Только что узнал о довольно важном событии, которое произошло в конце 2024 года. Казначейство США преследовало российскую компанию под названием Operation Zero за то, что она фактически управляла рынком украденных правительственных хакерских инструментов. Что делает это особенно интересным, так это то, как всё связано с криптовалютой и пересечением финансирования кибервойн.

Итак, что произошло: по сообщениям, сотрудник американского оборонного подрядчика прямо украл проприетарное программное обеспечение для вторжений, которое изначально разрабатывалось по государственному контракту. Мы говорим о продвинутых системах постоянной угрозы, уязвимостях нулевого дня, инфраструктуре командования и управления — таких инструментах, которые используют разведывательные агентства и военные. Этот сотрудник затем продал их российским покупателям, а транзакции проходили через криптовалюту на миллионы долларов.

Офис по контролю за иностранными активами (OFAC) официально включил Operation Zero в список санкционных мер, что означает заморозку активов, запрет на деловые отношения с США и все в этом духе. Интересно, что они не опубликовали конкретных адресов кошельков или данных блокчейна. Аналитики кибербезопасности обсуждают этот шаг — одни считают, что это умная тактика операционной безопасности, чтобы не выдавать информацию другим злоумышленникам, другие полагают, что больше прозрачности помогло бы биржам блокировать такие транзакции. Без конкретных идентификаторов как команды по соблюдению требований должны знать, за чем следить?

Криптовалютный аспект здесь заслуживает внимания. Биткойн, Monero, Эфириум — это типичные инструменты для крупных трансграничных транзакций. Особенно Monero подходит для сделок, ориентированных на конфиденциальность. Мы уже видели подобные схемы: северокорейские хакеры перемещают украденные средства, группы вымогателей требуют выкуп, но этот случай отличается. Это один из первых задокументированных случаев, когда криптовалюта используется для финансирования распространения реальных возможностей кибервойн.

Доктор Елена Родригес, бывший аналитик NSA, объяснила, почему это важно: инструменты правительственного уровня теперь циркулируют на коммерческом рынке. Продвинутые возможности попадают к непредсказуемым актёрам. Криптовалюта обеспечивает идеальный финансовый слой для таких непрозрачных транзакций. Сотрудник оборонного подрядчика, по всей видимости, обошёл несколько протоколов безопасности, а внутренние контрольные механизмы не сработали. Украденные инструменты затем перемещались через промежуточные сети, прежде чем попасть к российским покупателям — что указывает на существующие маршруты контрабанды цифровых товаров.

Разведывательные службы следили за Operation Zero годами. На первый взгляд, они занимаются этическим взломом и исследованием уязвимостей, но давно ходили подозрения о двойном использовании этих технологий. Меры Казначейства фактически подтвердили то, что уже знали разведки. Национальный центр кибербезопасности Великобритании и другие международные партнеры выпустили соответствующие предупреждения.

Это санкционное действие происходит в момент, когда криптовалютные рынки уже находятся под сильным регулированием. Казначейство недавно расширило руководство для поставщиков виртуальных активов, требуя усиленной проверки крупных транзакций и более тщательного мониторинга санкционированных адресов. Однако дело Operation Zero создает особые сложности — решение OFAC не публиковать адреса криптокошельков усложняет соблюдение требований для бирж. Невозможно заблокировать транзакцию без конкретных идентификаторов.

Здесь есть прецеденты. В 2021 году OFAC наложило санкции на организации, торгующие кибер-инструментами, включая российскую компанию Positive Technologies. В начале 2024 года они нацелились на Tornado Cash — это было знаковым событием, потому что регуляторы пошли по пути блокировки самого кода, а не отдельных лиц. Действия Operation Zero развивают эту эволюцию. ЕС также принял собственный режим киберсанкций, что свидетельствует о росте международной координации.

Что делает это особенно актуальным для общего ландшафта кибервойн — это то, как оно выявляет уязвимости в оборонной промышленной базе. Подрядчики работают с чувствительными материалами, применяя разные протоколы безопасности. Один сотрудник обошел несколько уровней защиты, что говорит либо о сложных внутренних угрозах, либо о недостаточной защите. После этого инцидента оборонное сообщество, вероятно, пересмотрит стандарты безопасности.

Само украденное оборудование, скорее всего, включало модули разведки для выявления уязвимых систем, эксплойт-фреймворки для доставки вредоносных программ и механизмы сохранения доступа. Это передовые технологии, попавшие в чужие руки. Враги могут изучить эти технологии, чтобы разработать контрмеры или создать аналогичные оружия.

Что этот случай действительно подчеркивает — необходимость адаптации традиционных финансовых контролей к рынкам криптовалют. Оборонные подрядчики должны улучшить внутреннюю безопасность. Международное сообщество сталкивается с постоянными угрозами из-за распространения кибер-возможностей. Координированные действия и усиление мер безопасности становятся необходимыми для национальной безопасности. Пересечение криптофинансов и кибервойн становится все труднее игнорировать.