, если целью является законный политический ответ на киберинциденты. Юридическая атрибуция описывает возложение уголовной вины или обвинения. Политическое присвоение и юридическое присвоение ответственности формально являются разными действиями в соответствии с международным правом [22]. Важно различать индивидуальную и государственную ответственность [23].

Необходимым предварительным условием любого юридического возложения ответственности является юридическая квалификация инцидента: киберпреступность должна рассматриваться в соответствии с другими правовыми нормами, чем преступление по международному праву. Киберпреступность допускает индивидуальные санкции, в то время как действие, нарушающее международное право, может также узаконить коллективно эффективные ограничительные меры при точно определенных обстоятельствах.

Киберпреступность, в свою очередь, также следует отличать от кибершпионажа, который не запрещен международным правом, но может наказываться в индивидуальном порядке в соответствии с уголовным законодательством. А это, в свою очередь, следует отличать от кибератак, переступающих порог вооруженного нападения, которые являются незаконными по международному праву в соответствии со статьей 2.4 Устава ООН. Последнее может даже привести в действие право на самооборону в соответствии со статьей 51 Устава ООН и оправдать применение ответных военных действий.

Адекватный и соразмерный юридический ответ на кибератаки требует подробных технических и политических компетенций для классификации инцидентов. Государства могут юридически оценивать один и тот же кибер-инцидент по-разному в зависимости от своих возможностей по обнаружению и расследованию, например, классифицируя один и тот же инцидент либо как киберпреступление, либо как тайную шпионскую операцию.

Кроме того, в зависимости от классификации существуют также различные требования к стандартам доказывания. Юридическая атрибуция также направлена ​​на то, чтобы привлечь к ответственности людей, стоящих за машиной, с помощью механизмов правоохранительных органов. Применяются более высокие стандарты доказательств, чем в политическом процессе называния и осуждения. Доказательства должны иметь силу в суде, что делает источники информации ограниченными.

Соответственно, процессы политической и правовой атрибуции не обязательно протекают синхронно, и иногда между ними отсутствует последовательность. Например, на ранних стадиях после кибератаки, когда неопределенность высока, а доказательств по‑прежнему мало, лицо может быть ложно привлечено к публичной ответственности только для того, чтобы на более позднем этапе в ходе судебного разбирательства было обнаружено, что это была операция под чужим флагом.

Одним из примеров этого является кибератака на французскую телекомпанию TV5 Monde в 2015 году, которая первоначально была приписана Исламскому государству (ИГ) (запрещено в РФ – прим. ред.) в контексте терактов, но позже была классифицирована как операция под ложным флагом России [24].

Исполнительная и судебная власти могут прийти к разным выводам при классификации одного и того же инцидента. Актор может быть признан ответственным, потому что это кажется политически удобным, а технические и юридические доказательства говорят о другом («политизация разведки»). Учитывая все эти необъяснимые вещи, становится ясно, насколько важно выработать общее понимание того, что подразумевается под серьезной кибератакой. Это существенный вызов для кибердипломатии ЕС. Поэтому необходима тесная координация приписывающих организаций на государственном уровне (службы разведки, правоохранительные органы), а также на наднациональном и межгосударственном уровне.

Что такое серьезная кибератака против ЕС?

В своем Регламенте от 17 мая 2019 года (статья 1(1) Регламента) ЕС определяет серьезную кибератаку как внешнюю угрозу для Союза или его государств-членов со значительным или потенциально значительным воздействием [25].

Внешняя угроза для государств-членов возникает, если кибератаки осуществляются против критически важных инфраструктур, услуг или государственных учреждений и процессов, которые необходимы для поддержания важных социальных функций или здоровья, безопасности и благополучия населения, в частности, в области энергетики, транспорта, банковского дела, здравоохранения, питьевого водоснабжения или цифровой инфраструктуры (статья 1(4) Регламента).

Кибератака (или попытка кибератаки) описывает любое действие, связанное с доступом к информационным и коммуникационным системам или вмешательством в их работу. Информационные системы – это системы автоматической обработки цифровых данных; такая система классифицируется как подвергшаяся вмешательству, если ее работа затруднена или нарушена в результате повреждения, удаления, изменения, подавления или передачи цифровых данных.

Однако кибератаки также происходят при вмешательстве в данные или их перехвате. Поэтому хищение данных, средств, экономических ресурсов или интеллектуальной собственности, например, также классифицируется как кибератаки (статья 1(3) и (7) Регламента). Оказывает ли кибератака (потенциально) значительное воздействие, определяется, среди прочего, масштабом, размахом, эффектом или серьезностью (попытки) нарушения экономической и социальной деятельности, размером материального ущерба и экономической выгодой, полученной правонарушителями, а также по количеству и типу украденных данных, к которым был получен доступ (статья 2 Регламента).

В таблице 1 (стр. 12f) представлен обзор правовых характеристик, используемых для классификации кибератак. С помощью этих фактических характеристик ЕС определяет запрещенное поведение и определяет, каким характеристикам должен соответствовать кибер-инцидент в соответствии с законодательством ЕС, чтобы вызвать определенные юридические последствия.

Какие институты и процедуры определяют атрибуцию?

Общий принцип права (Общий принцип, ст. 38, п. 1с Статута МС) гласит, что каждое государство обязано не допускать сознательного использования своей территории для действий, нарушающих права других государств [26]. В соответствии с этими принципами каждое государство-член может свободно выбирать свой собственный метод и процедуру присвоения. Хотя политическая атрибуция остается суверенным актом государств-членов, в то же время ЕС выполняет важную координирующую функцию. Четкой иерархии в «цепочке подчинения» нет [27]. Таким образом, с институциональной точки зрения присвоение является параллельным процессом, осуществляемым Комиссией, Советом и Европолом в координации с 27 государствами-членами (см. рис. 2, стр. 15).

Комиссия установила принципы действий ЕС, которыми также руководствуются другие институты ЕС. В сентябре 2017 года она подготовила план скоординированного реагирования на крупномасштабные трансграничные инциденты в области кибербезопасности [28]. Руководящими принципами являются соблюдение пропорциональности, субсидиарности, взаимодополняемости и конфиденциальности информации при политическом реагировании на кибератаки [29].

В своем проекте Комиссия ЕС сосредоточилась на создании устойчивой структуры ИКТ, защите единого рынка и реализации процесса реагирования на киберкризисы. Этот так называемый механизм проекта и создание Объединенного киберподразделения работают параллельно с антикризисным управлением ОВПБ. Расходящиеся институциональные интересы вполне могут усугубить существующие противоречия и несоответствия, но уже становится очевидным, что ЕСВД, Ячейка гибридного синтеза в INTCEN ЕС, переросла свою роль. Государства-члены осознают, что обмен информацией о киберинцидентах приносит коллективную пользу. ЕСВД делится информацией о доктринах ведения кибервойны третьих стран.

Структура совместного дипломатического реагирования на злонамеренную кибердеятельность вступает в силу, когда Совет соглашается с существованием внешней угрозы (см. рис. 2, стр. 15).

Каждое государство-член может представить предложение об активации конкретной меры или шага по эскалации из набора инструментов кибердипломатии. Подготовку решения Совета осуществляют Комитет по политике и безопасности (PSC), Горизонтальная рабочая группа по кибервопросам (HWPCI или HWP Cyber), Председатель Комиссии и ее заместители, а также Верховный представитель по иностранным делам и Политика безопасности (см. рис. 2, в центре).

Кибератаки обсуждаются и управляются Горизонтальной рабочей группой, техническим органом ЕС, который координирует действия государств-членов ЕС. Группа получает доказательства, которые исследуются и проверяются правоохранительными органами и спецслужбами государств-членов в сотрудничестве с группами реагирования на инциденты компьютерной безопасности (CSIRT), Европейским центром киберпреступности (EC3), Агентством Европейского Союза по кибербезопасности. (ENISA) или Группе реагирования на компьютерные чрезвычайные ситуации ЕС (CERT-EU) (см. рис. 2, вверху справа).

ЕСВД объединяет собранную информацию (рис. 2 слева). Здесь ответственность лежит на заместителе Генерального секретаря по реагированию на кризисы, Едином потенциале анализа разведывательных данных (SIAC, который, в свою очередь, состоит из представителей EU INTCEN и Разведывательного отдела военного штаба ЕС, EUMS INT) и Гибридной угрозе блок-анализа (гибридная термоядерная ячейка ЕС) [30].

Координационным центром для совместного реагирования является Европейский центр киберпреступности Европола (EC3). О серьезных киберинцидентах следует сообщать в Европол. Высший полицейский орган ЕС окончательно выявляет, оценивает и классифицирует киберинциденты в соответствии с матрицей угроз [31].

Информация для оценки угрозы и потенциального ущерба собирается через государства-члены. В Совете Президиум Совета (который также является председателем Горизонтальной рабочей группы по кибервопросам [HWPCI]) или Комитет постоянных представителей (Coreper) занимается инцидентами кибербезопасности. Его поддерживает Генеральный секретариат Совета или Комитет по политике и безопасности (PSC, диаграмма 2, в центре справа). На рабочем уровне HWP Cyber ​​является центральным органом по атрибуции [32].

Именно здесь, в частности – с помощью юридического отдела, анализируется фактологический правовой аспект и достоверность информации. Последнее всегда требует отправки запроса в INTCEN/SIAC. Классификация киберинцидентов следует лингвистически определенному коду (вероятностному критерию). Государства-члены используют сопоставимую стандартизированную систему только для того, чтобы иметь возможность классифицировать заявления, которые не были доказаны судебно-медицинскими экспертизами. Для HWP Cyber ​​целью политической атрибуции является достижение общей осведомленности о ситуации. Готовность государств-членов участвовать в этом процессе возросла с увеличением количества общедоступных криминалистических индикаторов компрометации (IoC). Они часто документируются частными фирмами по анализу безопасности и широко доступны.

Всеобъемлющая разведка, общедоступная информация, в том числе информация о возможных мотивах злоумышленника, а также технические индикаторы являются ключевыми доказательствами, позволяющими применять киберсанкции. Доказательства также могут иметь основополагающее значение для расследований в рамках уголовного судопроизводства [33].

На уровне ЕС Комитет постоянных представителей (Coreper II) принимает решение о необходимости проведения дальнейших расследований или о том, может ли Совет налагать санкции. Согласно статье 31(1) Договора о Европейском Союзе (TEU), решения должны приниматься Советом единогласно. Физические или юридические лица, организации или органы, ответственные за это, могут быть затем включены в исполнительный регламент, т. е. включены в санкционный список [34].

Решение Совета по ОВПБ не является законодательным актом, но исполнительные решения и постановления Совета имеют обязательную силу в соответствии со статьей 28(2) TEU о киберсанкциях [35].

Набор инструментов кибердипломатии: пошаговый план

Европейский совет или Совет по иностранным делам договариваются об атрибуции и несут ответственность за реагирование на кибератаки. Репертуар мер в наборе инструментов кибердипломатии во многом совпадает с классическим набором инструментов ОВПБ. Однако первый разработан как конкретный пошаговый план с возрастающим потенциалом эскалации. Необходимым предварительным условием для этого является приписывание кибератаки виновнику. Каждый отдельный уровень эскалации с соответствующей реакцией, будь то дипломатическая, политическая или соответствующая международному праву, требует единогласного решения Совета (см. Таблицу 2, стр. 18).

В кибердипломатии можно использовать широкий спектр инструментов ОВПБ.

Инструменты ОВПБ, используемые в кибердипломатии, варьируются от превентивных, совместных, стабилизирующих и ограничительных мер до карательных мер в целях самообороны в соответствии с международным правом. Интенсивность и масштабы возможного реагирования на кибератаки соответственно увеличиваются [36]. Инструментарий кибердипломатии ЕС и киберсанкции, таким образом, выполняют функцию «сигнализации» и «называния и пристыжения». Таким образом, ожидаемая дипломатическая контрреакция ЕС прозрачна для каждого уровня эскалации [37].

Потенциальных злоумышленников следует сдерживать от злонамеренных действий угрозой правовых, экономических и военных санкций:

«Санкции являются одним из вариантов, доступных в рамках Союза для совместного дипломатического ответа на злонамеренную кибердеятельность (так называемый набор инструментов кибердипломатии), и предназначены для предотвращения, препятствования, сдерживания и реагирования на продолжающееся и усиливающееся злонамеренное поведение в киберпространстве» [38].

Таким образом, в зависимости от серьезности киберинцидента из набора инструментов можно взять индивидуальный дипломатический и/или соответствующий ответ в соответствии с международным правом. В то время как превентивные и совместные меры во многом аналогичны классическим инструментам дипломатического посредничества, стабилизирующие и ограничительные меры направлены на конкретное предотвращение угроз. Ответ в соответствии с международным правом решается автономно главами государств и правительств ЕС.

Эта классификация помогает сделать действия ЕС более предсказуемыми и, следовательно, более надежными для третьих сторон.

Профилактические меры малоинтенсивны и не обязательно требуют атрибуции. В эту категорию входят форматы политического диалога с третьими странами. Они призваны влиять на поведение и позицию партнеров путем обмена информацией и углубления сотрудничества.

Меры сотрудничества включают, например, демарши ЕС, то есть дипломатические ноты протеста, которые могут быть представлены делегацией ЕС в соответствующей принимающей стране по указанию Высокого представителя (ВП). Демарши также могут быть сделаны совместно с третьими странами.

Стабилизирующие меры: Совет единогласно соглашается с действиями или общей позицией ЕС. Осуществление стабилизирующих мер требует единогласного решения. Однако статья 31 (2) TEU позволяет принимать решения на основе квалифицированного большинства, если только меры не имеют военных или оборонных последствий. Это может открыть возможность для принятия соответствующих решений в сфере кибердипломатии. Однако пока этот вариант не используется. Более слабый сигнал может быть подан HR от имени ЕС путем публикации декларации, на которую Совет должен дать свое предварительное согласие. Заявление HR «от имени ЕС» обычно делается в тех случаях, когда необходимо разработать позицию ЕС в свете новой ситуации или когда необходимо адаптировать существующую позицию. Однако HR также может сделать заявление под свою ответственность, если требуется быстрая реакция, а координация в рамках ЕС-27 невозможна. Однако в международной дипломатии другие государства обычно замечают, все ли члены ЕС согласились с декларацией.

Ограничительные меры: ЕС может ввести ограничительные меры для обеспечения соблюдения целей политики в результате серьезных кибератак. Такие санкции в настоящее время представляют собой наивысший уровень эскалации ниже порога вооруженного конфликта. Они являются, так сказать, «молотком» в наборе инструментов ЕС (и также именуются таковыми), поскольку предназначены для болезненного экономического воздействия на сторонних акторов. Ограничительные меры обычно направлены против представителей правительств некоторых третьих стран, а также против государственных компаний или других юридических и физических лиц. Они должны быть приняты Советом единогласно и соответствовать целям ОВПБ, изложенным в статье 24 TEU.

В ЕС, как правило, санкции всегда должны носить адресный характер (адресные санкции) [39]. Широкие торговые эмбарго в прошлом доказали свою неэффективность и могут нанести ущерб гражданскому обществу. Поэтому ЕС обычно вводит целенаправленные меры, такие как замораживание активов и запреты на поездки и инвестиции, в ответ на злонамеренные действия в киберпространстве и информационном пространстве [40].

