Книга: Кибервойн@. Пятый театр военных действий
Назад: 5. Враг среди нас
Дальше: 7. Копы становятся шпионами

6. Наемники

Веселые 20–30-летние молодые люди в рубашках поло и джинсах сидят на красных модных креслах Herman Miller перед серебристыми ноутбуками Apple и глянцевыми плоскими мониторами. Кто-то дожевывает корпоративный обед, который им привозят каждую неделю, или еду из полноценной офисной кухни, кто-то строит планы на совместную игру в софтбол этим вечером. Их шикарный офис оформлен в стиле индустриального лофта – свободная планировка, высокие потолки, открытые коммуникации. По всем внешним признакам Endgame Inc. похож на обычный молодой технологический стартап.
Но это далеко не так. Endgame – один из ведущих игроков в глобальном бизнесе кибероружия. Среди прочего компания собирает информацию об уязвимостях нулевого дня и продает ее правительствам и корпорациям, и, судя по ценам, устанавливаемым компанией, бизнес идет неплохо. Из маркетинговых документов можно узнать, что Endgame просит $2,5 млн за годовой подписной пакет, в который входят 25 новых эксплоитов нулевого дня. За $1,5 млн клиенты получают доступ к базе данных, в которой хранится информация о физическом местоположении и интернет-адресах сотен миллионов уязвимых компьютеров, разбросанных по всему миру. Вооружившись такой информацией, клиент компании Endgame может найти уязвимые для атаки места в собственных системах и построить защиту от таких атак. Но в этой базе данных он также найдет информацию о компьютерах, уязвимых для эксплоитов. Содержимое таких компьютеров можно проанализировать для поиска полезной информации, например государственных документов или корпоративных коммерческих секретов, или их можно атаковать с помощью вредоносного ПО. Endgame может выбирать, с кем вести дела, но она не указывает своим клиентам, как использовать продаваемую компанией информацию, и, кроме того, не может воспрепятствовать противозаконным действиям своих клиентов. Точно так же Smith&Wesson не может помешать своим покупателям использовать огнестрельное оружие для совершения преступления.
Основой бизнеса компании Endgame является обработка огромного объема информации об уязвимых компьютерах и слабых местах в компьютерных сетях и представлять эти данные в графическом виде. Для этой цели Endgame использует программный инструмент собственной разработки, который сотрудники называют «Медицинская пила» (Bonesaw) и описывают как «приложение для нахождения киберцелей».
«Bonesaw позволяет построить карту практически всех устройств, подключенных к Интернету, с указанием программного и аппаратного обеспечения, используемого этими устройствами», – рассказал сотрудник Endgame журналистам в 2013 г. Программа показывает, какие системы заражены вирусами и вследствие этого уязвимы для атак.
По словам бывших государственных чиновников и исследователей в области безопасности, АНБ является одним из крупнейших клиентов компании Endgame. Известно, что компания также работает с ЦРУ, Киберкомандованием, британскими разведывательными службами и крупными американскими корпорациями. Endgame располагает четырьмя офисами, один из которых расположен в престижном районе Кларендон в городе Арлингтон. От Пентагона туда можно добраться за десять минут на машине или проехав четыре станции на метро.
Своим клиентам Endgame предлагала данные о компьютерах, используемых некоторыми из крупнейших стратегических оппонентов Соединенных Штатов. В 2010 г. Endgame составила таблицу, на которой были представлены 18 государственных ведомств и крупных государственных компаний Венесуэлы, в которых работали открытые для атаки компьютеры. Среди этих объектов были: водопроводная станция, банк, Министерство обороны, Министерство иностранных дел и Администрация президента. В таблице, которая, по словам компании, представляла собой «не полный список», были указаны интернет-адреса каждой зараженной компьютерной системы, перечислены города, в которых эти системы находились, и названы опасные приложения, которые на этих системах были запущены. Последняя колонка в таблице была обозначена как EGS Vuln. В ней, видимо, отмечалось, были ли приложения уязвимы для атак. Практически напротив каждого из перечисленных компьютеров в этой колонке стояло слово «да».
Endgame разыскивало цели и в России. Внутренняя документация показывает, что компания нашла открытые для атаки компьютеры в Министерстве финансов, а также на нефтеперерабатывающем заводе, в банке и на атомной электрической станции. Кроме того, компания обнаружила ряд объектов в Китае, странах Латинской Америке и Ближнего Востока.
Подобного рода сведения обычно относились к сфере деятельности исключительно государственных разведслужб. Только они имели доступ и владели навыками для розыска уязвимых компьютеров с такой точностью. И только у них была мотивация и средства для приобретения кибероружия, предназначенного для атак на эти системы. Теперь уже нет.
