Книга: Кибервойн@. Пятый театр военных действий
Назад: 2. RTRG
Дальше: 4. Поле битвы – интернет

3. Создание киберармии

Почти целое десятилетие потребовалось для того, чтобы создать киберподразделение, которое доказало свою эффективность в Ираке. Конечно, успех ковался многими людьми, но если кто-то и заслуживает особого признания за представление концепции кибервойны высшим чиновникам правительства Соединенных Штатов, то этим человеком должен быть Джон Майкл Макконнелл.
Еще за десять лет до того, как ему удалось убедить Джорджа Буша санкционировать кибератаки в Ираке, Макконнелл уже имел звание вице-адмирала и руководил АНБ, где в 1996 г. учредил первое подразделение «информационной борьбы». В штаб-квартире агентства в Форт-Миде разведывательный и военный персонал совместно разрабатывал новые технологии защиты компьютерных сетей и их взлома.
За время холодной войны АНБ приобрело огромный опыт перехвата спутниковых передач, установки прослушивающих устройств на подводных телефонных кабелях и взлома секретных шифров противников Соединенных Штатов. Но теперь, когда Советского Союза не стало, но появилась Всемирная паутина, власти были встревожены новой, безликой угрозой. Уже было известно, что иностранные разведслужбы пытаются проникнуть в правительственные секретные компьютерные сети. В 1996 г. Университет национальной обороны провел военную игру, чтобы понять возможные сценарии «конца света», такие как компьютерные атаки на банки или электрические сети США. В том же году министр обороны приказал всем министерским департаментам начать подготовку к «информационным военным атакам» на сети, которые принадлежали Пентагону, но фактически не использовались, и в первую очередь обратить внимание на телефонную сеть общего пользования и Интернет, который был изобретен и внедрен Министерством обороны.
Ведение информационной войны (термин «кибервойна» войдет в военный жаргон позже), очевидно, было работой для АНБ. Подслушивающие и перехватывающие устройства, используемые агентством, внимательно следили за происходящим в мировых сетях. Суперкомпьютеры работали круглые сутки, пытаясь взломать алгоритмы, с помощью которых информация шифровалась на иностранных компьютерах. В АНБ умели взламывать сети. А оказавшись внутри сети, могли даже ее уничтожить.
Макконнелл был настоящим лидером этой миссии. В 1991 г. во время операции «Буря в пустыне» он был советником по разведке председателя Объединенного комитета начальников штабов Колина Пауэлла и прославился своей работоспособностью среди офицеров военной разведки. Макконнелл получил признание за то, что предсказал вторжение Саддама Хусейна в Кувейт за день до его начала. Его предвидение не остановило нападение Ирака на своего соседа, тем не менее оно, несомненно, привлекло внимание начальников. Макконнелл находчиво использовал спутниковые снимки и перехваченные переговоры – плоды сбора разведданных – для построения общей картины того, что происходит на земле. Где враг передислоцируется, куда он скорее всего отправится дальше и какие действия на новом месте предпримет. Макконнелл, уроженец Южной Калифорнии, был приветливым и открытым в общении. Он так хорошо показал себя на закрытых совещаниях, что Пауэлл поручил ему проведение ежедневных кратких пресс-конференций, в которых участвовали журналисты со всего мира.
В 1992 г. вот-вот должно было освободиться место директора АНБ – президент Джордж Буш предложил адмиралу Уильяму Стадмену, вызывающему всеобщее восхищение офицеру военной разведки, занять должность заместителя директора ЦРУ. Пауэлл и министр обороны Дик Чейни поддержали кандидатуру Макконнелла на пост директора АНБ. Эту должность мог занимать только офицер в звании не ниже вице-адмирала, а Макконнелл, которому не было еще и 50 лет, был только контр-адмиралом. Пауэлл и Чейни позаботились о его повышении в звании.
Под руководством Макконнелла АНБ первым начало вникать в сложности, изучать риски и использовать потенциальные преимущества кибервойны.
Первые кибервоины АНБ создавали еще и своего рода арсенал, когда искали уязвимости в сетях, программах и оборудовании, которые они могли использовать для взлома системы и последующего внедрения вирусов или установки скрытых бэкдоров для будущих операций. АНБ скрывало эти уязвимости от создателей программ. Если бы они их раскрыли, то производители могли бы залатать дыры, сделав использование программ другими пользователями более безопасным. Однако АНБ тогда лишилось бы своего секретного доступа. Согласно внутреннему информационному бюллетеню, в агентстве было по крайней мере 18 различных организаций, которые занимались сбором информации об уязвимостях, причем они держали свою работу в секрете даже друг от друга. «Агенты разведки хотят защитить свои источники и методы, – написал анонимный автор из АНБ. – Никто не представляет себе реального объема знаний, накопленных в этой области». Без этих знаний «полномасштабное национальное» развитие методов кибервойны было бы невозможным, и подготовка к кибервойне проводилась не просто из-за желания АНБ, а по указанию Пентагона.
При Макконнелле введение методов кибернетической борьбы несколько буксовало. С одной стороны, АНБ было увлечено теми стратегическими преимуществами, которые получит США, если удастся проникнуть в разраставшиеся по всему миру информационные сети. С другой стороны, власти были обеспокоены тем, что кибероружие, которое разрабатывается в АНБ, может быть обращено против Соединенных Штатов. В агентстве работало множество блестящих специалистов в области криптографии и вычислительной техники, но власти знали, что входной барьер на это новое поле битвы очень низок. Знания об эксплуатации сетей распространялись так же быстро, как и сами сети. Кибервойна не станет исключительно государственной сферой деятельности.
Вскоре лихорадка кибервойны распространилась за пределы АНБ. К концу 1990-х гг. в военно-воздушных войсках создавались наступательные киберотряды под руководством рабочей группы, изначально собранной для защиты служебных сетей. Армия тоже включилась в игру и, по выражению одного из бывших офицеров, начала искать «способы вырубить свет в Тегеране».
Макконнелл покинул АНБ в 1996 г. и пошел работать в компанию Booz Allen Hamilton, исполнявшую государственные заказы. Там он заработал миллионы, используя свой опыт и связи. Он создал в компании информационное подразделение, которое специализировалось на кибербезопасности – на чем же еще? Все, чему он научился в АНБ, он теперь продавал правительству.
Прошло десять лет, как Макконнелл оставил государственную службу. 23 декабря 2006 г. в его огромный угловой кабинет в офисе Booz, расположенном в 20 км от большого Вашингтона, вошла секретарь.
«На проводе вице-президент», – сказала она.
«Вице-президент чего?» – уточнил Макконнелл.
«Вице-президент Соединенных Штатов».
Макконнелл выпрыгнул из своего кресла и схватил телефонную трубку. Давний шеф Макконнелла Дик Чейни рассказал ему, что президент Буш хочет предложить его кандидатуру на пост директора национальной разведки. Работа эта неблагодарная, и Макконнеллу было известно, что гораздо более могущественные люди, чем он, отказались от нее в свое время. Самым известным из этих людей был старый друг Макконнелла Роберт Гейтс, бывший директор ЦРУ, который теперь занимал пост министра обороны.
Макконнелл ответил Чейни, что ему нужно время подумать над этим предложением и что ответ он даст после Рождества. Он повесил трубку, после чего позвонил Гейтсу, который уже знал о готовящемся назначении. Макконнелл сказал, что он возьмется за это дело, только если у него будут развязаны руки, чтобы провести некоторые значительные изменения в методах работы разведывательного сообщества, и что ему нужна поддержка Гейтса. Гейтс пообещал, что поддержит его.
Когда Макконнелл покинул АНБ, развитие методов ведения кибервойны находилось на этапе раннего детства. За время его отсутствия оно прошло подростковый возраст, и теперь Макконнеллу предстояло довести его до зрелого состояния.

