Турецкая киберармия: эра электронных янычаров

16 октября 2020

В 2017 г. министр транспорта и связи Турции Ахмет Арслан заявил, что Анкара планирует создать специальное подразделение для обеспечения информационной безопасности и защиты своих интересов в кибепространстве. А уже спустя три года турецкие «белые хакеры» стали серьезным инструментом поддержания политических амбиций Анкары. Данная статья является попыткой показать, что из себя представляет турецкая киберармия (Türk Siber Ordusu) сегодня, какие задачи она решает, и с какими вызовами сталкивается в ходе своей деятельности.

Рождение Киберсил: на пути к институционализации

Впервые о создании национальных сил кибербезопасности заговорили в 2011 г. Тогда, по замыслу турецкого руководства, в состав подразделения, интегрированного в национальные ВС, должны были войти 200 специалистов в сфере кибербезопасности, с перспективной увеличения штата на 25% в течение первых пяти лет. Однако быстрое развитие и расширение списка киберугроз привело к радикальной смене стратегии: уже в 2012 г. в Турции был создан Командный центр Киберзащиты (КЦК), в дальнейшем трансформированный в Командование Киберзащиты ВС Турции, а еще через три года (2016 г.) была основана дополнительная структура — Центр электронной войны, специализирующийся на предотвращении киберугроз и ведении боевых действий в киберпространстве.

Особое внимание при развитии новой системы кибербезопасности власти Турции уделили оборонительному аспекту. Вскоре после создания КЦК турецким Генштабом был разработан проект Центра кибероророны (SİSAMERа), специализирующегося на борьбе с «внутренними киберугрозами» (под которыми подразумевалась, прежде всего, деятельность последователей Фетхуллаха Гюлена в киберпространстве), и создания при нем в 2017 г. Центра Мониторинга Киберугроз. Параллельно с этим Турция активно перенимала опыт зарубежных партнеров, участвуя в международных учениях по кибербезопасности, а также организуя консультации с военными и гражданскими специалистами. Отдельное внимание уделяется развитию имиджа национальных киберсил и преданию им особого социального статуса. Ключевая цель турецкого правительства – превратить киберармию в «первоклассный бренд» не только в пределах региона, но и во всем мире.

Доктринальные основы деятельности

Текущая деятельность турецкой киберармии и круг ее задач определяются рядом политических документов. Первоочередную роль в этом вопросе играет «Документ о политике национальной безопасности» («Milli Güvenlik Siyaseti Belgesi»), издаваемый под эгидой Совета национальной безопасности Турции и содержащий перечень внутренних и внешних угроз национальной безопасности. Согласно ему, киберзащита является пятой составляющей национальной безопасности Турции после сухопутных, морских, воздушных и космических составляющих. Кроме того, в документе подчеркнута важность киберобороны для борьбы против враждебной пропаганды и кибертерроризма, для защиты границ и населения, для сохранения систем ключевых инфраструктур и госучреждений, для электронной торговли, для промышленных объектов страны и т. д.

Второй важный документ — Национальная стратегия в сфере кибербезопасности (National Cyber Security Strategy), определяющая ключевые задачи страны в борьбе с угрозами в киберпространстве, а также задающая общий вектор развития национальных киберсил. Примечательно, что авторы данной стратегии отдают предпочтение мерам по укреплению средств защиты безопасности национального киберпространства, однако в то же время допускают реализацию мероприятий «наступательного характера», если на то существуют достаточные основания.

Итоговые акценты по отдельным вопросам регулирования киберсферы расставляются с помощью государственных указов, ведомственных распоряжений, а также законопроектов, направленных на регулирование всей сферы в целом (например, Положение «О мерах по информационной и коммуникационной безопасности Турции»).

Кроме того, в 2019 г. кибербезопасность оказалась включена в Стратегический план развития страны (Strategic plan 2019-2023), изданный Счетной палатой. Новый «План» отмечает растущую угрозу экономике со стороны киберпреступности и важность максимально эффективной мобилизации национальных сил в борьбе с ней. Иными словами, Счетная палата, фактически, указала на необходимость использования киберармии для защиты экономической сферы жизни Турции (под которой подразумевается, прежде всего, банковская сфера). Подобный запрос вполне обоснован — особенно с учетом урона, который понесли турецкие банки после серии масштабных кибератак в 2015 г.

