Книга: Кибервойн@. Пятый театр военных действий
Назад: 12. Весеннее пробуждение
Дальше: 14. На заре

13. Оборонный бизнес

В 50 км от делового центра Вашингтона, в пригороде Гейтерсберга, вдоль оживленной улицы напротив клуба Sam’s Club, транспортного агентства и магазина игрушек Toys R Us расположилось невысокое офисное здание. Пара охранников на проходной – первый признак того, что это не просто очередной склад самообслуживания или банальный офисный центр. В почти лишенном окон крыле здания площадью 7600 м2 находится кибернетический наблюдательный центр. Несколько десятков аналитиков и исследователей вредоносного ПО наблюдают за трафиком в глобальной распределенной сети компьютеров и серверов, на которых хранится часть самой секретной информации в Соединенных Штатах, в том числе чертежи реактивных истребителей, ракетных систем и спутников-шпионов. Однако это здание, которое может сойти за сверхсекретный объект, место которому в Форт-Миде или Пентагоне, не контролируется властями и не принадлежит им. В этом здании находится NexGen Cyber Innovation & Technology Center, и принадлежит оно компании Lockheed Martin – крупнейшему оборонному подрядчику. Здесь, а также в подобных центрах, расположенных в Денвере, в Фарнборо в Англии, в Канберре в Австралии, компания, которая сделала свое имя на разработке систем вооружений, создает новый бизнес в сфере киберобороны.
Проблему кибербезопасности Lockheed изучила, что называется, из первых рук, когда в 2006 г. компания подверглась атаке китайских хакеров, похитивших чертежи Единого ударного истребителя. Компания является крупнейшим поставщиком товаров и услуг в сфере информационных технологий для гражданских и разведывательных агентств, а также для военных ведомств, а потому представляет повышенный интерес для хакеров. После кибератаки компания потратила несколько лет на подробное изучение методов и технологий, используемых хакерами для взлома ее секретных систем и похищения государственных тайн. Молодой аналитик Lockheed Эрик Хатчинс как-то услышал, что для описания всех шагов, которые нужно пройти, прежде чем открыть огонь, начиная от идентификации цели и до определения ее точного географического положения, некоторые военные летчики используют термин kill chain. Хатчинс предположил, что продвинутые хакеры, которые пытаются проникнуть в компьютерные сети Lockheed, также следуют некой пошаговой процедуре: выискивают цели, приобретают вредоносное ПО, запускают фишинговые атаки и в конце концов похищают данные. В сотрудничестве с двумя коллегами он адаптировал военную концепцию, после чего cyber kill chain стала основой для оборонной стратегии Lockheed. Компания применяет эту стратегию для защиты не только собственных сетей, но и сетей некоторых своих государственных заказчиков, а также банков, фармакологических компаний и по меньшей мере 17 коммунальных предприятий, которые обмениваются информацией с компанией и позволяют ей осуществлять сканирование их сетевого трафика в поисках угроз.
Cyber kill chain состоит из семи различных этапов, большая часть которых оставляет возможность заблокировать вторжение или атаку еще до их начала. Все начинается с наблюдения и разведки. Lockheed отслеживает ключевые слова, которые приводят пользователей на сайт компании через поиск в Google или в других поисковых машинах. Хакеры ищут в пресс-релизах и на веб-страницах компании имена сотрудников, чтобы более эффективно провести фишинговую атаку. Они устанавливают, какими программами пользуются менеджеры, работающие над конкретными государственными заказами. Они даже отслеживают высказывания и интервью руководителей компании, чтобы в фишинговом электронном письме можно было сослаться на запланированное мероприятие. Компания предупреждает своих сотрудников, ставших потенциальными объектами атаки, чтобы те были особенно внимательны, когда открывают документы, прикрепленные к электронным письмам, или кликают по присланным ссылкам.
На втором этапе, который в Lockheed называют «вооружение», аналитики ищут явные киберкриминалистические улики присутствия вредоносного ПО: к примеру, зараженный pdf-документ, прикрепленный к электронному письму. В Lockheed ведут базу данных всех зараженных pdf-файлов, когда-либо попадавшихся аналитикам компании. Эти данные используются в программах-сканерах, которые автоматически анализируют все электронные письма, получаемые сотрудниками компании, и помещают в карантин письма, которые могут быть заражены вредоносным ПО.
Следующими этапами cyber kill chain являются «доставка» (отправка вредоносной программы по электронной почте или на USB-носителе), «эксплоит», когда аналитики уделяют особое внимание поиску уязвимостей нулевого дня (Хатчинс утверждает, что им удалось обнаружить по крайней мере три эксплоита, использующих уязвимости в продуктах компании Adobe), «установка» на компьютер, «управление и контроль» коммуникаций с узловым компьютером и, наконец, «целевые действия» (похищение файлов, удаление данных или уничтожение элементов физического оборудования). На седьмом этапе хакер представляет максимальную опасность. Если аналитикам Lockheed удается обнаружить подобную активность, то они немедленно извещают руководство компании, ставшей целью атаки. Хакеры, обнаруженные на ранних этапах kill chain, скажем на третьем этапе, менее опасны, поскольку им предстоит пройти еще несколько шагов, прежде чем они смогут причинить какой-либо вред. Если аналитики видят, что хакер может попытаться заразить компьютеры с помощью внешних носителей, компания может запрограммировать свои системы так, чтобы запретить выполнение компьютерных программ с любых USB-дисков. Чем раньше Lockheed или кто-либо еще, кто использует стратегию cyber kill chain, сможет установить защиту, тем более эффективной она будет.
