Коли російські офіцери розвідки зламали Національний комітет Демократичної партії у 2016 році, у заголовках їх не називали російськими офіцерами розвідки. Їх називали Fancy Bear. Коли хакерів із Народно-визвольної армії Китаю виявили глибоко всередині критичної інфраструктури США, готових до руйнівних атак у разі кризи на Тайвані, їх не називали китайськими військовими. Їх називали Volt Typhoon.
Ці назви не лише заплутують — вони вводять в оману. Вони приховують відповідальність, містифікують громадськість і часто романтизують небезпечних супротивників. Тому ми вітаємо новину про те, що лідери кібербезпеки Microsoft і CrowdStrike об’єднують зусилля, щоб краще узгодити назви та категоризацію кіберзагроз. Співпраця між постачальниками — це важливий і позитивний крок. Але, щоб бути ясним: хоча ця співпраця є корисним початком, вона залишиться недостатньою, якщо обмежиться лише зіставленням власних назв, а не фундаментальною реформою способу позначення та ідентифікації супротивників у кіберпросторі.
Microsoft і CrowdStrike описують свою мету як «усунення конфліктів у назвах супротивників» і створення спільного «Розетського каменя», який зіставляє їхні системи найменувань. Це значущий жест. Як знає кожен у сфері розвідки загроз, робота з неузгодженими таксономіями може затримувати час реагування та створювати плутанину в центрах безпеки, командах реагування на інциденти та серед керівництва. Microsoft і CrowdStrike заявляють, що вони вже узгодили назви понад 80 груп супротивників — це помітне досягнення. Компанії також прагнуть створити спільну структуру, яка підтримує захисників на передовій, дозволяючи командам реагування та головним офіцерам з інформаційної безпеки швидше визначати відповідальність і спосіб реагування. Швидкість дійсно є вирішальною перевагою у виправленні вразливостей, обмеженні шкоди та захисті від майбутніх кібератак. А запланована дорожня карта для узгодження таксономій — починаючи з невеликої робочої групи та чіткого аналітичного процесу — свідчить про те, що ця співпраця приватного сектору розглядається з усією серйозністю.
Але ось у чому проблема: нам досі бракує спільної, нейтральної для постачальників, публічної таксономії, яка забезпечує глобальне узгодження та взаємодію. І, враховуючи нещодавнє твердження Microsoft і CrowdStrike, що «єдина універсальна система найменувань не є практичною і може бути неможливою», малоймовірно, що ми побачимо її найближчим часом. Тим часом ми все ще використовуємо назви, які звучать більше як персонажі коміксів, ніж те, ким вони є насправді: хакери державних структур і кіберзлочинці, які активно намагаються порушити роботу лікарень, паралізувати уряди та тримати бізнес у заручниках.
Щоб бути ясним, проблема найменування кіберзагроз не нова. Кожні кілька років давня дискусія спалахує знову — політики запитують, чому постачальники називають кіберзагрози по-різному і чому ми не можемо прямо вказувати на тих, хто відповідальний. Але, хоча раніше зацікавлені сторони галузі вітали допомогу уряду в узгодженні звітів про загрози, включаючи пропозицію «спільного аналітичного процесу», змодельованого за системою Національної розвідувальної оцінки США, такі пропозиції не отримали значної підтримки. Натомість постачальники вказують на складність атрибуції кібератак, різні рівні видимості серед гравців галузі та необхідність дотримання різних регуляцій щодо захисту даних клієнтів або міркувань інтелектуальної власності. На глобальному рівні ці труднощі можуть посилюватися через різні правові та регуляторні середовища.
Але не будемо вдавати, що це найкраще, що ми можемо зробити. Часто повторюване твердження, що єдина універсальна система найменувань «не практична» або «неможлива», просто не витримує критики. Міжнародна спільнота стандартизувала складні системи найменувань у кожній сфері — від біології до медицини та оборони. НАТО має універсальну систему позначень для літаків і ракет. У нас є Міжнародна класифікація хвороб для стандартизації мови запису та класифікації медичних даних. Партнери іноземної розвідки часто розробляють спільні правила найменувань для обміну інформацією про загрози безпеки, включно з кіберакторами. Розетський камень розкрив стародавні втрачені мови. Те, з чим ми маємо справу, — це переважно англомовна професійна спільнота, яка працює над однією проблематикою. Що дійсно відсутнє в кібербезпеці — це не здійсненність, а колективна воля від лідерів галузі та політиків.
