На протяжении многих столетий операции под чужим флагом были обычным делом в шпионаже и войне. Теперь их используют в кибероперациях. Выражаясь простым языком, нападающий притворяется кем-то другим. В контексте киберопераций это означает, что атакующий делает вид, что он – другой действующий субъект, а не просто создает поддельный онлайн-профиль, чтобы скрыть реальную личность злоумышленника.
Это очень важное различие, поскольку истинная личность злоумышленника остается в тайне. Жертва может предпринять контрмеры или ответные действия, и в этом случае ответный удар будет нанесен не самому нападающему, а тому, под чьей личиной он скрывалсяы.
В международном гуманитарном праве существует довольно строгий запрет на вероломство, которое Международный Комитет Красного Креста определяет как «ношение форменной одежды или использование эмблем нейтральных государств или других государств, не являющихся сторонами в конфликте».
Тем не менее, международное гуманитарное право применяется только к международным и немеждународным вооруженным конфликтам и не распространяется на большинство киберопераций. Операции под чужими флагами, следовательно, можно считать допустимыми.
Лучший исторический пример – военно-морские действия, поскольку некоторые суда действительно поднимали чужие флаги и переодевали своих матросов в чужую форму. Британский военно-морской корабль «Баралонг» использовал американский флаг во время Первой мировой войны, когда США по-прежнему были в мире с Германией, а затем выстрелил по немецкой подводной лодке. Еще один пример, относящийся к XVIII веку – французский корабль «Сибилла» под английским флагом напал на британское судно.
Операция под ложным флагом в контексте наступательных киберопераций может состоять из нескольких приемов. Например, государственный агент может просто создать ложный профиль в сети, скажем, группу хактивистов, якобы принадлежащую Исламскому государству, а затем под этим профилем взять на себя ответственность за атаку, сделав вид, что за этой операцией стояла террористическая группа, а не государственный агент.
Другой метод заключается в том, чтобы устроить все так, словно источник злоумышленной деятельности – тот, на кого нацелился нападающий. Для этой цели можно использовать вредоносное ПО, разработанное преступниками и доступное на черном рынке. Стоит также отметить, что влиятельные игроки могут нанимать хакеров, владеющих другими языками или действующими только в определенное время, соответствующее тем часовым поясам, в которых работает обвиняемый в атаке.
У нас пока нет полной картины, чтобы с точностью сказать, насколько распространены операции под ложными флагами. Во многих случаях мы все еще не можем точно определить, кто несет ответственность за операцию – государство, чей-то подельник или негосударственный субъект. Мы, вероятно, еще много лет не узнаем, какие операции были подставными, за исключением тех, что привлекли особое внимание и стали предметом полноценного расследования крупного государства.
Есть и вариант, когда государство нарочно делает так, чтобы атака выглядела как неудавшаяся операция под ложным флагом, тем самым посылая некий сигнал другой стране. Получатель сможет узнать истинный источник, а все или большинство других стран – нет. Эта тактика, очевидно, рассчитана на то, что эффект от таких операций будет ограничен. Поэтому атаку под ложным флагом можно считать инструментом шпионажа, а не военного ремесла.