 

Макконнелл проработал в должности директора национальной разведки (главы всех правительственных разведслужб) немногим меньше двух лет. Однако он оказал сильное влияние на работу офиса, методы ведения шпионажа и кибервойны.
Именно Макконнелл – кто же еще – убедил президента Буша одобрить тактику ведения кибервойны, использованную АНБ и военными в Ираке. Кроме того, он был инициатором масштабного пересмотра закона, ограничивающего многие операции АНБ, – Акта о наблюдении за иностранной разведкой. Так случилось, что, когда Макконнелл приступил к работе на новом посту, федеральный судья, осуществляющий надзор за электронным шпионажем, постановил, что если слежка ведется с помощью оборудования, расположенного в США, то для перехвата разговоров между иностранными гражданами, находящимися за пределами США, нужно разрешение суда. Макконнелл потратил два месяца – июнь и июль, – чтобы объяснить законодателям, что большая часть мирового телекоммуникационного трафика проходит через кабели, маршрутизаторы и коммутаторы, расположенные на территории страны. Он убеждал, что АНБ не должно спрашивать разрешения, когда использует это оборудование в целях международного шпионажа, ведь агентство, в конце концов, шпионило не за американцами.
Макконнелл рассказал законодателям, что, если АНБ не будет позволено вести наблюдение за всеми международными коммуникациями, проходящими через расположенное в Соединенных Штатах оборудование, агентство потеряет контроль за многими иностранцами, в том числе членами «Аль-Каиды» и повстанцами в Ираке. По его мнению, сейчас было не время терять доступ к высокотехнологичной инфраструктуре, с помощью которой Соединенные Штаты ведут новый тип войны.
В конгрессе приближался период летних каникул, и демократы, находившиеся у власти и имевшие большинство в сенате, рисковали потерять свои позиции в вопросе противодействия терроризму, если не смогут узаконить изменения, необходимые для сохранения АНБ в работоспособном состоянии. Большинство законотворцев ничего не знало об кибервоенных операциях, но президентская Администрация уже давно публично заявляла, что шпионская деятельность агентства сыграла немаловажную роль в предотвращении террористических атак на Соединенные Штаты.
Макконнелл воспользовался возможностью и протащил серьезное изменение закона, а не просто мелкие поправки. Он хотел переписать Акт о наблюдении за иностранной разведкой и разрешить широкий поиск по целым группам индивидуальных объектов слежки: например, по всему исходящему телефонному трафику, скажем, из Йемена. Это расширение закона было беспрецедентным. Конституция еще никогда не использовалась для оправдания полномочий, направленных против целых групп людей. Четвертая поправка требовала от властей указания конкретного имени подозреваемого и места, в котором его хотят искать. И хотя Акт о наблюдении за иностранной разведкой позволял вести шпионаж за отдельными лицами, личность которых не была еще установлена, тем не менее закон требовал, чтобы власти указали, за кем именно они собираются следить. Теперь же Макконнелл хотел получить полномочия на ведение массовой слежки.
По факту у АНБ уже были подобные полномочия, поскольку агентство вело слежку за рубежом, но не шпионило за американскими гражданами и легальными резидентами страны. Однако критики опасались, что изменения в законе позволят проводить массовую слежку внутри Соединенных Штатов. Иными словами, АНБ могло бы получить право требовать у американских технологических компаний доступ к их огромным массивам данных, ссылаясь на необходимость защиты национальной безопасности.
Именно это и произошло. В августе 2007 г. демократы, которые полагали, что Макконнелл и Белый дом загнали их в угол, неохотно поддержали законопроект. И всего месяц спустя АНБ нарастило мощности своей новой системы сбора данных Prism, которая получила от американских компаний огромное количество электронных писем и другой информации пользователей Интернета. Первой компанией, вошедшей в программу Prism, стала Microsoft. Это произошло 11 сентября 2007 г. Yahoo присоединилась в марте следующего года. За последующие четыре года в список программы PRISM вошли крупнейшие игроки американского бизнеса, в том числе Google, Facebook, YouTube и Apple. В октябре 2012 г. программа PRISM охватывала девять компаний. Сегодня эти компании отвечают за огромную часть трафика Интернета в Соединенных Штатах. Одна только Google генерирует четверть всего трафика, проходящего через оборудование провайдеров в Северной Америке. YouTube – это почти 20 % всего входящего трафика в Соединенных Штатах. Доля ближайшего конкурента – сервиса потокового видео Netflix – почти в три раза меньше. Предоставляемый компанией сервис электронной почты также привлекает миллиарды людей по всему миру. Через три года, после того как Google вошла в программу PRISM, компания заявила, что ее продукт Gmail используют 425 млн человек. В декабре 2012 г. Yahoo рассказала о 281 млн пользователей своего почтового сервиса. А в феврале 2013 г. Microsoft сообщила о 420 млн пользователей ее почтовой системы Outlook. Наконец, Apple, которая подключилась к программе PRISM последней в 2012 г., рассказала, что в том году она продала 250 млн своих смартфонов iPhone.
Какой бы масштабной не была программа PRISM, тем не менее властям по-прежнему требовалось отдельное судебное разрешение, если они хотели получить содержимое сообщений американских граждан. Что касается остального мира, то там игра велась по правилам – более или менее. Судьи, которые одобрили Акт о наблюдении за иностранной разведкой, теперь рассматривали обращения, подготовленные высокопоставленными сотрудниками Администрации, где перечислялись широкие категории целей для слежки и приводились достаточно сложные технические объяснения, каким образом АНБ обеспечит сбор информации только о тех категориях, которые были указаны. В теории выглядит реалистично, но на самом деле агентство зачастую не знало, как много информации об иностранцах или американцах оно собирает. Дело в том, что исключительно сложно узнать национальность и местоположение отправителя или получателя электронного письма, которое отправляется через Интернет не как отдельное сообщение, а как серия пакетов данных, разрозненных и рассредоточенных в Сети по самому быстрому и эффективному маршруту, собираемых обратно в цельное сообщение в конечной точке. Часто конечной точкой маршрута является не компьютер адресата, а серверы той почтовой службы, которую адресат использует, например Hotmail компании Microsoft, или Gmail от Google. Так как АНБ может не знать, где находятся отправитель и получатель и кто они такие, то агентство не может быть всегда уверено, что ведет слежку только за иностранцами.
На первый взгляд может показаться, что изменения в законе о слежке всего лишь расширили возможности АНБ для шпионажа. Вместе с тем они дали агентству больше точек доступа в инфраструктуре Интернета, из которых оно могло проводить кибервоенные операции. А с доступом к системам главных почтовых сервисов и интернет-компаний АНБ могло собирать больше информации о своих противниках и готовить сообщения, которые не вызывали подозрений, но при этом содержали вирусы и другое вредоносное ПО. Интернет был полем боя, а новый закон дал АНБ больше возможностей на этом поле.
По мере роста власти и силы, АНБ все шире раскидывало свои сети, подключаясь к морским кабелям, которые обеспечивали телекоммуникационную связь между континентами. Агентство начало фильтровать содержимое всей электронной корреспонденции, пересекавшей границы США, сканируя ее на предмет имен, телефонных номеров или адресов электронной почты людей, подозреваемых в терроризме. Агентству удалось преодолеть защитные механизмы Google и Yahoo и перехватывать сообщения на пути от заграничных частных дата-серверов компаний в общедоступный Интернет.