Частково проблема полягає в тому, що сучасні правила найменувань більше служать маркетинговим цілям, ніж місії кібербезпеки. Назва супротивника, як-от Wicked Panda чи Salt Typhoon, є формою брендової ідентичності — вона робить групу незабутньою та пов’язує її з фірмою, яка її придумала. Це добре для маркетингу, але не обов’язково для захисників чи широкої громадськості, яка намагається зрозуміти, хто справжні злочинці. Іноді це неповно або навіть вводить в оману. Salt і Volt Typhoon — розділені двома літерами — звучать як близнюки. Але перше — це кампанія збору цифрової розвідки проти великих телекомунікаційних операторів США; друге — стратегічна військова загроза для сотень, якщо не тисяч, американських операторів інфраструктури. Реагування на ці загрози вимагає кардинально різних підходів.
Ще один приклад: досі ніхто не знає, чи кіберзлочинці, які стоять за нещодавньою кризою в британській роздрібній торгівлі, справді є Scattered Spider, чи це ті самі люди, які зламали казино в Лас-Вегасі, чи з ким вони співпрацюють. «Scattered Spider і DragonForce об’єдналися, щоб заробити на зламі M&S» — нещодавній заголовок газети The Times у Лондоні — якщо відступити трохи назад, то це об'єктивно абсурдний спосіб інформувати громадськість про те, як організована злочинність місяцями заважала одному з найвідоміших роздрібних продавців Сполученого Королівства продавати продукти харчування та одяг мільйонам клієнтів.
Час припинити називати ці групи так, щоб це містифікувало, романтизувало чи приховувало їхню злочинну діяльність. Fancy Bear — це не персонаж мультфільму, це російська військова розвідка. Charming Kitten — це не хакерський колектив, гідний мемів, це іранський державний шпіонаж. Ці актори не заслуговують на хитрі назви. Називати їх «брудними покидьками» було б, відверто кажучи, доречніше, або, якщо креативний брендинг спрямований на те, щоб зробити їх більш запам’ятовуваними, ми б запропонували назви на кшталт Scrawny Nuisance, Weak Weasel, Feeble Ferret або Doofus Dingo. Але правда в тому, що ми повинні прагнути точності, а не брендингу. І коли атрибуція ясна, ми повинні це говорити: Китай, Росія, Іран, Північна Корея. Називати їх за іменем — це не провокація, це прояснення для спільноти кібербезпеки та громадськості, яку вона прагне захищати.
Мотивація вирішувати цю проблему слабка, але розумна політика може це змінити. Найважливіше, що уряди — які мають широку видимість через розвідку, правоохоронні органи та національні можливості кіберзахисту — могли б сприяти стандартизації, усуваючи бюрократію та діючи набагато швидше в атрибуції атак, співпрацюючи разом і з відповідними постачальниками, щоб бути «першими на ринку» з підтвердженою атрибуцією, використовуючи універсальні, негламуризовані таксономії найменувань. Програми публічно-приватного обміну загрозами могли б офіційно прийняти та винагороджувати дотримання таких стандартизованих правил найменувань. Регулятори могли б включити чіткість найменувань у нові схеми маркування кібербезпеки, такі як ті, що розробляються для споживчих пристроїв Інтернету речей (IoT) у Європейському Союзі та Сполучених Штатах. Навіть скромні кроки — як-от заохочення узгодження в контрактах державного сектору або через критерії андеррайтингу кіберстрахування — могли б почати змінювати норми. Мета — не карати креативність; це зупинити брендинг супротивників за рахунок ясності, координації та захисту.
Це важливо не лише для спільноти безпеки, але й для ширшого суспільства, яке ці актори атакують. Група, що займається програмами-вимагачами та виводить з ладу лікарню чи школу, загрожує не лише ІТ-інфраструктурі — вона ставить під ризик людські життя та засоби до існування. І коли ми говоримо про них так, ніби вони лиходії з фільмів про Бонда чи міфічні істоти, ми робимо ведмежу послугу людям, яким вони шкодять.
Партнерство Microsoft і CrowdStrike — це бажаний крок до більшої ясності. Але якщо ми хочемо реального прогресу, нам потрібно вийти за межі таблиць перекладу. Наступний крок має бути сміливішим: єдина, прозора, стандартизована система найменувань, яка віддає перевагу точності над маркетингом і ясності над хитрістю. Давайте узгодимо це — і нарешті побудуємо систему найменувань кіберзагроз, яка служить захисникам і захищає громадськість.
Переклад статті "Сall Them What They Are: Time to Fix Cyber Threat Actor Naming", опублікованої на сайті Just Security 12 червня 2025 року.
Ілюстрація до статті: Візуальне зображення відомих правил іменування хакерів.
Про авторів
Джен Істерлі
Джен Істерлі (LinkedIn) була директоркою Агентства з кібербезпеки та безпеки інфраструктури (CISA) під час адміністрації Байдена.
Кіаран Мартін
Кіаран Мартін (LinkedIn) є професором практики з управління державними організаціями в Школі уряду Блаватніка Оксфордського університету. Він був засновником і першим виконавчим директором Національного центру кібербезпеки, що є частиною GCHQ.