Шейн Харрис - Кибервойн@. Пятый театр военных действий
Джастин Шах прошел похожий путь. Он начал свою карьеру в середине 1990-х в качестве информационного аналитика, программиста и системного администратора в Корпусе морской пехоты США. В 2001 г. Шах поступил на службу в АНБ, где он прошел обучение в рамках Междисциплинарной программы подготовки по системам и сетям, разработанной агентством. Ее основная цель – подготовка кибервоинов. «Выпускники этой программы становятся для агентства незаменимыми, поскольку они могут решать самые универсальные задачи по управлению компьютерными сетями», – говорится в брошюре АНБ, в которой за техническими терминами скрывается главное – речь идет о киберпреступности и кибератаках. Менее чем через два года Шах перешел на службу в ЦРУ. Там он работал в Отделе технических операций, который помогал АНБ устанавливать оборудование для слежки в труднодоступных местах. Однако вскоре он ушел в частный сектор и в итоге оказался в компании Google на должности инженера по информационной безопасности.
В компании Google Шах стал членом команды, задача которой заключалась в анализе слабых мест системы безопасности и поиске эксплоитов нулевого дня, угрожавших клиентам компании и ее продуктам, например системе электронной почты и браузеру. Компания сама не раз становилась целью изощренных хакерских операций, самая заметная из которых была проведена в 2010 г. китайской группой, взломавшей хранилище программного кода компании. Хакеры украли текст программы для системы управления паролями, которая позволяла пользователям входить одновременно во многие приложения Google. Исследователи относили эту систему к «королевским регалиям» интеллектуальной собственности компании. Кража вызвала панику среди высшего руководства Google – компании, которая гордится тем, что заботится о безопасности своих пользователей и их персональных данных, и репутация которой во многом строится именно на обещании гарантий этой безопасности.
Сейчас в Google есть собственная команда сыщиков, некоторые из них работали в АНБ и других разведывательных агентствах. Команда занимается поиском угроз для компании. «В этом нет никакого секрета. Обладание огромным каталогом подозрительного или зловредного ПО действительно очень помогает защитить сотни миллионов пользователей», – написал Шах в своем твиттере в 2012 г., после того как Google купила небольшую компанию, разрабатывающую антивирус для проверки электронной почты и сайтов. Сегодня Google сканирует почту пользователей Gmail на предмет угроз, и даже показывает пользователям тревожное сообщение на привлекающем внимание красном фоне, если система подозревает, что вирус мог быть отправлен хакерами, работающими на государство. В предупреждении не говорится явно о Китае, но, очевидно, подразумевается.
В Google не хватает сотрудников, чтобы найти все уязвимости и эксплоиты нулевого дня, которые могут угрожать компании и сотням миллионов ее пользователей во всем мире. Поэтому компания также выплачивает поощрительные премии независимым хакерам – тем самым, которые продают свои находки оборонным подрядчикам. В Google говорят, что самый крупный их конкурент на теневом рынке уязвимостей нулевого дня – это АНБ. Агентство покупает информацию об уязвимостях быстрее всех и платит самую высокую цену.
Еще для получения информации об уязвимостях нулевого дня компания привлекает своих посредников. Согласно двум источникам, знакомым с программами контроля безопасности Google, для покупки информации об уязвимостях и известных эксплоитах компания пользуется услугами специализированной фирмы с названием Endgame, расположенной в пригороде Вашингтона. Доподлинно неизвестно, что именно Google намеревается делать со своими приобретениями, но кое-что можно сказать совершенно точно: во-первых, обладание коллекцией эксплоитов нулевого дня позволяет компании начать свою частную кибервойну, а во-вторых, подобные действия противозаконны. Только государственные власти могут проводить наступательные кибероперации, наносящие ущерб компьютерным системам.
Однако государственные организации не являются исключительными целями для хакеров, и в США это отлично знают. Действительно, именно масштабная шпионская кампания, направленная против оборонных предприятий, подтолкнула власти США к началу создания киберармии. И сегодня американские компании начинают осознавать, что эта армия никогда не будет достаточно большой и сильной, чтобы защитить всех. Бизнес вынужден защищать себя сам. А одним из тех мест, куда компании в первую очередь обращаются за защитой, является та самая теневая сеть, в которой хакеры продают свои навыки и оружие клиентам, предложившим наивысшую цену.