Свой второй серьезный вклад в развивающуюся киберборьбу Макконнелл сделал уже под конец своей службы в АНБ в 2008 г. После победы сенатора Барака Обамы на президентских выборах, прошедших в ноябре, Макконнелл прилетел в Чикаго, где встретился с будущим главнокомандующим на охраняемой территории в местном отделении ФБР. На встрече он описал контуры нового поля боя. Макконнелл обратил особое внимание на то, какими слабыми были собственные средства защиты Соединенных Штатов, и рассказал о некоторых шагах, предпринятых Администрацией Буша для их укрепления. Позже, во время личной встречи с Бушем, Обама узнал, что президент санкционировал серию секретных кибератак на иранские атомные объекты, проведенных с помощью программы-червя, которая стала известна позже как Stuxnet. Буш сказал Обаме, что эта диверсионная операция под кодовым названием «Олимпийские игры» (Olympic Games) – одна из двух разведывательных миссий, которые новому президенту не стоило бы прекращать. Второй миссией была программа ЦРУ по уничтожению подозреваемых террористов и боевиков в Пакистане с помощью вооруженных беспилотных аппаратов.
Обама согласился. А в отношении киберпрограммы он приказал провести новую серию атак вируса Stuxnet в 2009 г. В отличие от Буша, который предпочитал, не привлекая внимания, спокойно тормозить и подрывать иранскую программу по созданию ядерного оружия, Обама хотел спровоцировать масштабные разрушения на иранском заводе в Нетензе. Соединенные Штаты внедрили новую версию червя, задача которого заключалась в том, чтобы заставить роторы центрифуг раскрутиться до опасно высокой скорости вращения. Кроме того, червь содержал множество новых элементов кода, предназначенного для заражения разных компьютерных программ через уязвимости, не обнаруженные иранцами. Благодаря этим новым возможностям червь стал более разрушительным оружием. Разрушение тысячи центрифуг, которое произошло в период с 2009 по 2010 г., большинство исследователей объясняет именно действием вируса Stuxnet. Это количество составляло примерно 20 % от общего числа работающих на заводе центрифуг, и у иранцев были еще запасные центрифуги для замены вышедшего из строя оборудования. Однако представители Администрации Обамы заявили, что Stuxnet отбросил иранскую военную ядерную программу на два года назад. И это время очень ценно и полезно, если, как принято считать, Stuxnet был создан для предотвращения войны, а не для ее начала.
Однако эти агрессивные возможности программы также повысили риск обнаружения вируса Stuxnet, что в итоге и произошло в июне 2010 г., когда малоизвестная белорусская антивирусная компания нашла первые доказательства существования вируса. Первоначально исследователи полагали, что ошибка в программном коде червя (который теперь, конечно, был намного сложнее, а потому вероятность появления ошибок выросла) позволила ему «сбежать» за пределы сетей исходного объекта атаки, возможно, когда кто-то из инженеров завода подключил свой ноутбук к зараженному компьютеру, а потом, придя домой или в офис, подключился к Интернету. Но обычно из вида упускают, что этот аспект распространения вируса был, возможно, не ошибкой, а особенностью червя. Stuxnet был создан не только для вывода из строя центрифуг, но и для разведки. Он отправлял интернет-адрес и имя узла зараженного компьютера в свой командный центр. Зачем нужны были эти возможности оружию, предназначенному для атаки на машины, находящиеся в изоляции, физически отключенные от Интернета? Очевидный ответ состоит в том, что создатели Stuxnet знали, что вирус не останется в изоляции надолго. Возможно, они и не хотели, чтобы он там оставался. Stuxnet также был спроектирован для ведения разведки в сетях и компьютерах, расположенных на заводе в Нетензе, и поиска подходящих целей для атаки. Сотрудники завода работали еще и на другие компании. Если их ноутбуки будут заражены червем Stuxnet и они воспользуются своими компьютерами в другом месте работы, то червь сможет выполнять свои разведывательные функции и на других ядерных объектах Ирана. Stuxnet мог рассказать Соединенным Штатам, на какие еще компании работали сотрудники ядерной программы, где расположены другие ядерные заводы в Иране и, возможно, насколько далеко эти заводы продвинулись в деле обогащения ядерного топлива. Теоретически вирус мог помочь американцам глубже понять состояние иранской ядерной программы и сделать это лучше, чем любой внедренный агент или шпион. Решение Обамы об обострении атак червя Stuxnet было не лишено риска, но потенциальная выгода для американской разведки была слишком заманчива, чтобы ее игнорировать. Неудивительно, что Макконнелл и Буш потратили столько времени, чтобы рассказать новому главнокомандующему о кибервойне и ее преимуществах.
В конце срока своей службы в агентстве, когда Макконнелл уже готовился вернуться на работу в Booz Allen Hamilton, он почувствовал, что осталось закончить еще одно дело. АНБ достигло больших успехов в кибервойне. Армия развивала собственные возможности. Однако не было командира, который бы отвечал за их совместную работу. Военные придерживались жесткой иерархии, центральной идеей которой было то, что во время войны вооруженные силы действуют совместно. Сухопутные и воздушные войска не отправляются в бой с раздельными заданиями и планами. Они разрабатывают общий план и затем воюют вместе. Макконнелл думал, что и в кибервойне должно быть так же.
Он хотел основать новое киберкомандование в соответствии с армейской структурой командований военных группировок, которые делятся по географическим регионам мира – Тихоокеанское, Европейское командования, Центральное командование для ближневосточного региона и так далее, – а также формируются для выполнения определенной задачи. Совместное командование специальных операций (JSOC), которое работало в тесном сотрудничестве с АНБ в Ираке, попало под управление Командования специальных операций США. А Стратегическое командование проводило операции в космическом пространстве и управляло ядерным оружием Соединенных Штатов.
«Кибероперациям нужно было свое командование, – думал Макконнелл, – чтобы можно было применить уникальный опыт и возможности каждого рода войск». Военные начальники и представители Администрации президента пришли к мысли, что будущие войны будут вестись не только на традиционных полях боя, но и в Интернете. Однако создание нового командования ясно показывало, что кибервойна – это не временное явление. Макконнелл считал, что нет лучшего способа обеспечить кибернетическую живучесть, кроме как создать армейскую структуру оперативного управления.
Так случилось, что в конце октября, менее чем за две недели до выборов, военные компьютерные сети заразил червь, возникла серьезная угроза безопасности, которая убедила высшие чины Пентагона, что их киберзащита была недостаточной. АНБ быстро нейтрализовало вторжение и проводило чистку вплоть до окончания президентского срока Буша. Макконнелл посоветовался со своим старым другом Бобом Гейтсом, который согласился остаться на посту министра обороны после прихода новой Администрации. Гейтс поддержал идею о необходимости киберкомандования. Однако оно не возникнет, пока Макконнелл остается в агентстве. Официальный Вашингтон будет поглощен формальностями передачи президентской власти – Администрация Буша будет передавать дела новой команде и подробно объяснять все, над чем они работали. И Гейтс принял эстафету. В июне 2009 г. он приказал командиру Стратегического командования США создать новое Кибернетическое командование, или Киберком. Стратегическое командование было естественным домом для Киберкома – у него были номинальные полномочия для координирования информационной войны между военными ведомствами. Но на тот момент АНБ уже фактически выполняло эти функции. Таким образом, именно директор АНБ должен руководить Киберкомом, объясняли представители Пентагона. План состоял в том, чтобы временно сделать его подчиненным, дать ему вырасти, а потом повысить статус Киберкома до полноценного военного командования.
В тот момент лишь немногие могли заметить, что действующий директор АНБ, генерал армии Кит Александер, на протяжении всей своей армейской карьеры готовился к роли главы киберкомандования. Со временем он раскроется как эрудированный технарь, искусный воин и один из самых политически подкованных генералов нашего времени. Хотя теперь, когда новое кибернетическое командование постепенно вставало на ноги, он был одним из самых сильных его сторонников на Капитолийском холме, в военных кругах и в Белом доме.
21 мая 2010 г. на церемонии вступления в должность, проходившей в Форт-Миде, Александер дал присягу в качестве первого командира Кибернетического командования США. Присутствовали Гейтс и Дэвид Петрэус, который на тот момент возглавлял Центральное командование. Единственным из отцов-основателей, кто пропустил церемонию, был Макконнелл. Но его работа была завершена. Соединенные Штаты официально вступили в эпоху кибервойны.

