Как Албания стала мишенью для кибератак – внешняя политика
ТИРАНА, Албания — Когда улица, где располагалось российское посольство в албанской столице Тиране, была переименована в «Свободную Украину», русские решили переехать. Они методично демонтировали камеры снаружи здания, сняв антенны связи, и приспустили флаг.
Памятник в центре Тираны, столицы Албании.Памятник в центре Тираны, столицы Албании, 20 сентября 2022 года. Фото Аймана Оганны для Foreign Policy
ТИРАНА, Албания — Когда улица, где располагалось российское посольство в столице Албании Тиране, была переименована в «Свободную Украину», русские решили переехать. Они методично демонтировали камеры снаружи здания, сняв антенны связи, и приспустили флаг.
Однако иранцы не могли позволить себе роскошь времени. После того, как Исламская Республика была признана ответственной за кибератаки на правительство Албании, в телеобращении 7 сентября 2022 года премьер-министр Эди Рама дал тегеранским дипломатам всего 24 часа, чтобы покинуть страну.
Когда наступила ночь, свидетели видели, как сотрудники сжигали документы в металлической бочке на территории посольства Ирана в рамках быстрой, грубой и отчаянной эвакуации, прежде чем вошли вооруженные силы специального назначения албанской полиции с собаками, обычно используемыми для поиска взрывчатых веществ.
Это был беспрецедентный разрыв дипломатических отношений из-за предполагаемых кибератак, даже если у Ирана были четкие мотивы. Следователи полагают, что Албания стала мишенью в отместку за то, что она укрыла тысячи членов «Муджахедин-и-Халк» (MEK), некогда насильственной культовой иранской оппозиционной группы, проживающей в укрепленном лагере в Манезе, Албания, после эвакуации из Ирака в 2016.
Все еще неповрежденное оборудование для наблюдения, оставленное у ворот посольства Ирана, является памятником тому факту, что Албания, член НАТО, по-прежнему подвергается нападениям со стороны злонамеренных иностранных субъектов, стремящихся нанести ущерб одному из самых уязвимые члены военного союза.
Уличная фреска изображает украинскую войну в Тиране, Украина.
Уличная фреска изображает российско-украинскую войну в Тиране 27 января.
«Это все еще грязная кибервойна», — сказал Рама0022 Foreign Policy в своем кабинете в Тиране в январе, его стены покрыты футуристическими каракулями премьер-министра. «Природа кибервойны заключается в том, чтобы все время иметь возможность туда-сюда», — сказал он под чириканье экзотических птиц, которых он держит за дверью.
Албания страдает от непрекращающихся кибератак, разрушающих в цифровом виде критически важную компьютеризированную государственную и частную инфраструктуру страны. По данным Федерального бюро расследований США (ФБР) в 2021 году хакеры получили постоянный доступ к правительственным серверам Албании, собирая данные, прежде чем использовать программы-вымогатели и запустить деструктивную атаку «wiper», уничтожающую общедоступные данные с помощью вредоносного ПО для очистки дисков в июле 2022 года9.
0003
Они также закрыли правительственные веб-сайты с помощью программ-вымогателей, рассылаемых по сообщениям, нарушая работу государственных служб, что имело катастрофические последствия для албанских государственных служб, которые были оцифрованы, чтобы обойти медленные и коррумпированные бюрократические процессы. Поскольку подавляющее большинство государственных услуг было переведено в онлайн, все аспекты жизни албанских граждан, от рождения до брака и смерти, оказались в беспорядке.
Хакеры также собирали, удаляли и распространяли секретную информацию, в том числе личности сотен сотрудников албанской разведки под прикрытием, публиковали электронные письма директора разведки и продолжают сливать конфиденциальную информацию через веб-сайт и каналы Telegram, препятствуя способность управлять. Информация включала в себя данные за более чем 17 лет, отслеживающие всех, кто въезжал в страну и выезжал из нее из государственной системы управления общей информацией (TIMS), а также из частных учреждений, таких как финансовые отчеты клиентов банка.
«Это было очень, очень серьезно», — сказал Рама о последствиях атак.
Иранские государственные деятели были обвинены в наиболее заметных кибероперациях, проведенных в прошлом году, при этом ФБР и Агентство США по кибербезопасности и безопасности инфраструктуры, частные компании Microsoft и Mandiant, а также Национальный центр кибербезопасности Великобритании назвали Иран единственным преступник в своих отчетах.
