Книга: Кибервойн@. Пятый театр военных действий
Назад: 11. Корпоративная контратака
Дальше: 13. Оборонный бизнес

12. Весеннее пробуждение

Соединенные Штаты ни разу не подвергались крупным кибератакам, результатом которых могло бы стать нарушение работы ключевых объектов инфраструктуры. Однако в начале 2012 г. некоторые чиновники заволновались, решив, что то, чего они так долго боялись, может произойти. В марте того года по меньшей мере 20 компаний, обслуживающих газовые трубопроводы в США, обратились в Министерство внутренней безопасности с информацией о подозрительных электронных письмах, отправленных сотрудникам этих компаний. Письма приходили от якобы знакомых людей или коллег – обычный метод фишинга. Некоторые сотрудники – до сих пор неизвестно, сколько их было – открыли эти письма и запустили таким образом шпионское ПО в корпоративные сети операторов трубопроводов. У хакеров не было доступа к системам управления трубопроводами, однако они опасно приблизились. Если бы операторы отключили свои системы управления оборудованием от Интернета, возможно, они оказались бы в безопасности. Хотя, конечно, всегда остается риск того, что ничего не подозревающий сотрудник может принести вредоносную программу на внешнем носителе.
Руководители ФБР, АНБ и Министерства внутренней безопасности самого высшего уровня находились в состоянии боевой готовности. Взломщик, который получит контроль над трубопроводами, сможет нарушить подачу природного газа или вывести из строя систему управления, что приведет к аварии или даже взрыву. Соединенные Штаты покрыты сетью газовых труб общей протяженностью более 300 000 км, а природный газ составляет примерно треть в общем энергобалансе страны. До сих пор не было ни одной подтвержденной кибератаки, которая привела бы к уничтожению трубопроводной системы. Однако во времена холодной войны ЦРУ якобы установило вредоносное ПО на оборудовании трубопроводной системы Сибири. Этот трубопровод взорвался в 1982 г. Теоретически существовала возможность удаленного изменения давления внутри трубопровода. Атаку такого рода АНБ провело на иранском атомном объекте.
Как только газовые компании передали властям информацию о том, что их сети зондируются, чиновники тотчас же отправили на предприятия «летучие» команды для сбора сведений с жестких дисков и анализа сетевых лог-файлов. Источник электронных писем был отслежен. Оказалось, что все эти письма рассылались в рамках одной операции, которая, по оценкам аналитиков, началась в декабре 2011 г. По словам бывшего сотрудника правоохранительных органов, который занимался этой проблемой, предприятия непрерывно сообщали об обнаружении шпионов в своих сетях. Тем не менее истинные цели операции ускользали от аналитиков. Пытались ли взломщики собрать информацию о конкурентах в сфере трубопроводного бизнеса, относящуюся, например, к поиску новых поставщиков газа или строительству новых установок? Или они пытались прервать поток газовой энергии, внедрив вредоносную программу, которая могла бы позднее в определенный день уничтожить трубопровод?
Для того чтобы это выяснить, государственные следователи решили не делать публичных заявлений, а тихо наблюдать, за какой именно информацией пришли взломщики. Это был рискованный ход. В любой момент хакеры могли начать вредоносную атаку на корпоративные сети и украсть или стереть ценную информацию. Кроме того, оставался шанс, пусть небольшой, что объектом атаки станут сами трубопроводы. Это повлекло бы за собой катастрофические экономические последствия и даже могло бы привести к гибели людей, оказавшихся рядом с местом взрыва. Власти провели закрытые встречи с отдельными компаниями, чтобы выяснить степень их информированности. Госструктуры поделились с персоналом, обеспечивающим корпоративную безопасность, «стратегиями уменьшения ущерба», передав им известные адреса электронной почты, с которых были отправлены фишинговые сообщения, и конкретные IP-адреса, доступ к которым операторам трубопроводов следовало закрыть. Однако власти не очистили сети от шпионов и не дали указания компаниям, как это сделать. 29 марта группа экстренного реагирования, базирующаяся в Министерстве внутренней безопасности и работающая в тандеме с АНБ, опубликовала на секретном правительственном сайте предупреждение для всех операторов трубопроводных сетей, в котором предписывалось позволить шпионам искать интересующие их сведения и не вмешиваться до тех пор, пока их действия не угрожают работе трубопроводной системы. Торговые ассоциации, представляющие нефтегазовые компании, были предупреждены госчиновниками из Вашингтона и получили указания сохранять детали проводимой операции в секрете.