Списки физических лиц и компаний, замораживание активов или ограничения на въезд применяются во всех государствах-членах. В принципе, лица, против которых наложены санкции, имеют возможность обратиться в суд. Правовая защита от внесения в список с помощью имплементационного постановления существует через иск об аннулировании в соответствии со статьей 263 IV TFEU в Европейском суде (ECJ).

Ограничительные меры в рамках ОВПБ являются наиболее инвазивным инструментом, доступным в наборе инструментов кибердипломатии ниже порога вооруженного конфликта. Однако существует значительный разрыв в наборе инструментов между средствами, доступными для гражданского разрешения конфликта, и средствами, доступными для военного разрешения конфликта как самого высокого уровня эскалации.

Реагирование в соответствии с международным правом: применение положений о солидарности и взаимной помощи, которые стали частью acquis ЕС только с Лиссабонским договором, также является вариантом в случае серьезной кибератаки против государства-члена или всего ЕС. Положение о солидарности в статье 222 ДФЕС предусматривает, что государства ЕС должны помогать друг другу, если одно или несколько из них стали жертвами террористических атак, природных или техногенных катастроф, а значит, и серьезных киберинцидентов.

Самым сильным средством реагирования было бы активировать положение о взаимной помощи в соответствии со статьей 42 (7) TEU. Это положение примерно соответствует статье 5 Договора о НАТО, но является дополнительным по отношению к членам НАТО. В частности, это означает, что «в случае вооруженного нападения на территорию государства-члена» другие государства-члены должны оказать помощь в соответствии со статьей 51 Устава ООН (право на самооборону) [41]. Оба пункта могут применяться только в случае кибератак, которые представляют собой нарушение запрета на применение силы (статья 2.4 Устава ООН) как jus cogens.

Однако право на военную самооборону от кибератак сопряжено с высокими требованиями: с одной стороны, кибероперация должна быть сравнима с применением вооруженной силы по масштабу и эффекту, чтобы быть классифицированной как таковая. Кроме того, операция должна быть прямо или косвенно приписана государству или должна быть возможность доказать его ответственность (в суде).

Киберсанкции не обязательно должны ограничиваться обычными инструментами Общей внешней политики и политики безопасности или Общей политики безопасности и обороны ЕС, описанными выше. Самозащита также может осуществляться в киберпространстве и информационном домене [42].

В качестве последнего средства в наборе инструментов главы государств и правительств в Совете имеют возможность принять решение об «активной» киберзащите в форме цифрового ответного удара («взломать»). Реактивные оборонительные киберконтратаки или собственные кибероперации в третьих странах возможны при определенных условиях, например, в целях безопасности. Однако в настоящее время только небольшое число государств-членов имеют технические возможности для их выполнения.

Кибероперации в зарубежных сетях в мирное время могут представлять собой нарушение суверенитета. Всегда существует риск причинения значительного побочного ущерба невиновным третьим лицам. Это также противоречит киберстратегии ЕС, которая направлена ​​на предотвращение конфликтов, а не на их эскалацию, на смягчение, а не на использование небезопасности ИТ, а также на меры по укреплению доверия и безопасности и также кибердипломатию, узаконенную верховенством права и подкрепленную международным правом [43].

Практические примеры: киберсанкции ЕС и их атрибуция

Кибератаки WannaCry 2017, NotPetya 2017, Operation Cloud Hopper 2017, взлом Бундестага в 2015-м и попытка атаки на Организацию по запрещению химического оружия (ОЗХО) 2018 послужили основанием для введения первого режима киберсанкций ЕС Советом Евросоюз в июле 2020 года. В мае 2019 года Совет уже классифицировал эти случаи как злонамеренные кибератаки, оказывающие значительное влияние на безопасность Союза и его государств-членов [44].

Европейская комиссия и Верховный представитель обосновали принятие киберсанкций на основе гибридной совокупности угроз для Союза [45]. Вышеупомянутые дела рассматриваются ниже с целью понимания технических, политических и правовых аспектов процесса присвоения прав ЕС. Проведенный анализ основан на элементах, определенных в Регламенте Совета (ЕС) 2019/796 и Решении Совета (CFSP) 2019/797 (см. выше, Таблица 1, стр. 12) [46].

Далее расхождения между юридически необходимой и политически достаточной атрибуцией проиллюстрированы на примере первого режима киберсанкций и киберинцидентов, на которых он основан.

WannaCry 2017

Кибератака WannaCry началась 12 мая 2017 года и продолжалась всего несколько дней. WannaCry – это программа-вымогатель. Программа-вымогатель шифрует целевые системы и делает их недоступными. Данные недоступны пользователю до тех пор, пока не будет выплачен выкуп, обычно в биткойнах [47]. Вредоносное ПО распространялось независимо, как червь, на уязвимых целевых системах [48].

Этот метод заражения был основан на эксплойте кибератаки, ранее украденном у Агентства национальной безопасности США (АНБ) под названием EternalBlue. Эта же уязвимость также использовалась в атаке NotPetya и в китайских кампаниях APT (расширенная постоянная угроза) [49].

EternalBlue использовала ошибочную реализацию протокола SMB от Microsoft для доступа к файлам и принтерам на других машинах в той же сети. Это позволяло вредоносной программе переходить с компьютера на компьютер без взаимодействия с пользователем. Так продолжалось до тех пор, пока Microsoft не могла закрыть уязвимости в своей операционной системе Windows с помощью исправлений [50].

Жертвы, повреждения и цель операции

По сообщениям СМИ, около 230 000 компьютеров примерно в 150 странах пострадали от атаки WannaCry, включая страны-члены ЕС. Способность WannaCry к червям позволяла ему бесконтрольно распространяться, что приводило к многочисленным побочным эффектам. За расшифровку данных был выплачен выкуп в размере около 35 000 долларов США. Общий ущерб оценивается примерно в четыре миллиарда долларов США [51].

Жертвами атаки стали такие компании, как Télefonica и O2 (Испания и ЕС), DB Schenker (дочерняя компания Deutsche Bahn), FedEX (США), Renault (Франция), Nissan в Великобритании, Sony Pictures (США), телекоммуникационные компании Vivo (Бразилия) и «МегаФон» (Россия), Sandvik (Швеция), PetroChina и китайские АЗС. Также пострадали Banco Bilbao Vizcaya Argentaria (Испания), «Бангладеш Банк», Tien Phong Bank (Вьетнам) [52], МВД России, МИД Румынии и Управление финансового надзора Польши [53].

Национальная служба здравоохранения Великобритании (NHS) и многочисленные британские больницы были вынуждены приостановить свою деятельность [54]. Ущерб в Великобритании оценивается примерно в 92 миллиона фунтов стерлингов. Пришлось отменить более 19 000 процедур. Таким образом, нападение повлияло на здоровье и жизнь пациентов [55]. Билетные автоматы Deutsche Bahn вышли из строя, и на многочисленных досках объявлений появились шантажирующие сообщения [56].

Стратегическую цель операции определить довольно сложно. Природа червя, использование эксплойта АНБ, встроенный «переключатель уничтожения» через доменное имя, которое можно извлечь из вредоносного кода, и необходимость вручную расшифровывать зараженные компьютеры – все это говорит о том, что WannaCry задумывался как незначительное нарушение и создание конфликта с АНБ.

Тот факт, что атака была относительно любительской, несовместим с профессиональной кампанией по вымогательству и предполагает, что мотивация не была криминальной:

«Большой ущерб, высокая огласка, очень высокая видимость для правоохранительных органов и, вероятно, самая низкая прибыль, которую мы видели от умеренных или даже небольших кампаний по вымогательству», – сказал исследователь кибербезопасности Крейг Уильямс в своем анализе атаки [57].

Были также подозрения, что атака могла быть отвлекающим маневром, чтобы прикрыть другие шпионские операции или разоблачить операции АНБ. WannaCry также могла быть «последней мерой», т. е. мерой, направленной на то, чтобы извлечь выгоду из ранее раскрытой кибероперации до того, как уязвимость станет бесполезной [58].

Атрибуция нападавших

В июне 2017 года, всего через два месяца после WannaCry, АНБ и разведывательное управление правительственной связи Великобритании (GCHQ) заявили с «умеренной уверенностью», что северокорейское «Главное разведывательное бюро» было связано с кибератакой WannaCry [59].

Публичное признание Северной Кореи правительствами Великобритании и США произошло шесть месяцев спустя, 18 декабря 2017 года. США не сразу ввели санкции [60].

Национальный центр кибербезопасности Великобритании (NCSC) заявил, что существует «высокая вероятность» того, что ответственность за атаки несет северокорейская группировка Lazarus или «APT 38». Разведывательный альянс «Пять глаз» (Великобритания, США, Австралия, Новая Зеландия, Канада) и Япония поддержали это решение. Участвующие правительства не предоставили никаких конкретных доказательств, вместо этого подсказки исходили от индустрии кибербезопасности. Эми Л. Джонсон из Symantec связалась с APT-группой Lazarus несколькими месяцами ранее, в конце мая 2017 года [61].

С другой стороны, исследователи безопасности Рафаэль Амадо и Паскуале Стирпаро не подозревали, что WannaCry возникла в Северной Корее [62]. Также в мае 2017 года охранная фирма Symantec обнаружила более ранние версии WannaCry, циркулирующие в Интернете, которые, как считается, были результатом тестов вредоносного ПО. Они имели сходство с инструментами, методами/тактикой и процедурами Lazarus Group (TTP) [63].

Компоненты WannaCry представляли собой эволюцию кибероперации 2014 года против Sony Pictures. Одни и те же пароли к zip-файлам использовались в WannaCry и при взломе Sony. Это указывает на то, что вредоносное ПО было написано той же группой [64]. Кроме того, биткойн-счета кампаний были схожими, что предполагает одного и того же создателя [65].

IP-адреса серверов управления и контроля (C2) и использование схожих методов шифрования для безопасной связи также подтверждали идею о том, что это была одна и та же группа действующих лиц. Примерно год спустя, в сентябре 2018 года, правительство США предъявило обвинения разработчикам программного обеспечения Пак Джин Хёку, Джону Чан Хёку и Ким Иру, сотрудникам компании электронной коммерции Chosun Expo. Компания принадлежит северокорейскому государству [66]. TTP Lazarus содержали ссылки на учетные записи пользователей, фальшивые онлайн-идентификации (фальшивые онлайн-персонажи), пароли, повторно используемые коды программного обеспечения и IP-адреса, которые принадлежали или могли быть отнесены к Chosun Expo [67].

Ответ ЕС на WannaCry

16 апреля 2018 года Совет опубликовал выводы, осуждающие злонамеренное использование информационных и коммуникационных технологий в виде атак WannaCry и NotPetya. Однако только в конце июля 2020 года он наложил экономические санкции на компанию Chosun Expo [68] на основании Исполнительного указа 2020/1125 [69].

Эти адресные санкции («умные санкции») предусматривали замораживание всех средств и экономических ресурсов, находящихся в собственности, во владении или под контролем физических или юридических лиц, организаций или органов. Никакие средства или экономические ресурсы не должны были предоставляться, прямо или косвенно, лицам, организациям или органам, находящимся под санкциями.

Возложению ответственности на Lazarus/APT38 предшествовали тщательно продуманные дипломатические усилия. Атрибуция была основана преимущественно на информации от служб безопасности США. Обвинение против Пак Чжин Хёка – по данным Министерства юстиции США [70], сотрудника подставной компании на службе правительства Северной Кореи – было основано на примерно 1000 изъятых учетных записях электронной почты и социальных сетях и 85 международных письмах. Mandiant и FireEye также сыграли центральную роль в процессе атрибуции [71]. Уголовное дело против Пак Джин Хёка показало, что человек, адреса электронной почты, ИТ‑инфраструктура для атаки, жертвы и семейства вредоносных программ были связаны [72].

Эстония [73], Нидерланды [74], Франция [75], Великобритания [76], Австралия [77] и США [78] также приветствовали ограничительные меры ЕС как средство усиления послания ответственным лицам. США приписали нападение Северной Корее [79] в июне 2017 года, а Великобритания [80] последовала их примеру в октябре 2017 года [81]. Хотя Управление ООН по наркотикам и преступности, а точнее его начальник отдела киберпреступности Нил Уолш, осудили атаку WannaCry как преступное деяние, никаких действий в соответствии с международным правом предпринято не было [82].

NotPetya 2017

Накануне «Дня Конституции» Украины (27 июня 2017 года) вредоносная программа-вайпер вывела из строя множество компьютеров по всему миру, но особенно на Украине. Это было сделано путем удаления («очистки») жестких дисков [83]. Вредоносное ПО NotPetya проникло в локальную сеть в результате атаки цепочки поставок на механизм обновления украинского программного обеспечения для управления налогами M.E.Doc [84]. Вредоносная программа распространялась самостоятельно, как червь, среди компаний, которые использовали вышеупомянутое программное обеспечение. Компании во многих штатах были заражены NotPetya [85].

Итак, что же сделал NotPetya? Как только он устанавливает плацдарм в системе, модуль в основной памяти пытается извлечь учетные данные пользователей, в том числе администраторов, с помощью этого инструмента. Используя эти данные, вредоносное ПО копируется на другие компьютеры. Новый зараженный компьютер, в свою очередь, запускает тот же механизм распространения. В качестве альтернативы распространение в корпоративных сетях происходит через тот же компонент EternalBlue, что и в WannaCry [86].

Из-за схожести кода анализы, проведенные в конце июня 2017 года, первоначально классифицировали вредоносное ПО как вариант семейства программ-вымогателей Petya, которые используются киберпреступниками с 2016 года [87]. Подход вредоносной программы был аналогичен Petya, шифруя жесткий диск и заменяя загрузчик Microsoft на платежный запрос. Злоумышленники потребовали выкуп в размере 300 долларов США в биткойнах. Чтобы восстановить информацию, жертвы должны были отправить электронное письмо на адрес берлинского провайдера Posteo. Провайдер немедленно заблокировал учетную запись электронной почты [88].

Жертвы, повреждения и цель операции

Кибератаки NotPetya и EternalPetya затронули 65 стран и около 49 000 систем по всему миру. Среди пострадавших были многочисленные компании из ЕС [89]. Программа-вымогатель привела к потере доступности данных. Пострадавшие корпорации включали Maersk (Дания), «Роснефть» (Россия), Merck Sharp & Dohme (США), Mondelez (США), FedEx/TNT (США/Нидерланды), Reckitt Benckiser (Великобритания), Saint-Gobain (Франция) и Beiersdorf (Германия). В США вредоносное ПО вывело из строя структуры обработки данных 80 больниц и медицинских учреждений системы здравоохранения Heritage Valley [90].

Злоумышленникам удалось проникнуть в украинские ИТ-сети, системы Национального банка Украины, киевского международного аэропорта «Борисполь», столичного метрополитена и агентства по управлению зоной отчуждения вокруг аварийной АЭС в Чернобыле [91]. Многие из затронутых компаний были необходимы для поддержания услуг, представляющих общий интерес, в том числе в нескольких странах ЕС [92]. Во всем мире кибератака нанесла общий экономический ущерб в размере около 10 миллиардов долларов США [93].