Бывшее посольство Ирана в Тиране, 24 января.
Рама полностью осознает, что решение Албании позволить МЕК, крупнейшей внешней организованной оппозиционной группировке иранского режима, создать базу, на которой они смогли утвердиться в качестве предполагаемое правительство в изгнании было спорным. Группа занималась политической деятельностью, проводя ежегодные саммиты (июльская кибератака произошла перед запланированной конференцией MEK) и принимая иностранных высокопоставленных лиц, в том числе Майка Помпео и Майка Пенса.
Тем не менее, Рама защищает ход.
«Они были уничтожены рейдами иранских спецслужб [в Ираке], и тогда наши американские друзья спросили нас, можем ли мы открыть нашу дверь», — сказал премьер-министр. «Мы чтили нашу традицию укрывать людей. Это давняя традиция в Албании. Именно это сделало Албанию единственной страной в Европе, в которой после Второй мировой войны проживает больше евреев, чем до нее», — сказал он с непреходящим обаянием, которое помогло ему победить на трех демократических выборах, несмотря на многочисленные скандалы.
Премьер-министр Албании Эди Рама в своем кабинете в Тиране, Албания.Премьер-министр Албании Эди Рама в своем кабинете в Тиране, 24 января. Китайцев интересует шпионаж, русских — влияние и иранская агрессия. А атаки на албанскую интернет-инфраструктуру, пожалуй, самые агрессивные в истории государства в мирное время.
«За исключением нападений на украинское правительство после вторжения, которые, очевидно, происходят в контексте того, что на Украину сбрасывается куча бомб… это примечательно, потому что это нападение непосредственно на правительство», — сказал Бенджамин Рид из Mandiant, привлеченный для расследования атак.
Для некоторых размер, размах, изощренность и агрессивный характер албанских атак, а также операции по вымогательству со стороны групп киберпреступников, действующих с территории России, означают, что Иран действовал не в одиночку. «Я думаю, что это сотрудничество между Россией и Ираном, — сказал Джентиан Прогни, цифровой предприниматель и самопровозглашенный «разоблачитель» из Тираны, — потому что диапазон атак был слишком большим».
Прогни, который научился программировать в детстве, находясь дома во время семейной кровной мести, о которой он не может подробно рассказать из-за боязни разжечь ее снова, указывает, что утечка информации о взломах была распространена с российского веб-сайта Justicehomeland.ru, которые российские власти еще не сняли, и через каналы Telegram также распространяли пророссийскую пропаганду.
Он также отмечает, что в тот же период времени была совершена атака на Албанию, другие нападения были совершены по всей юго-восточной Европе против Черногории, Болгарии, Косово и Северной Македонии в тот же период со стороны русскоязычных группировок.
Последние громкие атаки были совершены против национального авиаперевозчика страны Air Албания группировкой LockBit, печально известной киберпреступной группировкой, действующей с территории России, в составе которой есть русскоязычные участники. По словам Тима Митчелла, эксперта по LockBit в SecureWorks, американской компании по кибербезопасности, он не атакует организации или государства в рамках Содружества Независимых Государств, где доминирует Россия.
В ноябре прошлого года 33-летнему гражданину России и Канады было предъявлено обвинение в участии в глобальной кампании вымогателей LockBit, и он ожидает экстрадиции в Соединенные Штаты. LockBit также попал в заголовки новостей в прошлом месяце из-за атаки на Royal Mail, основную британскую почтовую компанию и компанию по доставке посылок, вынудив ее закрыть все международные доставки почты и посылок.
- Горечавка Прогни в своем офисе в Тиране, Албания.
- Горечавка Прогни в своем офисе в Тиране, 24 января.
- «Хакерский» номерной знак в офисе Прогни в Тиране, Албания .
- «Хакерский» номерной знак в офисе Прогни в Тиране, 24 января.
Атака Северной Македонии была связана с группой BlackByte, которая избегает атак на российские организации. Progni поделился с Foreign Policy скриншот, показывающий многочисленные российские IP-адреса, использованные для атак в Косово. «По сути, Россия и Иран напали на Албанию», — сказал он.