Реакция на «трубопроводный взлом» продемонстрировала высокий уровень влияния властей на кибероборону в энергетическом секторе. Газовые компании и их лоббисты в Вашингтоне следовали указаниям и инструкциям государственной власти. В течение всего срока расследования властям удавалось успешно держать информационную блокаду в прессе и других СМИ. Серьезная кампания, направленная против жизненно важных объектов американской инфраструктуры, шла полным ходом уже несколько недель, а о ней практически никто не знал. Информация о взломе сетей газовых операторов впервые просочилась в сводки новостей в мае, через два месяца после начала государственной операции по ведению наблюдения.
Государство также влезло и в другие отрасли энергетики. Тем летом Министерство внутренней безопасности и Министерство энергетики организовали секретный брифинг по киберугрозам для руководителей электроэнергетических компаний, предложив им временный допуск к закрытой информации. Цель брифинга состояла в том, чтобы дать руководству больше информации об угрозах для их отрасли. Осведомленность компаний энергетического сектора об опасностях, грозящих их сетям, была значительно ниже, чем в других отраслях экономики. Лучше всего были подготовлены финансовые организации, которые регулярно делились друг с другом информацией и создали систему для обмена сведениями о вторжениях и методиках взлома, используемых хакерами в закрытых, секретных сетях. Энергетические компании, напротив, боялись показаться слабыми в глазах своих конкурентов, они опасались, что, раскрыв сведения о своей недостаточной кибербезопасности, предоставят конкурентам информацию о своих будущих планах развития.
Вместе с тем госчиновники становились все более нетерпеливыми. В конгрессе сторонники нового закона, регулирующего стандарты кибербезопасности для коммунальных компаний, продолжали проталкивать свое детище, в качестве аргумента указывая на поток взломов, обрушившийся на газовые компании. Той осенью их усилия в конечном итоге провалились, что подготовило почву для президентских указов Обамы, направленных на максимально возможное в рамках его полномочий укрепление киберобороны. Властями поощрялось внедрение компаниями стандартов безопасности и методик защиты, разработанных Национальным институтом стандартов и технологий, который проводил консультации с большой группой экспертов индустрии и агентов разведки. Компании были вольны игнорировать рекомендации властей. Однако, если бы их инфраструктура была повреждена в результате предотвратимой кибератаки, они могли быть привлечены к гражданской или даже уголовной ответственности, и тогда им пришлось бы объясняться в суде, почему они сами подвергли себя опасности.
По результатам кибератак в 2012 г. на трубопроводные и газовые компании власти провели закрытые брифинги для почти 700 сотрудников коммунальных предприятий. В июне 2013 г. Министерство внутренней безопасности, ФБР, Министерство энергетики и Агентство безопасности транспорта начали так называемую активную кампанию по введению предприятий «в контекст угроз и выявлению стратегии снижения ущерба», говорится в информационном бюллетене Министерства внутренней безопасности. В рамках кампании проводились закрытые совещания по меньшей мере в десяти американских городах, в том числе в Вашингтоне, Нью-Йорке, Чикаго, Далласе, Денвере, Сан-Франциско, Сан-Диего, Сиэтле, Бостоне и Новом Орлеане, и во «многих других с помощью защищенной видеосвязи». Энергетические предприятия также начали обучать своих сотрудников основам кибербезопасности. Shell, Schlumberger и другие крупные компании отправляли своим сотрудникам поддельные фишинговые электронные письма с фотографиями милых котиков и другими приманками. Эксперты, проводившие обучение, говорят, что почти все сотрудники сначала «клевали» на подобные письма, но после прохождения подготовки почти 90 % научились не открывать встроенные ссылки и вложенные файлы, которые обычно и запускают установку или внедрение вредоносных программ.