По словам вице-президента по вопросам кибербезопасности, генерала в отставке Чарли Крума, с помощью модели cyber kill chain Lockheed смогла предупредить своих клиентов о потенциальных вторжениях и предотвратить их. Lockheed не раскрывает имена своих заказчиков, поэтому проверить это утверждение невозможно. Концепция cyber kill chain просто соответствует здравому смыслу. Однако многие эксперты в области кибербезопасности, в том числе работающие на конкурентов Lockheed, говорят, что, когда в 2011 г. компания раскрыла свою концепцию киберзащиты, это стало поворотным моментом в эволюции киберобороны. Cyber kill chain разбивала процесс вторжения на отдельные действия и этапы, каждый из которых предоставлял защитникам возможность заблокировать своих противников. Таким образом, обороняющиеся могли более эффективно использовать свои ресурсы, поскольку им не приходилось реагировать на каждое предупреждение, как на экстренную ситуацию. Сyber kill chain предлагала концептуальную схему, как выстроить уровни защиты на дальних подступах и заблокировать взломщиков до того, как они подберутся слишком близко к цели.
Cyber kill chain была важна и еще по одной причине: эта концепция была разработана корпорацией, а не государственным агентством. Хатчинс, который в свои 34 года занимает пост главного информационного аналитика Lockheed, никогда не работал на государство и никогда не служил в вооруженных силах. Фактически он работал только в Lockheed, куда он пришел в 2002 г., получив степень в области компьютерных наук в Виргинском университете. В Lockheed работает много бывших госчиновников и армейских офицеров, и Крум один из них. Он возглавлял Агентство защиты информационных систем, откуда уволился в 2008 г. Однако Lockheed разработала стратегию cyber kill chain как способ собственной защиты. Компания не стала полагаться на помощь АНБ или любого другого агентства. И потом компания превратила свои знания в бизнес.
Сегодня аналитики компании наблюдают за трафиком в собственных сетях, но вместе с тем они получают информацию почти от 50 оборонных предприятий, которые также привлечены к работе над засекреченными государственными программами. Помимо прочего, Lockheed является основным подрядчиком Центра защиты от киберпреступности – крупнейшей государственной киберкриминалистической организации, которая ведет антитеррористическую и контрразведывательную деятельность. Также компания администрирует «Глобальную информационную сеть» – Global Information Grid (GIG), внедряя свою методологию cyber kill chain в защищенной всемирной информационной технологической сети Министерства обороны. Сумма контракта составляет $4,6 млрд. Только в собственных сетях Lockheed анализирует около 2 млрд отдельных транзакций в сутки – каждое отправленное и полученное письмо, каждый посещенный сайт, каждое регистрируемое в логах или цифровых журналах безопасности действие. Все данные хранятся в течение одного года, а любая информация о вредоносной активности сохраняется в течение неограниченного времени. Компания Lockheed построила эффективную библиотеку хакерской истории, из которой можно получать информацию при изучении новых взломов и вторжений. Привлекая старые данные, аналитики обнаружили, что недавние вторжения, на самом деле, всего лишь часть более масштабных кампаний, начавшихся несколько месяцев или даже лет назад и направленных против конкретных фирм и организаций. Крум говорит, что, когда в 2008 г. он уволился из военного ведомства, Министерству обороны удалось идентифицировать и отследить около пятнадцати операций общенационального масштаба. Сегодня Lockheed отслеживает примерно сорок хакерских операций. Министерство обороны следит за некоторыми из них – Крум не говорит, за какими именно, – и Lockheed делится своей информацией с государством в рамках программы DIB. По словам Крума, Lockheed выявил шесть операций, о которых Министерству обороны не было известно. Все подробности на данный момент засекречены.
Единственное, что Lockheed не может сделать, во всяком случае, легально – это взломать чужую компьютерную систему для сбора информации. Эта сфера деятельности все еще остается за АНБ. Однако компания пристально следит за теми же иностранными оппонентами, за которыми наблюдает государство. В главном центре управления NexGen Center на стене висят часы, которые показывают текущее время во всех странах, где Lockheed имеет станции кибернаблюдения. И есть часы, которые показывают текущее время в Пекине. Компания в течение семи лет собирала информацию об операциях APT, и аналитики имеют доступ ко всем этим данным. Огромный монитор на стене отображает сведения обо всех операциях, за которыми Lockheed следит по всему миру. Преимущественно, это сведения о попытках взлома собственных сетей компании, состоящих из 3 млн интернет-адресов, разбросанных по почти 600 локациям в 60 странах. Чем крупнее компания, ставшая объектом атаки, тем большим источником информации она становится. Выполнение государственных контрактов по-прежнему остается основным бизнесом компании, поскольку эта деятельность приносит более 80 % оборота, который в 2012 г. составил $47,2 млрд. Однако, по словам Крума, в 2011 г. Lockheed развернулась в коммерческом секторе, сосредоточившись на технологических услугах для 200 компаний из верхней части списка Fortune 500, отдавая особое предпочтение операторам ключевых объектов инфраструктуры. Компания хочет открыть еще один кибернетический центр на Ближнем Востоке и таким образом воспользоваться преимуществом растущей потребности этого региона в сетевом наблюдении и обеспечении безопасности.