Endgame относится к пока небольшому, но возрастающему числу узкопрофильных компаний-наемников, которые специализируются в области так называемой активной защиты. Активная защита – это эвфемизм, используемый профессионалами информационной безопасности, сбивающее с толку понятие, поскольку подобного рода «защита» подразумевает не только установку сетевых экранов и антивирусов. Под этим понятием скрывается в том числе и проведение упреждающих или ответных ударов. Endgame сама не осуществляет атак, но с помощью информации, которую поставляет компания, ее клиенты могут наносить собственные киберудары. Вообще-то, закон запрещает компаниям проводить кибератаки, но он не запрещает этого государственным агентствам. По словам трех источников, знакомых с бизнесом Endgame, почти все клиенты компании – это американские государственные службы. Тем не менее с 2013 г. руководителям удалось добиться роста коммерческого успеха фирмы и заключить сделки с ведущими технологическими компаниями и банками.
Endgame была основана в 2008 г. Крисом Роуландом, первоклассным хакером, который впервые «попал на радары» Министерства обороны в 1990 г., после того как взломал пентагоновский компьютер. По имеющимся данным, власти Соединенных Штатов отказались от его преследования в обмен на согласие поработать на государство. Он основал Endgame с группой знакомых хакеров, работавших в качестве благонадежных исследователей в компании Internet Security Systems, которую в 2006 г. приобрела IBM за $1,3 млрд. Формально, предполагалось, что они должны защищать компьютеры и сети своих клиентов. Однако полученные ими навыки вполне позволяли работать не только в обороне, но и в наступлении.
Роуланд, по словам его бывших коллег, отличался деспотичным и вспыльчивым характером. Он стал активным сторонником того, чтобы разрешить компаниям самостоятельно проводить контратаки против отдельных людей, групп и даже целых стран, со стороны которых те подвергались кибератакам. «В конце концов, нам необходимо позволить корпорациям в этой стране наносить ответные удары, – заявил Роуланд в своем выступлении на круглом столе, прошедшем в рамках конференции по этике и внешней политике в Нью-Йорке в сентябре 2013 г. – Они теряют миллионы долларов, и я думаю, что мы вынуждены позволить им защищаться самостоятельно, поскольку оказание помощи в этой ситуации со стороны государства – слишком сложная задача». Роуланд выступил выразителем чувства разочарования и неудовлетворенности руководителей многих корпораций, которые стали целью кибершпионов и членов преступных организаций. Пентагон решил обеспечить специальную защиту своим оборонным подрядчикам. Очевидно, что в военном ведомстве больше беспокоились об атаках на жизненно важные объекты инфраструктуры, такие как электрические сети, чем о компаниях, ценность которых для американской экономики была намного меньше.
Ответные действия могли принимать разные формы. Компания могла направить огромный поток сетевого трафика на вредоносный компьютер и таким образом выкинуть его в офлайн. Можно было взломать жесткий диск китайского кибершпиона, найти украденные документы и удалить их. Конечно, после получения доступа к компьютеру шпиона компания могла бы удалить вообще всю хранящуюся на нем информацию, еще и вирус в сеть запустить. Единичный акт самозащиты может быстро превратиться в полномасштабный конфликт. А принимая во внимание поддержку, которой китайские кибершпионы пользуются со стороны китайских же военных, американская фирма в итоге может прийти к тому, что ей придется начать собственную кибервойну против суверенного государства.
Ни компании, ни частные лица не имеют законных прав, позволяющих им взламывать компьютеры в ответ на киберагрессию. Однако нет ничего противозаконного в том, чтобы предлагать продукты и услуги, которые предлагала Endgame. Компания привлекла более $50 млн инвестиций из ведущих венчурных фондов, в числе которых были Bessemer Venture Partners, Kleiner Perkins Caufield&Byers и Paladin Capital. Это огромные деньги для стартапа в области кибербезопасности, особенно специализирующегося в такой сомнительной сфере.
Роуланд ушел с должности генерального директора Endgame в 2012 г. после скандальной публикации внутренних маркетинговых документов компании, выполненной хакерской группой Anonymous. Endgame пыталась замять ситуацию и не допустить упоминания своего имени в СМИ, даже отключила свой сайт. Тем не менее Роуланд снова выступил на конференции с провокационным заявлением, сказав, что американские компании никогда не избавятся от кибератак, если только не начнут наносить ответные удары. При этом Роуланд отметил, что высказывает исключительно свое личное мнение: «На сегодняшний день в киберпространстве отсутствует концепция сдерживания. Это глобальная зона свободного огня». Один из участников дискуссии согласился с Роуландом. Роберт Кларк, профессор права в Морском академическом центре изучения кибербезопасности, рассказал аудитории, что если компания, подвергшаяся взлому, сама осуществит внедрение в компьютер вора и удалит украденную у нее информацию, то это будет нарушением закона. «Это самая глупая вещь, которую только можно придумать, – сказал Кларк. – Это мои данные, они здесь, и мне должно быть позволено удалить их».