Отдельные компании не могли восстановить свою ИТ-инфраструктуру в течение нескольких недель. Датская судоходная компания Maersk и поставщик грузовых услуг TNT Express оценили свои убытки более чем в 300 миллионов долларов США каждая. NotPetya считается одним из самых серьезных и дорогостоящих кибер-инцидентов.

Цель операции можно определить достаточно четко: некоторые технические признаки, такие как единый контактный адрес электронной почты, представляющий собой «единую точку отказа» и позволяющий предотвратить операцию по вымогательству с помощью простых контрмер, не характерны для преступной деятельности.

Непрофессиональное использование программы-вымогателя вызвало сомнения в причастности государственного деятеля. Лишь позже была обнаружена функция вайпера вредоносного ПО, то есть его способность вызывать необратимую потерю данных у пострадавших. NotPetya маскировался под стандартную программу-вымогатель Petya. Однако вредоносное ПО было специально нацелено на украинские системы и профессионально выполнено как политическая диверсия.

В ходе процесса атрибуции была установлена ​​теория о том, что атака NotPetya на самом деле была крупномасштабной кампанией уничтожения, нацеленной на Украину. На это указывает вектор атаки через программное обеспечение, которое в основном используется на Украине. До сих пор неясно, был ли запланирован побочный ущерб во всем мире; ведь пострадали и российские компании. Поэтому также возможно, что NotPetya использовался как средство дипломатического давления («молчаливого торга») против Украины из-за его высокой заметности [94].

Атрибуция нападавших

Техническая атрибуция NotPetya сложна. Вредоносное ПО связано с продвинутыми постоянными угрозами (APT), кампаниями атак, известными в индустрии ИТ-безопасности под такими кодовыми названиями, как Sandworm, BlackEnergy group, Voodoo Bear, Iron Viking, Quedagh, Olympic, «Эсминец» и TeleBots. На момент инцидента не было известно, как эти АПТ-группы связаны друг с другом, идентичны ли они или сотрудничают выборочно, а также какое отношение они имеют к государственным органам в России.

NotPetya является частью многолетней кампании многочисленных кибератак этих субъектов на украинский бизнес, государственные учреждения и коммунальные службы [95]. По данным словацкой фирмы по ИТ-безопасности ESET, группа APT TeleBots использовала новый компонент бэкдора с апреля 2018 года, который имел сходство с вредоносными программами Industroyer. Вредоносная программа Industroyer уже использовалась для атаки на энергосистему Украины в декабре 2016 года [96]. В то время код, инфраструктура атаки, IoC и операционная цель не позволяли установить четкую политическую и юридическую принадлежность к одному действующему лицу [97].

Сходство и родство вредоносных программ разных кампаний атак являются лишь неопределенным признаком, поскольку они указывают только на схожих разработчиков, а не обязательно на одних и тех же оперативных злоумышленников [98]. Это связано с тем, что киберпреступность организована вокруг разделения труда и функционально дифференцирована, и разные группы также копируют ТТП [99].

Атака не может быть разработана и осуществлена ​​одной и той же группой. FireEye привела довольно расплывчатые аргументы в пользу отнесения к России, а именно то, что на сервере C2 группы APT были обнаружены русскоязычные документы и что группа использовала уязвимость нулевого дня в некоторых кибероперациях, которая ранее была представлена ​​на российской хакерской конференции [100].

Непростым оказался процесс политико-правовой атрибуции. Федеральное управление уголовной полиции Германии (BKA) начало расследование в 2017 году, но без предъявления обвинения или ордера на арест. В любом случае не было никаких доказательств ни «достаточного», ни «неотложного подозрения».

Согласно сообщению в Washington Post в январе 2018 года, ЦРУ с «высокой степенью уверенности» предположило, что за NotPetya стояли российские военные (точнее: служба военной разведки ГРУ и ее главный центр специальных технологий; ГЦСТ). Однако никаких доказательств представлено не было [101]. Публичная атрибуция произошла в середине февраля 2018 года, когда альянс «Пять глаз» приписал атаки российскому правительству [102]. Дания, Латвия, Швеция и Финляндия заявили о своей поддержке этой атрибуции. Публичная атрибуция получила широкую международную поддержку [103].

Несколько месяцев спустя, в начале октября 2018 года, британский NCSC дал больше ясности по вопросу о том, какие группы APT связаны с ГРУ. Согласно отчету, в их число входила APT 28, которая также работала под именами Fancy Bear и Sofacy. Sandworm, еще одна группа, связанная с ГРУ, также известна как Voodoo Bear и BlackEnergy [104].

Государственный департамент США и британский NCSC не переходили к формальной юридической атрибуции до февраля 2020 года, когда они оба сослались на аналогичную кибероперацию в Грузии, ответственность за которую возложена на вышеупомянутое подразделение ГРУ ГЦСТ или подразделение «74455». Министерство иностранных дел Великобритании аподиктично добавило: «Это подразделение ГРУ [ГЦСТ, 74455] отвечало [...] за NotPetya» [105].

В середине октября 2020 года США наконец официально предъявили обвинения шести гражданам России [106]. Шесть офицеров российской военной разведки ГРУ в/ч 74455 обвиняются в причастности к нескольким злонамеренным кибератакам, (включая блэкаут-атаки на Украине в 2015 и 2016 годах, NotPetya, кибератаку ОЗХО и взлом предвыборной команды Эммануэля Макрона во время президентских выборов во Франции в 2017 году).

Ответ ЕС на NotPetya

16 апреля 2018 года Совет Европейского союза осудил злонамеренное использование информационных и коммуникационных технологий, в том числе случаи, известные как WannaCry и NotPetya [107]. Но только два года спустя, 30 июля 2020 года, были введены экономические санкции [108] в форме Имплементационного регламента (ЕС) 2020/1125 [109], то есть адресные санкции против отдельных лиц [110].

Официальный журнал Европейского союза назвал имена обвиняемых актеров:

«Главный центр специальных технологий (ГЦСТ) Главного управления Генерального штаба Вооруженных Сил Российской Федерации (ГУ/ГРУ), также известный под номером "74455", несет ответственность за кибератаки со значительным воздействием, происходящие из-за пределов Союза. Он представлял внешнюю угрозу для Союза и/или его государств-членов, а также для третьих стран. Тот же злоумышленник был привлечен к ответственности за кибератаки в июне 2017 года, известные как NotPetya или EternalPetya, а также за кибератаки, направленные против украинской электросети зимой 2015 и 2016 годов» [111].

Альянс «Пять глаз» и небольшое количество стран-членов ЕС признали ответственность российского правительства гораздо раньше, в феврале 2018 года. Таким образом, ЕС пришел к коллективному ответу более чем через два года.

Операция Cloud Hopper, 2016 год

Операция Cloud Hopper считается случаем промышленного шпионажа [112]. Атака началась в 2016 году и классифицируется как атака на цепочку поставок. Она была направлена против так называемых «поставщиков управляемых услуг» (MSP). Это такие компании, как Hewlett Packard Enterprise (HPE) и IBM, которые предоставляют ИТ-услуги сторонним компаниям и государственным учреждениям по всему миру. Они управляют облачными службами, приложениями и инфраструктурой, такой как серверы и сети.

Хакеры проникли в инфраструктуру облачного управления этих MSP, используя электронные письма «целевого фишинга», замаскированные под сообщения от клиентов поставщиков услуг. Согласно техническому анализу Trend Micro, злоумышленники установили модифицированный троян удаленного доступа (RAT) из семейств вредоносных программ PlugX, Poison Ivy, ChChes и Graftor в документы Word, прикрепленные к электронным письмам [113].

После запуска троян установил плацдарм в системах MSP и связался с серверами C2 в Тяньцзине. Он также установил кейлоггеры, которые регистрировали и извлекали имена и пароли для клиентской инфраструктуры. Хакеры использовали эти учетные данные для бокового доступа к системам тех же клиентов через облачную инфраструктуру MSP. Этот способ действия объясняет название Cloud Hopper: злоумышленники «прыгали» по различным экземплярам облака и таким образом получали доступ к системам. Данная атака считается технически искусной. В коде использовались сертификаты крупных ИТ-компаний, чтобы сохранить видимость подлинности. Защита от таких векторов атак на цепочку поставок обычно считается сложной задачей [114].

Жертвы, повреждения и цель операции

По данным информационного агентства Reuters, помимо IBM и HPE мишенью злоумышленников стали и другие компании: Ericsson, SKF (обе – из Швеции), Valmet (Финляндия), Tata Consultancy Services (Индия), Fujitsu, NTT Data (обе – из Японии), Dimension Data (Южная Африка), Computer Sciences Corporation, DXC Technology и NASA (все из США) [115].

Федеральное управление информационной безопасности Германии (BSI) в декабре 2018 года выпустило предупреждение о том, что немецкие компании также могут быть затронуты, но не уточнило подробности [116].

Пострадавшими целями в США были Sabre Corp (США), глобальный поставщик услуг бронирования авиабилетов и отелей, и Huntington Ingalls Industries, крупнейшая верфь в США, которая также строит атомные подводные лодки для ВМС США. 40 компьютеров ВМС США также были скомпрометированы. Были украдены личные данные 100 000 военнослужащих и женщин ВМС [117]. В обвинительном акте США против преступников упоминаются как минимум 25 американских организаций и 14 других жертв в 12 штатах [118]. Сообщения о размере ущерба противоречивы [119].

По сравнению с другими инцидентами, общедоступной информации мало. MSP и HPE скрыли информацию о своих клиентах из-за проблем с ответственностью и возможных юридических последствий. Некоторые компании подтвердили успешные вторжения, но не смогли определить, были ли данные украдены. Оценки затрат отсутствуют [120].

Поразительно, что атакованные системы относились преимущественно к сектору тяжелой промышленности, авиационной и морской, телекоммуникационной и спутниковой технике. Оперативными целями в основном был промышленный шпионаж или, в случае с Sabre, данные о клиентах, а в случае с ВМФ – политически мотивированный сбор разведданных [121].

Нападение было трудно обнаружить, и оно оставило мало следов. Есть также свидетельства того, что несколько атакующих групп с разными навыками разделили свои усилия, что свидетельствует о сложности кампании. ТТП предполагают, что это был не типичный образ действий киберпреступников, а скорее государственная организация со значительными финансовыми ресурсами.

Атрибуция нападавших

В декабре 2018 года правительство США публично приписало атаку группе APT 10 (также известной как menuPass, POTASSIUM, Stone Panda, Red Apollo и CVNX), которая связана с Министерством государственной безопасности Китая. Министерство юстиции США обнародовало обвинительные заключения против двух граждан Китая, Чжу Хуа и Чжан Шилуна [122]. Обвиняемые работали в компании Huaying Haitai Science and Technology Development Company в Тяньцзине, Китай.

Утверждается, что оба являются частью группы APT, которая с 2006 года специализируется на краже интеллектуальной собственности в отраслях, представляющих стратегический интерес для Китая. Технические доказательства включали связь вредоносного ПО с IP-адресами в Тяньцзине, регистрацию более 1300 DNS-серверов в США и соответствие активности атак с рабочим временем в китайском часовом поясе.

Атрибуция была основана на информации от InfraGard и Trend Micro [123]. Альянс «Пять глаз» согласился с политической атрибуцией. Британский NCSC заявил, что «весьма вероятно» то, что APT 10 поддерживала постоянные отношения с Министерством государственной безопасности Китая и действовала в соответствии с его инструкциями [124]. Япония, которая также была замешана, заявила, что одобряет публичную атрибуцию [125]. Германия также заявила о своей поддержке акции днем ​​позже [126].

Ответ ЕС на Cloud Hopper

В 2019 году ЕС решил начать политический ответ на атаку в рамках ОВПБ. Тогдашний Верховный представитель Союза по иностранным делам и политике безопасности Федерика Могерини заявила 12 апреля 2019 года, что злонамеренная кибердеятельность, подрывающая целостность, безопасность и экономическую конкурентоспособность Союза и связанная с кражей интеллектуальной собственности, недопустима.

Сообщение было адресовано группе APT 10 [127], но только год спустя, в конце июля 2020 года, Совет сделал еще один шаг, внедрив правила 2020/1125 [128] и 2020/1744 [129], введя санкции в ноябре 2020 года. Ограничения на поездки, которые были одной из мер, принятых в результате, основаны на решении по статье 4 (ОВПБ) 2019/797 [130], налагающем санкции на граждан Китая Гао Цяна и Чжан Шилуна, а также на компанию Huaying Haitai. Они были признаны ответственными за кибератаки в период с 2014 по 2017 год [131].

Говорят, что разработчиком вредоносного ПО был Чжан Шилун. Также сообщалось, что Чжан работал в Huaying Haitai, компании, которая способствовала операции Cloud Hopper. Время атак и цели позволяют предположить, что ответственные за это хакеры базировались в Китае и были связаны с правительством [132].

Взлом Бундестага, 2015 год

Есть подозрение, что 30 апреля 2015 года сотрудник парламентской группы Левой партии (Die Linke) в Бундестаге Германии открыл ссылку в электронном письме, предположительно отправленном ООН, обещая информацию о конфликте на Украине [133]. Ссылка вела на взломанный веб-сайт, на котором был установлен троян. Тогдашний президент BSI Майкл Ханге позже подтвердил комитету Бундестага, что 5 мая 2015 года злоумышленники смогли войти в контроллер домена и рабочие станции администратора. Используя инструмент Mimikatz, они собирали пароли других учетных записей пользователей. С помощью извлеченных паролей и различных программ удаленного управления 6 мая 2015 года злоумышленники получили доступ к 50 дополнительным системам в Бундестаге [134]. Злоумышленники получили административные права на среду Microsoft парламента и парламентских групп.

От имени парламентской фракции Левой партии независимый исследователь информационной безопасности Клаудио Гуарньери получил ранний доступ к артефактам атак [135]. Он подозревал фишинг как средство первоначального заражения или, как вариант, ошибку в Windows или Flash Player. В то время было неясно, была ли атака на компьютер Левой партии частью взлома Бундестага или независимой атакой. Аварийное реагирование оказалось проверкой разделения властей, поскольку ИТ-безопасность законодательной власти должна была поддерживаться BSI и Федеральным управлением по защите конституции как органами исполнительной власти. За несколько лет до этого местная разведывательная служба, Управление по защите Конституции, установила слежку за членами Левой партии.

Жертвы, повреждения и цель операции

Троянская атака скомпрометировала центральный сервер администрации Бундестага и компьютеры членов парламента, даже в офисе канцлера Ангелы Меркель. Считается, что значительное количество переписки по электронной почте с 2012 по 2015 год было украдено [136].

Было затронуто около 50 ИТ-систем [137], и из Бундестага произошла утечка больших объемов данных: «доказательно» не менее 16 гигабайт (возможно, с дубликатами) были отправлены «примерно на девять известных, глобально распределенных, подозрительных серверов» [138]. Точный объем данных и содержание просочившихся данных (секретная информация) неизвестны [139]. К сентябрю 2015 года ИТ-отдел Бундестага потратил «около 1 миллиона евро» на реагирование на инциденты. BSI пришлось выставить счет за 350 рабочих дней на устранение ущерба, причиненного кибератакой [140].