Внутри АНБ чиновники продолжали настоятельно требовать бо́льших полномочий для расширения своего оборонного кодекса. В мае 2013 г. в своем публичном выступлении в Вашингтоне Чарлз Берлин, директор Оперативного центра национальной безопасности АНБ, отразил широко распространенную среди американской разведки точку зрения, что если агентство сосредоточится исключительно на защите государственных компьютерных сетей и информации, то это будет «почти аморально». «Миссия Министерства обороны [состоит] в защите Америки», – сказал Берлин, управлявший тогда мозговым центром агентства по радиотехнической разведке и защите компьютерных сетей. «Я многие годы стоял на крепостной стене, выливая кипящее масло на атакующих, – сказал он. – В настоящее время мы не способны защитить Америку».

 

Той тревожной весной 2012 г. у сотрудников правоохранительных органов, разведывательных и частных охранных служб практически не было никаких сомнений по поводу того, откуда появились хакеры. Однако без ответа оставался вопрос о том, какова была их главная цель.
Бывший сотрудник правоохранительных органов, работавший над этим делом, говорит, что хакеры находились в Китае и что их операция была частью масштабной стратегии Китая по систематизации критической инфраструктуры Соединенных Штатов. До сих пор не ясно, был ли шпионаж их основной задачей, или же они готовили почву для кибервойны. Тем не менее оба вида деятельности связаны друг с другом: для того чтобы осуществить атаку на оборудование или объект, сначала нужно составить схему инфраструктуры и понять, где в ней есть слабые места. И по всем признакам китайцы были заняты поиском таких уязвимых мест. Спустя несколько месяцев после того, как взлом сетей газовых предприятий был раскрыт, канадская технологическая компания Telvent, которая производит промышленные системы управления и SCADA-системы, используемые в Канаде и США, заявила, что ее сетевой трафик фильтровали хакеры, предположительно из Китая.
Однако кибервойна с Соединенными Штатами не относится к долгосрочным интересам Китая. К ним относится экономическое соперничество. Страна испытывает острую необходимость в том, чтобы лучше узнать, где американские компании нашли источники энергии и как они планируют эту энергию извлекать. Частично эти сведения должны были поддержать амбиции Китая в энергетической сфере. Вместе с тем стране также нужно было подпитывать быстро растущую экономику. Хотя темпы роста несколько замедлились в последние годы, тем не менее ВВП Китая увеличился на 7,8 % в период 2009–2013 гг.
Китай ищет замену традиционным ископаемым видам топлива. Основным источником энергии в стране является уголь, и это заметно по загрязненному воздуху во многих китайских городах. На Китай приходится примерно половина от общего объема мирового потребления угля. Это второй по величине потребитель угля в мире. Производство нефти в Китае достигло пика, поэтому государство вынуждено искать дополнительные прибрежные месторождения, а также переориентироваться на использование более чистых источников топлива с более богатыми его запасами.
Чтобы в будущем обеспечить Китай энергией, государственные компании были заняты поисками месторождений природного газа. Этот вид топлива до сих пор составляет мизерную долю в энергопотреблении страны – в 2009 г. всего 4 % в общем энергобалансе. Однако, чтобы добыть этот газ, Китаю нужно овладеть технологией гидравлического разрыва пласта и методами горизонтального бурения, которые первыми разрабатывали и внедряли американские компании. В отчете, выпущенном в 2013 г. исследовательской фирмой Critical Intelligence, авторы пришли к выводу, что «китайские оппоненты» сканировали сетевой трафик американских энергетических компаний с целью похищения информации о методах гидравлического разрыва и добычи газа. Авторы также отметили, что китайские хакеры выбирали в качестве объектов для атаки компании, выпускающие нефтепродукты, такие как пластмасса, основным сырьем для производства которой является природный газ. По заключению исследовательской фирмы, взлом компьютеров газовых предприятий в 2011–2012 гг. мог быть связан с этими задачами.