 

Спустя несколько месяцев после появления Роуланда в Нью-Йорке Endgame утвердила нового генерального директора. Им стал 35-летний Натаниэль Фик, бывший капитан морской пехоты, прошедший службу в Ираке и Афганистане. После ухода из армии он получил диплом MBA в Гарвардской бизнес-школе и участвовал в работе известного научного центра в Нью-Йорке. Фик написал книгу воспоминаний о своем боевом опыте, а кроме того, стал героем книги «Поколение убийц» (Generation Kill), по которой телеканал HBO снял мини-сериал.
По словам двух источников, которые знают Фика лично и знакомы с бизнес-стратегией компании Endgame, новый гендиректор стремился снять компанию с иглы разведывательных контрактов и отойти от бизнеса, связанного с уязвимостями нулевого дня. Он считал это направление слишком сомнительным и крайне нерентабельным из-за того, что приходилось тратить сотни тысяч долларов на покупку одного-единственного эксплоита. Прибыль от торговли кибероружием была слишком низкой.
Однако уйти из этого бизнеса было не так-то просто. Инвесторы компании Endgame были неразрывно связаны с ее государственными заказчиками, которые располагали значительными финансовыми ресурсами и планировали потратить миллиарды долларов в течение ближайших нескольких лет на кибернетические оборону и атаки. Консультативный совет Endgame давно работал со столь выгодной клиентской базой. У компании были связи с отставным высокопоставленным чиновником из Пентагона, занимавшим в разное время влиятельные управленческие должности в области технологий. Также компания была связана с менеджером Отдела управленческих информационных систем в ЦРУ. Председатель совета директоров Endgame занимал должность генерального директора компании In-Q-Tel – подразделения ЦРУ, управлявшего венчурными капиталами, а один из членов совета директоров раньше работал директором АНБ.
Однако, как отметил Фик в своем интервью вскоре после назначения, состоявшегося в 2012 г., время огромных военных расходов, начавшееся после терактов 11 сентября, подходило к концу. США сворачивали свое военное присутствие в Ираке и Афганистане. Приближался период строгой экономии, а в конгрессе все чаще были слышны призывы к сбалансированному бюджету и снижению государственных расходов. «Оборонный бюджет окажется под давлением, впрочем, так и должно быть, – говорил Фик. – Во многих случаях избыточность и неумеренность в расходах последнего десятилетия не могут продолжаться долго, такое положение совершенно нежизнеспособно». Однако он добавил: «Я думаю, что некоторые направления будут расти и дальше».
Этот рост наблюдается в частном секторе. Двое знакомых с Фиком людей рассказали, что компания Google стала одним из крупнейших покупателей пакетов уязвимостей нулевого дня, распространяемых компанией Endgame. Если бы Google нанесла ответный удар по тем, кто пытался похитить ее интеллектуальную собственность, это было бы нарушением закона. Однако Google была одной из самых заметных и, несомненно, самых влиятельных компаний, которые настоятельно призывали конгресс и Администрацию президента Обамы осудить Китай за кибершпионаж и предпринять дипломатические шаги, если страна сама не может обуздать своих хакеров. Google начала делиться с АНБ информацией об атаках на свои сети, после того как компания стала объектом масштабной шпионской операции Китая, результатом которой стало похищение интеллектуальной собственности.
Роуланд был не единственным сотрудником Endgame, который заявлял, что у компаний должно быть право защищаться в тех случаях, когда государство не может или не хочет обеспечить помощь. Партнер одного из ключевых инвесторов Endgame выступил в защиту этой идеи после публикации хакерами из группы Anonymous презентации компании, в которой рассказывалось, как ее клиенты могут использовать кластеры, состоящие из зараженных компьютеров – так называемые ботнеты, – для атак на сайты или похищения паролей и другой конфиденциальной информации. «Если вы считаете, что в будущем войны будут вестись в киберпространстве, разве вам не хотелось бы иметь в своем распоряжении киберармию? – сказал член совета директоров Endgame Тед Шлейн корреспонденту Reuters.