Атака на высший конституционный орган Федеративной Республики Германии поставила под угрозу его демократическую функциональность. Тем не менее целью операции был в первую очередь политический шпионаж. В январе 2017 года неизвестные зарегистрировали домен btleaks.com, предположительно, с намерением опубликовать украденные данные в подходящий момент, например, перед федеральными выборами. Это было похоже на взлом штаб-квартиры Демократической партии (DNC hack) в США в 2016 году, где был зарегистрирован сайт dcleaks.com [141].

Идея о том, что атака была направлена ​​на то, чтобы «посеять семена раздора или разжечь тревогу», была в то время правдоподобным объяснением, хотя украденные материалы никогда не публиковались, как это обычно бывает в классических шпионских операциях [142]. Однако политический контекст выборов в США в 2016 году имеет решающее значение для последующей правовой и политической оценки нападения.

Атрибуция нападавших

Хотя информацию о технических характеристиках атаки можно получить из общедоступных источников, федеральное правительство сохранило эти детали, имеющие отношение к атрибуции, в секрете. BKA и сотрудники правоохранительных органов Германии также полагались на общедоступную информацию, собранную властями США в ходе расследования взлома DNC [143]. Компания ThreatConnect, занимающаяся информационной безопасностью, опубликовала запись в блоге, в которой описала, как ей удалось установить, что один и тот же сертификат использовался при атаке на демократов США во время избирательной кампании 2016 года и при взломе Бундестага в 2015 году [144].

Ранее, в июне 2015 года, Клаудио Гварньери предположил, что возможным инициатором была российская группа APT 28. Он основывал это на отчете компании FireEye, занимающейся информационной безопасностью (от 2014 года), в которой утверждалось, что APT 28 финансируется российским государством. FireEye пришел к такому выводу на основе прошлых операций, в ходе которых были обнаружены аналогичные артефакты вредоносного ПО и TTP. Инструменты атаки были собраны на системах с русскоязычными настройками в обычные рабочие часы Москвы и Санкт-Петербурга. Годы разработки вредоносного ПО потребовали бы значительного финансирования, а также поддержки со стороны авторитетной организации и, «скорее всего», государства. Цели кибероперации соответствовали внешнеполитическим интересам и стратегии России [145].

Аргументы Гварньери в пользу приписывания APT 28 были подтверждены документацией бизнес-консалтинговой фирмы PricewaterhouseCoopers (PwC). Согласно отчету PwC, некоторые IP-адреса и SSL-сертификаты, сыгравшие роль во взломе Бундестага, ранее использовались в атаке, приписываемой группе Sofacy/APT 28 [146].

В июне 2015 года председатель Федерального управления по защите конституции Ханс-Георг Маассен предположил, что ответственность за нападение несет иностранная разведывательная служба. Он не сообщил технических подробностей [147]. Год спустя Маассен заявил, что за нападением стоит российское государство [148]. Доказательства были основаны на техническом анализе, но также поступили из разведывательных источников [149].

В начале 2018 года служба внутренней и внешней разведки Нидерландов AIVD (Algemene Inlichtingen-en Veiligheidsdienst) обнародовала информацию о хакерской группе APT 29, также известной как Cozy Bear [150].

По сообщениям СМИ, голландцы взломали сети группы APT в 2014 году, получили доступ к камерам наблюдения в здании, где располагались офисы хакеров, и идентифицировали членов APT как оперативников. Этот вывод, в свою очередь, был подтвержден расследованием, проведенным специальным следователем США Робертом Мюллером. В его отчете от апреля 2019 года и более раннем обвинительном заключении от июля 2018 года виновными были названы 12 офицеров разведки из подразделений «26165» и «74455» ГРУ России. Отчет Мюллера поддерживает тезис о том, что злоумышленники ГРУ использовали аналогичные TTP в различных операциях, таких как NotPetya, взлом ОЗХО и взлом Бундестага [151].

После 2018 года другие государства публично объявили российское правительство ответственным за несколько киберопераций. Осенью 2018 года правительство Германии поддержало эту точку зрения:

«Правительство Германии также предполагает с вероятностью, граничащей с уверенностью, что за кампанией APT 28 стоит российская служба военной разведки ГРУ [...] Эта оценка основана на собственных достоверных фактах и ​​надежных источниках правительства» [152].

В ноябре 2019 года Генеральный прокурор объявил, что в отношении группы APT 28/Fancy Bear ведется расследование [153]. После завершения этих расследований в мае 2020 года канцлер Меркель заявила, что имеются «неопровержимые доказательства» причастности России, и что это событие является «возмутительным» [154].

Ответ ЕС на взлом Бундестага

22 октября 2020 года Совет Европейского Союза принял санкции в отношении 85‑го Главного центра специальных служб (ГЦСС) Главного управления Генерального штаба Вооруженных Сил Российской Федерации (ГУ/ГРУ) и его офицеров военной разведки Дмитрия Бадина и Игоря Костюкова путем реализации Регламента (ЕС) 2020/1536 [155].

Целевыми санкциями были экономические санкции в соответствии со статьей 3 Регламента (ЕС) 2019/796 и ограничения на въезд в соответствии со статьей 4 Решения (CFSP) 2019/797 [156]. Основанием является причастность Дмитрия Бадина в качестве агента ГЦСТ к кибератаке, имевшей серьезные последствия для Бундестага Германии в апреле и мае 2015 года.

Взлом осуществил Игорь Костюков в качестве начальника главного управления «воинской части 26165», известной экспертам как APT 28, «Медвежонок», Sofacy Group, Pawn Storm и Strontium. Оба оперативника ГРУ были признаны ответственными не только за нападение на Бундестаг Германии, но и за попытку кибератаки в апреле 2018 года на Организацию по запрещению химического оружия (ОЗХО) [157].

Попытка нападения на ОЗХО, 2018 год

13 апреля 2018 года четыре агента российской разведки подготовили так называемую атаку с подменой Wi‑Fi [158] на Организацию по запрещению химического оружия (ОЗХО) в Гааге. Они припарковали арендованный автомобиль на автостоянке отеля Marriott рядом со зданием ОЗХО, которое было оснащено фальшивой точкой доступа Wi-Fi (известной как Wi‑Fi Pineapple).

Управляемый маршрутизатор Pineapple должен был имитировать исходную сеть WLAN ОЗХО. Такая процедура называется атакой «человек посередине» [159]. Подмена Wi-Fi работает только в том случае, если поддельный WLAN находится в непосредственной физической близости от оригинала. Для этого преступники должны находиться непосредственно на месте («операция закрытого доступа»).

Во время проведения операции нападавшие были замечены и впоследствии арестованы Службой военной разведки Нидерландов (Militaire Inlichtingen-en Veiligheidsdienst, MIVD). По сообщению газеты Guardian, голландцы получили своевременную наводку от британских спецслужб [160]. Четверо оперативников ГРУ прибыли в страну через амстердамский аэропорт Схипхол 10 апреля 2018 года и с тех пор находились под наблюдением [161].

Нидерландские органы безопасности вмешались заранее, чтобы предотвратить успешную компрометацию ОЗХО. Они изъяли дипломатические визы, крупную сумму наличными, технику, смартфоны, ноутбуки, паспорта и проездные квитанции [162]. Таким образом, нападение было неудачным [163].

Атрибуция нападавших

Благодаря своевременному задержанию нападавших, атрибуция в данном случае оказалась достаточно простой. Судебно-медицинский анализ изъятого оборудования позволил сделать выводы не только о цели операции, но даже о прошедших и планируемых операциях. Следователи получили информацию об отравлении бывшего агента ГРУ Сергея Скрипаля в Солсбери (Великобритания).

Нападение с отравляющим веществом нервно-паралитического действия произошло месяцем ранее, и ОЗХО было поручено провести его анализ. Журналы поездок показали, что следующей целью в списке преступников была лаборатория ОЗХО в Швейцарии. Журналы Wi‑Fi оборудования также показали, что группа ранее ездила в Малайзию и Бразилию. Стало очевидным временное и пространственное сходство с результатами голландского расследования крушения рейса MH17 Malaysia Airlines и Олимпийских игр 2016 года в Бразилии [164].

После расследования Всемирного антидопингового агентства (ВАДА) российские легкоатлеты были отстранены от участия в Олимпийских играх в Рио-де-Жанейро в июле 2016 года из-за обвинений в употреблении допинга. В сентябре 2016 года ВАДА также стало жертвой кибератаки той же группы хакеров. Журналы вызовов изъятых мобильных телефонов вели прямо в штаб-квартиру ГРУ. Визы и квитанции такси, которые нужны госслужбе для возмещения расходов на командировки, подтвердили причастность подразделения «26165» ГРУ, которое также было причастно к атаке NotPetya и взлому Бундестага.

Политическая атрибуция была сделана правительством Нидерландов 4 октября 2018 года на продолжительной пресс-конференции, на которой были представлены все детали расследования. Голландцы заявили, что любой инцидент, подрывающий целостность международных организаций, «неприемлем». Правительство в Гааге вызвало российского посла, а министр обороны Нидерландов и британский посол осудили ГРУ и, косвенно, российское правительство за эти атаки [165].

 В США в день пресс-конференции обвинения были предъявлены семи сотрудникам российской разведки. Утверждается, что это были сотрудники подразделения 26165 [166] ГРУ, которые, помимо нападок на ОЗХО, также совершали нападения на антидопинговые агентства USADA, WADA и Канадский центр спортивной этики (CCED) [167].

Двумя месяцами ранее, в августе 2018 года, США запросили у Нидерландов юридическую помощь в преследовании российских киберопераций против США и международных организаций. Утверждения и косвенные доказательства, собранные в обвинительном заключении CR 18-263 по делу о попытке атаки ОЗХО [168], согласуются с показаниями, предоставленными Министерством обороны Нидерландов. Данные журнала с оборудования для атаки Wi‑Fi показали, что злоумышленники находились в том же отеле в то же время, когда случилось проникновение в ноутбук представителя канадского антидопингового агентства CCED.

Отсутствие юридической атрибуции примечательно. Голландцы сняли обвинения и лишь ненадолго задержали осужденных шпионов. На следующий день после ареста их посадили на самолет в Россию и выслали из страны. Оперативники ГРУ имели служебные дипломатические паспорта, что защищало их от судебного преследования. Офицер голландской разведки объяснил ситуацию так: «Хакерство является уголовным преступлением. Попытка взлома также является уголовным преступлением. Подготовка к попытке взлома не является уголовным преступлением» [169].

Взлом ОЗХО уникален тем, что это не классическая кибератака. Атака была вовремя остановлена, и правительство Нидерландов незамедлительно обнародовало ее, предоставив ЕС информацию для атрибуции с таким уровнем детализации, которого не было ни в одном из других обсуждавшихся до сих пор инцидентов. Прозрачность технической, юридической и политической атрибуции является образцовой и оставляет мало места для ошибочных выводов.

Ответ ЕС на попытку нападения на ОЗХО

Президенты Европейского совета и Европейской комиссии, а также Верховный представитель по иностранным делам и политике безопасности впервые прокомментировали попытку кибератаки на Организацию по запрещению химического оружия в совместном заявлении от 4 октября 2018 года. Они охарактеризовали инцидент как «агрессивный акт, [который] продемонстрировал неуважение к торжественной цели Организации по запрещению химического оружия (ОЗХО)…» [170].

В данном случае сработало время политической атрибуции: она была, по крайней мере, строгой и согласованной с союзниками, а сигнал был четким. Санкции ЕС были введены в конце июля 2020 года, а Регламент 2020/1125 [171] и дополнение к нему 2020/1744 [172] – в конце ноября 2020 года. Ограничительные меры направлены против 85-го Главного центра специальных служб (ГЦСС) ГРУ и его сотрудников Алексея Минина, Алексея Моренца, Евгения Серебрякова и Олега Сотникова [173].

Недостатки политики атрибуции

Анализ показывает, что компетенция ЕС по атрибуции недостаточна. Выявляются слабые стороны действующей системы технической, политической и правовой идентификации преступников. Он показывает значительные препятствия, которые еще предстоит преодолеть на долгом пути к эффективной и законной «политике атрибуции» как на уровне ЕС, так и на межправительственном уровне.

Во-первых, ЕС в значительной степени полагается на доказательства и опыт союзных третьих стран, таких как альянс «Пять Глаз», а также американских IT‑компаний. Доказательства, предоставляемые службами безопасности государств-членов ЕС, обычно недостаточны и неполны. Атака ОЗХО не была бы вовремя раскрыта и предотвращена без предупреждения властей Великобритании. Немецкое расследование взлома Бундестага было основано на общедоступных обвинительных заключениях и закрытых обменах с ФБР. Будет ли обмен информацией с членом альянса «Пять Глаз» Великобританией, который необходим для атрибуции, поддерживаться после Brexit, еще неизвестно.

Во-вторых, очевидно, что почти во всех описанных случаях ЕС реагировал с временным лагом. Процессы координации и единодушие, необходимые для киберсанкций в соответствии с ОВПБ, требуют длительного процесса атрибуции, который в некоторых случаях занимал на годы дольше, чем обвинительные приговоры партнеров альянса «Пять Глаз». Это может быть связано со сложной технической криминалистической экспертизой, типичной для киберинцидентов, но, безусловно, частично это связано с параллельными процедурами обмена информацией на уровне ЕС и государств-членов. Ответственность за киберпреступность, кибершпионаж и контрразведку, а также военную киберзащиту лежит в первую очередь на государствах-членах и должна координироваться на уровне ЕС через Европол, в ЕСВД через ЕС INTCEN, а в будущем также через Объединенное киберподразделение в Комиссии ЕС.

В-третьих, очевидно, что члены альянса «Пять Глаз» лучше справляются с публичной атрибуцией, чем их коллеги из ЕС: они координируют свои действия быстро и эффективно и делают одновременные заявления, основанные на обширных доказательствах. Таким образом, легитимность атрибуции более надежна, чем в ЕС. С Brexit полномочия ЕС по атрибуции значительно уменьшились, поскольку Великобритания больше не делится разведывательными данными через EU INTCEN, но по-прежнему обменивается информацией на двусторонней основе с отдельными государствами ЕС. По сравнению с альянсом «Пять Глаз», политическая атрибуция в поддержку киберсанкций ЕС происходит нечасто и спорадически. Заслуживающая доверия политика присвоения требует, чтобы все государства-члены выступали единогласно. Политическая принадлежность остается прерогативой государств-членов. Однако влияние национальной атрибуции ограничено. Объединение отчетов об атрибуции на уровне ЕС может значительно повысить легитимность и эффективность решения о санкциях. Это особенно верно, если возложение ответственности происходит в координации с международными партнерами. Так называемая кампания союзников по «называнию и пристыжению» может быть успешной только в том случае, если соответствующие министерства иностранных дел будут действовать скоординировано.

В-четвертых, киберсанкции должны вводиться в случае атак со «значительным воздействием» или при выполнении соответствующих критериев. Однако анализ показывает, что по техническим индикаторам и IoC сложно определить, действительно ли выполняется критерий, необходимый для легитимации такого правового последствия, как санкции. Известные критерии анализируемых киберинцидентов весьма неоднозначны, не учитывают в должной мере технические детали, а также неясны их весовые коэффициенты. Например, возникает вопрос, является ли атака на избирательную систему более серьезной, чем атака на критически важную инфраструктуру. Разве атака на множество менее важных систем весит больше, чем атака на больницу [174]?

