Несмотря на отсутствие единого универсального определения термина шпионаж, его определяют как метод сбора разведывательных данных: в частности, как «процесс получения информации, которая обычно не является общедоступной, с использованием человеческих источников (агентов) или технических средств (например, путем взлома компьютерных систем)» (UK MI5 Security Service, n.d.). Тем не менее, даже термин «сбор разведывательных данных» не имеет «признанного на международном уровне и пригодного для использования определения» (Sulmasky and Yoo, p. 637). Более того, складывается впечатление, что существует почти столько же определений термина «разведывательные данные», сколько экспертов, которых просят дать определение этому термину (для ознакомления с полным обзором возможных определений см. Warner, 2002). Как утверждает Уорнер (Warner), толкователи термина «шпионские операции» обычно относят себя к одному из двух лагерей оппонентов: «В первом лагере толкователи придерживаются американской военной терминологии двадцатого века и считают, что разведданные - это информация для лиц, принимающих решения; это любая информация из любого источника, которая может помочь руководителю принять решение о том, как поступить с противником. Во втором лагере сбор разведданных определяется как война более тихими средствами» (Warner, 2009, p. 16; для получения дополнительной информации об этих лагерях оппонентов см. Shulsky and Schmitt; 2002; Warner, 2002; Der Derian, 1992). Любин (Lubin, 2018) предлагает более детальное определение шпионских операций. Он утверждает, что все такие операции включают в себя следующие четыре элемента: «1) операция предполагает сбор, анализ, проверку и распространение сведений, которые имеют значение для принятия решений государством или государствами либо служат определенным государственным интересам в иных отношениях; 2) операция инициируется агентами государства или государств либо лицами, тесно связанными с соответствующим государством или государствами; 3) операция нацелена на иностранное государство или иностранные государства, их субъектов, ассоциации, корпорации или агентов и осуществляется без ведома или согласия этого государства или этих государств; и 4) операция предполагает определенную степень секретности и конфиденциальности в отношении потребностей, обусловливающих ее проведение, и/или используемых методов сбора и анализа, с тем чтобы обеспечить ее эффективность» (pp. 206-207).
Кибершпионаж предполагает использование информационно-коммуникационных технологий (ИКТ) отдельными лицами, группами лиц или компаниями для извлечения определенной экономической или личной выгоды (Maras, 2016; для получения дополнительной информации о кибершпионаже, осуществляемом с целью извлечения экономической выгоды, см. модуль 11 Серии модулей по киберпреступности: «Преступления в сфере интеллектуальной собственности, совершаемые посредством кибертехнологий»). Кибершпионаж может также осуществляться правительственными структурами, группами, финансируемыми или контролируемыми государством либо прочими лицами, действующими от имени правительства, для получения несанкционированного доступа к системам и данным и сбора разведданных об интересующих их объектах, чтобы повысить уровень национальной безопасности, экономической конкурентоспособности и/или военной мощи своей страны (Maras, 2016). Хотя шпионаж и не является новым явлением, возникновение ИКТ обеспечило возможности для осуществления действий по незаконному сбору разведданных, предпринимаемых и/или организуемых другими странами, с беспрецедентной скоростью, частотой, интенсивностью и в невиданных ранее масштабах (Fidler, 2012), а также для снижения рисков, связанных с осуществлением шпионажа (например, рисков быть пойманным страной, на которую направлены усилия по сбору данных) (Ziolkowski, 2013).
Некоторые кампании по кибершпионажу связаны с современными постоянными угрозами (или APT), которые означают «группу (группы) с возможностями и намерением постоянно и эффективно совершать целевые атаки на конкретный объект» (Maras, 2016, p. 383; см. также Lemay et al., 2018). Однако группы APT не ограничивают свои действия кибершпионажем; они также совершают атаки, направленные на уничтожение систем и/или данных ( саботаж) и подрыв деятельности. Были выявлены основные методы, которые используют лица, занимающиеся кибершпионажем. Эти методы включают в себя (в числе прочего) распространение вредоносных программ, социальную инженерию, целевой фишинг и атаки типа watering hole. Например, вредоносная программа, известная как Flame, использовалась для атаки на правительственные компьютерные системы и сбора информации в системах-мишенях, в том числе путем удаленного включения веб-камер и микрофонов зараженных систем; получения снимков экранов зараженных систем; передачи/приема данных и команд через «Bluetooth» и т.д. (Bencsáth, 2012). Другая вредоносная программа, схожая с Flame и именуемая Gauss, использовалась для совершения целевых атак на правительственные системы с аналогичными целями (Zetter, 2012). Программа Gauss была разработана с целью сбора данных о сетевых соединениях, накопителях и системных процессах и папках, заражения жёстких дисков шпионскими программами для сбора информации из других систем, а также передачи этой информации на сервер, контролируемый лицами, которые использовали эту вредоносную программу (Bencsáth, 2012).
Еще одним инструментом, используемым преимущественно для кибершпионажа, является социальная инженерия, когда злоумышленник обманом заставляет свою цель раскрыть информацию или совершить иное действие. Одним из методов социальной инженерии, который использовался в нескольких инцидентах, связанных с кибершпионажем, является целевой фишинг, предполагающий отправку электронных писем с зараженными вложениями или ссылками, чтобы вынудить получателя открыть приложение или нажать на ссылку (этот метод рассматривается в модуле 2 и модуле 13 Серии модулей по киберпреступности). Участники кампании по кибершпионажу, известной под названием «Ночной дракон», которая предположительно контролировалась государством, использовали комбинацию методов социальной инженерии и вредоносных программ для получения несанкционированного доступа к системам глобальных энергетических компаний в нескольких странах и сбора информации об их деятельности (Kirk, 2011). Для содействия в совершении атак методом социальной инженерии могут привлекаться частные компании. В настоящее время широкую огласку получила информация о том, что одна компания-разработчик шпионских программ предоставила различным государственным субъектам из нескольких стран инструменты и средства, необходимые для взлома смартфонов с использованием специальных текстов и сообщений в приложении WhatsApp (Brewster, 2018). Такая торговля программным обеспечением для проникновения в чужие системы, которое использовалось в прошлом для нарушения прав человека, а также совершения атак на журналистов и активистов, подпадает под действие определенных режимов контроля экспорта, однако эти меры контроля подвергаются критике как недостаточно эффективные и противоречивые (см., например, Lin & Trachtman, 2018).
