Федеральний суд Канади оприлюднив відредаговану версію рішення, яке підтверджує, що канадська розвідувальна служба CSIS отримала судовий дозвіл на віддалене втручання в заражені сервери, домашні маршрутизатори та пристрої інтернету речей на території країни з метою ліквідації двох ботнетів, керованих іноземними державами. Це перший публічно підтверджений випадок застосування CSIS повноважень зі зниження загроз (threat reduction warrant) для активного знищення шкідливої інфраструктури на пристроях третіх осіб. Рішення стосується власників SOHO-маршрутизаторів, IoT-устройств і серверів у Канаді, а також задає правовий прецедент для розвідувальних операцій по дезинфекции ботнетов в демократических странах.
Хронологія та правові підстави операції
Согласно опубликованному решению Федерального суда, судья Кэтрин Кейн выдала ордер 1 мая 2024 года, продлила его в августе того же года, а конфиденциальное обоснование было оформлено в феврале 2026 года. Документ оставался закрытым более двух лет до публикации редактированной версии в июне.
Ордер предоставил CSIS право изменять, деградировать и уничтожать данные ботнетов на заражённых машинах, а также отключать устройства от вредоносных сетей. Суд установил, что угроза безопасности Канады была «явно установлена и неминуема», а предпринятые меры — необходимыми, разумными и пропорциональными.
Принципиальний момент: CSIS була змушена звертатися по судовий дозвіл, оскільки віддалене втручання в чужі пристрої та видалення даних кваліфікується як комп’ютерне шкідництво за Кримінальним кодексом Канади. Суд наголосив, що операція була спрямована проти пристроїв, а не людей: ідентифікація користувачів не проводилася, зміст комунікацій не перехоплювався, будь-які випадково зібрані персональні дані підлягали знищенню.
Задіяні пристрої та технічна архітектура
Целями операции стали расположенные в Канаде серверы, маршрутизаторы для малого офиса и домашнего использования (SOHO), а также IoT-устройства: дверные звонки Ring, камеры видеонаблюдения, телевизоры и другие подключённые к Wi-Fi бытовые приборы.
Оба ботнета использовали стандартную многоуровневую архитектуру ретрансляции: командный уровень отдавал приказы, а слой заражённых устройств перенаправлял трафик. Маршрутизируя данные через захваченное канадское оборудование, иностранное государство маскировалось под обычное домашнее подключение или клиента интернет-провайдера, одновременно проводя разведку критической инфраструктуры, правительственных и военных сетей. Владелец заражённого дверного звонка при этом выглядел ответственным за трафик, который никогда не генерировал.
Контекст: порівняння з операціями ФБР
Канадська операція хронологічно збігається із серією судових ліквідацій ботнетів у США. У грудні 2023 року ФБР використало командний канал ботнета KV-botnet для видалення шкідливого ПЗ із сотень американських SOHO-маршрутизаторів — переважно застарілих моделей Cisco і NetGear, — які, за повідомленнями, використовувала пов’язана з Китаєм група Volt Typhoon для маскування доступу до систем зв’язку, енергетики, водопостачання та транспорту. За кілька тижнів потому аналогічну операцію було проведено проти мережі маршрутизаторів Ubiquiti, які, ймовірно, були перетворені на шпигунську ретрансляційну мережу угрупованням APT28, що пов’язується з ГРУ Росії.
Ключевое правовое различие: американские операции проводились правоохранительными органами (ФБР и Министерство юстиции) в рамках полномочий по обыску и изъятию. Канадская операция — это действие разведывательной службы, использующей механизм активного снижения угроз, а не просто сбора информации. Эти полномочия были закреплены в Законе о CSIS и переработаны в Законе о национальной безопасности 2017 года, вступившем в силу в 2019 году. До данного случая CSIS никогда не применяла эти полномочия подобным образом.
Атрибуція та невирішені питання
Публичное решение подтверждает участие двух иностранных государственных противников, однако их идентичность полностью вычеркнута из документа. Хронология и техника совпадают с активностью, связываемой с Китаем и Россией, но редактированное решение не позволяет определить, принадлежали ли оба ботнета одному государству или разным.
Окреме правове питання залишається відкритим. За даними вторинних джерел, заявка CSIS спиралася на IP-адреси, зібрані без ордера, — і це сталося невдовзі після того, як Верховний суд Канади у справі R. v. Bykovets постановив, що IP-адреса підпадає під розумне очікування конфіденційності. Відповідність цього збору повноваженням CSIS, а також питання про те, чи були повідомлені власники дезінфікованих пристроїв, публічно не врегульовані.
Практичні рекомендації
Державне очищення усуває шкідливе ПЗ, але не усуває вразливості, які дозволили відбулося зараження. Досвід американських операцій показав: перезавантаження або скидання до заводських налаштувань може скасувати виправлення й знову відкрити пристрій для повторного зараження. Відповідальність за захист лежить на власнику обладнання.
- Вивести з експлуатації застарілі маршрутизатори, для яких виробник припинив випуск оновлень прошивки (передусім моделі Cisco і NetGear, зняті з підтримки).
- Оновити прошивку усіх SOHO-маршрутизаторів та IoT-пристроїв до останньої доступної версії.
- Змінити стандартні облікові дані на всіх пристроях із веб-інтерфейсом керування.
- Закрити зовнішній доступ до панелей керування маршрутизаторів та IoT-пристроїв — інтерфейс адміністрування не має бути доступним з інтернету.
- Сегментувати мережу: IoT-пристрої (камери, дверні дзвінки, телевізори) мають розташовуватися в окремому сегменті VLAN, ізольованому від робочих станцій і серверів.
- Моніторити вихідний трафік на предмет аномальних підключень до невідомих зовнішніх IP-адрес, особливо з боку пристроїв, які не повинні ініціювати такі з’єднання.
Канадський прецедент демонструє, що державні розвідувальні служби починають використовувати механізми активного втручання для боротьби з ботнетами — але кожна така операція є разовою акцією, а не системним захистом. Єдиний стійкий захід — заміна необслуговуваного обладнання та закриття адміністративних інтерфейсів, звернених в інтернет. Організаціям і домашнім користувачам, які експлуатують SOHO-маршрутизатори та IoT-пристрої, варто провести аудит свого обладнання вже зараз, не чекаючи, доки їхні пристрої стануть частиною наступної ретрансляційної мережі іноземної розвідки.