Проблема доказывания злого умысла, исходящего из третьих стран, иллюстрируется следующими критериями:

а) Выполнение критерия «злонамеренное использование ИКТ» не может быть однозначно определено во всех случаях. В случае с WannaCry и NotPetya достаточную степень злого умысла действительно можно установить из-за произвольного выбора целей, безразличия к нарушению работы критически важных инфраструктур, таких как больницы, и ущерба в миллиарды евро, нанесенного государствам и компаниям. В других случаях злой умысел трудно доказать вне разумных сомнений.

б) С технической точки зрения, критерии, которые должны определять кибератаку (доступ к информационным системам и вмешательство в них и вмешательство в данные или перехват данных), не могут быть четко отделены друг от друга. Вторжение в информационные системы всегда является синонимом вторжения в данные, поскольку происходит обход систем защиты и внедрение вредоносного ПО, т. е. данные практически неизбежно записываются в файловую систему. То же самое можно увидеть и в разграничении атак и попыток атак: организации с хорошими системами обнаружения ежедневно получают тысячи предупреждений системы безопасности. Они часто не идентифицируются априори как атака, поскольку эффект атаки можно распознать только после выполнения вредоносного кода. Только когда анализ такого кода в сочетании с методами анализа угроз выявил информацию об инфраструктурах атаки или инструментах известных APT-групп, затронутые организации могут интерпретировать инцидент как угрожающее действие. Стратегическую оперативную цель трудно вывести из того, что в основном является чисто тактическим IoC.

в) Также трудно вывести стратегическую оперативную цель или мотивацию атаки из того, что в основном является чисто тактическим IoC. В случае с WannaCry, например, мотивация атаки не ясна. Интерпретация взлома Бундестага как попытки вмешательства в выборы также трудно вывести только из IoC. Вывод о «вмешательстве в выборы» основан на контекстуальных факторах, то есть на гибридной угрозе, которая стала преобладать в трансатлантическом дискурсе только спустя годы, после взлома DNC в 2016 году.

г) Есть несоответствия в выборе случаев, которые побудили ЕС ввести киберсанкции. Не было правдоподобного объяснения, почему, например, случаи классического шпионажа (взлом Бундестага и Cloud Hopper) попали под режим киберсанкций, а конкретные попытки повлиять на выборы (утечки Макрона) – нет. Шпионаж был частью государственной практики на протяжении десятилетий. Хотя это поведение наказуемо практически во всех национальных правовых системах, оно не является незаконным по международному праву [175]. Во время взлома электронной почты предвыборного штаба Эммануэля Макрона в 2017 году контент сообщений был украден, а также просочился, аналогично взлому DNC, за два дня до второго тура выборов [176]. В отличие от взлома Бундестага, это явная попытка повлиять на избирательный процесс, которая выходит за рамки политического шпионажа и может считаться нарушением государственного суверенитета. Если бы целью было подать сильный политический сигнал, этот инцидент должен был быть включен в режим киберсанкций 2020 года. Правоохранительные органы США в контексте обвинительного акта NotPetya возложили ответственность за утечку информации о Макроне на российское ГРУ [177].

д) Кроме того, сомнительно, в какой степени техническая атрибуция позволяет правдоподобно доказать юридическую ответственность. Из анализа кибератак в ЕС до сих пор не всегда ясно, какие технические IoC составляют адекватную основу для нормативно-правовой атрибуции кибератак в соответствии с европейским правом (или даже международным правом). Часы работы и IP-адреса в контексте кибератаки являются лишь косвенными доказательствами, а не доказательством авторства физического лица, действующего от имени государства. С другой стороны, квитанции такси, журналы мобильных телефонов и взломанные камеры наблюдения в штаб-квартире ГРУ имеют большую доказательную ценность. Налицо несоответствие между техническими признаками и юридически обязательными составами преступления: в делах о взломе Бундестага и Cloud Hopper информация, опубликованная ЕС или правительством Германии, скудна по сравнению с общедоступными выводами компаний, занимающихся IT-безопасностью, техническими подробностями в обвинительных актах США по аналогичным делам и кампанией прозрачности правительства Нидерландов после инцидента с ОЗХО.

е) Непоследовательность доказательств и отсутствие прозрачности юридических доказательств подрывают легитимность санкций. Попытка сделать круг судебно-медицинских доказательств как можно более широким и понятным для общественности поможет санкциям стать более заслуживающими доверия и эффективными. Американские обвинительные заключения по обсуждаемым здесь делам справляются с этим в гораздо большей степени, чем ЕС с обоснованиями, которые он публикует в Официальном журнале. США также представляют доказательства более убедительно. Государства-члены должны выступать за технически грамотную и юридически обоснованную легитимацию киберсанкций в своих собственных четко осознаваемых интересах, поскольку решения ЕС о санкциях могут быть юридически обжалованы в Европейском суде [178].

г) Еще одно несоответствие можно увидеть в стандартах доказывания, особенно в случае со взломом Бундестага. По данным федерального правительства Германии, атрибуция, сделанная в этом отношении, основана на том, что в целом является «очень хорошей ситуацией, когда речь идет о наших собственных фактах и ​​источниках» [179]. В других случаях европейские, американские и британские службы безопасности иногда делают атрибуцию «почти с уверенностью», иногда только с «высокой степенью уверенности». Общеевропейская или, что еще лучше, трансатлантическая стандартизированная терминология и методология уже были бы полезны в случае просьб о взаимной правовой помощи. Если, кроме того, информация о доказательствах будет более систематически обрабатываться, классифицироваться и публиковаться в тесном сотрудничестве с союзными государствами в будущем, киберсанкции на уровне ЕС могут стать гораздо более вероятными, чем они были до сих пор.

Наконец, заслуживает обсуждения и качество контрреакций, то есть самих санкций. Во всех случаях были введены ограничения на поездки и заморожены счета. Для кибератак Cloud Hopper, взлома Бундестага и инцидента с ОЗХО это может быть адекватным и пропорциональным. WannaCry и NotPetya, с другой стороны, гораздо более серьезные случаи. Они соответствуют гораздо большему и, прежде всего, гораздо более весомым критериям уголовных преступлений, включая крупный финансовый ущерб и саботаж объектов критической инфраструктуры.

По юридическому мнению некоторых наблюдателей, NotPetya даже достигает порога вооруженного нападения [180]. Интенсивность санкций здесь, по-видимому, не пропорциональна интенсивности нападений. Безусловно, можно утверждать, что в обоих случаях имели место явные нарушения суверенитета, которые позволили бы принять контрмеры в соответствии с международным правом [181]. Быстрые и дифференцированные санкции ЕС в ответ на кибератаки в обозримом будущем останутся исключением. Согласованность процесса санкций должна быть улучшена с помощью реформированного проекта Комиссии (см. выше, стр. 14).

Наряду с Европолом, ENISA и EU-CERT, недавно созданное Объединенное киберподразделение Комиссии будет играть важную роль в европейской кибербезопасности в будущем. Однако в будущем Комиссия ЕС, безусловно, не сможет самостоятельно управлять политикой атрибуции, проводимой ЕС. В частности, по этому вопросу Комиссия будет зависеть от тесных консультаций с Советом и Горизонтальной рабочей группой Совета по кибервопросам.

Выводы

Политика атрибуции ЕС показывает, что вертикальная, горизонтальная и институциональная согласованность во внешней деятельности ЕС и между государствами-членами ЕС оставляет желать лучшего. Требование единогласия в принятии решений Советом и нехватка юридических и финансовых ресурсов для ЕСВД затрудняют для ЕС возможность оставить свой след в международной кибердипломатии.

Правительство Германии должно поддержать французское председательство в Совете, чтобы сделать голосование квалифицированным большинством нормой для принятия киберсанкций ЕС. В интересах безопасности Союза и его внутреннего рынка ограничительные меры ОВПБ, такие как киберсанкции ЕС, должны быть инициированы и надежно введены быстрее, чем в прошлом, чтобы незамедлительно привлечь виновных и злоумышленников к ответственности.

Юридические термины в правилах ЕС должны быть ужесточены и более тесно связаны с технической криминалистикой. При практической реализации этой задачи необходимо выполнить ряд предпосылок. В конце концов, для однозначной технической атрибуции, которая позволяет сделать выводы о мотивах атаки, необходимо преодолеть высокие юридические препятствия, если должны быть соблюдены критерии, изложенные в соответствующем регламенте, что необходимо для определения авторства.

В идеале политика атрибуции должна быть адаптирована к требованиям законодательства. Если это окажется невозможным, при необходимости закон придется адаптировать. Введение различия между необходимыми и достаточными стандартами атрибуции в соответствии с единой системой оценки (вероятностный критерий) должно быть, по крайней мере, согласовано с конституционными требованиями законодательства Союза и текущими возможностями технической криминалистики.

Можно также использовать опыт других международных кибератак. Например, до операции Cloud Hopper были аналогичные атаки на цепочки поставок. Последнее доказало злонамеренным хакерам, насколько привлекательной была такая атака на внутренний рынок. Поэтому ответ на атаки цепочки поставок должен практиковаться с помощью учений ENISA по киберзащите в соответствии с рекомендациями Комиссии, содержащимися в документе Blueprint.

Согласно новой Стратегии кибербезопасности ЕС от 2020 года, частные компании, государственные учреждения и национальные органы власти должны систематически и всесторонне обмениваться информацией о киберинцидентах. Это рассматривается как необходимое условие для совместного ответа ЕС. Совместное киберподразделение Комиссии ЕС должно служить «виртуальной и физической платформой сотрудничества между различными сообществами кибербезопасности в ЕС».

Его внимание должно быть сосредоточено на «оперативной и технической координации серьезных трансграничных кибер-инцидентов и угроз». Это оперативное сотрудничество на службе кибербезопасности должно быть усилено в соответствии с обязанностями кибердипломатии по должной осмотрительности. Cyber ​​​​Unit также призван стать центром связи с альянсом «Пять глаз», чтобы обеспечить совместную публичную атрибуцию за пределами ЕС.

Также сейчас ведутся дебаты о том, в какой степени правительства членов ЕС должны быть готовы к контратакам. Стратегия кибербезопасности уже содержит ссылку на это, и такие случаи, как WannaCry и NotPetya, подчеркивают актуальность дебатов. Соответственно, ЕС хочет разработать «предложение по дальнейшему определению киберсдерживания ЕС». Согласно набору инструментов кибердипломатии, активные меры киберзащиты будут наивысшим уровнем эскалации после предварительной активации договорной статьи о солидарности или взаимопомощи. Их можно взять только при условии, что они соответствуют международному гуманитарному праву.

Последним этапом антикризисного управления будет прекращение продолжающейся атаки путем активного противодействия ей. Крайним средством будет так называемый «взлом», то есть целенаправленное отключение сервера, с которого исходит атака. С точки зрения должной осмотрительности это было бы оправдано только в том случае, если продолжающаяся атака имеет серьезные, угрожающие существованию последствия, а все другие средства были исчерпаны. Необходимая правовая база и распределение компетенций еще не установлены даже на национальном уровне, не говоря уже о правовых механизмах на уровне ЕС для необходимой для этого процедуры присвоения.

В настоящее время кризисное управление, при котором все 27 государств-членов должны были бы согласиться активировать цифровую киберзащиту, вероятно, окажется слишком сложным и слишком медленным в чрезвычайной ситуации. Это делает еще более важным укрепление компетентности ЕС в области атрибуции и IT-безопасности на внутреннем рынке.

Несмотря на несомненно правильное понимание того, что для надежного присвоения должно быть выполнено множество предварительных условий, требованием обеспечения верховенства права является привлечение виновных и нападавших к ответственности. Таким образом, развитие аналитических возможностей является необходимым условием, в которое стоит инвестировать. Аналогичным образом в ЕС необходимо поддерживать обязательную базовую защиту IT.

Новое законодательство, такое как реформа действующей Директивы о сетевой и информационной безопасности и законопроект о киберустойчивости, объявленный комиссаром по внутреннему рынку Тьерри Бретоном в сентябре 2021 года, справедливо направлено на более широкую защиту инфраструктуры, облачных сервисов и цепочек поставок. Однако требование к корпорациям принимать меры предосторожности против угроз кибербезопасности в настоящее время не приводит к требуемому уровню инвестиций в создание устойчивых IT-систем; вместо этого средства поступают на покупку полисов киберстрахования.

Причина и успех многочисленных атак кроются в недостаточной защите базового ПО, которое зачастую разрабатывается в США, где компании не несут ответственности за недостатки своих программ. Следовательно, если мы хотим избежать ситуации, когда законы по обе стороны Атлантики противодействуют друг другу, здесь также необходима тесная трансатлантическая координация. Наиболее важными и устойчиво эффективными мерами оперативного взаимодействия внутри Союза и с партнерами «Пяти глаз» являются предотвращение и выявление.

Как показывает несоответствие между обнаружением технических IoC и политической или юридической атрибуцией, политическая оценка инцидента в контексте анализа стратегической ситуации, проводимого Hybrid Fusion Cell в ЕСВД, играет особенно важную роль. Она должна учитывать более широкую картину инцидентов в киберпространстве, поскольку также можно ожидать гибридных угроз военного значения.

С этой целью было бы целесообразно собрать данные о прошлых и текущих кампаниях атак, предполагаемых преступниках, целях, количестве затронутых государств-членов, понесенном ущербе и его юридической классификации в своего рода базе данных о киберконфликтах и ​​сделать эту информацию доступной для государств-членов. Это с большей вероятностью приведет к общему пониманию инцидентов и, в идеале, к последовательному реагированию.

Для этого ЕСВД потребуется больше технически квалифицированных и имеющих юридическую квалификацию научных сотрудников. Только надежная криминалистическая экспертиза позволит получить стратегически важную ситуационную осведомленность. В то время как существующая сеть CSIRT ЕС с ее техническими компетенциями помогает облегчить обмен сопоставимыми данными о защите критически важной инфраструктуры, Объединенное киберподразделение в Комиссии ЕС необходимо расширить для улучшения управления атрибуцией ЕС.

Кибердипломатия требует постоянной связи между органами национальной безопасности, промышленностью и академическими кругами. За это отвечает Объединенное киберподразделение, которое, в свою очередь, может выполнять ее только в тесном сотрудничестве с ЕСВД в рамках Единого потенциала анализа разведывательных данных. Государственные и частные альянсы CERT и слияния в отрасли также важны для объединения экспертных знаний в области кибердипломатии.

Как упоминалось выше, можно было бы рассмотреть вопрос о проведении различия между достаточными и необходимыми стандартами атрибуции. Чтобы в будущем вопросы кибердипломатии на стыках между Советом и Комиссией функционировали более гладко, вместе с EU INTCEN Объединенное киберподразделение Комиссии и Европол (EC3) могли бы совместно управлять этими пересечениями.