Как результат, к середине 2020 г. удалось сформировать прочную нормативно-правовую базу, определяющую ключевые цели и задачи турецких сил в киберпространстве.

Структура киберВС Турции

Türk Siber Ordusu насчитывает не менее 13 тыс. человек. Однако эта цифра не только не является окончательной, но еще и существенно занижена. В нее включены только кадровые специалисты (т. н. «Ядро» или «белые хакеры») — военные и гражданские эксперты в области кибербезопасности, а также бывшие хакеры, добровольно перешедшие в государственный сектор. «Ядро» турецкой киберармии состоит из пяти групп (отделов). Каждая группа контролирует свою обособленную сферу, в рамках которой сотрудничает с профильными министерствами и ведомствами. Разумеется, состав и название этих групп не афишируется турецкими официальными лицами, однако, основываясь на положениях национальной кибердоктрины, а также на турецком подходе к определению угроз в киберпространстве, можно условно обозначить эти группы следующим образом:

  1. Правоохранительная группа:

Сотрудничает с генеральным директоратом национальной полиции Турции (безопасность городских муниципалитетов) и генеральным командованием жандармерии (сельские районы), оказывая содействие в пресечении кибератак на гражданские объекты, банки, и базы данных, а также в пресечении мошенничества и создании антиправительственных группировок в киберпространстве.

  1. Группа «Армия»

Работает в интересах национальных вооруженных сил, защищая объекты сухопутных войск и ВВС и органы военного управления, а также осуществляя специальные мероприятия в киберпространстве в интересах армейской разведки. Одна из подобных акций — взлом систем ПВО «Patriot», расположенных на границе с Сирией в 2018 г. В дальнейшем руководство Турции использовало найденные в системе уязвимости как один из ключевых аргументов в пользу перехода на российские системы С-400.

  1. Морская группа

Имеет примерно тот же спектр задач, что и группа «Армия», однако специализируется на защите военного и гражданского флота, объектов морской инфраструктуры и службы береговой охраны. Приобрела особую значимость после начала миссии по георазведке в Средиземном море в 2020 г.

  1. Космическая группа

Специализируется на киберугрозах в космосе. Основной объект внимания — телекоммуникационные спутники (Türksat 3A, Türksat 4A и Türksat 4B) и спутники мониторинга земной поверхности (Rasat, Göktürk-1 и Göktürk-2), которые Анкара вывела на орбиту за прошедшее десятилетие.

  1. Группа комплексной обороны

Экспериментальная группа в составе киберсил, по своим задачам схожая с израильским спецподразделением «Отряд 8200». Ключевая цель данной группы – поиск уязвимостей в национальной системе кибербезопасности и разработка превентивных мер защиты. Группа действует в тесной связкес Советом по кибербезопасности Турции, а также с Центром киберобороны (SİSAMERа).

Помимо кадровых специалистов, важную роль в системе национальной кибербезопасности играют дружественные группировки. Известно, что «в авангарде» турецкой киберармии идут несколько крупных хакерских сообществ (например «Ayyıldız Tim» и «Anka Neferler»), которые действуют автономно от национальных киберсил, но, тем не менее, выполняют те же задачи, что и «белые хакеры». Как правило, к услугам лояльных группировок прибегают для организации крупных символических акций или проведения отвлекающих маневров в киберпространстве. Подобная тактика довольно популярна и активно применяется турецкой стороной с 2015 г.

Третья группа в составе киберВС — хакеры-одиночки. В отличие от дружественных группировок, они никак не аффилированы с «Ядром», взаимодействие и постановка задач осуществляются исключительно через посредников (например, через сотрудников Национальной разведывательной организации). Хакеров-одиночек, как правило, привлекают для проведения разовых акций в киберпространстве или создания протурецких хакерских ячеек в зарубежных странах. Использование последних, к слову, хорошо укладывается в концепцию создания резидентур «Human Intelligence» (HUMINT), реализуемую странами НАТО с 2015 г.