 

Вряд ли Lockheed – это единственная компания, которая взяла кибероборону в свои руки. С момента атак на банковские сайты в 2012 г. американские финансовые организации создали собственные подразделения кибернаблюдения. (Некоторые из них, несомненно, являются клиентами компании Lockheed.) Их работа была в самом разгаре, когда ужасающий поток трафика вызвал масштабные сбои, и этим подразделениям пришлось ускорить свою работу. Сегодня все самые крупные банки США содержат собственный персонал, отвечающий за кибербезопасность. Эти специалисты обладают необходимыми знаниями и опытом для обнаружения уязвимостей в программном обеспечении и сетевых конфигурациях, анализа вредоносного ПО, его архитектуры и предназначения, а также для отражения проникновений и атак. Американские военные ведомства и разведывательные агентства – основные поставщики талантливых кадров для работы в банках.
Бывший руководитель отдела информационной безопасности Bank of America раньше возглавлял технологическую службу в администрации директора национальной разведки США, который начал свою карьеру в качестве лингвиста-криптографа в военно-воздушных силах. Руководитель отдела информационной безопасности в Wells Fargo отслужил 20 лет в военно-морских силах, в том числе на должности офицера по информационной войне, а позже работал в ФБР. Руководитель отдела информационных рисков в JPMorgan Chase никогда не был на госслужбе, однако один год проработал в компании SAIC, которая получает мощную поддержку в виде контрактов с разведывательными агентствами, часто ее называют «АНБ-Запад». Еще год он проработал в Booz Allen Hamilton, одном из ведущих подрядчиков федеральных властей в сфере кибербезопасности, в котором нашел пристанище бывший директор АНБ Майкл Макконнелл.
«Через пару лет все ребята из киберотделов, оставшиеся в игре, будут работать в банках. Они закроют свои сети и будут только обмениваться информацией друг с другом», – говорит бывший офицер военной разведки, участвовавший в кибератаке на Ирак в 2007 г., а позже перешедший на работу к крупному оборонному подрядчику.
Согласно мнению экспертов, банки ведут агрессивную кампанию по переманиванию и найму сотрудников военных и разведывательных служб, которые прошли обучение по высочайшим государственным стандартам и желают удвоить или утроить свои доходы, перейдя на работу в коммерческий сектор. Кроме того, банки все более активно приобретают информацию об уязвимостях нулевого дня и эксплоитах у частных исследователей, крупнейшим клиентом которых обычно считается АНБ. Эксперт в области безопасности, который имеет тесные связи с продавцами эксплоитов, говорит, что банки накапливают кибервооружение на случай, если они почувствуют необходимость ответных действий против кибервзломщиков. Если суждено будет начаться «частной» кибервойне, то, скорее всего, запустит ее какой-нибудь банк.
Тем не менее не только финансовые компании разрабатывают собственные оборонные операции. Список компаний, которые нанимают офицеров информационной безопасности на должности уровня руководителей отделов и вице-президентов, включает такие компании, как Johnson&Johnson, T-Mobile USA, Automated Data Processing, Coca-Cola, Intel, AstraZeneca, eBay, FedEx, и сотни других. Когда компании не могут обеспечить собственную защиту, они обращаются за помощью во внешние организации, и этот сегмент рынка услуг в сфере безопасности растет. В своем ежегодном отчете перед акционерами, опубликованном в 2012 г., Lockheed Martin заявила, что «компания столкнулась с возрастающей конкуренцией, особенно в сфере информационных технологий и кибербезопасности… со стороны необычных соперников, пришедших не из аэрокосмической и оборонной промышленности». Это был завуалированный намек на недавно возникшие и быстро развивающиеся компании, такие как CrowdStrike, Mandiant и Endgame, которые искали собственные источники информации и разрабатывали методы ее сбора и анализа.
Компании оказались на пороге новой эры частной кибербезопасности. «У нас уже есть кибернетический эквивалент сыскного агентства Пинкертона», – говорит Марк Везерфорд. Как многие другие эксперты, Везерфорд переживает, что некоторые фирмы занимаются не только защитой и что они переходят черту закона, когда организуют ответный взлом, чтобы противостоять шпионам и хакерам. Он проводит различие между ответным взломом и укреплением собственной защиты, которое усложнит взломщику задачу похищения данных из атакуемой сети. Расстановка ловушек или даже заражение вредоносными программами документов, которые взломщики переносят на свои системы, – возможно, все это еще относится к методам защиты. «Но реальное вторжение в их сети, атака на них – это та граница, которую я не хочу переходить», – говорит Везерфорд.
Везерфорд считает, что через несколько лет гораздо больше компаний получат возможность фильтровать трафик по поручению своих клиентов, таким образом играя роль киберкараульных. Эта модель работы уже обретает форму в рамках правительственных программ передачи провайдерам секретной информации о киберугрозах. Президентский указ 2013 г. в той части, которая касается усиления безопасности ключевых объектов инфраструктуры, призывает власти «представить инструкции» компаниям, указывающие, какие коммерческие продукты и услуги, удовлетворяющие утвержденным стандартам безопасности, доступны на рынке. Это еще один пример стимулирования государством развития частного бизнеса в сфере кибербезопасности. Рост этого сектора экономики практически неизбежен и, вероятно, даже предпочтителен для властей, монополизирующих эту сферу деятельности.
«Государство никогда не сможет так же гибко реагировать, как частный бизнес», – говорит Везерфорд. Частные предприятия лучше справляются с собственной защитой.