Как институт Европол особенно хорошо подходит для смягчения границ компетенции между процедурой ОВПБ ЕСВД и процедурой кризисного управления Комиссии. Ultima ratio будет означать создание двойной роли на самом высоком уровне в качестве президента Европейского совета и президента Комиссии. В случае слияния оценка стратегической ситуации для защиты внутреннего рынка и Союза безопасности ЕС станет наднациональной компетенцией.

Примечания

1. Мы обязаны ключевыми выводами этой работы глубокому исследованию Анны Софии Тидеке, Керстин Зеттл и Андреаса Шмидта. Вышеупомянутые лица внесли значительный вклад в разработку этого исследования SWP благодаря своему анализу в контексте пилотного проекта о возможности создания хранилища данных о киберинцидентах в Европе в сотрудничестве с отделом внешней политики в области кибербезопасности в 2020/21 году. Особая благодарность Веронике Датцер за ее исправления. Это атаки WannaCry, NotPetya, Cloud Hopper, взлом Бундестага и попытка атаки на Организацию по запрещению химического оружия (ОЗХО). ЕС классифицировал эти атаки как злонамеренные кибератаки и попытки кибератак с потенциально значительным воздействием, «представляющим внешнюю угрозу для Союза или его государств-членов».
2. Council of the European Union, Council Conclusions on Malicious Cyber Activities – Endorsement Approval, Brussels, 16 April 2018, https://data.consilium.europa.eu/doc/document/ST-7925-2018-INIT/en/pdf
3. Annegret Bendiek and Matthias C. Kettemann, Revisiting the EU Cybersecurity Strategy: A Call for EU Cyber Diplomacy, SWP Comment 16/2021 (Berlin: Stiftung Wissenschaft und Politik, February 2021), https://www.swp-berlin.org/publications/ products/comments/2021C16_EUCyberDiplomacy.pdf; Annegret Bendiek, Raphael Bossong and Matthias Schulze, The EU’s Revised Cybersecurity Strategy. Half-Hearted Progress on Far-Reaching Challenges, SWP Comment 47/2017, (Berlin: Stiftung Wissenschaft und Politik, November 2017), https://www.swp-berlin.org/publikation/revised-cybersecurity-strategy; Annegret Bendiek, Tests of Partnership. Transatlantic Cooperation in Cyber Security, Internet Governance, and Data Protection, SWP Research Paper 5/2014 (Berlin: Stiftung Wissenschaft und Politik, March 2014), https://www.swp-berlin.org/publikation/transatlantic-cooperation-in-cyber-security
4. Council of the European Union, Council Conclusions on Malicious Cyber Activities (see note 2), 2.
5. See Matthias Schulze, Konflikte im Cyberspace Berlin: United Nations Association of Germany, 2020 (UN-Basis-Information 61), https://dgvn.de/veroeffentlichungen/publikation/einzel/konflikte-im-cyberspace/  (accessed 6 May 2021); Alex Grigsby, “The End of Cyber Norms”, Survival 59, no. 6 (2017): 109–22.
6. See Annegret Bendiek, Due Diligence in Cyberspace. Guidelines for International and European Cyber Policy and Cybersecurity Policy, SWP Research Paper 7/2016 (Berlin: Stiftung Wissenschaft und Politik, May 2016), https://www.swp-berlin.org/publikation/due-diligence-in-cyberspace; European Digital Sovereignty: Combining Self-interest with Due Diligence, EU Policy Brief 5 (Ottawa: Centre for European Studies, Carleton University, December 2020), https://carleton.ca/ces/wp-content/uploads/Bendiek-EU-Policy-Brief-Digital-Sovereignty-2.pdf (accessed 4 June 2021).
7. Other EU security policy initiatives include the Cyber Defence Policy Framework (2018), the EU Cybersecurity Act and the 5G Toolbox (both 2019), the Security Union Strategy and the FDI Screening Regulation (2020).
8. Andy Greenberg, “White House Blames Russia for NotPetya, the ‘Most Costly Cyberattack in History’”, Wired (online), 15 February 2018, https://www.wired.com/story/white-house-russia-notpetya-attribution/ (accessed 18 May 2021).
9. Council of the European Union, Council Conclusions on Malicious Cyber Activities (see note 2).
10. Ibid.
11. Council of the European Union, Council Decision (CFSP) 2020/1127 of 30 July 2020 Amending Decision (CFSP) 2019/797 Concerning restrictive Measures against Cyber-attacks Threatening the Union or Its Member States https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32020D1127&from=DE (accessed 2 June 2021). On the legal basis of Article 13(1) of Regulation (EU) 2019/796, Annex I to Regulation (EU) 2019/796 amended the list of natural and legal persons, entities and bodies referred to in Article 3 of Regulation (EU) 2019/796.
12. See Florian J. Egloff and Max Smeets, “Publicly Attributing Cyber Attacks: A Framework”, Journal of Strategic Studies, (2021): 1–32.
13. Stefan Soesanto, “Europe Has No Strategy on Cyber Sanctions”, Lawfare, 20 November 2020, http://www.lawfareblog.com/europe-has-no-strategy-cyber-sanctions (accessed 6 May 2020).
14. Annegret Bendiek, Minna Ålander and Paul Bochtler, CFSP: The Capability-Expectation Gap Revisited. A Data-based Analysis, SWP Comment 58/2020 (Berlin: Stiftung Wissenschaft und Politik, November 2020), https://www.swp-berlin.org/publikation/cfsp-the-capability-expectation-gap-revisited; see also Francesco Giumelli, Fabian Hoffmann and Anna Książczaková, “The When, What, Where and Why of European Union Sanctions”, European Security 30, no. 1 (2021): 1–23; Niklas Helwig, Juha Jokela and Clara Portela, eds., Sharpening EU Sanctions Policy for a Geopolitical Era (Helsinki: Prime Minister’s Office, 2020), https://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/162257/VNTEAS_2020_31.pdf  (accessed 4 June 2021); Clara Portela et al., “Consensus against All Odds: Explaining the Persistence of Sanctions on Russia”, Journal of European Integration 43, no. 6 (2020): 1–17.
15. Soesanto, “Europe Has No Strategy on Cyber Sanctions” (see note 13).
16. Erica D. Borghard and Shawn W. Lonergan, “The Logic of Coercion in Cyberspace”, Security Studies 26, no. 3 (2017): 452–81 (463).
17. Thomas Rid and Ben Buchanan, “Attributing Cyber Attacks”, Journal of Strategic Studies 38, no. 1–2 (2014): 4–37 (4).
18. Ryan Stillions, “The Detection Maturity Level Model”, Ryan Stillions Blogspot, 22 April 2014, http://ryanstillions.blogspot.com/2014/04/the-dml-model_21.html (accessed 1 January 2020).
19. Erik Gartzke and Jon R. Lindsay, “Weaving Tangled Webs. Offense, Defense, and Deception in Cyberspace”, Security Studies 24, no. 2 (2015): 316–48.
20. Jason Healey, Beyond Attribution: Seeking National Responsibility in Cyberspace, Issue Brief (Washington, D.C.: Atlantic Council, 22 December 2012), https://www.atlanticcouncil.org/publications/issue-briefs/beyond-attribution-seeking-national-responsibility-in-cyberspace  (accessed 15 September 2021).
21. Egloff and Smeets, “Publicly Attributing Cyber Attacks” (see note 12).
22. For an account of the German interpretation of international law, see: The Federal Government, On the Application of International Law in Cyberspace. Position Paper (Berlin, March 2021), 12, https://www.auswaertiges-amt.de/blob/2446304/2ae17233b62966a4b7f16d50ca3c6802/on-the-application-of-international-law-in-cyberspace-data.pdf  (accessed 6 May 2021).
23. International Law Commission (ILC), Draft Articles on the Responsibility of States for Internationally Wrongful Acts (ARS) (August 2001), https://legal.un.org/ilc/texts/instruments/english/commentaries/9_6_2001.pdf  (accessed 15 June 2021).
24. Gordon Corera, “How France’s TV5 Was Almost Destroyed by ‘Russian Hackers’”, BBC News (online), 10 October 2016, https://www.bbc.com/news/technology-37590375  (accessed 14 July 2021).
25. Council of the European Union, “Council Regulation (EU) 2019/796 of 17 May 2019 concerning restrictive measures against cyber-attacks threatening the Union or its Member States”, Official Journal of the European Union, no. L 129 I/1 (17 May 2019), https://eur-lex.europa.eu/legal-content/GA/TXT/?uri=CELEX%3A32019R0796  (accessed 2 June 2021).
26. “Island of Palmas Case (Netherlands, USA), 4 April 1928”, in Reports of International Arbitral Awards, ed. United Nations, vol. II (Lake Success, 1949), 829–71 (839); International Court of Justice (ICJ), The Corfu Channel Case. Judgment of 9 April 1949, ICJ Reports 1949 (The Hague, February 1949), 22, and ICJ, Case Concerning Pulp Mills on the River Uruguay (Argentina v. Uruguay). Judgment of 20 April 2010, ICJ Reports 2010 (The Hague, 2010), p. 69, para. 197: “obligation to act with due diligence in respect of all activities which simply take place under the jurisdiction and control of each party”, https://www.icj-cij.org/public/files/case-related/135/135-20100420-JUD-01-00-EN.pdf  (accessed 14 September 2021); see also Michael N. Schmitt, ed. Tallinn Manual on the International Law Applicable to Cyberwarfare (Cambridge: Cambridge University Press, 2013), 27–8, para. 8.
27. Council of the European Union, “Regulation (EU) 2019/796” (see note 25).
28. European Commission, “Commission Recommendation (EU) 2017/1584 of 13 September 2017 on Coordinated Response to Large-scale Cybersecurity Incidents and Crises”, Official Journal of the European Union, no. L 239 (19 September 2017): 36–58, https://eur-lex.europa.eu/eli/reco/2017/1584/oj; Council of the European Union, EU Coordinated Response to Large-Scale Cybersecurity Incidents and Crises – Council Conclusions (Brussels, 26 June 2018), https://data.consilium.europa.eu/doc/document/ST-10086-2018-INIT/en/pdf (accessed 2 June 2021).
29. Along with the Joint Cyber Unit of the European Commission, the relevant institutions, bodies and agencies of the EU Member States are to collaborate through a European platform. Under the Network and Information Security (NIS) Directive, Computer Security Incident Response Teams (CSIRTs) are already expected to share their technical solutions.
30. Investigations in criminal proceedings in cases of cyberattacks are carried out by the national law enforcement authorities. They are supported by Europol and the Joint Cybercrime Action Taskforce (JCAT) at the European Cybercrime Centre (EC3).
31. Since 2018, the EU has been using the EU Law Enforcement Emergency Response Protocol (EU LE ERP) under the auspices of Europol.
32. Council of the European Union, “Council Implementing Decision (EU) 2018/1993 of 11 December 2018 on the EU Integrated Political Crisis Response Arrangements”, Official Journal of the European Union, no. L 320/28 (17 December 2018), https://eur-lex.europa.eu/eli/dec_impl/2018/1993/oj (accessed 2 June 2021). Cybersecurity is also to be included in the “Integrated Political Crisis Response” (IPCR) at Council level.
33. Council of the European Union, Draft Implementing Guidelines for the Framework on a Joint EU Diplomatic Response to Malicious Cyber Activities (9 October 2017), https://data.consilium.europa.eu/doc/document/ST-13007-2017-INIT/en/pdf (accessed 2 June 2021).
34. Matthias Monroy, “EU beschließt System für Cyber-Sanktionen”, Telepolis, 20 May 2019, https://www.heise.de/tp/features/EU-beschliesst-System-fuer-Cyber-Sanktionen-4426777.html (accessed 7 June 2021). The sanctions will be implemented by the Member States in accordance with the 2017 version of the Common Foreign and Security Policy of the EU (Document 15579/03).
35. See Art. 24 para. 1 sentence 3 TEU in conjunction with Art. 31 para. 1 subparagraph 1 sentence 2.
36. Annegret Bendiek, The EU as a Force for Peace in International Cyber Diplomacy, SWP Comment 19/2018 (Berlin: Stiftung Wissenschaft und Politik, April 2018), https://www.swp-berlin.org/publikation/the-eu-as-a-force-for-peace-in-international-cyber-diplomacy
37. See James D. Fearon, “Signaling Foreign Policy Interests”, Journal of Conflict Resolution 41, no. 1 (1997): 68–90; Florian J. Egloff and Myriam Dunn Cavelty, “Attribution and Knowledge Creation Assemblages in Cybersecurity Politics”, Journal of Cybersecurity 7, no. 1 (2021), doi: 10.1093/cybsec/ tyab002.
38. Council of the European Union, “Malicious Cyber-attacks: EU Sanctions Two Individuals and One Body over 2015 Bundestag Hack”, press release, 22 October 2020 (emphasis in original), https://www.consilium.europa.eu/en/press/press-releases/2020/10/22/malicious-cyber-attacks-eu-sanctions-two-individuals-and-one-body-over-2015-bundestag-hack/ (accessed 14 September 2021).
39. Council of the European Union, Sanctions: How and When the EU Adopts Restrictive Measures, 13 July 2021, https://www.consilium.europa.eu/en/policies/sanctions/  (accessed 13 July 2021).
40. Patryk Pawlak and Thomas Biersteker, Guardian of the Galaxy. EU Cyber Sanctions and Norms in Cyberspace, Chaillot Paper 155 (Paris: European Institute for Security Studies, October 2019), 9, https://www.iss.europa.eu/content/guardian-galaxy-eu-cyber-sanctions-and-norms-cyberspace (accessed 6 May 2021).
41. “Consolidated Version of the Treaty on European Union”, Official Journal of the European Union, 26 October 2012, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A12012M%2FTXT (accessed 12 November 2021).
42. Council of the European Union, Sanctions (see note 39).
43. Jack Goldsmith and Alex Loomis, “Defend Forward” and Sovereignty, Aegis Series Paper no. 2102 (Stanford, CA: Hoover Institution, April 2021), https://www.hoover.org/sites/default/files/research/docs/goldsmith-loomis_webreadypdf.pdf; Jason Healey, “Memo to POTUS: Responding to Cyber Attacks and PPD-20”, The Cipher Brief, 24 May 2018, https://www.thecipherbrief.com/column_article/memo-potus-responding-cyber-attacks-ppd-20
44. Council of the European Union, “Regulation (EU) 2019/796” (see note 25), Art. 2.
45. European Commission, High Representative of the Union for Foreign Affairs and Security Policy, Joint Communication to the European Parliament and the Council: Joint Framework on countering hybrid threats – a European Union response, Brussels, 6 April 2016 (JOIN/2016/18 final), https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A52016JC0018  (accessed 2 June 2021).