Основные противники

Как уже указывалось выше, доктрина кибербезопасности Турции имеет комплексный (оборонительно-наступательный) характер и подразумевает не только защитные, но и разведывательные действия, а также атаки «на упреждение». Круг противников Анкары в киберпространстве чрезвычайно широк и включает государства, политические движения и радикальные группировки. Сами турки чаще всего видят угрозу со стороны хакеров, принадлежащих к группировкам «Движение Гюлена» (Fethullahçı Terör Örgütü, FETÖ) и «Рабочая партия Курдистана» (РПК). Несмотря на то, что в последние несколько лет число атак с их стороны существенно снизилось, это не мешает турецким официальным лицам находить «радикальный след» в большинстве кибератак.

Кроме того, в контексте нарастающего конфликта в Средиземном море, на первый план постепенно выходят греческие хакеры (прежде всего, Anonymous Greece, AG), которые пытаются вести с Турцией борьбу «на дальних рубежах» и тем самым затормозить сейсморазведку вокруг острова Кастелоризо. С другой стороны, конечные результаты группировки «AG» в разы скромнее аналогичных выпадов против Греции, для реализации которых турки мобилизовали большую часть своих специалистов, а число остановленных силами AG кибератак — мизерно.

Что касается угроз на других направлениях, то весьма вероятным в краткосрочной перспективе выглядит встреча турецкой киберармии с киберподразделениями Египта — поскольку геополитические интересы этих двух держав сталкиваются сразу в нескольких странах. Египетские силы кибербезопасности, в отличие от греческих, имеют серьезных опыт ведения борьбы с региональными противниками (в том числе с запрещенными группировками Аль-Каида и ИГИЛ) и предпочитают направлять удар «по широкому фронту» (осуществлять атаки на объекты из разных сфер) силами сразу нескольких не связанных друг с другом группировок. Успешность подобной тактики Каир продемонстрировал в июне 2020 г., совершив массированную кибератаку на информационные системы Эфиопии. В то время как основные силы специалистов Агентства безопасности информационных сетей Эфиопии (INSA) были брошены на пресечение атаки группировок «Hors Group» и «Anubis» на правительственные сайты и компьютеры плотины «Хидасэ», «Cyber_Horus Group» и «Egyptian Cyber Army» нанесли совместный массированный удар по 13 крупным эфиопским веб-сайтам, разместив на них предупреждающее послание, чем оказали серьезное психологическое давление на население страны. Учитывая, что Анкара на проходивших ранее киберучениях не ставила перед своими специалистами задачу по отражению подобного рода атак (концентрируясь, прежде всего, на точечных выпадах), столкновение с АРЕ в киберпространстве может привести к непредсказуемым последствиям для обеих стран.

Заключение

Таким образом, ко второй половине 2020 г. Турции удалось создать на базе хакерских группировок разного размера устойчивую структуру, обеспечивающую стабильную защиту национального киберпространства. Кроме того, в отличие от большинства аналогичных структур в других странах, Türk Siber Ordusu не скрывает своих связей с государством и выполняет «боевые задачи» по указке турецкого правительства, минимизировав самостоятельное целеполагание. С одной стороны, такой подход позволяет эффективно решать поставленные задачи — риск нанесения ущерба «деловым интересам заказчика» минимален. Кроме того, деление на «Ядро», «дружественные группировки» и «одиночек», а также четкое распределение задач между отделами внутри «Ядра» позволяет избежать дублирования полномочий и делает механизм защиты более эффективным.

С другой стороны, при работе в плотной связке с государством (подразумевающей, в том числе, доступ к правительственным базам данных и специализированному программному обеспечению) закономерно растет соблазн использовать этот доступ в своих интересах: ценные данные могут быть украдены и в дальнейшем использованы хакерами для личного обогащения или шантажа официальных лиц. Подобная вероятность особенно возрастает на фоне череды массовых арестов военнослужащих (преимущественно офицеров), заподозренных в связях FETÖ. В условиях повышенной подозрительности в зоне риска оказываются представители всех звеньев киберармии, включая «белых хакеров». Усугубляет ситуацию и планы национальных спецслужб по выработке цикла меры по противодействию перевербовке и появлению в национальных киберсилах «кротов» (в том числе через контроль социальных сетей): разрабатываемый механизм довольно сырой и практически не имеет правовой базы, что в перспективе может привести к конфликтам киберармии с государством и массовому «исходу» хакеров обратно в теневой сегмент.