 

Альянс военных и кибершпионов хорошо показал себя в атаках на банды повстанцев и террористов в Ираке. Однако, что произойдет, когда Соединенные Штаты столкнутся с крупной, организованной иностранной военной силой на поле боя в киберпространстве и эта сила сможет дать отпор?
Чтобы это выяснить, 7 мая 2010 г. примерно 600 человек появились на авиационной базе ВВС США Неллис, расположенной в предместьях Лас-Вегаса, для участия в ежегодной «Военной игре Шрайвера» (Schriever wargame). Каждый год игра проводится на основе актуальных стратегических задач, стоящих перед вооруженными силами США. (В 2012 г. участники игры боролись с пиратами недалеко от Африканского Рога.) Имя Шрайвера носит военная база в Колорадо, которая отвечала за организацию игры. Это одно из важнейших имен в истории военно-воздушных сил США: Бернард Адольф Шрайвер, или Бенни, был немецким иммигрантом, который в 1961 г. стал американским генералом. Он был одним из пионеров разработки космических и баллистических ракет.
Среди участников игры 2010 г. были старшие армейские офицеры, представители всех военных командований, а также военные и гражданские специалисты по кибербезопасности более чем из 13 американских правительственных организаций, в том числе из АНБ, Министерства внутренней безопасности и Национального управления военно-космической разведки, которое отвечает за сеть спутников-шпионов и, вполне возможно, является самой секретной из всех разведывательных служб. Кроме того, были замечены руководители технологических компаний вместе с занудами-аналитиками и официальные делегации из Австралии, Канады и Великобритании – трех ближайших союзников США, – а также один из бывших членов конгресса, Том Дэвис, на территории избирательного округа которого были расположены многие крупнейшие компании, работавшие на Министерство обороны и разведслужбы. В военной игре Дэвис исполнял роль президента Соединенных Штатов.
Шел 2022 г. «Региональный противник» в Тихоокеанском регионе – конкретно он никогда называется, но все знали, что подразумевались Китай или Северная Корея – отреагировал на военную провокацию со стороны союзника США. Противник произвел деструктивную кибератаку на компьютерные сети союзника. Союзник потребовал применения соглашения о взаимной обороне с Соединенными Штатами. Вашингтон должен был ответить.
Прежде чем американские вооруженные силы могли принять решение о своем первом шаге, противник совершил упреждающий удар, проведя «агрессивную, обдуманную и решительную» атаку для блокировки доступа американских сил к компьютерным сетям, необходимым для связи и отправки приказов, согласно заявлению американского генерала, принимавшего участие в игре.
«Красные блокируют Синих», – такое сообщение получили игроки.
«Синие» готовились к блокаде на воде, но не в Интернете. Они знали, как просигнализировать противнику: «Мы тебя видим – отступи». Они могли связаться с ним по радиосвязи. С помощью сигнальных огней. Звуковых сирен. Они могли вызвать другие корабли для демонстрации силы. Существовали агрессивные, но не смертельные меры, которые мог предпринять командир, не открывая огонь по кораблям противника, чтобы остановить его продвижение.
Однако единственное, что игроки умели делать в киберпространстве, – это атаковать вражескую сеть и уничтожить ее, игнорируя все сигналы и предупреждения, переходя непосредственно к полноценной битве. Здесь не существовало команды «свистать всех наверх» для вызова экипажа на боевые посты. Тут либо атакуешь, либо нет. Традиционная стратегия сдерживания была бесполезной.
Также было непонятно, имеются ли у противной стороны своя стратегия сдерживания или хотя бы представление о ценности и необходимости такой стратегии. Военные стратеги любят сравнивать кибероружие с ядерным, поскольку применение и того и другого может привести к масштабным, стратегически важным разрушениям и требует санкции президента. Однако на случай ядерной войны был разработан порядок четких, понятных действий, которые могла предпринять каждая сторона, и это позволяло не доводить ситуацию до реального применения ядерного оружия. Во время холодной войны Соединенные Штаты и Советский Союз помогали сохранить хрупкий мир преимущественно благодаря ясному пониманию того, каким образом они могут и будут уничтожать друг друга. Советы испытали новую ракету, американцы продемонстрировали свою. Первые говорили о развертывании ракет поблизости от целей в Европе, американский президент открыто предупреждал о возможности применения ядерного оружия и говорил о своей надежде, что этого все-таки никогда не случится. В этом противостоянии каждый из оппонентов делал шаг вперед и тут же отступал назад, использовал громкие слова и стучал кулаком по столу, но тем не менее обе стороны неявно предполагали, что попытаются избежать ядерной войны, а не спровоцировать ее. Предупреждения о намерениях противника давали каждой стороне время сдать назад, остыть и сохранить лицо.
Но теперь, в этой игре, региональный противник продолжал атаковать абсолютно непредсказуемо. После удара по компьютерным сетям американских сил он отправил спутники-захватчики для блокировки американских спутников, выталкивания их с орбиты и вывода из строя.
В течение следующих четырех дней армейские командиры напряженно работали над ответными действиями, чтобы избежать полномасштабной войны, которая, по их убеждению, приведет к огромным жертвам с обеих сторон. К работе подключились высшие руководители Министерства обороны и Белого дома. Американские силы обнаружили, что у них нет соглашений с иностранными союзниками на случай кибервойны, поэтому не было плана, описывавшего международную реакцию. Военные начальники обратились за помощью к корпоративным руководителям. Какие технологии есть у компаний, с помощью которых можно отправить врагу некий сигнал и заставить его изменить тактику? Есть ли такая вещь, как невраждебная кибератака? Ответы на эти вопросы никто не знал наверняка.
Враг уже принял решение, что кибернетические и космические атаки – это лучший способ противостояния агрессии соседа и предотвращения ответных действий со стороны США. Противник «провел красную черту». И ему уже удалось вывести из игры США, ответная реакция которых увязала все глубже, по мере того как все больше и больше высших руководителей включались в обсуждение о том, какие действия будут эффективными и законными в сложившейся ситуации. Могущественная сверхдержава сжалась до кучки сбитых с толку и дезорганизованных игроков. И, что еще хуже, по словам одного из участников, складывалось впечатление, что именно этого и добивался враг. «Мы непреднамеренно и покорно следовали сценарию, написанному противником для этой кампании, а наши военные действия по сдерживанию не имели никакого влияния на их метод принятия решений».
Все военные игры начинаются с задания исходных условий. Игроки рискуют, когда предполагают, что эти условия будут иметь место в реальной жизни, и исключают из рассмотрения возможные альтернативы. «Военная игра Шрайвера» была спланирована так, что Китай или Северная Корея непременно запустят превентивную кибератаку. Конечно, они могут этого и не сделать. Может быть, в реальной ситуации они испугаются кибернетического или, еще хуже, ядерного контрудара со стороны США. Возможно, один из уроков этой военной игры состоял в том, что военным следует пересмотреть исходные положения и оценить, насколько вероятным будет первый удар в киберпространстве со стороны другой страны при условии гарантированных потерь и разрушений, которые последуют, по мнению военных, для обеих сторон.
Вместо этого игра укрепила естественную предрасположенность военных к войне. Она убедила высших офицеров и руководителей Пентагона, что если когда-либо вспыхнет кибервойна, то это случится «со скоростью света», практически без каких-либо предупреждений. С этого момента каждый раз, когда эти люди отвечали на вопросы в конгрессе, выступали с речами или давали интервью прессе, всякий раз они предупреждали о стремительной и разрушительной природе кибервойны. Это утверждение стало своеобразным символом веры при стратегическом планировании. Соединенные Штаты, по их словам, должны были готовиться к неизбежности подобного конфликта и предпринять чрезвычайные меры по укреплению своих сил для защиты и нападения.

 