 

Как только компании приняли на себя полномочия в сфере национальной киберобороны, они тут же начали влиять на государственную политику США. 18 февраля 2013 г. фирма Mandiant, специализирующаяся в сфере компьютерной безопасности, выпустила беспрецедентный отчет о китайском кибершпионаже, в котором Народно-освободительная армия (НОА) Китая была публично обвинена в непрерывном и масштабном шпионаже против Соединенных Штатов. Это было прямое обвинение, на которое не решился ни один государственный чиновник. Отчет Mandiant был чрезвычайно подробным. В нем приводились реальные адреса местонахождения хакеров. В отчете даже содержались фотографии их офиса – бежевого 12-этажного здания в районе Пудун в Шанхае. Исходя из анализа размеров здания (его площадь превышает 130 000 м2), а также публичных заявлений китайских чиновников, Mandiant приходит к выводу, что там работают сотни, а может быть, и тысячи сотрудников.
Mandiant сосредоточилась только на одной из приблизительно 20 групп, деятельность которых отслеживала в течение нескольких лет. Этих хакеров собрали под крышей китайского аналога АНБ. Mandiant дала этой группе название APT1. Хакеры работали во Втором отделе Третьего подразделения Генерального штаба НОА, более известного под своим кодовым обозначением 61398. Генеральный штаб НОА – это что-то вроде Объединенного комитета начальников штабов армии США, а Третье подразделение занимается радиотехнической разведкой и компьютерными атаками и взломами. Mandiant назвала APT1 «одной из наиболее упорно действующих и опасных китайских кибергрупп».
Компания Mandiant, которая была основана бывшим киберкриминалистом ВВС меньше чем за 10 лет до описываемых событий фактически заложила мину в одной из наиболее болезненных и трудных сферах американской внешней политики. Отчет был принят как откровение. Не только потому, что в нем вполне конкретно шла речь о китайских хакерах – чего раньше никто из исследователей, ни частных, ни государственных, не делал, – но также и потому, что информация была очень подробной. Отчет занимал 74 страницы. В нем раскрывалась обширная шпионская инфраструктура, состоящая из 937 серверов или «подслушивающих приложений», размещенных на 849 различных интернет-адресах, большая часть которых зарегистрирована на организации из Китая, однако не менее 100 – из Соединенных Штатов. Следователи обнаружили сайты, которые были созданы хакерами так, чтобы их принимали за обычные новостные сайты, вроде CNN.com, однако на самом деле эти сайты скоординированно использовались во время атак APT. Mandiant назвала имена конкретных хакеров, в том числе и того, который скрывался под кличкой «Уродливая горилла» (Ugly Gorilla). Этот хакер несколькими годами ранее раскрыл себя в онлайн-беседе на тему китайских кибервойск, которую организовал ведущий специалист в области компьютерных наук, профессор, написавший множество книг по китайским «сетевым войнам». Mandiant использовала киберкриминалистические доказательства, для того чтобы установить связь между определенными хакерами, и была уверена, что некоторые из них не только лично знакомы друг с другом, но, возможно, работают в одном офисе. Отчет даже давал пару уроков по китайскому хакерскому сленгу: например, «мясом цыпленка» называли зараженный компьютер.
Также Mandiant пришла к выводу, что китайские киберподразделения получали «непосредственную поддержку от лингвистов, исследователей, анализирующих открытые источники, авторов вредоносного ПО и экспертов индустрии». Вероятно, работала целая команда, которая заказывала компьютерное оборудование, осуществляла его техническую поддержку и, кроме того, обеспечивала финансовый и организационный менеджмент, логистику и транспорт. Другими словами, это был хорошо организованный бюрократический аппарат, мало отличающийся от американских государственных агентств.
Отчет Mandiant содержал подробности, которые обычно характерны для секретных документов государственной разведки. Это еще одна причина, по которой отчет оказался столь знаменательным. Он продемонстрировал, что частные исследователи могут собрать и проанализировать информацию не менее, а может и более эффективно, чем это делают государственные разведывательные службы. Отчасти это свидетельствовало об уровне квалификации специалистов Mandiant. Но вместе с тем отчет выявил нечто новое в природе киберпространства. В неуправляемой среде, в которой хакеры могут перемещаться, используя совместную сетевую инфраструктуру, на самом деле не существует никаких секретов. При достаточном уровне подготовки и с помощью правильного инструментария частные сыщики могут отследить хакера точно так же, как это делают государственные агенты или военные оперативники. Отчет Mandiant не только сорвал покровы с китайского кибершпионажа, но еще и перевернул представления о том, что только государство готово к ведению борьбы в киберпространстве.