Китай не собирается отказываться и от традиционных источников энергии. По сведениям антивирусной компании McAfee, в 2009 г. американские нефтяные компании накрыло волной кибервторжений, целью которых было похищение информации о месторождениях нефти, найденных компаниями в различных точках земного шара. Китай является вторым крупнейшим мировым потребителем нефти после США и с 2009 г. вторым крупнейшим импортером нефти. По крайней мере одна американская энергетическая компания, собиравшаяся бурить в спорных водах, которые Китай считал своей территорией, подверглась атаке китайских хакеров.
Китай борется за природные ресурсы и в то же время пытается строить национальную энергетическую индустрию. Поэтому государство проявляет повышенный интерес к американским энергетическим компаниям и объектам. В 2012 г. Министерство внутренней безопасности публично сообщило о 198 атаках на ключевые объекты инфраструктуры, что на 52 % выше, чем было зафиксировано годом ранее. Против энергетических компаний были направлены 40 % этих атак. Если США когда-нибудь окажутся в состоянии войны с Китаем, вооруженные силы противника, несомненно, постараются воспользоваться киберплацдармами, созданными хакерами в компьютерных сетях этих энергетических компаний, чтобы уничтожить или вывести из строя жизненно важные объекты. Однако в обозримом будущем Китай вряд ли будет заинтересован в причинении ущерба экономике США или в отключении там электричества. Китай является одним из крупнейших иностранных кредиторов и самым важным торговым партнером США. Он напрямую заинтересован в полном экономическом здоровье Америки и высокой покупательской способности американских потребителей. Поэтому Китай перешел на законные способы получения информации о поисках источников энергии в Соединенных Штатах и изучения американских технологий, инвестировав с 2010 г. более $17 млрд в нефтегазовый бизнес США и Канады.
Китай ведет двойную игру – инвестирует в американские компании и в то же время крадет у этих компаний знания. Такой путь развития неустойчив. Если китайские похитители американской интеллектуальной собственности сделают эти компании менее конкурентоспособными на мировом рынке, то от этого пострадает американская экономика, а значит, и сам Китай. Сотрудники американской разведки пришли к выводу, что если на Китай не оказать дипломатического давления и не применить экономические санкции, то страна вряд ли прекратит свою киберкампанию. Поэтому власти стали вести более агрессивную политику, пытаясь защитить ключевую инфраструктуру страны. Именно это помогло протолкнуть решение о защите и мониторинге трубопроводных сетей транспортировки природного газа в 2012 г. Единственное утешение для американской национальной безопасности состоит в том, что до настоящего времени Китай не показал никаких признаков своего желания перейти от шпионажа к боевым действиям.
Однако о других противниках США этого сказать нельзя.

 

Начиная с сентября 2009 г. американские банки регулярно становятся мишенью для довольно распространенного вида кибератаки. Хакеры охотятся не на деньги банков, а на их сайты, с помощью которых клиенты могут управлять своими счетами, проверять баланс, оплачивать услуги и осуществлять денежные переводы. Атакующие перегружают банковские серверы трафиком, отправляемым с подконтрольных компьютеров, что приводит к отключению сайта из-за того, что серверы не справляются с огромным числом одновременных запросов. Этой атаке подверглись десятки банков, в результате была нарушена работа таких организаций, как Bank of America, Wells Fargo, Capital One, Citigroup, HSBC, и многих других, знаменитых и малоизвестных.