46. Council of the European Union, “Council Decision (CFSP) 2019/797 of 17 May 2019 Amending Decision (CFSP) 2019/797 Concerning Restrictive Measures against Cyber-attacks Threatening the Union or Its Member States”, Official Journal of the European Union, no. L 129 I/13 (17 May 2019), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0796&from=DE (accessed 2 June 2021); idem, “Regulation (EU) 2019/796” (see note 25).
47. In this case, reports on whether data was released after the ransom was paid are conflicting; Brian Krebs, “Global ‘Wana’ Ransomware Outbreak Earned Perpetrators $26,000 so Far”, Krebs on Security, 13 May 2017, https://krebsonsecurity.com/2017/05/global-wana-ransomware-outbreak-earned-perpetrators-26000-so-far/ (accessed 2 June 2021).
48. Zammis Clark, “The Worm That Spreads WanaCrypt0r”, Malwarebytes, 12 May 2017, https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/; Austin McBride, “The Hours of WannaCry”, Cisco Umbrella (online), 16 May 2017, https://umbrella.cisco.com/blog/the-hours-of-wannacry (both accessed 2 June 2021).
49. Andy Greenberg, “The Strange Journey of an NSA Zero-Day – Into Multiple Enemies ‘Hands”, Wired (online), 7 May 2019, https://www.wired.com/story/nsa-zero-day-symantec-buckeye-china/ (accessed 2 June 2021).
50. Alex Berry, Josh Homan and Randy Eitzman, “WannaCry Malware Profile”, FireEye, 23 May 2017, https://www.fireeye.com/blog/threat-research/2017/05/wannacry-malware-profile.html (accessed 2 June 2021).
51. Christof Windeck, “WannaCry: Gewaltiger Schaden, geringer Erlös”, Heise Online, 14 May 2017, https://www.heise.de/security/meldung/WannaCry-Gewaltiger-Schaden-geringer-Erloes-3713689.html (accessed 2 June 2021).
52. Volker Briegleb, “Ransomware WannaCry befällt Rechner der Deutschen Bahn”, Heise Online, 13 May 2017, https://www.heise.de/newsticker/meldung/Ransomware-WannaCry-befaellt-Rechner-der-Deutschen-Bahn-3713426.html; Stefan Betschon, “Wanna Cry: Bilanz des Hackerangriffs in 150 Ländern”, Neue Zürcher Zeitung (online), 15 May 2017, https://www.nzz.ch/international/computersicherheit-cyberangriff-gefaehrdet-windows-pc-rund-um-die-welt-ld.1293201 (all accessed 2 June 2021).
53. Bundeskriminalamt, Cybercrime. Bundeslagebild 2017 (Wiesbaden, July 2018), https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2017.html (accessed 2 June 2021).
54. “NHS Services Still Facing Cyber Threat”, BBC News (online), 15 May 2017, https://www.bbc.com/news/uk-39921479 (accessed 2 June 2021).
55. Saira Ghafur et al, “A Retrospective Impact Analysis of the WannaCry Cyberattack on the NHS”, npj Digital Medicine 2 (2019).
56. Bundeskriminalamt, Cybercrime. Bundeslagebild 2017 (see note 53), 12.
57. Andy Greenberg, “The WannaCry Ransomware Hackers Made Some Real Amateur Mistakes”, Wired (online), 15 May 2017, https://www.wired.com/2017/05/wannacry-ransomware-hackers-made-real-amateur-mistakes/ (accessed 2 June 2021).
58. Rafael Amado, “WannaCry: An Analysis of Competing Hypotheses”, Digital Shadows (online), 18 May 2017, https://www.digitalshadows.com/blog-and-research/wannacry-an-analysis-of-competing-hypotheses/ (accessed 2 June 2021).
59. Ellen Nakashima, “The NSA Has Linked the WannaCry Computer Worm to North Korea”, The Washington Post (online), 14 June 2017, https://wapo.st/3EnCyoP  (accessed 2 June 2021).
60. “Cyber-attack: US and UK Blame North Korea for WannaCry”, BBC News (online), 19 December 2017, https://www.bbc.com/news/world-us-canada-42407488 (accessed 2 June 2021).
61. Amy L. Johnson, “WannaCry: Ransomware Attacks Show Strong Links to Lazarus Group”, Broadcom, 22 May 2017, https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=b2b00f1b-e553-47df-920d-f79281a80269  (accessed 2 June 2021).
62. Amado, “WannaCry. An Analysis” (see note 58); Pasquale Stirparo, “Analysis of Competing Hypotheses, WCry and Lazarus (ACH part 2)”, Internet Storm Center, 31 May 2017, https://isc.sans.edu/forums/diary/Analysis+of+Competing+Hypotheses+WCry+and+Lazarus+ACH+part+2/22470/ (accessed 2 June 2021).
63. Johnson, “WannaCry” (see note 61).
64. Joseph Menn, “Symantec says ‘highly likely’ North Korea group behind ransomware attacks”, Reuters, 23 May 2017, https://www.reuters.com/article/us-cyber-attack-northkorea-idUSKBN18I2SH (accessed 2 June 2021).
65. Further details can also be found in the U.S. Justice Department’s indictment, United States District Court for the Central District of California, United States of America v. Park Jin Hyok, June 2018, https://www.justice.gov/opa/press-release/file/1092091/download (accessed 14 September 2021).
66. Ibid.
67. Catalin Cimpanu, “How US authorities tracked down the North Korean hacker behind WannaCry”, ZDNet (online), 6 September 2018, https://www.zdnet.com/article/how-us-authorities-tracked-down-the-north-korean-hacker-behind-wannacry/ (accessed 13 May 2021).
68. Article 3(1) and (2) Council Regulation (EU) 2019/796.
69. The legal basis is Article 13 Council Regulation (EU) 2019/796 (in conjunction with Art. 215 TFEU and Art. 21 TEU).
70. U.S. Department of Justice, North Korean Regime-Backed Programmer Charged with Conspiracy to Conduct Multiple Cyber Attacks and Intrusions (Washington, D.C., 6 September2018), https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and (accessed June 2, 2021).
71. U.S. District Court for the Central District of California, United States of America v. Park Jin Hyok (see note 65), 2.
72. Ibid., 175.
73. Republic of Estonia, Ministry of Foreign Affairs, “The EU implements its cyber sanctions regime for the first time” (Tallinn, 30 July 2020), https://vm.ee/en/news/eu-implements-its-cyber-sanctions-regime-first-time (accessed 1 October 2021).
74. Government of the Netherlands, “Blok: ‘EU condemns malicious behaviour in cyberspace’” (The Hague, 30 July 2020), https://www.government.nl/latest/news/2020/07/30/eu-condemns-malicious-behaviour-cyberspace (accessed 1 October 2021).
75. France Diplomacy, EU – Cyberattacks – Q&A from the Press Briefing, 30 July 2020, https://www.diplomatie.gouv.fr/en/french-foreign-policy/digital-diplomacy/france-and-cyber-security/article/eu-cyberattacks-q-a-from-the-press-briefing-30-jul-20 (accessed 1 October 2021).
76. “UK and allies reveal global scale of Chinese cyber campaign”, press release, GOV.UK, 20 December 2018, https://www.gov.uk/government/news/uk-and-allies-reveal-global-scale-of-chinese-cyber-campaign (accessed 1 October 2021).
77. Australian Government, Department of Foreign Affairs and Trade, European Union Cyber Sanctions Listings (1 August 2020), https://www.dfat.gov.au/news/media-release/european-union-cyber-sanctions-listings (accessed 1 October 2021).
78. U.S. Department of State, “The United States Applauds the EU’s Action on Cyber Sanctions”, Press Statement of Michael R. Pompeo, Secretary of State, 30 July 2020, https://2017-2021.state.gov/the-united-states-applauds-the-eus-action-on-cyber-sanctions/index.html (accessed 1 October 2021).
79. Jack Goldsmith, “The Strange WannaCry Attribution”, Lawfare, 21 December 2017, https://www.lawfareblog.com/strange-wannacry-attribution (accessed 1 October 2021).
80. “UK and allies reveal global scale of Chinese cyber campaign” (see note 76).
81. The NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), “NotPetya and WannaCry Call for a Joint Response from International Community” (Tallinn, 30 June 2017), https://ccdcoe.org/news/2017/notpetya-and-wannacry-call-for-a-joint-response-from-international-community/ (accessed 1 October 2021).
82. Kolja Brockmann, “European Union sanctions on North Korea: Balancing non-proliferation with the humanitarian impact” (Solna: Stockholm International Peace Research Institute [SIPRI], 11 December 2020), https://www.sipri.org/commentary/topical-backgrounder/2020/european-union-sanctions-north-korea-balancing-non-proliferation-humanitarian-impact, and EU Sanctions Map, updated 21 December 2020, https://bit.ly/2Y8oYWg (both accessed 1 October 2021).
83. Andy Greenberg, “The Untold Story of NotPetya, the Most Devastating Cyberattack in History”, Wired (online), August 2018, https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/ (accessed 26 May 2020).
84. Jürgen Schmidt, “Petya/NotPetya: Kein Erpressungstrojaner, sondern ein ‘Wiper’”, Heise Online, 29 June 2017, https://www.heise.de/security/meldung/Petya-NotPetya-Kein-Erpressungstrojaner-sondern-ein-Wiper-3759293.html (accessed 2 June 2021).
85. Bundeskriminalamt, Cybercrime. Bundeslagebild 2017 (see note 53), 14.
86. For a detailed description of the bug and exploitation see Nadav Grossman, “EternalBlue – Everything There Is to Know”, Check Point Research, 29 September 2017, https:// research.checkpoint.com/2017/eternalblue-everything-know/; for vulnerability CVE-2017-0144 see Microsoft security bulletin MS17-010, 11 October 2017, https://docs.microsoft.com/de-de/security-updates/securitybulletins/2017/ms17-010 (accessed both 14 September 2021).
87. Iain Thomson, “Everything You Need to Know about the Petya, er, NotPetya Nasty Trashing PCs Worldwide”, The Register (online), 28 June 2017, https://www.theregister.com/2017/06/28/petya_notpetya_ransomware/ (accessed 2 June 2021).
88. Schmidt, “Petya/NotPetya” (see note 84).
89. Jai Vijayan, “3 Years after NotPetya, Many Organizations Still in Danger of Similar Attacks”, Dark Reading (online), 30 June 2020, https://www.darkreading.com/threat-intelligence/3-years-after-notpetya-many-organizations-still-in-danger-of-similar-attacks/d/d-id/1338200 (accessed 2 June 2021).
90. U.S. Department of Justice, Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace (Washington, D.C., 19 October 2020), https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware-and (accessed 2 June 2021).
91. Jonas Jansen and Alexander Armbruster, “Hacker legen Zentralbank und Flughafen in Kiew lahm”, Frankfurter Allgemeine Zeitung (online), 27 June 2017, https://www.faz.net/aktuell/wirtschaft/ransomware-attacke-legt-viele-unternehmen-lahm-15079944.html (accessed 2 June 2021).
92. Eric Auchard, Jack Stubbs and Alessandra Prentice, “New Computer Virus Spreads from Ukraine to Disrupt World Business”, Reuters, 27 June 2017, https://www.reuters. com/article/us-cyber-attack-idUSKBN19I1TD (accessed 2 June 2021).
93. Bundeskriminalamt, Cybercrime. Bundeslagebild 2017 (see note 53), 14.
94. CCDCOE, “NotPetya and WannaCry Call for a Joint Response from International Community” (see note 81).
95. Greenberg, “The Untold Story of NotPetya” (see note 83).
96. Anton Cherepanoy and Robert Lipovsky, “New TeleBots Backdoor: First Evidence Linking Industroyer to NotPetya”, WeLiveSecurity 11 October 2018, https://www.welivesecurity.com/2018/10/11/new-telebots-backdoor-linking-industroyer-notpetya/ (accessed 2 June 2021). According to ESET, it is unlikely that a third party made the adjustments.
97. See Andy Greenberg, Sandworm. A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers (New York: Doubleday, 2019), chap. 36.
98. See ibid, 277.
99. Rolf S. van Wegberg, Outsourcing Cybercrime (Delft: Delft University of Technology, 2020), https://doi.org/10.4233/uuid:f02096b5-174c-4888-a0a7-dafd29454450.
100. Andy Greenberg, “Your Guide to Russia’s Infrastructure Hacking Teams”, Wired (online), 12 July 2017, https://www.wired.com/story/russian-hacking-teams-infrastructure/ (accessed 2 June 2021).
101. Ellen Nakashima, “Russian Military Was behind ‘NotPetya’ Cyberattack in Ukraine, CIA Concludes”, The Washington Post (online), 13 January 2018, https://wapo.st/3khtQAq (accessed 2 June 2021).
102. Paul Ivan, Responding to Cyberattacks: Prospects for the EU Cyber Diplomacy Toolbox (Brussels: European Policy Centre, March 2019), 5, https://www.epc.eu/content/PDF/2019/pub_9081_responding_cyberattacks.pdf; Francesco Bussoletti, “All Five Eyes countries have blamed Russia for the NotPetya cyber attack”, Difesa & Sicurezza (online), February 2018, https://www.difesaesicurezza.com/en/cyber-en/all-five-eyes-countries-have-blamed-russia-for-the-notpetya-cyber-attack/ (both accessed 15 September 2021).
103. Ivan, Responding to Cyberattacks (see note 102), 5.
104. National Cyber Security Centre, “Reckless Campaign of Cyber Attacks by Russian Military Intelligence Service Exposed” (London, October 2018), https://www.ncsc.gov.uk/pdfs/news/reckless-campaign-cyber-attacks-russian-military-intelligence-service-exposed.pdf (accessed 2 June 2021).
105. Foreign & Commonwealth Office, “UK condemns Russia’s GRU over Georgia cyber-attacks”, press release, 20 February 2020, https://www.gov.uk/government/news/uk-condemns-russias-gru-over-georgia-cyber-attacks (accessed 2 June 2021).
106. United States District Court for the Western District of Pennsylvania, United States of America v. Yuriy Sergeyevich Andrienko, Sergey Vladimirovich Detistov, Pavel Valeryevich Frolov, Anatoliy Sergeyevich Kovalev, Artem Valeryevich Ochichenko and Petr Nikolayevich Pliskin, 15 October 2020, https://www.justice.gov/opa/press-release/file/1328521/download (accessed 15 September 2021).
107. Council of the European Union, “Council Implementing Regulation (EU) 2020/1125 of 30 July 2020 implementing Regulation (EU) 2019/796 concerning restrictive measures against cyber-attacks threatening the Union or its Member States”, Official Journal of the European Union, no. (30 July 2020) L 246/4, https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32020R1125&from=DE  (accessed 2 June 2021).
108. The legal basis for this is Article 13 of Regulation (EU) 2019/796 (in conjunction with Art. 215 TFEU).
109. Ibid., 3rd recital.
110. Council of the European Union, “Council Implementing Regulation (EU) 2020/1125” (see note 107), Annex.
111. Ibid.
112. Lucian Constantin, “‘Five Eyes’ Countries Attribute APT10 Attacks to Chinese Intelligence Service”, Security Boulevard, 21 December 2018, https://securityboulevard.com/2018/12/five-eyes-countries-attribute-apt10-attacks-to-chinese-intelligence-service/ (accessed 2 June 2021).