Отчет Mandiant имел скорые и весьма серьезные последствия. Представители Китая выступили со своими обычными опровержениями, назвав обвинения в управляемом властями шпионаже необоснованными. Менее чем через месяц советник по нацбезопасности США Том Донилон выступил с важной речью, в которой предостерег официальный Пекин и назвал китайский кибершпионаж «нарастающей угрозой нашим экономическим взаимоотношениям с Китаем» и «ключевой проблемой для обсуждения с китайской стороной на всех уровнях власти». Между обеими сторонами проводились переговоры за закрытыми дверями, в которых американские чиновники требовали, чтобы Китай прекратил свои агрессивные операции. Теперь эти обсуждения стали публичными. Замечания Донилона стали первым открытым заявлением представителей Белого дома касательно китайского кибершпионажа. Донилон говорил о том, что проблема «сместилась на передний план повестки Администрации», и призывал китайские власти обратить свое внимание на «актуальность и масштаб проблемы и на ту опасность, которую она представляет, – опасность для международной торговли, для репутации китайской промышленности и для отношений между двумя странами в целом». Впервые американцы потребовали от Китая заняться проблемой кибершпионажа. «Пекину следует предпринять самые серьезные меры для расследования и прекращения подобной деятельности и начать с нами конструктивный и прямой диалог для выработки приемлемых норм поведения в киберпространстве», – сказал Донилон.
Администрация Обамы, наконец, бросила вызов. И Mandiant помогла им в этом. Как и в случае с откровениями компании Google о китайском шпионаже, прозвучавшими после проведения операции Aurora, высшие американские чиновники начали открытое обсуждение проблемы, которая тихо раздражала их многие годы. Отчет Mandiant оказался подробным и, самое важное, несекретным документом, на основании которого можно было выдвинуть определенные обвинения. Государственные власти никогда бы не отважились на публикацию такого отчета.
Находки Mandiant произвели фурор. Однако публикация отчета была тщательно подготовлена, получила максимальное внимание прессы и была согласована с властями. Еще в октябре 2012 г., после нескольких лет сбора информации о китайских шпионах, руководители Mandiant собирались опубликовать отчет о своих находках. «Мы решили, что это интересная идея, и нам следует ее развивать», – говорит Дэн Маквортер, управляющий директор Mandiant, отвечавший за поиск информации о киберугрозах. Однако изначально компания планировала выпустить краткий отчет, который не имел ничего общего с тем многостраничным обвинительным заключением, опубликованным в итоге. План пришлось изменить уже в ноябре после телефонного звонка из The New York Times. Это был не просто звонок от репортера, желавшего получить экспертный комментарий для своей статьи. Это была просьба о помощи. В Times полагали, что их компьютеры кто-то взломал, и руководство газеты хотело, чтобы Mandiant провела расследование.
Киберкриминалисты из Mandiant обнаружили, что китайские шпионы внедрились в компьютерные сети газеты и вели слежку более чем за 60 ее сотрудниками, в том числе и за журналистом, работавшим в Китае над разоблачением политической коррупции в верхних эшелонах власти. Шпионы пытались замаскировать свое присутствие, перенаправляя трафик через взломанные компьютеры, находившиеся в американских университетах Северной Каролины, Нью-Мехико, Аризоны и Висконсина – применение подобной технологии Mandiant уже наблюдал в других шпионских операциях, следы которых уходили в Китай. Шпионы получили доступ к компьютеру в компьютерной сети Times и в итоге смогли украсть пароли от 53 личных компьютеров сотрудников, причем большинство компьютеров находились за пределами офиса. Хакеры были частью группы, которую Mandiant уже однажды выслеживала и которой было присвоено кодовое имя APT12. Очевидно, хакеры хотели получить подробные сведения о планируемой к публикации большой статье, посвященной родственникам премьер-министра Китая Вэнь Цзябао и их теневом бизнесе, построенном на политических связях, который приносил им миллионы долларов. Кроме того, Mandiant нашла доказательство тому, что жертвами взлома стали не менее 30 журналистов и руководителей других западных новостных порталов. Китайские хакеры похищали у них информацию, в том числе их электронные адреса, контактные сведения об их источниках и их файлы. Более того, шпионы снова и снова возвращались на компьютеры отдельных журналистов. Позже выяснилось, что шпионы создали специальную вредоносную программу, чтобы взломать учетную запись Джима Ярдли – на тот момент шефа южноазиатского бюро газеты Times, который работал в Индии, а ранее руководил Пекинским бюро. Также объектом атаки стал Дэвид Барбоза, руководитель Шанхайского бюро, автор статьи о премьер-министре Китая Вэнь Цзябао, за которую позже он получил Пулитцеровскую премию. Как показало последующее расследование, газеты The Washington Post и The Wall Street Journal также подверглись вторжению китайских кибершпионов.
Руководители Mandiant решили, что небольшой статьи о китайском шпионаже будет недостаточно. В компании полагали, что собрали множество доказательств масштабной и длительной операции, начавшейся еще в 2006 г., которая была направлена против различных отраслей американской экономики, в том числе и оборонного сектора. «Опровержения от официального Китая стали выглядеть “комично”», – говорит Маквортер. В январе 2013 г. Times написала о приобретенном опыте. Китайские власти публично выразили сомнение в честности Mandiant – компания оказывала помощь в расследовании, и ее эксперты давали комментарии для статьи Times, что можно было расценить как одобрение исследовательской работы Mandiant. Тогда в компании решили, что пришло время назвать вещи своими именами. Попытки Китая дискредитировать компанию и полученные ею сведения «определенно упрочили наше решение опубликовать результаты расследования и придать документу самую широкую огласку», – говорит Маквортер.
