Щойно я дізнався про щось досить важливе, що з’явилося наприкінці 2024 року. Міністерство фінансів США почало розслідування російської компанії під назвою Operation Zero за фактичне керування ринком крадених інструментів для зломів урядових систем. Що робить цю історію цікавою, так це те, як усе це пов’язано з криптовалютами та перетином фінансування кібервійськових операцій.

Отже, що сталося: очевидно, співробітник американського оборонного підрядника прямо вкрав власне інструментарій для вторгнення, який спочатку розроблявся за урядовим контрактом. Мова йде про передові системи для постійної загрози, експлойти нульового дня, інфраструктуру командування та управління — ті інструменти, які використовують розвідки та військові. Цей співробітник потім продав їх російським покупцям, а транзакції відбувалися через криптовалюту на мільйони доларів.

Офіс контролю за іноземними активами (OFAC) офіційно позначив Operation Zero у рамках заходів примусового впливу, що означає замороження активів, заборону будь-яких бізнесових операцій із США — весь пакет. Цікаво, що вони не оприлюднили конкретних адрес гаманців або даних блокчейну. Аналітики кібербезпеки сперечаються щодо цього кроку — одні кажуть, що це розумна операційна безпека, щоб не натякати іншим зловмисникам, інші вважають, що більш прозора інформація допомогла б біржам блокувати такі транзакції. Без конкретних ідентифікаторів, як команда з дотримання правил має знати, що слід відслідковувати?

Криптовалютний аспект тут варто обміркувати. Біткоїн, Монеро, Ефір — це типові інструменти для високовартісних трансграничних операцій. Особливо Монеро має сенс для приватних угод. Ми вже бачили цю схему раніше: північнокорейські хакери переказують викрадені кошти, групи-вимагачі вимагають викуп, але цей випадок відрізняється. Це один із перших задокументованих випадків, коли криптовалюта використовується для фінансування реальних кібервійськових можливостей.

Доктор Елена Родрігес, колишній аналітик NSA, пояснила, чому це важливо: урядові інструменти тепер циркулюють на комерційних ринках. Складні можливості потрапляють до непередбачуваних акторів. Криптовалюта створює ідеальний фінансовий шар для таких непрозорих транзакцій. Співробітник оборонного підрядника, очевидно, обійшов кілька протоколів безпеки, а внутрішній контроль провалився. Вкрадені інструменти потрапили через проміжні мережі до російських покупців — що натякає на існуючі маршрути контрабанди цифрових заборонених товарів.

Розвідки вже роками стежили за Operation Zero. Зовні вони пропонують етичні хакерські послуги та дослідження вразливостей, але давно існувала підозра щодо двовжиткових цілей. Заходи Мінфіну фактично підтвердили те, що вже знали спецслужби. Національний центр кібербезпеки Великої Британії та інші міжнародні партнери випустили відповідні попередження.

Ця дія відбувається в той час, коли криптовалютні ринки вже під сильним регуляторним контролем. Мінфін нещодавно розширив рекомендації для постачальників віртуальних активів, вимагаючи підвищеної перевірки великих транзакцій і більш ретельного моніторингу санкціонованих адрес. Випадок Operation Zero створює особливі виклики — рішення OFAC утриматися від публікації адрес криптогаманців ускладнює дотримання правил біржами. Без конкретних ідентифікаторів транзакції блокувати неможливо.

Є прецеденти. У 2021 році OFAC наклав санкції на компанії, що торгували кіберінструментами, зокрема російську Positive Technologies. На початку 2024 року вони націлилися на Tornado Cash — це був прорив, бо регулятори діяли саме проти коду, а не окремих осіб. Це дія Operation Zero базується на цій еволюційній платформі. Європейський союз також запровадив власний режим кіберсанкцій, тож міжнародна координація зростає.

Що робить цю історію актуальною для ширшого ландшафту кібервійськових дій, так це те, як вона виявляє вразливості оборонної промислової бази. Підрядники працюють із чутливими матеріалами, застосовуючи різні протоколи безпеки. Один із співробітників обійшов кілька рівнів захисту, що натякає або на складних внутрішніх загроз, або на недосконалі заходи безпеки. Спільнота оборони, ймовірно, перегляне стандарти безпеки після цього.

Вкрадені інструменти, ймовірно, включали модулі розвідки для виявлення вразливих систем, фреймворки для експлуатації та механізми збереження доступу. Це передові можливості, що потрапили до чужих рук. Ворожі сили можуть досліджувати цю технологію для розробки контрзаходів або створення подібної зброї.

Що ця справа справді підкреслює, так це те, що традиційний фінансовий контроль потребує адаптації до криптовалютних ринків. Підрядники з оборони мають покращити внутрішню безпеку. Міжнародна спільнота стикається з постійними загрозами через поширення кіберможливостей. Координація дій і посилення заходів безпеки стають необхідними для національної безпеки. Перетин криптофінансів і кібервійськових операцій стає все важливішим і не може ігноруватися.