Результаты военной игры оказались тревожными, но существовали угрозы более близкие к дому, которые беспокоили американские власти. В мае 2009 г. в своей речи, произнесенной в Восточном кабинете Белого дома, президент Обама сообщил, что «кибервзломщики зондируют наши электрические сети, а в других странах кибератаки погружают во тьму целые города». Обама не сказал, что иностранные хакеры уже на самом деле выключали свет в Соединенных Штатах. Однако в частных беседах некоторые сотрудники разведки заявляли, что ответственность за две крупных аварии в энергосистеме США, произошедшие в 2003 и 2008 гг., лежит на взломщиках из Китая. Первая из упомянутых аварий была крупнейшей в Северной Америке за всю историю. Она охватила территорию площадью 150 000 км2, включая штаты Мичиган, Огайо, Нью-Йорк и некоторые районы Канады. По оценкам, от аварии пострадали около 50 млн человек. Авария сопровождалась сильной паникой среди населения. Президенту Бушу даже пришлось выступить с обращением к нации, чтобы убедить людей в том, что свет скоро снова загорится. В течение 24 часов электроснабжение было большей частью восстановлено.
Один эксперт в области информационной безопасности, работавший на государство и крупный бизнес, препарировал китайские шпионские программы и вирусы, которые обнаруживались на компьютерах его работодателей. Он рассказал, что во время второй аварии китайский хакер, работавший на Народно-освободительную армию (НОА) Китая, пытался изучить энергосеть штата Флорида и, видимо, совершил ошибку. «Вероятно, хакер должен был только составить схему системы для своего начальства, но увлекся и в какой-то момент захотел узнать, “а что будет, если я нажму на эту кнопку”». Эксперт полагал, что хакер запустил каскадный эффект, вследствие которого часть энергосистемы Флориды отключилась. «Я подозреваю, что в момент отключения системы хакер НОА сказал по-китайски что-то вроде “Упс, ошибочка вышла”».
Компании, управлявшие сетями и электростанциями, категорически отвергали обвинения и указывали, что по результатам общественных расследований аварии произошли по естественным причинам, в том числе из-за высоких деревьев, ветви которых закоротили воздушные линии электропередач. Никто из официальных лиц не представил надежных доказательств того, что за авариями стояли китайцы. Однако постоянные слухи о причастности Китая показывали степень ужаса и паранойи, царивших в Вашингтоне из-за кибератак.
Кроме вероятной атаки на американские электросети серьезную озабоченность властей вызывало непрерывное воровство интеллектуальной собственности и коммерческих тайн у американских компаний, прежде всего хакерами из Китая. Александер, который в 2010 г. возглавил Кибернетическое командование, назвал необузданный промышленный шпионаж, проводимый Китаем, «величайшим в истории перераспределением богатства». В 2012 г. конгресс в итоге вынужден был одобрить законопроект. Это случилось через шесть лет после того, как обнаружилось, что собственные компьютеры законодателей были инфицированы шпионским ПО, и скорее всего это было сделано китайскими хакерами. Компьютеры, работавшие в офисах нескольких комитетов в палате представителей, также были заражены. В их числе оказались комитеты по контролю за торговлей, транспортом и инфраструктурой, национальной безопасностью и даже влиятельный Бюджетный комитет. Комиссия конгресса по Китаю, которая наблюдала за соблюдением прав человека и законов в Китае, также попала под удар. Оказалось, что в большинстве комитетских кабинетов были один или два зараженных компьютера. В Комитете по международным отношениям (который теперь называется Комитетом по иностранным делам), контролирующим внешнюю политику США, в том числе и переговоры с Китаем, было инфицировано 25 компьютеров и один сервер.
В 2012 г. на рассмотрение конгресса были внесены предложения, которые среди прочего давали властям больше полномочий для получения и сбора информации о кибервторжениях и кибершпионаже в компьютерных сетях от компаний, подвергшихся атаке. Идея заключалась в том, чтобы наладить обмен информацией о потенциальных угрозах, а кроме того, принудить компании усилить меры обеспечения собственной безопасности. Однако некоторые компании отказались участвовать, опасаясь, что законопроект вызовет новую волну дорогостоящего и навязчивого регулирования. Также компании опасались исков со стороны своих клиентов за работу на правительственные структуры. Провайдеры хотели иметь юридические гарантии того, что, передавая информацию об атаках в Министерство обороны или в Министерство внутренней безопасности, они не будут нести ответственность за разглашение персональных данных, которые могут содержаться в передаваемой информации. Это могут быть, например, идентификационная информация о пользователях или интернет-адреса людей, чьи пакеты данных были перехвачены или чьи компьютеры были подвергнуты опасности.
Торговая палата США, влиятельная и богатая торговая ассоциация с долгой историей поддержки кандидатов от Республиканской партии, заявила, что законопроект даст властям «слишком широкие возможности контроля тех действий, которые бизнес-сообщество может предпринять для защиты своих компьютеров и сетей». В то время как консервативные чиновники критиковали закон о здравоохранении, предложенный Обамой, в том числе за попытку вторжения властей в частную жизнь граждан, Торговая палата стала самым красноречивым оппонентом законопроекта о кибербезопасности как еще одного примера государственного произвола. Представители «Великой старой партии» в конгрессе плотно сомкнули ряды и лишили всеобъемлющий законопроект о кибербезопасности всякого шанса.
Не дождавшись действий от конгресса, президент Обама в феврале 2012 г. подписал указ, который ориентировал американскую политику на «расширение безопасности и устойчивости национальной жизненно важной инфраструктуры». Столь широкое понятие «жизненно важной инфраструктуры» было использовано намеренно, чтобы охватить им множество промышленных и коммерческих компаний. Президент определил его как «системы и ресурсы, физические или виртуальные, настолько жизненно необходимые для Соединенных Штатов, что прекращение работы или разрушение этих систем и ресурсов существенно ослабит безопасность, национальную экономику и национальное здравоохранение, по отдельности или в любых комбинациях». Следуя этому определению, электрическая станция, несомненно, относится к жизненно важным ресурсам. Но к ним же можно отнести и банк. И больницу. А также поезда, автобусы и транспортные компании. Относится ли экспресс-почта UPS к жизненно важной инфраструктуре? Если считать, что перечисленные виды деятельности завязаны на грузоперевозки и своевременную доставку товаров и услуг, то вполне может быть.
Своим указом Администрация Обамы давала понять конгрессу и представителям бизнеса, что она не собирается ждать, пока выйдет новый закон, усиливающий влияние власти в Интернете. Приказ поручал федеральным службам начать более интенсивный обмен информацией о киберугрозах с компаниями; Министерству торговли и Национальному институту стандартов и технологии разработать рамочные стандарты безопасности, внедрение которых в коммерческих компаниях должно поощряться; министру внутренней безопасности составить список критических инфраструктурных объектов, на которых происшествия в сфере кибербезопасности «могут привести к катастрофическим последствиям в региональном или национальном масштабе».
Белый дом все еще был готов бороться за новый закон о кибербезопасности. А между тем президентский указ Обамы имел серьезные последствия: он дал военным зеленый свет на подготовку к кибервойне.

 

Президентский указ вместе с секретной директивой президента Обамы, подписанной им пятью месяцами ранее и не публиковавшейся в открытой печати, четко показал, что руководить национальной обороной во время кибератаки будут военные, а также как вооруженные силы приводятся в действие в случае вторжения иностранной армии в США или когда иностранные ракеты летят к американских городам, кибервойска страны будут подняты для защиты против цифровых атак и нанесения ответного удара.
Указ позволил Министерству обороны легко расширить программу обмена секретными данными об угрозах и включить в нее не только оборонную промышленность, но и те «жизненно важные инфраструктурные объекты», список которых составлялся властями. В отдельной директиве, известной под кодовым названием PDD-20, было сформулировано, как и при каких условиях военные могут вступить в кибервойну и кто может отдавать на этой войне приказы.
Любая кибератака может быть проведена только по приказу президента. Но в чрезвычайной ситуации президент может делегировать эти полномочия министру обороны. Например, если электростанции грозит атака и нет времени, чтобы получить одобрение президента на проведение оборонительных действий, в том числе выполнение контрудара по источнику атаки, то приказ может отдать министр обороны.
Однако PDD-20 на самом деле не совсем о киберобороне. Директива поручает военным составить список зарубежных целей «национального значения», атаковать которые кибероружием для США будет проще или эффективнее, чем оружием обычным. Эти цели в некотором смысле подобны высокоприоритетным целям в Советском Союзе во времена холодной войны. Именно туда бомбардировщики должны были сбрасывать свои бомбы в случае войны. В PDD-20 не были указаны конкретные объекты, однако национальное значение, естественно, имели телекоммуникационные системы; сети оперативно-командного управления, используемые вооруженными силами; сети финансовых организаций; системы противовоздушной обороны и управления полетами; жизненно важные инфраструктурные объекты, такие как электрические сети. Это те же объекты, которые бы стали мишенями для иностранной армии в кибервойне на территории США.
В директиве также давались указания другим правительственным министерствам и службам, включая Государственный департамент, ФБР, АНБ, Министерство финансов и Министерство энергетики, о разработке планов ответных действий против «длительной злонамеренной деятельности в киберпространстве, направленной против интересов США» на случай, когда «сетевая защита или методы законного принуждения оказываются недостаточными или не могут быть использованы вовремя». Армии также следует проводить подобные атаки под руководством президента.
Для армейских командиров и гражданских чиновников директива PDD-20 играла роль правил дорожного движения для кибервойны. Она стала ключевым документом, в котором были сформулированы правила ведомственного подчинения, определены сферы ответственности и общие принципы. В ней говорилось, что Соединенные Штаты будут вести кибервойну в соответствии с нормами международного права в период вооруженных конфликтов: удары должны сопровождаться минимальными сопутствующими разрушениями и должны быть соразмерны угрозе или масштабам атаки на Соединенные Штаты. Кроме того, военные должны действовать осторожно, чтобы не повредить и не разрушить те сети, которые соединены с объектом атаки. Вирус или червь, созданные для атаки на электростанцию в Иране, не должен уничтожить станцию в Китае. «Мы не хотим начинать третью мировую войну», – сказала Анна Барон-ДиКамилло, высокопоставленный чиновник в Министерстве внутренней безопасности, которая работала с Министерством обороны над координацией ответных действий на кибератаки в Соединенных Штатах.
Не менее важным было и то, что PDD-20 формировало фундаментальные принципы, на основе которых Соединенные Штаты будут вести войны в будущем: директива повышала статус киберопераций до уровня традиционного сражения и предписывала вооруженным силам совмещать кибервойну «с другими наступательными возможностями США» на суше, в воздухе, на море и в космосе.

 