Представители администрации Обамы в целом были удовлетворены решением Mandiant. И дело не в том, что президент и его команда национальной безопасности до сих пор не знали о деятельности Китая; просто теперь имелся документ, в котором изложены конкретные доказательства. Их можно проверить, их могут обсуждать эксперты. Этот документ изменил характер и сущность дискуссии о китайском шпионаже. Больше никаких обвинений «не под запись». Никаких эвфемизмов вроде «повышенной постоянной угрозы», за которыми бы скрывался Китай. И при этом США не пришлось раскрывать никаких секретных источников информации и методов ее сбора, чтобы начать открытый разговор о китайском шпионаже. (В то самое время, когда Mandiant работала над своим отчетом, в Министерстве юстиции втайне готовили судебное дело против членов хакерской группы 61398. В мае 2014 г. прокуроры выдвинули официальное обвинение пятерым военным чиновникам из Китая, которые, как следует из заявления, были связаны с группой хакеров. Это был первый в США зарегистрированный случай уголовного преследования за компьютерный взлом федерального уровня.)
В тот самый день, когда Mandiant опубликовала свой отчет, Министерство внутренней безопасности выпустило краткое официальное сообщение для избранной группы владельцев и операторов критических объектов инфраструктуры и других профессионалов в области информационной безопасности, имевших доступ к государственной информации. В сообщении упоминались интернет-адреса и сайты, сведения о которых были опубликованы в отчеты Mandiant. Однако стоит отметить, что Министерство внутренней безопасности ни разу не упоминало Китай и не связывало кибершпионов с каким-то конкретным географическим местоположением. Также в сообщении не было ни слова и о компании Mandiant. Аудитория этого сообщения ограничивалась «равноправными и партнерскими организациями», и по рекомендации министерства этот информационный бюллетень не распространяли по открытым каналам связи. Отчет Mandiant оказался полезнее, поскольку он был более содержательным и доступен каждому желающему. Тем не менее правительственный бюллетень подтверждал выводы отчета Mandiant. Время, выбранное для его публикации, также говорило о многом. Министерство внутренней безопасности могло бы выпустить сначала свою версию отчета, но там решили дождаться, пока Mandiant приоткроет завесу тайны над APT1. Mandiant сделала властям одолжение. Источники, близкие к авторам отчета, говорят, что власти передали компании Mandiant некоторую информацию, которая затем была использована в отчете, тем не менее большая часть заключений и выводов была сделана компанией по результатам собственных расследований, длившихся на протяжении семи лет.
Фактически за одну ночь Mandiant превратилась из относительно малоизвестной киберкриминалистической компании, с которой были знакомы в основном эксперты по безопасности и другие небольшие технологические стартапы, в популярный и успешный бренд в сфере компьютерной безопасности. Руководители Mandiant стали для журналистов компетентными источниками информации. Теперь они сидели за одним столом с бывшими сотрудниками разведслужб и аналитических центров и высказывали свои соображения о том, как лучше защитить киберпространство от шпионов и хакеров. Бизнес заработал. В 2013 г. компания выручила более $100 млн на продажах, причем больше половины этой выручки пришлось на собственное программное обеспечение, разработанное Mandiant для защиты компаний от хакеров APT. Судя по опубликованным сведениям, более одной трети компаний из списка Fortune 100 воспользовались услугами Mandiant после обнаружения брешей в защите своих компьютеров. В январе 2014 г., менее чем через год после публикации отчета Mandiant о группе APT1, компанию приобрела за $1 млрд фирма FireEye, специализирующаяся в сфере безопасности. Это было крупнейшее приобретение на рынке услуг кибербезопасности за последние годы. Всего в 2013 г. было 10 подобных слияний, что вдвое больше, чем в 2012 г.
Компания FireEye на тот момент уже была фаворитом Кремниевой долины. Открытая продажа акций компании на бирже Nasdaq началась в сентябре 2013 г., а к январю стоимость одной акции уже удвоилась. Первичное размещение акций FireEye стало самым успешным среди компаний по кибербезопасности в 2013 г. Объединение с Mandiant должно было стать масштабной операцией в сфере кибербезопасности. Mandiant специализировалась на расследовании кибервторжений, тогда как FireEye ставила своей целью их предотвращение. Ее технология состояла в изоляции входящего сетевого трафика в виртуальном карантине и анализе передаваемых данных в поисках признаков вредоносного ПО. Этот подход был похож на используемый Министерством внутренней безопасности для мониторинга трафика в государственных сетях, что лишний раз говорит об отсутствии монополии властей в вопросах киберобороны.
Раскрытие информации о масштабном китайском шпионаже, дополненное разоблачением глобальных разведывательных операций АНБ, помогло Mandiant и FireEye создать новый вид бизнеса, который и привел эти компании к слиянию. «Множество компаний, организаций и правительств говорят: “Посмотрите, как мониторинг и похищение данных у компаний распространились в этих сверхдержавах”», – говорит Дэвид Деволт, председатель совета директоров и генеральный директор FireEye. Его клиенты решили, что им необходимо защитить себя. «Осведомленность в этих вопросах растет. Всего год назад ничего подобного не было».