Еще одним методом, используемым для получения несанкционированного доступа к цели, является атака типа watering hole (атака на водопое), которая представляет собой «атаку, при которой киберпреступник отслеживает и определяет веб-сайты, наиболее часто посещаемые членами определенной организации или группы, и заражает эти сайты вредоносными программами в попытке получить доступ к их сетям» (Maras, 2016, p. 382). Например, модификация виджета «Thought of the Day» (Мысль дня) на веб-сайте американского финансового информационно-новостного журнала Forbes обеспечила возможность для совершения атаки типа watering hole на обычных пользователей сайта, особенно на лиц, занятых в сфере финансов и обороны (Peterson, 2012; Rashid, 2012).
Кроме того, инсайдеры, т.е. лица, являющиеся сотрудниками организации, компании или агентства, к которым преступники хотят получить доступ, также используются для осуществления или содействия в осуществлении кибершпионажа. Эти лица могут преднамеренно или непреднамеренно раскрывать конфиденциальную или закрытую информацию странам или другим лицам, каким-либо образом, связанным с зарубежными странами, в рамках мероприятий по сбору разведывательных данных (CERT Insider Threat Center, 2016).
Осуществление кибершпионажа стало возможным благодаря многочисленным хакерским инструментам, которые широко доступны в Интернете. Эти инструменты включают в себя эксплойты (например, уязвимость нулевого дня, т.е. ранее неизвестные уязвимости, эксплуатируемые после их обнаружения, либо вредоносные программы, которые могут проникать в системы и обходить брандмауэры) и импланты (например, бэкдор, секретный портал, используемый для получения несанкционированного доступа к системам, или инструмент удаленного доступа RAT). Начиная с 2016 года, группа, известная как Shadow Brokers, выпускает хакерские инструменты (Peterson, 2016; Newman, 2018). Один из таких инструментов предназначен для эксплуатации уязвимости Windows (эксплойт EternalBlue); он был частью программы-вымогателя WannaCry, которая атаковала системы здравоохранения, транспорта и другие системы по всему миру с целью причинения им ущерба (Greenberg, 2017; Graham, 2017).
Конвенция Совета Европы о компьютерных преступлениях требует от государств, подписавших конвенцию, принятия законодательства, предусматривающего уголовную ответственность за незаконный доступ к компьютерным системам, сетям, перехват передаваемых данных и другие киберпреступления (см. модуль 2 Серии модулей по киберпреступности: «Основные виды киберпреступности» и модуль 3 Серии модулей по киберпреступности: «Правовая база и права человека»). В этой связи страны приняли национальные законы, предусматривающие уголовную ответственность за эти и другие виды киберпреступности, которые могут использоваться с целью сбора данных и шпионажа. Кроме того, в некоторых странах существует общий уголовный запрет на занятие шпионажем (например, в Германии: статьи 94-99 Уголовного кодекса Германии; в Китае: статьи 110-111 Уголовного закона Китая); эти законы используются для предъявления обвинений в совершении кибершпионажа. Такие обвинительные заключения во многих случаях не приводят к успешному судебному преследованию, если только лица, виновные в кибершпионаже, физически не находятся в стране, осуществляющей преследование, и/или в стране, которая сотрудничает с такой страной (Maras, 2016). Отчасти это связано с тем, что страна, занимающаяся шпионской деятельностью, вряд ли выдаст причастных лиц, чтобы они предстали перед судом, и вряд ли окажет содействие в проведении расследования. В результате, уголовные обвинительные заключения в отношении иностранных граждан за совершение кибершпионажа, зачастую выносятся с целью публичного определения роли государства в совершении предполагаемого акта кибершпионажа и инициирования дипломатических переговоров со страной или регионом, граждане которых предположительно участвовали в этом акте, и страной, которая была их мишенью.
Важно отметить, что наша «современная глобальная система безопасности» зависит от «надежного и непрерывного потока данных для правящей верхушки» (McDougal, Lasswell & Reisman, 1973). Некоторые формы финансируемого государством кибершпионажа не только неизбежны в международных делах, но могут также являться частью общепризнанных прав и обязательств государств (Lubin, 2018). Более того, некоторые эксперты считают, что «широкомасштабная практика шпионажа, проводимого одним государством на территории другого государства, привела к установлению исключения из общепринятой предпосылки о том, что несогласованная деятельность государства во время его физического присутствия на территории другого государства нарушает суверенитет. Однако они подчеркивают, что это исключение является узким и ограничивается исключительно актами шпионажа» (Tallinn Manual 2.0 International Law Applicable to Cyber Operations, p. 19). Проведение грани между легитимными и нелегитимными формами кибершпионажа является предметом активной научной полемики. Либицкий (Libicki), например, выдвинул предположение о том, что практика действий государств движется в таком направлении, что некоторые формы хищений интеллектуальной собственности будут запрещены, если они будут использоваться для повышения корпоративного конкурентного преимущества (Libicki, 2017, pp. 3-4).