 

Большинство частных компаний, работающих в области кибербезопасности, прилагают максимум усилий, чтобы подчеркнуть тот факт, что они не проводят «ответных взломов», то есть не влезают в компьютер взломщика, поскольку в США это незаконно. Однако компании следят за взломщиками, которые забрались в их клиентские сети. Один из известных игроков в этом бизнесе, CrowdStrike, завлекает шпионов с помощью хост-ловушек. Компания может заманивать хакеров в фальшивые клиентские сети, которые на самом деле представляют собой стерильную зону, закрытую для любых рабочих и важных клиентских компьютеров. Смысл заключается в том, чтобы выиграть время для наблюдения за взломщиками и определить, что их интересует прежде всего: ищут ли они, например, технические схемы и чертежи или хотят узнать детали ведущихся переговоров. После этого нужно заставить хакеров показать, какими инструментами и методами они пользуются для кражи информации. Компания может защитить свои фиктивные документы с помощью особенно сложного пароля в надежде, что хакер воспользуется новым способом взлома. Как только клиент понял, каким инструментарием располагает взломщик, CrowdStrike сможет предсказать, каким образом грабитель попытается влезть в другие системы в будущем. Если клиент хочет выбить взломщика из колеи, перехитрить его, он может внедрить недостоверную или вводящую в заблуждение информацию в те свои документы, которые хакер примет за описание бизнес-стратегии или за планы по выпуску новой продукции.
CrowdStrike также анализирует системы жертв взломщика, чтобы понять, какие именно технологические отрасли или виды технологий его интересуют. Затем компания составляет досье. В некоторых случаях хакеру даже дают имя. Больше года аналитики CrowdStrike отслеживали действия одного противника, которого назвали Anchor Panda, шпионившего за компаниями, связанными с созданием спутников, аэрокосмической отраслью и оборонными контрактами, а также интересовавшегося программами космических исследований иностранных государств. Вооруженные специфической информацией о том, что из себя представляет хакер и какие методы взлома он использует, каков его почерк, клиенты CrowdStrike теоретически могут предпринимать целенаправленные защитные действия. Можно провести аналогию с рассылкой по всем полицейским участкам ориентировки на беглеца, в которой приведено точное описание его внешности и манеры поведения. Это будет намного эффективнее, чем просто призывать граждан быть осторожнее и внимательнее к подозрительным людям.
Эта деятельность очень напоминает работу правоохранительных органов. И это неудивительно, поскольку двое руководителей CrowdStrike – бывшие агенты ФБР. Шон Генри, генеральный директор CrowdStrike Services, подразделения компании, которое выслеживает и идентифицирует взломщиков, отслужил в бюро 24 года. Он уволился из ФБР в 2012 г., будучи старшим офицером, который отвечал за все международные киберпрограммы и расследования. Кстати, бывший заместитель директора киберподразделения ФБР теперь работает в компании главным консультантом. По словам Генри, CrowdStrike отличается от других компаний по кибербезопасности тем, что «когда мы реагируем на происшествие, мы по-настоящему охотимся за противником». Он говорит, что компания применяет методы компьютерной криминалистики и обратной разработки вредоносного ПО, чтобы понять тактику хакеров, методы их работы и мотивацию. Он осторожно обходит стороной все вопросы, связанные с вторжением в компьютеры противников компании, – агент ФБР в прошлом, он сам годами преследовал людей за нарушение антихакерских законов. Однако слово «охотимся» указывает на более агрессивную форму анализа, которую допускает компания, в отличие от других фирм, работающих в этой области. CrowdStrike устанавливает специальную аппаратуру в сетях своих клиентов и привлекает добровольцев для сбора большего объема информации о методах взломах, как только случается хакерская атака, вместо того, чтобы собирать улики уже после завершения атаки. Компания использует полученные данные, чтобы определить принадлежность хакера к определенной группе или стране. Это одна из самых сложных проблем киберкриминалистики, поскольку опытные хакеры, как правило, стараются скрыть свое физическое местоположение, используя для проведения атак зараженные компьютеры, находящиеся в других странах. CrowdStrike обещает сообщать своим клиентам не только о том, как они были атакованы, на также о том, кем и зачем. В первую очередь компания концентрирует свое внимание на шпионах и хакерах, работающих на другие государства, в том числе Иран, Китай и Россию. (Аналитики из группы «стратегической разведки» читают на трех языках: китайском, фарси и русском.) В своих маркетинговых материалах CrowdStrike многократно повторяет, что использует методы сбора разведданных для идентификации взломщиков и передает информацию о них своим клиентам.
Данная методика тоже взята из арсенала ФБР. Бюро устраивало облавы на хакеров, самые известные из которых были членами группы Anonymous, следя за тем, как они воруют данные у компаний и частных лиц. Эта информация становилась основанием для уголовного преследования. Однако CrowdStrike и ее клиенты не всегда доводят дело до суда. И именно в этой бизнес-модели компании кроется агрессивность.
Особенность, которая отличает CrowdStrike от конкурентов, заключается, по словам Генри, в «способности компании атаковать».
«Речь не идет о встречных хакерских атаках, направленных на самих хакеров, – говорит Генри, отметая любые намеки на то, что компания переступает черту и нарушает закон. – Мы говорим об обеспечении клиента определенными возможностями для создания и организации в его сети враждебной рабочей среды». Руководители CrowdStrike знают, что одним из способов создания подобного враждебного окружения, которым пользуются некоторые компании, является внедрение вредоносного ПО в ловушках, разбросанных ими по своим сетям. Когда злоумышленник скачивает документ или файл на собственный компьютер и пытается его открыть, в его систему запускается вирус. Он может уничтожить данные на жестком диске или установить шпионское ПО или бэкдор для того, чтобы открыть жертве взлома доступ к его компьютеру. CrowdStrike заявляет, что она не использует подобного рода ухищрения для заражения компьютеров. Тем не менее в 2013 г. сооснователь CrowdStrike Дмитрий Альперович в своем интервью рассказал, что он получил одобрение на подобные действия со стороны властей Грузии. В результате российского хакера хитростью вынудили скачать шпионское ПО, которое позволило удаленно его сфотографировать с помощью собственной веб-камеры. Эта фотография была опубликована в официальном отчете. «Частные компании должны получить право на подобного рода действия», – сказал Альперович.
В феврале 2014 г. компания Target сообщила о хищении номеров кредитных банковских карт более чем 100 млн покупателей. После этого CrowdStrike опубликовала обучающий онлайн-семинар на тему борьбы с киберпреступностью. «Не будь мишенью!» – говорилось в рекламе, которую компания разослала по электронной почте своим потенциальным клиентам. Предлагаемый курс должен был научить компании, «как использовать упреждающий подход для защиты своих сетей», и показать им, «как можно использовать информацию об угрозах для того, чтобы быть готовым к любой неожиданности». Может быть, CrowdStrike и не проводило встречных хакерских атак. Но предупреждения, которые компания отправляла своим клиентам, и услуги, которые она рекламировала, подразумевают, что клиенты в конце концов могут получить все необходимые навыки на случай, если они решат нанести ответный удар самостоятельно.