 

Если компаниям нужна была еще какая-нибудь причина, чтобы, наконец, воспользоваться услугами частных компаний по компьютерной безопасности, то она появилась в июне 2013 г., когда 29-летний сотрудник АНБ Эдвард Сноуден раскрыл себя в качестве источника огромного объема похищенных секретных документов о машине глобального наблюдения агентства. Сноуден поделился этими документами с журналистами, работавшими в Guardian и The Washington Post, после чего появился вал публикаций, беспрецедентных по своему охвату и представленным подробностям. Были обнажены практически все мыслимые детали шпионажа, который вело агентство. Документы показали, как АНБ собирало огромные объемы информации у Google, Facebook, Yahoo и других технологических и телекоммуникационных компаний. Агентство также собирало записи телефонных разговоров сотен миллионов американцев и хранило их в течение пяти лет. Представители администрации попытались убедить встревоженных американцев в том, что преимущественно АНБ шпионило за иностранными гражданами, находившимися за границей. Руководители технологических компаний были ошарашены. Они объясняли властям, публично и во время частных встреч, что многие клиенты их компаний иностранцы и что они вряд ли с легкостью отнесутся к ведению за ними слежки со стороны АНБ на основании только того, что они не граждане США.

 

Еще до утечки, организованной Сноуденом, АНБ публично попыталось заручиться поддержкой хакеров в осуществлении своей кибероборонной миссии. В 2012 г. на хакерской конференции Def Con в Лас-Вегасе появился Кит Александер, представ перед публикой в джинсах и черной футболке. Он считал, что, сменив свою армейскую форму на неформальный «прикид», вызовет расположение у своей аудитории, состоящей из хакеров и исследователей в области кибербезопасности. В июле 2013 г., спустя месяц после публикации первой статьи об АНБ, организаторы Def Con отозвали приглашение Александера на конференцию, где он собирался выступить с новым обращением. Родственная Def Con конференция Black Hat согласилась принять «главного шпиона». Правда, примерно через полчаса после начала его выступления в зале начались недовольные выкрики. «Свобода!» – кричал один из слушателей, консультант частной фирмы по кибербезопасности. «Совершенно верно, мы боремся за свободу!» – парировал Александер.
«Полная чушь!» – резко возразил консультант. Зал взорвался аплодисментами.
Если раньше некоторые «добропорядочные хакеры» из числа тех, кто усердно трудится, чтобы усовершенствовать средства киберзащиты, сотрудничали с АНБ по техническим вопросам, то теперь они начали сомневаться в своем решении. Об этом рассказал бывший сотрудник агентства. Он опасается, что хакеры теперь могут ополчиться на правительство и будут пытаться раскрыть еще больше секретной информации или даже организовать атаку на государственные агентства и компьютерные системы господрядчиков. Сноуден продемонстрировал, что всего один человек может раскрыть огромную часть архитектуры наблюдения АНБ. А какой ущерб может быть нанесен, если в дело включится целое движение высокомотивированных хакеров?
Сноуден и сам был хорошо обученным хакером. Будучи сотрудником АНБ, он прошел углубленные курсы «этичного взлома» и анализа вредоносного ПО в одной из частных школ в Индии. По словам людей, знакомых с деталями его поездки, он находился в этой стране с секретной государственной миссией и работал в американском посольстве в Нью-Дели. Точная цель его работы засекречена, однако к моменту своего приезда в Индию в сентябре 2010 г. Сноуден уже изучил некоторые продвинутые методы взлома. По словам его инструктора, он был способным учеником. Его научили взламывать компьютеры и похищать информацию якобы с той целью, чтобы лучше противостоять злонамеренным хакерам. Для того чтобы украсть большую часть секретных документов АНБ, к которым благодаря своему статусу он имел свободный доступ, ему эти навыки не понадобились. Как оказалось, АНБ, которое хотело повсеместно обеспечить защиту компьютерных систем, начиная с Уолл-стрит и заканчивая водопроводными компаниями, не смогло помешать своему 29-летнему сотруднику сделать копии секретных документов о своей глобальной системе наблюдения.

 