Военные выделяли три типа киберопераций и, соответственно, три вида подразделений для их проведения.
Первая миссия, для выполнения которой предназначалось самое большое подразделение, состояла в защите и поддержании работоспособности военных сетей по всему миру – начиная от полей сражения в Иране и Афганистане и заканчивая водами Тихого океана, где объединенные силы сухопутных, военно-морских и военно-воздушных войск составляли первую линию атаки в любой потенциально возможной войне с Китаем. Задачей этих «сил киберобороны», как их называли сами военные, было не допустить проникновения иностранных врагов и хакеров в свои военные сети. Попытки вторжения повторяются до нескольких тысяч раз в день, но в основном это автоматическое зондирование, а не реальные атаки, и от них можно отбиться с помощью программ, работающих в автоматическом режиме. Кроме того, Министерство обороны ввело ограничение на количество точек, в которых подведомственные сети подключаются к Интернету. Это помогает укрепить военную оборону. Специальные фильтры сканируют каждую порцию информации, которая проходит через эти точки, и ищут червей, вирусы и другие признаки попыток вторжения, в том числе, трафик, приходящий с интернет-адресов, которые, предположительно, используются иностранными военными или разведывательными службами.
Это касается повседневной защиты. Силы обороны смогут реально зарабатывать звездочки на погоны только в случае полномасштабной войны, когда американский противник достанет свое самое совершенное кибероружие и пустит в дело лучших воинов, чтобы вывести из строя сети оперативно-командного управления или нарушить информацию в этих сетях. Киберудары могут происходить еще до первой перестрелки в качестве прелюдии к более традиционной битве или как часть активной «кинетической» операции. К примеру, в 1990-х гг. во время войны на Балканах американские хакеры проникли в систему противовоздушной обороны Боснии и перепрограммировали контроллеры так, что они перестали правильно определять направление движения приближающегося самолета.
Оборонная миссия осложняется тем, что военные не владеют и не контролируют большую часть своей сетевой инфраструктуры: 99 % электроснабжения и 90 % услуг голосовой связи для нужд военных ведомств обеспечивается частными кабелями, маршрутизаторами и прочими объектами инфраструктуры. Защита военных сетей «не становится легче, так как наши ключевые сети и системы, от которых мы зависим, не находятся под непосредственным контролем министерства обороны», – говорит генерал-майор Джон Дэвис, советник по кибербезопасности в Пентагоне.
Итак, силы киберобороны создали «охотничьи отряды», которые работают совместно с кибершпионами из АНБ и Разведывательного управления МО США над поиском потенциальных угроз в военных сетях. Как рассказал чиновник из Пентагона, имевший дело с подрядчиком по вопросам систем слежения, военные имеют доступ к базе данных, содержащей досье на каждого известного хакера в Китае. В досье указано, какой вид вредоносного ПО хакер предпочитает использовать, какие системы он выбирал в качестве целей атаки и где он, предположительно, работает. В некоторых случаях в досье имеется фотография, полученная оперативными сотрудниками разведки в Китае или приобретенная у частных разведывательных компаний, чьи сотрудники преследуют хакеров в реальном мире. Когда известны личности хакеров, военные могут выстраивать оборону более эффективно, зная предпочтительные для хакеров цели. Кроме того, можно заманить хакера в систему с помощью ложной или вводящей в заблуждение информации, а затем отследить его действия в контролируемой среде. Чем дольше хакер остается внутри системы, пытаясь украсть важные, как ему кажется, документы, тем дольше американская разведка сможет изучать его метод и развивать способы противодействия.
В АНБ есть подразделение, известное как Отдел нарушений. Оно специализируется на подобного рода слежке за хакерами, но делает еще один шаг вперед. Отдел наблюдает, как хакер взламывает компьютерную систему в какой-нибудь другой стране, и потом следует за ним. В 2010 г. при проведении операции под названием «Железный мститель» (Ironavenger) Отдел нарушений обнаружил электронные письма, содержащие вредоносное ПО, которые были отправлены в правительственное ведомство некоего враждебного государства – одного из тех, о котором АНБ хотело бы узнать побольше. При дальнейшем исследовании Отдел обнаружил, что вредоносное ПО пришло от союзника США, разведслужба которого пыталась проникнуть внутрь системы. Американцы позволили своим союзникам сделать всю тяжелую работу и тихо наблюдали, пока те выкачивали пароли и важные правительственные документы из системы противника. Американцы, которые видели все действия своих союзников, тем самым смогли получить некоторую конфиденциальную информацию об их методах шпионажа.
Вторая военная миссия киберподразделений состоит в обеспечении поддержки вооруженных сил во время боя. Этим занимаются кибервоины, сражающиеся вместе с сослуживцами, снабженными обычным, традиционным оружием. Эти отряды участвуют в обороне и в нападении и распределены по всем родам войск. У каждого отряда своя специализация в зависимости от места службы. К примеру, в военно-воздушных войсках киберсолдаты обучаются взлому вражеских систем противовоздушной обороны и управления полетами. В сухопутных войсках больше внимания уделяется наземным операциям: к примеру, проникновению в системы оперативно-командного управления артиллерией.
В отличие от ранних этапов становления кибервойны, теперь для осуществления боевых кибератак больше не требовалось каждый раз получать одобрение президента. В инструкции о целеполагании Объединенного комитета начальников штабов говорится, что большинство решений о том, кого и что атаковать, должно приниматься главой Кибернетического командования США. «Целеполагание в киберпространстве обычно следует процессам и процедурам, которые используются при традиционном определении целей для атаки», утверждается в инструкции. Другими словами, теперь военные считают, что кибероружие не так уж сильно отличается от ракет, бомб и пуль. Военные командиры должны всегда помнить об «уникальной природе киберпространства, отличающейся от обычного реального мира», а именно о вероятности причинения с помощью кибероружия широкого сопутствующего ущерба.
Навыки этих отрядов поддержки избыточны, то есть в будущих войнах «сухопутные» хакеры могут без больших трудностей перескочить в военно-воздушную миссию. Во время иракской войны армейские операторы взламывали сотовые телефоны повстанцев и отправляли им дезинформирующие сообщения, поскольку воевали с повстанцами на поле боя именно сухопутные войска. Однако у кибервоинов из военно-воздушных сил тоже имеются навыки проведения подобного рода дезинформации, и нет никаких причин, которые бы помешали им вступить в игру в случае, когда армейские были бы заняты в других сражениях. Аналогично военно-морской киберсолдат, обученный тому, как взломать навигационную систему вражеской подводной лодки или «поджарить» корабельный радар, может произвести разрушения и в коммерческой телекоммуникационной сети.
Третья главная задача заключается в защите самих Соединенных Штатов, и легла эта задача на так называемые Силы национальной кибернетической миссии. Эти Силы проводят не только оборонные операции. Они будут приведены в действие по приказу президента или министра обороны, если Китай попробует вывести из строя электрическую станцию или Иран попытается изменить базы данных ведущих банков или систем финансовых операций. Члены Сил национальной миссии умеют перенаправлять вредоносный трафик от атакуемого объекта, при необходимости вторгаться в сети или совершать ответные атаки на источник угрозы и уводить его в офлайн. Подчиняются Силы национальной миссии Кибернетическому командованию США, которое связано с АНБ и его хакерским Отделом специализированного доступа. Силы национальной кибернетической миссии – это только малая часть всех военных киберподразделений, где-то около 1 %, хотя точная цифра засекречена.
Пентагон «в полную силу разрабатывает наш метод, с помощью которого службы вольются» в трехуровневую структуру кибернетических сил США, как говорит Дэвис. Начиная с 2011 г. военные проводят регулярные кибервоенные игры на авиабазе Неллис, где проходила ключевая «Военная игра Шрайвера». В каждом из военных боевых командований власти основали объединенный центр управления кибероперациями, организованный в соответствии с географическим регионом. Возглавляют эти центры офицеры в звании генерал-полковника или адмирала. Каждый центр оборудован системами чрезвычайной конференц-связи, поэтому в случае надвигающейся или происходящей кибератаки на Соединенные Штаты военные ведомства, Министерство обороны, разведслужбы и дипломатические представители смогут быть на связи с президентом и Советом национальной безопасности – своего рода кабинетом министров на время кибервойны – и принимать решения об ответных действиях. Есть и свои системы оперативно-командного управления для американских кибератак. Существует даже чрезвычайная линия связи между Вашингтоном и Москвой – кибернетический аналог красного телефона времен холодной войны.
Ключевая инфраструктура для ведения кибервойны создана. Теперь Соединенные Штаты собирают армию.

 