«Послушайте, я знаю, что очень политкорректно в наше время обвинять во всем Россию, но я думаю, что у них и так достаточно вины», — сказал Рама. «В данном случае никакого российского участия нет, потому что расследование [ФБР] его не выявило».
Тем не менее, и Рама, и ФБР подверглись резкой критике в Албании после недавнего скандала, в ходе которого правительство Албании обвиняется в подкупе бывшего сотрудника ФБР для проведения ФБР расследований в областях, нанесших ущерб албанской оппозиции.
«Внутренние правоохранительные органы в Албании… рассматривали ФБР в этом деле как институционально слабое, политически эксплуатируемое и даже подозреваемое в причастности к коррупционным делам и влиянию, торговле в пользу влиятельных лиц в третьих странах», — сказал Зеф Пречи. , директор Центра экономических исследований, неправительственной организации в Албании.
ФБР отказалось комментировать эту статью.
Даже если количество нападавших, участвовавших в нападении на Албанию, остается неясным, партнерство России и Ирана, несомненно, близко на поле боя на Украине, где Тегеран быстро стал главным военным покровителем Москвы в войне, в первую очередь благодаря своим поставкам смертоносных камикадзе. беспилотники, которые разрушили украинскую инфраструктуру. На декабрьском брифинге координатор Совета национальной безопасности Белого дома Джон Кирби сказал: «Россия предлагает Ирану беспрецедентный уровень военной и технической поддержки, которая превращает их отношения в полноценное оборонное партнерство».
Цифровые атаки в Албании могут также означать более тесное сотрудничество в киберсфере. «Здесь, в Украине, на линии фронта, мы почти ежедневно подвергаемся атакам со стороны русских с использованием иранских беспилотников «Шахид». Это всего лишь один из примеров растущего сотрудничества между Тегераном и Москвой», — сказал в интервью Foreign Policy из Бахмута журналист Давид Патрикакос, автор книги Nuclear Iran . «Мы можем ожидать, что информационное пространство будет становиться все более загрязненным, поскольку они будут больше сотрудничать в цифровой сфере».
За пять месяцев до того, как хакеры получили доступ к албанским системам, Иран и Россия публично заявили, что они официально подписали соглашение о кибербезопасности в январе 2021 года. «Хотя известно, что Иран и Россия сотрудничали в киберпространстве еще до 2021 года, это соглашение свидетельствует более глубокий уровень сотрудничества между двумя странами на всех административных уровнях в области кибербезопасности, передачи технологий и совместного обучения», — сказал Миад Нахавали, исследователь по Ирану и аналитик Белградского центра политики безопасности.
Хотя Россия, возможно, и не предоставила инструменты, использованные Ираном для нападения на Албанию, она, безусловно, могла предоставить обучение. Да и методы атак имеют российский привкус. «Что касается использования вайперов [стирания данных], это действительно имеет сходство с тем, что русские сделали в Украине», — сказал Омри Векслер, старший научный сотрудник Семинара Ювала Неемана по науке, безопасности и технологиям в Тель-Авиве. Университет.
«Между Россией и Ираном продолжается партнерство в киберпространстве, которое в основном основано на общей антиамериканской позиции. настроений и в основном вращается вокруг совместного использования киберинформации, обучения, наращивания потенциала и передачи технологий. Мало что известно о том, какие инструменты, методы или данные были переданы», — сказал Векслер.
Реклама Coca-Cola вдоль дороги на окраине Тираны, Албания.
Рекламные объявления Coca-Cola вдоль дороги на окраине Тираны 28 сентября 2022 года.
Ориентация на Албанию имеет смысл для Москвы и Тегерана. В конце концов, Тирана, возможно, является ближайшим партнером Соединенных Штатов на Западных Балканах с момента восстановления отношений после 45 лет коммунистической изоляции, когда Албания рассматривалась как «Северная Корея Европы», по словам Рамы.
Албания приняла у себя не только иранских диссидентов МЕК, но и сотни связанных с США политических беженцев из Афганистана после хаотического краха поддерживаемого США правительства. В прошлом году также было подтверждено, что Вашингтон создаст в стране базу сил специальных операций.
Кибероперации против правительства США и их союзников раскрывают стратегическое партнерство государств, находящихся под санкциями, и их доверенных лиц, работающих вместе, чтобы нанести ущерб интересам Запада во всем мире. В мае прошлого года поддерживаемые Ираном ополченцы в Ираке взяли на себя ответственность за атаки типа «отказ в обслуживании» (DDoS), в результате которых украинские правительственные веб-сайты дважды были закрыты.