Разоблачения Сноудена стали самыми разрушительными для АНБ с политической точки зрения за всю 61-летнюю историю существования агентства. В июле 2013 г. палата представителей США практически приняла законопроект, который бы оградил простых американцев от сбора агентством записей телефонных разговоров. Это могло бы стать первым значительным ограничением государственной власти в вопросах ведения наблюдения и слежки со времени терактов 11 сентября. Республиканцы и демократы объединились в редкий для них двухпартийный союз в своем желании посадить шпионское агентство на привязь. Президент Обама собрал комиссию из экспертов разведки и юристов, которая должна была предложить реформу программы наблюдения АНБ. Результатами работы комиссии стали 300-страничный отчет и 46 рекомендаций, среди которых были предложения прекратить практику покупки агентством эксплоитов нулевого дня, отказаться от внедрения бэкдоров в криптографические продукты, назначить гражданских лиц ответственными за работу шпионского агентства и, наконец, разделить руководство агентством и Киберкомандованием, чтобы их не возглавлял один и тот же человек. Фактически это была программа по снижению влияния и постепенному отказу от ведущей роли агентства в сфере кибербезопасности.
Тем не менее необходимость в защите киберпространства была острой, как никогда. В сентябре 2013 г. старший офицер ВВС США рассказал, что их службы до сих пор не знают, насколько их сети уязвимы к атакам хакеров, поскольку сложные мероприятия по анализу уязвимостей выполнены только на четверть. А ведь прошло уже более четырех лет с момента вторжения взломщиков в систему управления воздушным движением ВВС, которое могло дать им возможность влиять на планы полетов самолетов и на работу радарных систем. Спустя месяц после признания офицера ВВС генеральный инспектор Министерства обороны опубликовал отчет, в котором говорилось, что у Пентагона, Министерства внутренней безопасности и АНБ нет централизованной системы обмена информацией о киберугрозах в режиме реального времени. Существуют государственная система циркулирующих оповещений и еще одна для отправки последующих инструкций по реагированию на киберугрозы, но эти две системы работают отдельно друг от друга.
Новости ключевых объектов инфраструктуры, которые государство собиралось защищать, тоже были не слишком ободряющими. Ранее в том же году пара инженеров обнаружила ряд уязвимостей в коммуникационных системах, используемых в коммунальных энерго– и водоснабжении по всей стране. Найденные уязвимости позволяли злоумышленнику вызвать масштабное отключение электроэнергии, а также повредить системы водоснабжения. Представители Министерства внутренней безопасности разослали оповещения, но лишь немногие коммунальные предприятия установили исправленные версии программ. При этом интенсивность кибершпионажа против США ничуть не снижалась. «В этой стране нет ни одной сколько-нибудь значимой компьютерной системы, которую не пытаются взломать прямо в эту минуту, направляя на нее терабайтные потоки информации», – сказал бывший директор АНБ Макконнелл во время своего октябрьского выступления в Вашингтоне. Это заявление эхом отозвалось в публичных и частных разговорах многочисленных сотрудников разведки, военных и правоохранительных ведомств.
Американские власти все еще не могли прийти в себя после атаки, направленной в 2012 г. на государственную нефтяную компанию Aramco из Саудовской Аравии, которая, по некоторым оценкам, была самой дорогой компанией в мире, обеспечивая около 10 % мировых поставок нефти. Хакеры использовали мощный вирус для полного уничтожения информации примерно с 75 % компьютеров компании, а это, в общей сложности, около 30 000 машин. В процессе атаки, которая, по словам представителей компании, имела целью остановить производство нефти и газа, вирус удалял письма, электронные таблицы и документы. Хакерам не удалось подорвать работу производственных мощностей Aramco, тем не менее атака стала напоминанием о том, что хакеры могут нанести серьезный ущерб компании, уничтожив ее системы хранения корпоративной информации. Некоторые американские чиновники подозревали, что атака была инициирована Ираном в отместку за внедрение червя Stuxnet. Если бы так и было, то это означало бы эскалацию международной кибервойны, и, кроме того, атака продемонстрировала, что США вряд ли могут рассчитывать на проведение безответных киберударов.
В Соединенных Штатах также наблюдался разгул киберпреступности. В середине декабря 2013 г. торговый гигант Target обнаружил, что хакеры проделали брешь в компьютерных системах компании и похитили информацию о дебетовых и кредитных картах. Мошенники установили вредоносную программу прямо на кассовые аппараты в магазинах сети Target и скачивали финансовые данные. По первоначальным оценкам компании, похитителям удалось завладеть финансовой информацией 40 млн покупателей. Однако месяц спустя это число было скорректировано, и теперь число клиентов, чьи финансовые данные были скомпрометированы, составляло от 70 до 110 млн. Количество затронутых клиентов было потрясающим, что сделало утечку информации из Target одним из крупнейших киберограблений в истории. Следователи пришли к выводу, что хакеры, скорее всего, находились на территории Восточной Европы или России, а также что первый взлом компьютерной сети Target был осуществлен с помощью сетевых сертификатов (мандатов), похищенных в компании из Пенсильвании, которая занималась обслуживанием холодильных систем в супермаркетах. Target также обнаружила, что была похищена информация об именах клиентов, их телефонных номерах, почтовых и электронных адресах. Компании грозили огромные штрафы за несоблюдение промышленных стандартов защиты информации о дебетовых и кредитных картах.
Государственные агентства ненамного больше преуспели в вопросах защиты своих сетей. В феврале 2014 г. комитет сената сообщил, что гражданские федеральные агентства, за редким исключением, плохо осведомлены в вопросах безопасности и страдают от нехватки самых фундаментальных навыков ее обеспечения, даже на уровне здравого смысла. Государственные служащие использовали очень простые пароли. Исследователи обнаружили, что одним из самых популярных паролей было слово «пароль». В отчете сообщалось, что даже в Министерстве внутренней безопасности обновления программного обеспечения были установлены не на всех системах, хотя это «основное правило безопасности, которое соблюдает почти каждый американец, владеющий компьютером».

 

Несмотря на разоблачения Сноудена, Александер продолжал упорствовать. Плохие новости о слабой киберобороне только укрепили его собственные аргументы в пользу того, что АНБ следует взять на себя более влиятельную и решающую роль в защите страны. На конференции по кибербезопасности, которая прошла в октябре 2013 г. в Вашингтоне под патронажем компании Raytheon, выполняющей оборонные и кибероборонные заказы, Александер, используя некоторые сомнительные технические аргументы, попросил больше власти и полномочий для защиты финансового сектора. Он допустил, что АНБ будет получать информацию из банков в режиме реального времени, таким образом агентство сможет определить «киберпакет, готовый уничтожить Уолл-стрит» и перехватить его, как будто это летящая к цели ракета. Термин «киберпакет» не имеет точного и ясного определения в данном контексте. Предположительно, Александер имел в виду, что продвинутый компьютерный червь или вирус смогут нарушить работу компьютеров финансового учреждения или повредить информацию, которая хранится на этих компьютерах. Однако утверждение, что один-единственный пакет данных сможет уничтожить Уолл-стрит, было абсурдным. Утверждать подобное сродни заявлению, что пейнтбольный шарик может вывести из строя танк.
Степень преувеличения Александером киберугроз и уровень упрощения ответных действий его собственного агентства стали показателем того, как отчаянно он хотел заручиться общественной поддержкой своей миссии и насколько встревожен и напуган он был. Сноуден помог подорвать и разрушить то реноме агентства, которое Александер выстраивал многие годы.
Назад: 12. Весеннее пробуждение
Дальше: 14. На заре

лорщшг
лорпд