113. “Operation Cloud Hopper: What You Need to Know”, Trend Micro, 10 April 2017, https://www.trendmicro.com/vinfo/pl/security/news/cyber-attacks/operation-cloud-hopper-what-you-need-to-know (accessed 20 May 2021).
114. Jack Stubbs, Joseph Menn and Christopher Bing, “Special Report: Inside the West’s Failed Fight against China’s ‘Cloud Hopper’ Hackers”, Reuters, 26 June 2019, https://www.reuters.com/article/us-china-cyber-cloudhopper-special-repor-idUSKCN1TR1DK (accessed 20 May 2021).
115. Ibid.
116. “German security office warned German firms about Chinese hacking – report”, Reuters, 19 December 2018, https://www.reuters.com/article/uk-germany-security-idUKKBN1OI0HS (accessed 20 May 2021).
117. U.S. Department of Justice, “Two Chinese Hackers Associated with the Ministry of State Security Charged with Global Computer Intrusion Campaigns Targeting Intellectual Property and Confidential Business Information”, press release 18-1673, December 2018, https://www.justice.gov/opa/pr/two-chinese-hackers-associated-ministry-state-security-charged-global-computer-intrusion (accessed 20 May 2021).
118. United States District Court for the Southern District of New York, United States of America v. Zhu Hua and Zhang Shilong, Indictment, 20 December 2018, 13ff.
119. Ibid. The DoJ indictment refers to hundreds of gigabytes of stolen intellectual property.
120. IBM Security and Ponemon Institute, Cost of a Data Breach Report 2019 (Traverse City, MI, 2019), https://www.ibm.com/downloads/cas/ZBZLY7KL (accessed 21 May 2021).
121. Stubbs, Menn and Bing, “Special Report” (see note 114).
122. U.S. Department of Justice, “Two Chinese Hackers” (see note 117).
123. Ibid.
124. Foreign and Commonwealth Office/NCSC, “UK and allies reveal global scale of Chinese cyber campaign” (London, 20 December 2018), https://www.gov.uk/government/news/uk-and-allies-reveal-global-scale-of-chinese-cyber-campaign (accessed 2 June 2021).
125. Constantin, “‘Five Eyes’ Countries” (see note 112).
126. “Regierungspressekonferenz vom 21. Dezember 2018”, Bundesregierung (online), 20 May 2021, https://www.bundesregierung.de/breg-de/aktuelles/regierungspressekonferenz-vom-21-dezember-2018-1563932 (accessed 20 May 2021).
127. Council of the European Union, “Declaration by the High Representative on behalf of the EU on respect for the rules-based order in cyberspace”, press release, Brussels, 12 April 2019, https://www.consilium.europa.eu/en/press/press-releases/2019/04/12/declaration-by-the-high-representative-on-behalf-of-the-eu-on-respect-for-the-rules-based-order-in-cyberspace/ (accessed 14 September 2021).
128. Council of the European Union, “Implementing Regulation (EU) 2020/1125” (see note 107).
129. Council of the European Union, “Council Implementing Regulation (EU) 2020/1744 of 20 November 2020 Implementing Regulation (EU) 2019/796 concerning restrictive measures against cyber-attacks threatening the Union or its Member States”, Official Journal of the European Union, no. L 393/1 (23 November 2020), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L%5F.2020.393.01.0001. 01.ENG&toc=OJ%3AL%3A2020%3A393%3ATOC (accessed 2 June 2021).
130. Council of the European Union, “Decision (CFSP) 2019/797” (see note 46), Art. 4
131. Stubbs, Menn and Bing, “Special Report” (see note 114).
132. Federal Bureau of Investigation, “Chinese Hackers Indicted”, 20 December 2018, https://www.fbi.gov/news/stories/chinese-hackers-indicted-122018 (accessed 2 June 2021).
133. According to the leaked minutes of the meeting of the relevant Bundestag committee, the president of the BSI said that the initial infection was caused by a so-called watering hole attack; Kommission des Ältestenrates für den Einsatz neuer Informations- und Kommunikationstechniken und ‑medien [= IuK-Kommission], Kurzprotokolle der 6., 7. und 8. Sitzung der IuK-Kommission des Deutschen Bundestages, Berlin, May to July 2015 (non-public and non-official version), https://pastebin.com/raw/LZzpN3Lb (accessed 2 January 2021).
134. “Kurzprotokoll der 7. Sitzung der IuK-Kommission”, 11 June 2015, in IuK-Kommission, Kurzprotokolle (see note 133).
135. Claudio Guarnieri, “Digital Attack on German Parliament: Investigative Report on the Hack of the Left Party Infrastructure in Bundestag”, Netzpolitik.org, 19 June 2015, https://netzpolitik.org/2015/digital-attack-on-german-parliament-investigative-report-on-the-hack-of-the-left-party-infrastructure-in-bundestag (accessed 15 September 2021).
136. Jörg Diehl, Marcel Rosenbach and Fidelius Schmid, “Rekonstruktion eines Cyberangriffs: Wie russische Hacker Angela Merkels Mailkonten knackten”, Der Spiegel (online), 8 May 2020, https://www.spiegel.de/netzwelt/web/angela-merkel-wie-russische-hacker-die-mailkonten-der-bundeskanzlerin-knackten-a-00000000-0002-0001-0000-000170816296 (accessed 2 June 2021).
137. “Kurzprotokoll der 7. Sitzung” (see note 134).
138. Ibid. [“an etwa neun bekannte, weltweit verteilte, verdächtige Server”].
139. Ibid.
140. Anna Biselli, “Wir veröffentlichen Dokumente zum Bundestagshack: Wie man die Abgeordneten im Unklaren ließ”, Netzpolitik.org, 7 March 2016, https://netzpolitik.org/2016/wir-veroeffentlichen-dokumente-zum-bundestagshack-wie-man-die-abgeordneten-im-unklaren-liess/ (accessed 21 May 2021).
141. “Diese 4 Webseiten deuten auf ein Bundestagsleak hin und hier steht warum” Buzzfeed, 8 August 2017, https://www.buzzfeed.de/recherchen/diese-webseiten-deuten-auf-ein-bundestagsleak-hin-und-hier-steht-warum-90134843.html (accessed 21 May 2021).
142. Diehl, Rosenbach and Schmid, “Rekonstruktion eines Cyberangriffs” (see note 136). [“Zwietracht säen oder Unsicherheit schüren”].
143. Florian Flade and Hakan Tanriverdi, “Der Mann in Merkels Rechner – Jagd auf Putins Hacker” (BR Podcast), Episode 4: Der Mann in Merkels Rechner, BR Bayern 2, 22 April 2021, https://www.br.de/mediathek/podcast/der-mann-in-merkels-rechner-jagd-auf-putins-hacker/853 (accessed 21 May 2021).
144. “Finding Nemo (hosts)”, Threatconnect Research, 21 July 2017, https://threatconnect.com/blog/finding-nemohost-fancy-bear-infrastructure/ (accessed 2 June 2021). Timo Steffens provides a detailed account of this in his book: Auf der Spur der Hacker. Wie man die Täter hinter der Computer-Spionage enttarnt. (Berlin: Springer Verlag, 2018), 66ff.
145. FireEye, APT28: A Window into Russian Espionage Operations? (Milpitas, CA, 2014), https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-apt28.pdf (accessed 2 June 2021).
146. Guarnieri, “Digital Attack on German Parliament” (see note 135).
147. Patrick Beuth, “Hackerangriff im Bundestag: ‘Das ist kein allzu großer Fall’”, Zeit Online, 12 June 2015, https:// www.zeit.de/digital/datenschutz/2015-06/bundestag-hack-karlsruher-firma-aufklaerung (accessed 2 June 2021).
148. “Russia ‘was behind German parliament hack’”, BBC News (online), 13 May 2016, https://www.bbc.com/news/technology-36284447 (accessed 2 June 2021).
149. “Hacker im Staatsauftrag – Netzwerk Recherche #nr17”, YouTube, 9 June 2021, min. 6:50, https://www.youtube.com/watch?v=OfRb6hssfu8 (accessed 9 June 2021).
150. Huib Modderkolk, “Dutch Agencies Provide Crucial Intel about Russia’s Interference in US Elections”, De Volkskrant, 25 January 2018, https://www.volkskrant.nl/wetenschap/dutch-agencies-provide-crucial-intel-about-russia-s-interference-in-us-elections~b4f8111b/ (accessed 2 June 2021).
151. U.S. Department of Justice, Report on the Investigation into Russian Interference in the 2016 Presidential Election, vol. I (Washington, D.C., March 2019), 36ff., https://www.justice.gov/archives/sco/file/1373816/download (accessed 21 May 2021); U.S. District Court for the District of Columbia, United States of America v. Viktor Borisovich Netyksho, Boris Alekseyevich Antonov, Dmitriy Sergeyevich Badin and Others, Indictment, CR 18-215, 13 July 2018, https://www.justice.gov/file/1080281/download (accessed 9 January 2021).
152. “Auch Bundesregierung macht Russland verantwortlich für Cyberangriffe”, Der Spiegel (online), 5 October 2018, https://www.spiegel.de/netzwelt/netzpolitik/apt28-bundesregierung-beschuldigt-offiziell-russland-der-cyberangriffe-a-1231744.html (accessed 6 October 2021) [“Auch die Bundesregierung geht mit an Sicherheit grenzender Wahrscheinlichkeit davon aus, dass hinter der Kampagne APT 28 der russische Militärgeheim-dienst GRU steckt […] Diese Einschätzung beruht auf einer insgesamt sehr guten eigenen Fakten- und Quellenlage”].
153. Jörg Diehl and Fidelius Schmid, “Deutschland ermittelt gegen russische Hacker”, Der Spiegel, 16 November 2019.
154. “Hackerangriff auf Bundestag: Angela Merkel erhebt schwere Vorwürfe gegen Moskau”, Der Spiegel (online), 13 May 2020, http://www.spiegel.de/politik/deutschland/hackerangriff-angela-merkel-erhebt-schwere-vorwuerfe-gegen-moskau-a-36fc72c7-7f66-47e6-997d-fbd5a08ae4d5 (accessed 9 January 2021) [“von ‘harten Evidenzen’ für eine russische Beteiligung und von einem ‘ungeheuerlichen’ Vorgang”].
155. Council of the European Union, “Council Implementing Regulation (EU) 2020/1536 of 22 October 2020 Implementing Regulation (EU) 2019/796 concerning Restrictive Measures against Cyber Attacks Threatening the Union or its Member States”, Official Journal of the European Union, no. L 351 I/1 (22 October 2020), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32020R1536 (accessed 2 June 2021).
156. Ibid., Annex.
157. Council of the European Union, “Council Implementing Regulation (EU) 2020/1125” (see note 107).
158. WiFi spoofing is based on users mistakenly logging into a hotspot with their regular user data.
159. Andy Greenberg, “How Russian Spies Infiltrated Hotel Wi-Fi to Hack Their Victims up Close”, Wired (online), 4 October 2018, https://www.wired.com/story/russian-spies-indictment-hotel-wi-fi-hacking/ (accessed 25 May 2021).
160. Luke Harding, “How Russian spies bungled cyber-attack on weapons watchdog”, The Guardian (online), 4 October 2018, https://www.theguardian.com/world/2018/oct/04/how-russian-spies-bungled-cyber-attack-on-weapons-watchdog (accessed 25 May 2021).
161. U.S. Department of Justice, US v. Aleksei Sergeyevich Morenets (Washington, D.C., October 2018), https://www.justice.gov/usao-wdpa/vw/us-v-Aleksei-Sergeyevich-Morenets (accessed 2 June 2021).
162. Onno Eichelsheim, “GRU close access cyber operation against OPCW”, Netherlands Ministry of Defence (The Hague, 4 October 2018), https://english.defensie.nl/binaries/defence/documents/publications/2018/10/04/gru-close-access-cyber-operation-against-opcw/ppt+pressconference+ENGLISH+ DEF.pdf  
163. U.S. Department of Justice, US v. Aleksei Sergeyevich Morenets (see note 161).
164. Government of the Netherlands, “Netherlands Defence Intelligence and Security Service Disrupts Russian Cyber Operation Targeting OPCW” (The Hague, 25 May 2021), https://www.government.nl/latest/news/2018/10/04/netherlands-defence-intelligence-and-security-service-disrupts-russian-cyber-operation-targeting-opcw  (accessed 25 May 2021).
165. Ibid.
166. U.S. Department of Justice, US v. Aleksei Sergeyevich Morenets (see note 161).
167. Ibid.
168. Ibid.
169. Flade and Tanriverdi, “Der Mann in Merkels Rechner – Jagd auf Putins Hacker” (BR Podcast) (see note 143), Episode 3: “Ganz nah dran”, https://www.br.de/mediathek/podcast/der-mann-in-merkels-rechner-jagd-auf-putins-hacker/3-ganz-nah-dran/1823410 (accessed 21 May 2021).
170. European Council, “Joint Statement by Presidents Tusk and Juncker and High Representative Mogherini on Russian Cyber Attacks”, press release, Brussels, 4 October 2018, https://www.consilium.europa.eu/de/press/press-releases/2018/10/04/joint-statement-by-presidents-tusk-and-juncker-and-high-representative-mogherini/ (accessed 30 September 2021).
171. Council of the European Union, “Council Implementing Regulation (EU) 2020/1125” (see note 107).
172. Council of the European Union, “Council Implementing Regulation (EU) 2020/1744” (see note 129).
173. Council of the European Union, “Council Implementing Regulation (EU) 2020/1125” (see note 107), Annex.
174. Julia Grauvogel and Christian von Soest, Cybersanktionen: Zunehmende Anwendung eines neuen Instruments, GIGA Focus – Global, no. 3 (Hamburg: German Institute of Global and Area Studies [GIGA], April 2021), https://pure.giga-hamburg.de/ws/files/24469713/gf_web_global_2021_03_D.pdf (accessed 14 September 2021).
175. If the leaked information had been instrumentalised in the 2017 German federal election campaign, as the internal emails of the Democratic National Committee in the U.S. had been in 2016, the legal concept of “illegal intervention” or “self-determination” could have applied.
176. Jean-Baptiste Jeangène Vilmer, The “Macron Leaks” Operation: A Post-Mortem (Washington, D.C.: Atlantic Council, June 2019), https://www.atlanticcouncil.org/wp-content/uploads/2019/06/The_Macron_Leaks_Operation-A_Post-Mortem.pdf (accessed March 1, 2021).
177. United States District Court Western District of Pennsylvania, United States of America v. Yuri Sergeyevich Andrienko (see note 106).
178. Ivan, Responding to Cyberattacks (see note 102).
179. “Cyberattacken: Regierung beschuldigt Russland offiziell”, Süddeutsche Zeitung (online), 5 October 2018, https://www.sueddeutsche.de/service/internet-cyberattacken-regierung-beschuldigt-russland-offiziell-dpa.urn-newsml-dpa-com-20090101-181005-99-250924 (accessed 2 June 2021).
180. Piret Pernik, “Responding to ‘the Most Destructive and Costly Cyberattack in History’” (Tallinn: International Centre for Defence and Security [ICDS], 23 February 2018), https://icds.ee/en/responding-to-the-most-destructive-and-costly-cyberattack-in-history/ (accessed 2 June 2021).
181. Alex Hern, “‘NotPetya’ Malware Attacks Could Warrant Retaliation, Says NATO Affiliated-researcher”, The Guardian (online), 3 July 2017, https://www.theguardian.com/technology/2017/jul/03/notpetya-malware-attacks-ukraine-warrant-retaliation-nato-researcher-tomas-minarik (accessed 2 June 2021).

Источник