6. Наемники
Веселые 20–30-летние молодые люди в рубашках поло и джинсах сидят на красных модных креслах Herman Miller перед серебристыми ноутбуками Apple и глянцевыми плоскими мониторами. Кто-то дожевывает корпоративный обед, который им привозят каждую неделю, или еду из полноценной офисной кухни, кто-то строит планы на совместную игру в софтбол этим вечером. Их шикарный офис оформлен в стиле индустриального лофта – свободная планировка, высокие потолки, открытые коммуникации. По всем внешним признакам Endgame Inc. похож на обычный молодой технологический стартап.
Но это далеко не так. Endgame – один из ведущих игроков в глобальном бизнесе кибероружия. Среди прочего компания собирает информацию об уязвимостях нулевого дня и продает ее правительствам и корпорациям, и, судя по ценам, устанавливаемым компанией, бизнес идет неплохо. Из маркетинговых документов можно узнать, что Endgame просит $2,5 млн за годовой подписной пакет, в который входят 25 новых эксплоитов нулевого дня. За $1,5 млн клиенты получают доступ к базе данных, в которой хранится информация о физическом местоположении и интернет-адресах сотен миллионов уязвимых компьютеров, разбросанных по всему миру. Вооружившись такой информацией, клиент компании Endgame может найти уязвимые для атаки места в собственных системах и построить защиту от таких атак. Но в этой базе данных он также найдет информацию о компьютерах, уязвимых для эксплоитов. Содержимое таких компьютеров можно проанализировать для поиска полезной информации, например государственных документов или корпоративных коммерческих секретов, или их можно атаковать с помощью вредоносного ПО. Endgame может выбирать, с кем вести дела, но она не указывает своим клиентам, как использовать продаваемую компанией информацию, и, кроме того, не может воспрепятствовать противозаконным действиям своих клиентов. Точно так же Smith&Wesson не может помешать своим покупателям использовать огнестрельное оружие для совершения преступления.
Основой бизнеса компании Endgame является обработка огромного объема информации об уязвимых компьютерах и слабых местах в компьютерных сетях и представлять эти данные в графическом виде. Для этой цели Endgame использует программный инструмент собственной разработки, который сотрудники называют «Медицинская пила» (Bonesaw) и описывают как «приложение для нахождения киберцелей».
«Bonesaw позволяет построить карту практически всех устройств, подключенных к Интернету, с указанием программного и аппаратного обеспечения, используемого этими устройствами», – рассказал сотрудник Endgame журналистам в 2013 г. Программа показывает, какие системы заражены вирусами и вследствие этого уязвимы для атак.
По словам бывших государственных чиновников и исследователей в области безопасности, АНБ является одним из крупнейших клиентов компании Endgame. Известно, что компания также работает с ЦРУ, Киберкомандованием, британскими разведывательными службами и крупными американскими корпорациями. Endgame располагает четырьмя офисами, один из которых расположен в престижном районе Кларендон в городе Арлингтон. От Пентагона туда можно добраться за десять минут на машине или проехав четыре станции на метро.
Своим клиентам Endgame предлагала данные о компьютерах, используемых некоторыми из крупнейших стратегических оппонентов Соединенных Штатов. В 2010 г. Endgame составила таблицу, на которой были представлены 18 государственных ведомств и крупных государственных компаний Венесуэлы, в которых работали открытые для атаки компьютеры. Среди этих объектов были: водопроводная станция, банк, Министерство обороны, Министерство иностранных дел и Администрация президента. В таблице, которая, по словам компании, представляла собой «не полный список», были указаны интернет-адреса каждой зараженной компьютерной системы, перечислены города, в которых эти системы находились, и названы опасные приложения, которые на этих системах были запущены. Последняя колонка в таблице была обозначена как EGS Vuln. В ней, видимо, отмечалось, были ли приложения уязвимы для атак. Практически напротив каждого из перечисленных компьютеров в этой колонке стояло слово «да».