Говорят, что один из них был местью за убийство Дарьи Дугиной в России. Второй был больше направлен против сайта Министерства инфраструктуры Украины и произошел в октябре.
Точный характер киберпартнерства России и Ирана неизвестен. «Русские лучше иранцев», — сказал эксперт по кибербезопасности и независимый исследователь по имени Гругк. Министерство разведки и безопасности Ирана (MOIS) «было бы в значительной степени младшим партнером, который выиграет от сотрудничества с Россией, а не наоборот».
Бывшая штаб-квартира коммунистической секретной службы, ныне музей шпионажа в Тиране, Албания.Бывшая штаб-квартира коммунистической секретной службы, ныне музей шпионажа, Тирана, 27 января. «Муллы слушают приказы России. Конечно, они претендуют на независимость, но влияние России в структуре принятия решений иранским режимом очень велико, особенно в отношении вопросов безопасности и военных».
Тем не менее, как показывают теракты в Албании, Иран не следует недооценивать, считает Векслер из Тель-Авивского университета.
«Они не такие изощренные, но они играют при дворе крупных актеров», — сказал он.
У Тегерана также был очень подозрительный дипломатический корпус в Тиране. Учитывая, как мало экономических, культурных и политических связей между двумя странами, другие дипломаты в Тиране, а также албанские власти часто спрашивали, что именно они там делают. Их не видели на других дипломатических мероприятиях, по словам одного западного дипломата, который говорил на условиях анонимности, а обслуживающий персонал в кафе и ресторанах возле посольства сказал, что иранцы даже не будут пить кофе на улице.
В 2018 году Албания выслала двух самых высокопоставленных иранских дипломатов в Тиране, сославшись на соображения национальной безопасности. Посол Голамхоссейн Мохаммадния и дипломат Мостафа Рудаки, считавшиеся главой резидентуры MOIS, были объявлены персонами нон грата. Албанские власти также задержали, допросили и депортировали других иранцев за шпионаж в 2020 году, а в прошлом году осудили гражданина Ирана Биджана Пуладрага по обвинению в терроризме.
Граждане России тоже оказались обвиненными в шпионаже. Дважды за последние два года предполагаемых российских агентов арестовывали вблизи военных баз, одна из которых трансформируется в новую авиабазу НАТО. Они содержатся под стражей в Албании.
Горный туннель на окраине Тираны, Албания.
Горный туннель на окраине Тираны, 28 сентября 2022 г.
«Мы слабее, — сказал Фатос Клоси, бывший глава секретной службы Албании. «На нас гораздо проще напасть, и они это сделали. Это легко сделать. И они это сделали». Уязвимость Албании возникла из-за стремления оцифровать государственные услуги. «Теперь у нас есть 95 процентов государственных услуг в Интернете», — сказал Рама. «В этом была наша сила с точки зрения модернизации, но это также стало нашей уязвимостью, потому что мы были разоблачены».
Облучение Албании продолжается и имело катастрофические последствия для ее внутреннего функционирования и внешнего обмена информацией со странами-партнерами.
Дипломатический источник на условиях анонимности сообщил, что «кибератаки напрямую повлияли на оперативное сотрудничество стран-партнеров с правительством Албании», предположительно потому, что союзники опасаются, что связь небезопасна.
Шпионаж изменился со времен Клоси, возглавлявшего секретную службу. Когда он начинал, Албания только что вышла в интернет, и большинство взаимодействий происходило лично «Это был спорт джентльменов в течение долгого времени, с 90 лет, с момента падения Берлинской стены», — сказал он. «Мы бы сказали противнику, контрагенту, что у нас есть идея, что этот парень ваш, и если бы это было правдой, обычно другая служба убрала бы этого парня».
На вопрос, узнаем ли мы когда-нибудь со 100-процентной уверенностью, кто именно напал на Албанию, бывший глава разведки ответил отрицательно. «В этой сфере все гипотетично. Нет никакой гарантии сказать, кто это сделал. Кто не делал. Мы находимся в неопределенных водах», — сказал Клоси. «Я знаю, что правда — это одно, а то, что появляется на поверхности — другое.