 

Определение местоположения противника – это огромный шаг вперед по сравнению с простым наблюдением за его перемещениями с технической и юридической точки зрения. Однако и здесь существует свой рынок, на котором кибернаемники создают и продают шпионское ПО и хакерские инструменты, по сложности не уступающие государственным разработкам США двух – трехлетней давности. Растущие мощности распределенных вычислительных систем, таких как облачные службы, дают возможность все большему числу небольших групп создавать все более сложное программное обеспечение. И вскоре маленькие компании смогут создавать масштабные и мощные образцы кибероружия, которые до недавнего времени были доступны исключительно государственным властям. Уже сейчас наемники оказывают заметную помощь чиновникам в деле запугивания и подавления активистов и диссидентов. Устройства, разработанные наемниками, относятся к самым устрашающим и опасным во всем киберпространстве.
Фирма Gamma, расположенная в Великобритании, согласно маркетинговым документам компании, продает шпионское ПО под названием FinFisher, которое прячется внутри «фальшивых обновлений для популярных программ». Шпионская программа может получить полную власть над компьютером, скопировать файлы и записать каждое слово, набранное пользователем. Она маскируется под обновление для популярной программы iTunes. Пользователи запускают обновление, полагая, что получают новейшую версию музыкальной программы, а на самом деле они устанавливают на свои компьютеры FinFisher. Египетские демократические активисты обвинили компанию в поставке шпионской программы режиму президента Хосни Мубарака, хотя компания отвергла эти обвинения. Мубарак отдал приказ на силовой разгон гражданских акций в Египте в 2011 г. незадолго до того, как его окончательно отстранили от власти. Исследователи в области безопасности также заявляют, что копии программы FinFisher были найдены в электронных письмах, отправленных на адреса демократических активистов в Бахрейне.
Кибершпионы и наемные хакеры открыто предлагают свои услуги правоохранительным органам и разведывательным агентствам. Итальянская компания Hacking Team, работающая в Милане, предлагает «полный контроль над интересующими объектами», обеспечиваемый с помощью «невидимых» методов, которые «не поддаются обнаружению и не оставляют следов».
«Одержи победу над шифрованием! – говорится в одной из презентаций на сайте компании, копирующей язык АНБ. – Тысячи зашифрованных онлайн-коммуникаций в день. Получи к ним доступ». В 2011 г. компания открыла офис в Аннаполисе, чтобы работать с американскими клиентами.
Hacking Team открыто говорит о своем бизнесе. «Иногда важная информация спрятана внутри устройства и привязана к нему, никогда не передается вовне и хранится под надежной защитой… до тех пор, пока вы не проникните прямо в это устройство», – говорится в брошюре, описывающей один из шпионских продуктов компании – программу «Система удаленного управления» (Remote Control System).
«Вопрос в том, существует ли простая возможность взломать устройство?… Вам нужно только найти способ обойти шифрование, собрать и извлечь значимую информацию с устройства и продолжать следить за вашими целевыми объектами, где бы они не находились, даже за пределами области мониторинга. Remote Control System именно это и делает. Получите управление над вашими объектами наблюдения и следите за ними, несмотря на шифрование и мобильность… Взломайте интересующие вас цели с помощью самого передового инфицирующего ПО. Войдите в беспроводную сеть и проводите тактические операции с помощью специального оборудования, спроектированного для мобильной работы. Следите за всеми своими объектами и управляйте ими удаленно, все на одном экране».
По имеющейся информации, программа может включать камеру и микрофон ноутбука, превращая компьютер в устройство для визуального наблюдения.
Только в самом конце брошюры компания Hacking Team упоминает, что ее продукт предназначен исключительно для «санкционированной властями прослушки». (Компания была основана двумя хакерами, которые создали шпионскую программу по заказу местной итальянской полиции.) Hacking Team заявляет, что продает свой продукт только государственным правоохранительным органам и разведслужбам, а также не осуществляет поставки в «страны, внесенные в черный список» Соединенными Штатами, Европейским союзом, НАТО или членами Ассоциации государств Юго-Восточной Азии (АСЕАН). Кроме того, компания обещает проводить анализ каждого потенциального клиента, чтобы убедиться, что технология не будет «использована для нарушения прав человека».
Однако в октябре 2012 г. исследователи из Citizen Lab Университета Торонто сообщили, что программа Remote Control System компании Hacker Team была использована для заражения компьютера известного демократического активиста из Объединенных Арабских Эмиратов Ахмеда Мансура – 44-летнего инженера-электрика, который был заключен в тюрьму за подписание онлайн-петиции, призывающей к открытым выборам в стране, управляемой наследными монархами. Мансур проявил неосторожность и загрузил шпионскую программу, которая была спрятана в «обычном» электронном письме. Шпионское ПО проделало брешь в защите его персонального компьютера, анализировало его файлы и записывало все, что Мансур набирал на клавиатуре. Он заметил, что его компьютер стал медленно работать, а узнав, что программа FinFisher была использована против активистов в Бахрейне, связался с исследователями по вопросам информационной безопасности, которые подтвердили, что его компьютер был взломан. Шпионское ПО было настолько совершенным, что, даже когда Мансур изменил свой пароль электронной почты, невидимый взломщик по-прежнему мог читать его переписку. Злоумышленник имел полный контроль над компьютером, отслеживал все онлайн-коммуникации Мансура и его связи с другими активистами. Удалось выяснить, что взлом был осуществлен с интернет-адреса в Объединенных Арабских Эмиратах.
Через месяц после того, как специалист помог Мансуру очистить компьютер от вредоносного ПО, на Мансура было совершено нападение на улице. Нападавший знал имя Мансура, и Мансур подозревал, что его могли выследить через мобильный телефон. Он несильно пострадал в драке. Менее чем через неделю на Мансура снова напали. Уже другой человек снова нанес ему несколько ударов по голове. Мансур пережил и это нападение.
По мнению исследователей, Мансур был не единственным активистом, компьютер которого был заражен шпионским ПО компании Hacking Team. Он был одним из многих активистов, против которых применялись коммерческие шпионские программы во время бурных событий, происходивших на территории Северной Африки и Ближнего Востока. Нет никаких доказательств того, что Hacking Team знала или была каким-то образом вовлечена в нападения на Мансура. Компания просит предоставить документальные доказательства того, что ее продукт был использован противозаконным способом. Компания уверяет, что очень тщательно следит за соблюдением закона.
Режим соблюдения законности отслеживается компанией самостоятельно. И в этом смысле она не одинока. Не существует никакого международного органа или закона, которые бы обеспечивали продажу шпионского ПО и хакерских инструментов только для законного использования и только тем государствам, которые не нарушают права граждан и не подавляют активистов. Также не существует никаких процедур контроля за распространением кибероружия, подобного Stuxnet. Политические власти США, России, Китая и других стран в последние годы публично поднимали проблему отсутствия законодательства о кибероружии, но ни одна страна до сих пор не подготовилась к принятию соглашения, которое могло бы удержать ее от создания нового поколения вооружений. Кроме того, не существует какого-то ясного и очевидного пути для ввода в действие соглашения о кибероружии. На предприятиях по обогащению ядерного топлива можно провести инспекцию. Танки, корабли, самолеты видны на большом расстоянии. Кибероружие создается на компьютере, и его практически невозможно увидеть, пока им кто-либо не воспользуется.