Банки, как и многие другие организации, ведущие бизнес в глобальной сети, уже сталкивались с подобными, так называемыми DDOS-атаками ранее. Большинство экспертов в области безопасности не считают подобные атаки реальной угрозой для компаний, а лишь досадной неприятностью, последствия которой можно устранить в течение короткого времени: подвергшийся атаке сайт обычно возвращался к работе через несколько часов. Однако последняя атака была беспрецедентной по своим масштабам и сложности. Для осуществления нападения атакующие создали огромные компьютерные сети, которые отправляли на серверы банков ошеломляющий по объему трафик. По некоторым оценкам, поток данных в несколько раз превышал по объему тот трафик, который в 2007 г. российские хакеры направили на эстонские компьютеры, в результате чего работа всей электронной инфраструктуры страны была приостановлена, – эта атака была признана самой разрушительной за всю историю наблюдений. Банковские интернет-провайдеры заявляли, что такой мощный трафик никогда еще не был адресован одному сайту. Жертвами атакующих стали целые дата-центры (так называемые облака), состоящие из тысяч серверов. Это выглядело, как если бы противник отправил на уничтожение своей цели не несколько кораблей, а целую армаду.
Аналитики смогли отследить некоторые источники трафика и узнать их интернет-адреса. Провайдеры блокировали эти источники, но вредоносный трафик стал приходить с других адресов. Как и в случае вторжения в сети газовых компаний, крайнюю обеспокоенность проявили высшие руководители государства. Однако на этот раз власти столкнулись с более грозным противником. Шпионы, взломавшие сети газовых компаний, кажется, хотели только получить информацию, а не уничтожать газовые трубопроводы. А вот те, кто организовал нападение на банки, хотели нарушить работу банковских компаний и посеять панику как среди клиентов, так и в финансовом секторе в целом. И эта стратегия сработала даже лучше, чем атакующие могли предполагать. По словам бывшего чиновника, который участвовал в отражении атаки, объем трафика, направленный на банковские серверы, вызвал панику у банковских сотрудников, отвечающих за безопасность. «В течение первых двух-трех недель несколько раз приходилось работать до самой поздней ночи, так как власти пытались отследить источник атаки и понять ее причины», – говорит Марк Везерфорд, который на тот момент занимал должность помощника заместителя министра внутренней безопасности по вопросам кибербезопасности, то есть высшего чиновника в сфере защиты от киберугроз.
У этой атаки была еще одна особенность – она не была ограничена единственным нападением. Действительно, налетчики, называвшие себя бригадами Изз ад-Дина аль-Кассама, продолжали нападать на банки и выискивали новые цели. Они продолжили свою работу и в следующем году. В 2013 г. АНБ обнаружило примерно две сотни новых атак на сайты банков, организованные той же самой группой. Нападавшие называли себя отрядом антиамериканского комитета, который своими атаками мстит за выпуск любительского онлайн-видео «Невинность мусульман». В этом фильме пророк Мухаммед был показан кровожадным педофилом, и фильм вызвал протесты на всем Ближнем Востоке. Однако руководители американской разведки подозревали, что эта история была лишь прикрытием, а на самом деле атаки проводятся по поручению правительства Ирана, вероятно, в отместку за кибератаки, осуществленные на атомных объектах в Нетензе.
В течение последних лет американские разведслужбы наблюдали за созданием киберармии в Иране. Лидеры иранского Корпуса стражей исламской революции, владевшие крупнейшей телекоммуникационной компанией в Ираке, открыто заявляли о своих намерениях создать киберармию, которая могла бы соперничать с кибернетическими силами Соединенных Штатов. Аналитики полагали, что иранская киберармия растет и что в нее входят как разведывательные и военные подразделения, так и группы патриотических «хактивистов». По некоторым данным, начиная с 2011 г. иранские власти потратили более $1 млрд на развитие оборонных и наступательных ресурсов в киберпространстве в ответ на атаки Stuxnet и двух других компьютерных вирусов, заражавших иранские системы, и многие считали, что эти вирусы были созданы американскими и израильскими спецслужбами.
Американские власти пришли к выводу, что только государство располагает соответствующими финансовыми и техническими ресурсами, а также экспертным опытом и мотивами для проведения подобной операции против банков. «Масштаб и сложность этих атак были беспрецедентными. За ними не мог стоять просто какой-то парень, сидящий в своем подвале», – говорит Везерфорд.