Для создания кибернетических сил военным пришлось сначала отобрать самых лучших бойцов. Для каждого рода войск были разработаны тесты на определение способностей по форме тех, которые используются в крупных корпорациях. Тесты позволяли выяснить, подходит человек для работы по техническому обслуживанию и защите сетей или он может быть привлечен к более редким и сложным наступательным миссиям. Во вспомогательных родах войск началось внедрение базового обучения кибернетической безопасности всех молодых офицеров; в военно-воздушных силах такое обучение уже было обязательным. В пяти академиях военной службы методы ведения кибервойны были введены в учебную программу. Каждый год начиная с 2000-го лучшие хакеры из каждой академии соревновались друг с другом в военной игре, спонсором которой выступало АНБ. Целью соревнований было не просто состязание разных школ, но и проверка их стойкости в противостоянии с лучшими кадровыми кибервоинами.
«Мы создали сеть с нуля, а потом защищали ее от команды из АНБ», – рассказывает Мартин Карлайл, профессор в области компьютерных наук в Академии ВВС США и директор открытого при ней Центра исследований киберпространства. Битва продолжалась два с половиной дня. В 2013 г. академия выставила на соревнования команду из 15 специалистов в компьютерных областях, которая противостояла «красной команде» (так в военной игре назывался агрессор) из АНБ, состоящей почти из 30 участников – военных офицеров, гражданских специалистов и подрядчиков АНБ. Команде агентства не позволялось использовать секретные методы взлома, тем не менее они действовали против курсантов, которых, вероятно, увидят в деле, если когда-нибудь Соединенные Штаты вступят в кибервойну с иностранной армией. «Красная команда» АНБ попыталась проникнуть в сети ВВС и изменить ключевые данные, чтобы курсанты больше не могли быть уверены в их достоверности. Они запустили в сеть известные компьютерные вирусы и попытались установить бэкдоры в системах курсантов.
Команда ВВС выиграла в соревновании 2013 г., и эту победу они одержали второй раз подряд. А всего с момента начала игр в 2001 г. они победили четыре раза.
Будущие специалисты по кибербезопасности ВВС США проходили специальное обучение на авиабазе Кислер, расположенной в северной части побережья Мексиканского залива. Чтобы стать пилотом, нужно закончить летную школу, точно так же и будущие кибервоины должны преодолеть все тяготы подготовки, прежде чем они смогут носить эмблему киберподразделения – пару серебряных крыльев на фоне земного шара, перекрещенных молниями.
Следующий и самый важный этап в обучении киберсолдат – это стажировка на рабочем месте, «когда ваши пальцы на клавиатуре», как говорит генерал-лейтенант Майкл Басла, глава подразделения информационного доминирования и старший офицер по информационным технологиям (CIO) военно-воздушных сил. «Информационное доминирование» включает в себя пропаганду, дезинформацию и компьютерные операции. А CIO – обычно главный технарь в организации, ответственный за поддержание актуальности и работоспособности сетей. В ВВС персонал, обеспечивающий техническое обслуживание сетей, работает вместе со специалистами по их защите, а также с теми людьми, кто проводит наступательные операции. Это одно большое объединение технарей.
Примерно 90 % численности киберподразделений ВВС (а по состоянию на 2013 г. это примерно 12 600 человек) работает на оборону. Они охраняют сети, устраняют уязвимости и стараются следить за изменениями в программном и аппаратном обеспечении, которые создают дополнительные дыры в защите. Менее 1 % киберсолдат ВВС заняты тем, что Басла называет «тонкой» работой по проникновению в компьютерные системы противника.
У этой диспропорции есть две серьезные причины. Во-первых, наступление намного труднее, чем оборона. Методы и средства и для того и для другого во многом одинаковы, но приказать защитнику пойти и взломать вражеский компьютер, находящийся под крайне надежной защитой, это примерно то же самое, как попросить автомеханика, пусть даже талантливого, отремонтировать двигатель реактивного самолета. Он может понимать теоретически, как выполнить такое задание и каковы общие принципы, однако применение этих знаний на практике будет на порядок труднее.
Вторая причина, по которой наступательная часть настолько мала, состоит в том, что военные только недавно сделали ведение кибервойны приоритетной задачей. Защита военных сетей и компьютеров, разросшихся за последние 15 лет, долгое время была частью этой миссии. Сегодня акцент сдвигается, поскольку кибервойна была интегрирована в общую военную доктрину.
Тем не менее если американским кибервойскам когда-нибудь и придется участвовать в войне, то они столкнутся с противником, настолько же хорошо подготовленным и имеющим численное превосходство.

 

В течение более десяти лет действовало несколько групп хакеров из Китая. Кое-что из их первой работы можно было увидеть в 1999 г., когда американские войска непреднамеренно разбомбили китайское посольство в Югославии во время войны в Косово. Негодующие «патриотичные хакеры» взломали сайты Министерства энергетики, Министерства внутренних дел и Службы национальных парков США. Хакеры убрали обычное содержимое сайтов и заменили его антиамериканским посланием: «Протестуйте против фашистских действий США! Протестуйте против зверств НАТО!» Белый дом также подвергся массированной DDOS-атаке, когда подвергшийся атаке сервер не может справиться с входящим трафиком и уходит в офлайн. В целях предосторожности Белый дом на три дня отключил свой сервер.
Сегодня эти группы китайских хакеров, мотивированные собственным чувством национальной гордости и сопротивлением военным действиям иностранного государства, получают приказы от руководителей китайских военных ведомств и разведслужб. Их не призывали под знамена Народно-освободительной армии Китая, которая тайно оказывает им поддержку и одновременно не замечает их существования. Последнее время эта работа состоит по большей части в похищении информации. Китайские хакеры в каждом министерстве и ведомстве федерального правительства проникли в секретные компьютерные системы или подвергли их опасности. Они взломали бессчетное количество баз данных, чтобы выкрасть информацию, представляющую коммерческую тайну. Как и те хакеры, которые в 2007 г. проникли в сети подрядчиков Министерства обороны, эти взломщики искали любую обрывочную информацию, которая дала бы Китаю военное или экономическое преимущество и поспособствовала продвижению глобальной стратегии развития страны.
Китайские хакеры опытны и жестоки. И, кроме того, лишены всяческого стыда. Они гораздо менее предусмотрительны в сокрытии своих следов, чем их американские противники. Отчасти это связано с их уверенностью в том, что американские власти не хотят публичности. Правительство не склонно объявлять о том, что его важнейший торговый партнер и кредитор стал жертвой глобальной шпионской кампании. Кроме того, китайцы рассматривают кибершпионаж и кибервойну как набор тактических приемов, которые помогают им соперничать с более передовыми экономическими, военными и разведывательными организациями. Они не мучаются угрызениями совести, когда взламывают системы конкурентов, поскольку знают, что это одна из немногих возможностей получить некоторое преимущество перед своими оппонентами. У Китая нет «флота голубой воды», способного вести боевые действия в Мировом океане. Но у него есть кибервойска, которые могут нанести ущерб американским объектам, находясь на другом конце света.
Китайские кибервойска, как и аналогичные подразделения в России, создали технологии взлома американских военных самолетов. В частности, китайцы разработали метод внедрения компьютерных вирусов по беспроводной связи в системы трех моделей самолетов, которые ВВС используют для ведения наблюдения и разведки. Атака осуществляется посредством электромагнитных волн и направлена на бортовые системы наблюдения, которые их излучают. Это очень изобретательная тактика и потенциально крайне разрушительная: такой удар может вывести из строя системы управления самолетом, что приведет к его падению.
Однако эти достижения были предсказуемы. Веками китайцы использовали стратегию асимметричного удара и подавляли более крупного противника, атакуя его слабые места обычным оружием. Кибернетический шпионаж и кибервойна – это просто новейшие примеры в долгой, вызывающей у китайцев чувство гордости традиции.
Не совсем верно считать китайских хакеров организованной группой. Они не работают как единый коллектив, и их организация до сих пор остается загадкой – в отличие от американцев, китайцы не разглашают свою кибервоенную иерархию и структуру командования. Тем не менее для выработки методов противодействия американские специалисты по безопасности часто считают хакеров единой структурой, поскольку у них есть нечто общее – национальная гордость, вера в экономический шпионаж как средство национального развития и стратегия асимметричной силы. Эксперты в области безопасности дали китайской киберорде имя – передовая постоянная угроза. «Именно она ответственна за глобальное распространение вредоносного ПО, которое заразило или попыталось заразить каждую значимую компьютерную систему в США», – заявляют американские власти. Любая американская компания, работающая за рубежом и ведущая бизнес с Китаем, или в Китае, или с любым из китайских конкурентов, может быть уверена, что она тоже объект шпионажа. Многие компании даже не догадываются об этом. В среднем, в большинстве компаний проходит по крайней мере месяц, прежде чем они обнаруживают, что в их сетях появился взломщик.
Точное количество китайских киберсолдат неизвестно, но эксперты едины во мнении относительно двух вещей: это количество очень велико и составляет, вероятно, десятки тысяч человек, и, в отличие от США, китайские киберсолдаты ориентированы преимущественно на нападение.
В 2013 г. Джо Стюарт, директор отдела изучения вредоносного ПО в компании Dell SecureWorks, рассказал в интервью для Bloomberg Businessweek, что ему удалось отследить 24 000 интернет-доменов, которые, как он полагает, были арендованы или взломаны китайскими кибершпионами и используются как плацдарм для проведения операций, направленных против властей США и американских компаний. Точное число хакеров трудно посчитать, но Стюарт различает три сотни видов вредоносного ПО и методик взлома, которые использовались китайцами, и, по его оценкам, это в два раза больше, чем было в 2012 г.: «С их стороны было привлечено громадное количество людских ресурсов».
В 2013 г. исследовательская фирма Mandiant, изучавшая вопросы компьютерной безопасности, выпустила революционный отчет, в котором она идентифицировала и установила местоположение предполагаемой хакерской группы, известной как Unit 61398 (китайское военное кодовое название), основанной в Шанхае. Один из их главных центров операций находился в 12-этажном здании общей площадью 130 000 м2, способном вместить 2000 человек. Компания отследила деятельность Unit 61398 с 2006 по 2013 г. и обнаружила, что около 150 организаций стали жертвами взломов, совершенных этой группой. В Mandiant сделали вывод, что эта группа была одной из самых продуктивных в Китае. Другие эксперты по компьютерной безопасности связали деятельность группы с произошедшим в 2012 г. вторжением в сети канадского отделения компании Telvent. Эта компания разрабатывает системы автоматизации технологических процессов, используемые для управления клапанами и вентилями, а также системы безопасности для нефтяных и газовых компаний в Северной Америке. В Telvent подтвердили, что взломщики украли файлы проектов. Хакеры могли их использовать для построения схемы сетей нефтегазовых компаний и поиска их слабых мест.
Группа Unit 61398 вызывала серьезные опасения и была очевидно заинтересована в потенциальных атаках на жизненно важные объекты инфраструктуры. Вместе с тем это была всего лишь одна из 20 хакерских групп, которые удалось отследить специалистам из Mandiant. В целом китайские хакеры по большей части заняты шпионажем. Однако для участников этих групп не представляет труда переключиться в режим кибервойны и начать выводить из строя системы, уничтожать данные или запускать вредоносное ПО на жизненно важных объектах инфраструктуры, таких как электростанции и телекоммуникационные сети. Если численность каждой из этих 20 групп составляет хотя бы половину от численности Unit 61398, тогда китайская передовая постоянная угроза насчитывала бы более 12 000 человек.