 

События «арабской весны» сопровождались обвинениями в адрес компаний, работающих в области кибербезопасности, в том, что они сотрудничают с властями. Впрочем, это было не в первый раз. Осенью 2010 г., примерно в то время, когда сайт WikiLeaks готовил публикацию потенциально компрометирующей информации о Bank of America, содержащей в том числе внутренние отчеты и документы, чиновники из Министерства юстиции США связались с юристами банка и рекомендовали им начать сотрудничество с юридической фирмой из Вашингтона Hunton & Williams. Эта фирма объединила три небольших технологических компании для запуска своего рода пропагандистской кибероперации, направленной против оппонентов Торговой палаты США – ведущего лоббиста бизнес-интересов в Вашингтоне. Группа планировала прочесать сайты и социальные сети и с помощью методов анализа больших объемов данных составить досье на оппонентов Палаты. Компания Hunton & Williams обратилась к группе, работавшей под именем Team Themis, с просьбой проделать то же самое против людей, поддерживающих WikiLeaks. Кроме того, группу Team Themis попросили определить, где организация хранит секретную информацию, полученную из анонимных источников.
«Очевидно, если они смогут показать, что WikiLeaks хранит данные в определенных странах, судебное преследование этой организации станет проще», – написал в электронном письме своим коллегам один из членов группы. Чиновники Министерства юстиции искали информацию, которую можно было бы использовать для дискредитации основателя WikiLeaks Джулиана Ассанжа, который опубликовал секретные отчеты военной разведки и телеграммы Госдепартамента. Теперь федералы хотели поручить часть своего расследования внешнему исполнителю и для этого свели Bank of America с группой Team Themis, получившей свое имя в честь героя греческой мифологии Титана. Титан олицетворял «божественный закон» как противопоставление закону человеческому.
В группу Team Themis входила компания Palantir Technologies, стартап из Кремниевой долины, которая быстро свела дружбу с такими тяжеловесами национальной безопасности, как Ричард Перл, бывший глава Совета по оборонной политике и влиятельный политик-республиканец, а также Джордж Тенет, в прошлом директор ЦРУ, ушедший работать к Херберту Аллену. Аллен был инвестором компании Palantir и главой таинственного инвестиционного банка Allen & Company, который проводил ежегодную конференцию Sun Valley Conference, собиравшую вместе известных журналистов, спортсменов и бизнесменов. Также компания Palantir получила начальные инвестиции от венчурного фонда ЦРУ In-Q-Tel, нынешний глава которого является председателем директоров компании Endgame.
Кроме Palantir в группу Team Themis входили еще две фирмы, занимающиеся вопросами кибербезопасности – HBGary Federal, генеральный директор которой безуспешно пытался организовать совместные операции с АНБ, и Berico Technologies, в которой работал ветеран войны в Ираке, имевший опыт применения кибероружия в полевых условиях. Судя по разработанному группой предложению, Team Themis планировала создать аналитическую ячейку, которая бы снабжала юридическую фирму информацией об «оппонирующих организациях и вызывающих интерес сетях». Гендиректор HBGray Аарон Барр сказал, что команда должна собирать информацию об «участниках и добровольцах из разных стран мира», поддерживающих WikiLeaks, а также о спонсорах организации с целью их последующего запугивания. «Нужно дать людям понять, что если они поддерживают эту организацию, то мы будем их преследовать», – написал Барр в электронном письме. Он предложил отправлять в WikiLeaks фальшивые документы с расчетом на то, что сайт их опубликует и таким образом дискредитирует себя. Барр также рекомендовал взять на прицел «людей вроде Гленна Гринуолда», блогера и активного сторонника WikiLeaks. Он сказал, что хотел начать «кибератаки» на серверы WikiLeaks, расположенные в Швеции, чтобы «получить данные» об анонимных источниках организации и раскрыть их.
Team Themis так и не выпал шанс начать свою шпионскую и пропагандистскую кампанию. В феврале 2012 г. в одной из статей Financial Times была приведена цитата Барра, где он заявлял, что сможет проникнуть во внутреннюю структуру хакерской группы Anonymous. Хакеры ответили тем, что взломали электронную почту Барра и опубликовали письма за весь прошедший год, в том числе предложения и переписку, касавшиеся Team Themis. Барр покинул компанию, сказав журналистам: «Я хочу уделять больше времени своей семье и заняться восстановлением своей репутации». Компания Berico по-прежнему в деле. Она продает услуги по анализу данных и геолокационное ПО государственным организациям. Palantir является одной из самых быстро растущих технологических компаний в области национальной безопасности, а среди ее клиентов можно найти ЦРУ, Командование специальных операций и Корпус морской пехоты США. Все они используют разработанное компанией ПО для выслеживания террористов, так же как и Разведывательное управление Министерства обороны США, Национальный антитеррористический центр, Министерство внутренней безопасности и ФБР. Кит Александер, бывший директор АНБ, сказал, что Palantir может помочь агентству «увидеть» хакеров и шпионов в киберпространстве и что АНБ оценило программный продукт, предлагаемый компанией. Клиентами Palantir являются также департаменты полиции Лос-Анджелеса и Нью-Йорка. В этих департаментах созданы разведывательное и антитеррористическое подразделения, по мнению многих экспертов, более опытные и продвинутые, чем ФБР и ЦРУ.
Хотя группа Team Themis потерпела неудачу, американские власти обратились к другим частным кибершпионам для ведения слежки за WikiLeaks и оказания помощи в других расследованиях. Компания Tiversa, расположенная в Питсбурге, попала в газетные заголовки в 2011 г., когда обвинила WikiLeaks в использовании пиринговой (децентрализованной) файлообменной системы (вроде тех, которые используются для скачивания музыки) для получения секретных военных документов. WikiLeaks, которая заявляла, что публикует только документы, полученные от своих информаторов, назвала эти обвинения «абсолютно ложными». Tiversa передала свои находки государственным следователям, которые попытались построить судебное дело против Ассанжа. В консультативный совет компании Tiversa входили известные эксперты в области информационной безопасности и бывшие американские госчиновники, такие как генерал Уэсли Кларк, бывший глава Высшего штаба союзных государств Европы и бывший кандидат в президенты от Демократической партии, и Говард Шмидт, который был советником Барака Обамы по вопросам кибербезопасности.
Tiversa обнаружила массив секретных и крайне важных государственных документов, гуляющий по файлообменным сетям, и, возможно, это оказало добрую услугу. Компании и государственные службы, поставленные в неудобное положение из-за утечки информации, получили стимул для повышения мер собственной безопасности и усиления работы по защите ключевой и секретной информации. Tiversa объявила, что ее аналитики нашли чертежи президентского вертолета Marine One на компьютере, находящемся в Иране. Один из сотрудников оборонного предприятия в городе Бетесда (штат Мэриленд), возможно, пользовался файлообменной системой, а в итоге пользователь из Ирана получил доступ к жесткому диску его компьютера. В 2009 г. Tiversa рассказала комитету при конгрессе, что в результате расследования были обнаружены: документ, раскрывающий местоположение конспиративной квартиры, которая используется Секретной службой для обеспечения безопасности Первой леди во время чрезвычайной ситуации; электронные таблицы, содержащие персональные данные тысяч американских военнослужащих; документы, указывающие местоположение ядерных объектов; персональная медицинская информация тысяч частных лиц, в том числе данные о медицинской страховке и платежных документах, а также результаты диагностических процедур.
Однако, указав на слабые места в информационной защите, Triversa вызвала разногласия и конфликты. В 2013 г. компания из Атланты LabMD, занимающаяся диагностикой рака, подала жалобу, в которой обвиняла Tiversa в краже с помощью пиринговых сетей информации о пациентах как у самой LabMD, так и у других медицинский компаний. После того как в результате утечки информация о пациентах якобы была раскрыта, Федеральной торговой комиссией было проведено расследование в отношении LabMD. Компания заявила, что власти наняли Tiversa для того, чтобы получить документы без согласия и информирования LabMD. Согласно судебным документам, Triversa нашла информацию о пациентах LabMD в пиринговой сети, а затем якобы неоднократно звонила и отправляла электронные письма в эту медицинскую компанию, пытаясь продать свои услуги по обеспечению кибербезопасности. Иск LabMD впоследствии был отозван или отклонен, и Traversa подала встречный иск за клевету.