То, что вначале казалось обычной DDOS-атакой, теперь обернулось потенциальной кибервойной невиданных масштабов. Высшие американские чиновники задались вопросом: могут ли Соединенные Штаты начать ответную кибератаку против Ирана? Чиновники обсуждали, приведет ли атака на иранскую ключевую инфраструктуру к прекращению хакерской активности и будет ли такая ответная атака законной. Четкого ответа на эти вопросы не было, не было и согласия между чиновниками. Власти сами отнесли банки к ключевым объектам инфраструктуры. Но хакеры атаковали сайты банков, а не системы управления межбанковскими транзакциями и не системы хранения банковской информации. Это был не тот кошмарный сценарий, который Майкл Макконнелл нарисовал Джорджу Бушу в 2007 г. Везерфорд говорит, что руководитель Министерства внутренней безопасности, отвечавший за экстренные операции, не принес ему хороших известий: «Он сказал: “У нас нет сценария для подобных ситуаций”».
Власти были уверены, что DDOS-атака такого масштаба, будучи направленной на корпоративные компьютерные сети, приведет не просто к временным неудобствам, но к разрушению сети. Американские чиновники находились в постоянном контакте с банками и их провайдерами. Атакующие объявляли на онлайн-форумах, когда они планируют начать новую серию киберударов. И каждый раз банки и власти готовились к нападению. «Всякий раз интернет-провайдеры и федеральные госчиновники серьезно опасались, что нас могут сокрушить, – говорит Везерфорд. – И что в результате могут пострадать другие ключевые объекты инфраструктуры и сама сеть Интернет в целом».

 

После того как группа аль-Кассам объявила об очередной серии атак, руководитель отдела безопасности провайдера задал вопрос Везерфорду, а заодно и всему правительству. «Что вы, парни, собираетесь с этим делать? – спросил он. – Атака может начаться в любой день. Ее эффект будет иметь государственный масштаб. Какие меры собирается принять наше правительство?»
Везерфорд пытался убедить его, что ситуация находится под контролем, однако знал, что никакого контрнаступления не планируется. Фактически Везерфорд считал, что АНБ слишком долго не рассекречивает данные об угрозе, которые могли бы помочь защитить банки. Агентству нужно было «отмыть» передаваемые сведения до того, как передать их в Министерство внутренней безопасности, которое затем сделает их доступными для провайдеров. Нужно было убрать всю информацию об источниках этих сведений и о методах их сбора. «Для обработки информации нужно было шесть часов. Но и сама атака могла длиться всего шесть часов», – говорит Везерфорд.
Группа руководителей финансового сектора лично проталкивали свою проблему на встрече с представителями АНБ. Они хотели знать, почему правительство не организует атаку на источник вредоносного трафика и не выведет его в офлайн, аналогично тому, как для уничтожения вражеского лагеря запускают крылатую ракету. Представители АНБ отвечали, что они располагают кибероружием, в первую очередь тысячами эксплоитов нулевого дня, для использования в случае угрозы государству или если страна вступит в войну. «Как только мы воспользуемся одним из этих эксплоитов, мы никогда не сможем применить его снова, – объясняли чиновники, как рассказывает один из финансовых руководителей, который участвовал в том совещании. – Вы действительно хотите, чтобы мы растратили и потеряли это оружие только потому, что ваши сайты не работают?»
Руководители отступили.
Атаки на банки стали проверкой государственной воли. АНБ и военные не дадут силового отпора до тех пор, пока нападающие не угрожают инфраструктуре транзакций финансового сектора или не искажают банковские данные, делая их ненадежными. Государство ответит только на разрушительную кибератаку, которая вызовет масштабные эффекты во всем обществе. Отключение сайта, каким бы пугающим оно не казалось, не могло оправдать начало полноценной кибервойны. То же можно сказать и о шпионаже.
Банки – да и все компании, которые пострадали в результате нападения иностранных киберналетчиков и мародеров – встали перед очевидным вопросом: если государство не будет их спасать, то кто тогда будет?
Назад: 11. Корпоративная контратака
Дальше: 13. Оборонный бизнес

лорщшг
лорпд