 

Соединенные Штаты прошли долгий путь, чтобы сравняться по размерам кибервойск с Китаем. В 2013 г. в отделе специализированного доступа – элитном центре АНБ – работало всего около 300 человек. В штате Киберкомандования США, отвечающего за координацию действий всех военных киберподразделений, было около 900 человек, включая административных сотрудников и офицеров, не занимавшихся активным хакингом. Министерство обороны планирует увеличить численность кибервойск до 6000 человек до конца 2016 г. Если бы сегодня Китай прекратил наращивание своих кибервойск, то и тогда их численность оставалась по крайней мере в пять раз выше американской.
Для расширения кибервойск США командиры планируют переобучить сетевых защитников в солдат. В ВВС, например, большая часть киберкоманды – это специалисты технического сопровождения и системные администраторы – разновидность службы технической поддержки.
Тем не менее эти специалисты – все, чем ВВС располагают на данный момент. Планов по расширению штата киберподразделений нет. Действительно, войска ВВС сегодня имеют наименьшую численность личного состава за всю историю, и в дальнейшем она будет продолжать уменьшаться из-за принятого в 2013 г. решения об обязательном сокращении расходов. Киберкомандование США, которое управляет всеми кибероперациями, тоже планирует выйти из разряда вспомогательного персонала. Власти хотят автоматизировать большинство функций поддержки военной компьютерной инфраструктуры и в идеале высвободить персонал для наступательных операций.
«Мы испытываем недостаток профессионалов, обладающих критически важными навыками», – говорит генерал-майор Джон Дэвис, старший военный советник по кибернетической политике в Пентагоне. Военное ведомство не может платить своему персоналу столько же, сколько платят в коммерческом секторе, где наиболее подготовленные и опытные военные хакеры могут легко зарабатывать в два раза больше, работая на государственных подрядчиков. «ВВС никогда не смогут победить в войне предложений» с частным бизнесом, считает Марк Мейбери, старший научный сотрудник ведомства. То же самое можно сказать и о других родах войск. И для этой проблемы на рынке труда нет очевидного решения. У военных нет такого количества денег, чтобы нанять большее количество киберсолдат. А у конгресса нет большого желания поднять зарплату и в существующих подразделениях.
Военные настаивали на том, что методам ведения кибервойны нужно обучать в колледжах и университетах, аналогично тому, как это делают ВВС. Лишь немногие учебные заведения этим занимаются. Большая же часть относится к компьютерному хакерству как к неприятному, отталкивающему занятию. «Университеты не хотят этого касаться, они не хотят обучать людей ведению подрывной деятельности», – рассказал журналистам Стивен Лафонтен, представитель АНБ, который помогает разрабатывать новые программы обучения. Когда бывшие студенты приходят на службу в агентство, обнаруживается, что они не обучались по стандартам АНБ. «Нам приходится давать им технические знания, которые, как мы полагали, они должны были получить еще в школе, и только потом мы приступаем к обучению специфическим вещам, непосредственно связанным с их миссией», – сказал Лафонтен.
АНБ объединилось с некоторыми университетами, чтобы оказать помощь в написании учебных программ. Студенты, которые хотят обучаться по этим программам, должны пройти проверку биографии и получить право доступа к сверхсекретной информации. Программа обучения на курсе включает посещение секретных семинаров в АНБ. Агентство также поможет некоторым студентам оплатить обучение, чтобы они могли получить степень бакалавра по компьютерным наукам и пройти общий курс по информационной безопасности – агентство даже выдает им ноутбуки и выплачивает ежемесячную стипендию. В обмен на эту помощь после окончания университета студент идет работать в агентство. Большинство таких учебных заведений – а все они очень разные, начиная от Принстонского университета и заканчивая небольшими местными колледжами, которые есть почти в каждом штате – не учат кибернетическим атакам. За эту часть учебной программы отвечает АНБ, которое обучает студентов, когда они приходят туда работать.
Еще до поступления студентов в колледжи, военные не оставляют их без внимания. Ведомство спонсирует компьютерные клубы и соревнования по киберзащите для школьников, такие как программа «Киберпатриот» (CyberPatriot) – общенациональное соревнование для учащихся средних и старших классов школы. Спонсором программы выступают оборонные предприятия, в том числе Northrop Grumman и SAIC, компания, создавшая прообраз RTRG. Партнерами программы являются организации «Бойскауты Америки» (Boy Scouts of America), «Клубы мальчиков и девочек Америки» (Boys & Girls Clubs of America), а также программа подготовки молодых офицеров запаса (Junior ROTC), эскадрильи гражданского воздушного патруля (Civil Air Patrol) и отряды Корпуса военно-морских кадетов США (Naval Sea Cadet Corps). Дэвис называет эти соревнования «возможностью [для молодых людей] внести свой вклад в дело гражданской и экономической безопасности нашей нации».
Тем не менее, чтобы привлечь наиболее талантливых людей, АНБ приходится соперничать с частным бизнесом. Бизнес набирает сотрудников из лучших учебных заведений в области компьютерных наук, в том числе Стэнфордского университета и Университета Карнеги-Меллона. Бизнес отправляет своих представителей на самые важные ежегодные хакерские конференции Black Hat и Def Con, проходящие в Лас-Вегасе. В июле 2012 г. директор АНБ Кит Александер выступил с речью на конференции Def Con, призывая собравшихся там хакеров объединить усилия с его агентством – пойти туда работать или просто сотрудничать с его командой. Многие хакеры работали на компании, занимающиеся компьютерной безопасностью, но были и такие, которые работали фрилансерами. Они зарабатывали тем, что искали дыры в системах безопасности, а потом предупреждали производителей или разработчиков, чтобы те смогли их залатать. Готовясь к выступлению, Александер сменил свою армейскую униформу на джинсы и черную футболку. «Это лучшее в мире сообщество в области кибербезопасности. В этом зале собрались таланты, в которых наша нация нуждается для обеспечения безопасности киберпространства», – сказал он хакерам, многих из которых правоохранительные органы США считают преступниками. «Иногда, ребята, вас ругают, – сказал Александер. – С моей точки зрения, то, что вы делаете, чтобы найти уязвимости в наших системах, – очень здорово. Мы должны находить и устранять их. Именно вы держите оборону».
Однако Александер был не единственным, кто занимался в Лас-Вегасе поиском специалистов. В конференц-зале руководители и сотрудники компаний по обеспечению кибербезопасности раздавали свои брошюры и фирменные футболки. Среди них было и несколько бывших сотрудников АНБ, которых агентство выучило и сделало высококлассными хакерами.
Следующим летом задача по набору новых специалистов, стоявшая перед Александером, еще больше усложнилась. Документы, обнародованные бывшим сотрудником АНБ, раскрыли впечатляющие подробности о тайных попытках агентства вести шпионаж по всему миру. В том числе стало известно о программе, позволявшей агентству собирать записи всех телефонных разговоров в США, и о другой программе по сбору данных, полученных от важнейших мировых технологических компаний, среди которых были Google, Facebook и Apple. Конечно, вовсе не секрет, что АНБ ведет шпионскую деятельность, но масштаб шпионажа удивил даже некоторых хакеров, не говоря уже о простых людях. Def Con аннулировал приглашение Александера и отказал ему в выступлении. Александер появился вместо этого на конференции Black Hat, но и там аудитория его грубо перебивала и не давала говорить.
Назад: 2. RTRG
Дальше: 4. Поле битвы – интернет

лорщшг
лорпд