 

В киберпространстве нет четких границ. Тем не менее география играет весомую роль в том, насколько далеко кибернаемники готовы зайти, чтобы решить проблемы своих клиентов. Из-за того, что в странах Европы антихакерские законы не исполняются или вообще отсутствуют, некоторые европейские фирмы гораздо легче относятся к ответным хакерским атакам. Одним из рассадников хакеров и онлайн-аферистов, готовых за вознаграждение распространять вредоносное ПО, является Румыния. Теневой рынок уязвимостей нулевого дня – еще одно место, где можно нанять хакеров. Онлайн-рынок «Шелковый путь» (Silk Road), доступ в который был открыт через анонимную систему маршрутизации Tor, предоставлял площадку поставщикам хакерских услуг до тех пор, пока федеральные власти не закрыли его в 2013 г.
На сегодняшний день ни одна американская компания не пожелала заявить о том, что она осуществляет агрессивные кибероперации, направленные на похищение информации или уничтожение электронных систем противника. Однако бывшие сотрудники разведки говорят, что ответные хакерские атаки случаются, пусть они и не афишируются. «Такие атаки незаконны, но они происходят, – говорит бывший высокопоставленный сотрудник АНБ, который теперь работает корпоративным консультантом. – Это происходит при очень серьезной поддержке юристов. Правда, я бы не посоветовал клиенту этим заниматься».
Бывший офицер военной разведки говорит, что наиболее активные хакерские контратаки осуществляются в банковской сфере. За последние несколько лет банки потеряли миллиарды долларов из-за киберпреступников в основном из Восточной Европы и России, которые используют передовое вредоносное ПО, чтобы похитить учетные данные клиентов, а затем обчистить их банковские счета.
В июне 2013 г. корпорация Microsoft объединила усилия с некоторыми крупнейшими финансовыми организациями мира, среди которых были Bank of America, American Express, JPMorgan Chase, Citigroup, Wells Fargo, Credit Suisse, HSBC, Royal Bank of Canada и PayPal, чтобы обезвредить огромный кластер взломанных компьютеров, используемых для совершения киберпреступлений. Их целью была печально известная группа Citadel. Группа заразила тысячи машин по всему миру и рекрутировала их втайне от хозяев в армию ботнетов, которую преступники используют для похищения учетных данных, а следовательно, и денег у миллионов людей. В процессе контратаки, которой в Microsoft дали кодовое название «Операция b54» (Operation b54), Отдел цифровых преступлений компании разорвал линии связи между более чем четырнадцатью сотнями ботнетов группы Citadel и примерно пятью миллионами персональных компьютеров, которые Citadel заразила вредоносным ПО. Кроме того, Microsoft получила контроль над серверами, которые Citadel использовала для проведения своих операций.
Microsoft взломала Citadel. Эта операция была бы незаконной, если бы компания не получила судебное разрешение на ее проведение. Фактически Microsoft получила контроль над компьютерами, ставшими жертвами группы Citadel, причем хозяева этих компьютеров могли об этом даже не догадываться. Теперь компания могла предупредить владельцев зараженных компьютеров о необходимости установки пакетов исправлений для их уязвимого программного обеспечения. В сущности, Microsoft взломала компьютеры пользователей, чтобы спасти их. (И спасти саму себя, поскольку машины были заражены в первую очередь благодаря наличию ошибок и уязвимостей в продуктах Microsoft, которые, вероятно, подвергаются атакам чаще всего в мире.)
Эта операция стала первым случаем сотрудничества Microsoft и ФБР. Хотя разгромом ботнетов компания занимается с 2010 г., и это был уже седьмой ботнет, который пал жертвой Microsoft. Юристы компании применили новые правовые основания, в том числе обвинение преступников, взламывавших продукты Microsoft, в незаконном использовании товарного знака компании. Это был новый юридический рубеж. Даже юристы Microsoft, среди которых числился бывший федеральный прокурор США, признали, что они никогда не рассматривали возможность использования сомнительных методов, нарушающих действующее законодательство, для получения разрешения на проведение кибератаки. При подготовке к «Операции b54» Microsoft и банковские организации на протяжении шести месяцев следили за группой Citadel, прежде чем обратиться в ФБР. В конце концов шпионам из антихакерской группы Microsoft в сопровождении Службы маршалов США пришлось собирать киберкриминалистические свидетельства в двух дата-центрах, оказывающих услуги интернет-хостинга, – в Пенсильвании и Нью-Джерси – для получения разрешения на атаку сети ботнетов группы Citadel. Военные назвали бы эту подготовку сбором информации о целевом объекте. По многим признакам «Операция b54» напоминала военную кибероперацию. С технической стороны она не слишком отличалась от атаки американских кибервойск на сеть Obelisk, которую члены «Аль-Каиды» использовали в Ираке.
Microsoft сотрудничала с правоохранительными органами в 80 странах мира для нанесения удара по группе Citadel. Глава Отдела по расследованию киберпреступлений Европола, правоохранительной организации Европейского союза, заявил, что «Операция b54» успешно выбила Citadel почти с каждого зараженного этой группой компьютера. А юрист Отдела цифровых преступлений компании Microsoft сказал: «Плохие парни получили удар под дых».
Microsoft продолжает свои атаки на ботнеты, и ее успех вдохновляет государственных чиновников и руководителей корпораций, которые убеждаются, что сотрудничество между полицией и корпоративными хакерами может быть жизнеспособным методом борьбы с киберпреступностью. Однако слаженные контрудары, подобные атаке на группу Citadel, требуют времени для согласования и планирования, а также целые команды юристов для получения разрешения на их проведение. Но что случится, если компания не захочет полгода ждать, чтобы получить разрешение на ответную хакерскую атаку, или если за ее плечами не окажется офицера федеральной правоохранительной организации?
Отставной офицер военной разведки беспокоится, что относительная техническая простота хакерских контрударов будет способствовать тому, что организации, и прежде всего банки, откажутся от сотрудничества с компаниями вроде Microsoft и будут самостоятельно предпринимать ответные действия, не спрашивая на то разрешения суда. «У банковских организаций разыгрался аппетит к ответным ударам, поскольку они устали от полумер, – сказал он. – Мы начинаем осознавать, что индустрия не готова принимать на себя подобные риски. И если правительство не может или не хочет принять необходимых мер, единственным логичным выходом остается предпринять их самостоятельно». Он говорит, что хакерские контратаки не будут прерогативой исключительно крупных корпораций. «Если вы знаменитость, разве вы не заплатите кому-то, чтобы найти источник, который собирается опубликовать некоторые ваши пикантные фотографии? Да, конечно, найдете, черт возьми!»

 

Несомненно, они найдут талантливых хакеров, готовых сделать эту работу. По результатам опроса, проведенного в 2012 г. на конференции Back Hat USA в Лас-Вегасе, в котором принял участие 181 респондент, стало известно, что 36 % «профессионалов в области информационной безопасности» заявили о своем участии в ответных хакерских атаках. Эти люди пока составляют меньшинство, тем не менее можно предположить, что не все респонденты были честны. При этом компании по кибербезопасности, которые пока не связаны с хакерскими контратаками, обладают всеми необходимыми умениями и навыками, необходимыми для начала частной кибервойны.
Бывший чиновник АНБ говорит, что в настоящее время, по его оценкам, лучшими частными фирмами в сфере кибербезопасности руководят бывшие специалисты служб радиотехнической разведки. Эти фирмы используют не только методы ведения электронной разведки, но и человеческие ресурсы. Из своего опыта работы в АНБ их руководители вынесли, что нужно отслеживать дискуссии на тематических интернет-форумах, которые часто посещают хакеры, и научились играть роль потенциальных преступников, желающих купить вредоносное ПО.
Один из руководителей частной фирмы, работающей в сфере кибербезопасности, говорит, что часть актуальной и полезной информации о новых видах вредоносного ПО, хакерских методиках и целях приходит, что не удивительно, из крупнейшего источника шпионов и киберграбителей, действующих против США – из Китая. Рик Ховард, до того как стал кибершпионом-частником, руководил Компьютерной группой реагирования на чрезвычайные ситуации. Рик говорит, что в те времена, когда он отвечал за разведывательную деятельность в частной компьютерной компании iDefence, он поддерживал постоянную связь с хакерами и продавцами кибероружия в Китае. Его источники рассказывали iDefence, какое новейшее вредоносное ПО сейчас доступно (как и в США, оно продается в Китае на теневом рынке), кто сейчас основные игроки на этом рынке и какие цели представляют интерес для хакеров. В конце концов, хакинг – это бизнес, которым занимаются люди, а не машины.
До 2013 г. Ховард возглавлял направление информационной безопасности в компании TASC – крупной IT-фирме, в которой был собственный «центр операций обеспечения кибербезопасности». TASC находится в офисном кампусе в городе Шантили рядом с другими технологическими компаниями, которые сделали Вашингтон одним из богатейших городов Соединенных Штатов. Офисы компании TASC, занимающие три здания, напоминают базу АНБ. Вдоль коридоров выстроились двери с табличками «Секретно», а вход контролируется с помощью кодовых замков и устройств для считывания карт. Попав внутрь этих защищенных помещений, вы с трудом ответите на вопрос, находитесь ли вы в Шантили или в Форт-Миде.
Многие хакеры, работавшие в прошлом на АНБ, не боятся говорить о своем сотрудничестве с властями. Фактически они используют это как рекламу. Брендан Конлон работал в элитном подразделении TAO. Позже, судя по его профилю в сети LinkedIn, он основал IT-компанию Vahna, имея за плечами «10-летний опыт работы в области наступательных операций в компьютерных сетях в АНБ». Конлон начал свою карьеру с разработки ПО для имплантатов, затем перешел работать в TAO, где возглавил гавайское отделение. Также он работал в разыскном отделе АНБ, который занимался выслеживанием китайских хакеров. Выпускник Военно-морской академии США, он принимал участие в трех совместных с АНБ операциях в Афганистане, а также сотрудничал с ЦРУ при проведении хакерских операций. Компания Vahna хвалится тем, что ее сотрудники имеют «многолетний опыт работы в разведывательных и оборонных киберсообществах», и заявляет, что располагает «беспрецедентными возможностями доступа к уязвимостям в системах вашей информационной безопасности, снижению риска в зоне работы ваших технологий и обеспечению тактических ответных действий на появление дыр в системе безопасности». Другими словами, все, чему Конлон научился в АНБ, он теперь может использовать для корпораций.

 

Последние несколько лет крупные оборонные подрядчики активно поглощали небольшие технологические фирмы и специализированные группы, работающие в области кибербезопасности. Таким образом они приобретали ценные кадры, специализированное ПО, а также контракты с разведывательными службами, военными ведомствами и корпорациями. В 2010 г. один из крупнейших американских оборонных подрядчиков, компания Raytheon, согласилась заплатить $490 млн за Applied Signal Technology – IT-фирму, работающую в сфере обеспечения кибербезопасности, клиентами которой были военные и правительственные организации. Объективно высокая цена представляла жалкие гроши для Raytheon, оборот которого в предшествующем году составил $25 млрд. В 2013 г. гигант в области производства сетевого оборудования, компания Cisco, приобрела за $2,7 млрд наличными фирму Sourcefire. Эту транзакцию издание New York Times назвало «разгорающейся страстью» к компаниям, которые защищают другие компании от кибератак и шпионажа. После того как информация о сделке была обнародована, отставной офицер военной разведки рассказал, что он был поражен огромной суммой денег, которую Cisco заплатило за компанию, чей флагманский продукт построен на системе обнаружения вторжения Snort, использующей открытый код, доступный любому. Эта сделка показала, что либо квалификация в сфере кибербезопасности стала насколько ценной, либо на рынке появился очередной огромный «пузырь», заявил бывший офицер.
Тем не менее компании делают верную ставку. Они рассчитывают на государственные расходы в области кибербезопасности. Бюджет Пентагона на статьи, связанные с кибербезопасностью, в 2014 г. составил $4,7 млрд, что на $1 млрд больше, чем в предыдущем году. Армия уже не закупает дорогостоящие ракетные системы. После появления дронов многие руководители убеждены, что нынешнее поколение истребителей станет последним, в котором управление осуществляется пилотом, находящемся в кабине самолета. Огромные средства брошены на дорогостоящие системы вооружений. Во время холодной войны военные расходы обеспечили огромный интерес подрядчиков Вашингтона, так что теперь они поворачиваются в сторону кибернетического рынка, растущего гигантскими темпами.
Назад: 5. Враг среди нас
Дальше: 7. Копы становятся шпионами

лорщшг
лорпд