Шейн Харрис - Кибервойн@. Пятый театр военных действий
Google известила АНБ и ФБР о том, что ее сети были взломаны хакерами из Китая. ФБР, будучи правоохранительным агентством, могло начать расследование этого проникновения как уголовного преступления. Однако АНБ требовалось разрешение компании Google для того, чтобы принять участие в расследовании и помочь оценить брешь в защите. В тот день, когда юрист Google написал свой пост в блоге компании, главный юрисконсульт АНБ начал готовить проект «соглашения о совместном исследовании и развитии». Это правовое соглашение изначально было разработано на основании закона 1980 г. для ускорения коммерческого развития новых технологий, заинтересованность в которых была как у компаний, так и у государства. Цель соглашения заключалась в том, чтобы создать что-то новое – какое-то устройство или технологию например. Компания, участвующая в соглашении, не получала денег, но могла рассчитывать на то, что государство примет на себя расходы на исследование и разработку, а кроме того, она могла использовать государственное оборудование и привлекать специалистов из госструктур для проведения исследований. Каждая из сторон сохраняла результаты сотрудничества в секрете до тех пор, пока обе стороны не принимали решения об их обнародовании. В итоге компания получила исключительные патентные права на создание того, что было разработано общими усилиями, а государство могло использовать любую информацию, полученную в рамках сотрудничества.
Не понятно, что именно АНБ и Google создали после обнаружения китайского проникновения. Однако в процессе написания соглашения представительница агентства сделала несколько намеков. «В общем случае, в части своей миссии по обеспечению информационной безопасности, АНБ работает с широким спектром коммерческих партнеров и исследовательских объединений, чтобы гарантировать доступность безопасных специализированных решений для Министерства обороны и клиентов систем национальной безопасности», – сказала она. Фраза про «специализированные решения» звучала очень интригующе. Эта фраза предполагает существование чего-то, сделанного по заказу агентства, для того чтобы оно могло выполнять свои функции по сбору информации. По рассказам чиновников, знакомых с деталями соглашения Google и АНБ, компания соглашалась предоставлять информацию о трафике в своих сетях АНБ в обмен на разведданные об иностранных хакерах. Услуга за услугу, информация в обмен на информацию. А с точки зрения АНБ информация в обмен на защиту.
Совместное соглашение и ссылка на «специализированное решение» явно намекали на то, что Google и АНБ разработали устройство или технологию выявления вторжений в сети компании. Таким образом, АНБ могло бы получать ценную информацию для своей так называемой системы активной защиты, которая использует сочетание автоматизированного оборудования и специальных алгоритмов для обнаружения вредоносного ПО или признаков надвигающейся атаки и принимает меры по противодействию им. Одна система под названием «Паника» (Turmoil) распознает трафик, который может оказаться опасным. Затем другая автоматическая система «Турбина» (Turbine) принимает решение, пропустить этот трафик или заблокировать его. Turbine также может предложить какую-либо атакующую программу или хакерскую методику, которую оператор сможет применить для нейтрализации источника вредоносного трафика. Он может сбросить интернет-соединение источника трафика или перенаправить трафик на сервер, находящийся под контролем АНБ. Там источник может быть инфицирован вирусом или шпионской программой, с помощью которой АНБ сможет продолжить наблюдение за ним.
Чтобы Turbine и Turmoil работали, АНБ была нужна информация, особенно сведения о передаваемых по сети данных. Google со своими миллионами клиентов по всему миру фактически была каталогом людей, пользующихся Интернетом. Компания владела их адресами электронной почты. Знала, где они находятся физически, когда входят в сеть. Знала, что они ищут в сети. Власти могут приказать компании передавать им эту информацию, что они и делают в рамках программы PRISM, в которой компания Google участвовала в течение года еще до того, как подписала совместное соглашение с АНБ. Однако этот инструмент используется для поиска людей, подозреваемых властями в террористической деятельности или шпионаже. Миссия АНБ по обеспечению киберзащиты подразумевает более широкий обзор сетей в поисках потенциальных угроз, иногда еще до того, как становится известно, где находится источник этих угроз. В пользовательском соглашении компания Google уведомляет своих клиентов о том, что может передавать их «персональные данные» во внешние организации, в том числе в государственные агентства, для «обнаружения, предотвращения или принятия иных мер по отношению к мошенническим действиям, проблемам безопасности или техническим вопросам», а также для «защиты прав, собственности или безопасности Google». По словам людей, знакомых с деталями соглашения между АНБ и Google, оно не дает властям разрешение на чтение электронных писем пользователей Google. Власти могут делать это в рамках программы PRISM. Наоборот, это соглашение позволяет АНБ анализировать аппаратное и программное обеспечение Google в поисках уязвимостей, которыми могут воспользоваться хакеры. Учитывая, что АНБ является единственным крупнейшим хранителем информации об уязвимостях нулевого дня, эти сведения могут помочь сделать Google более безопасной, чем другие компании, которые не предоставляют доступ к своим драгоценным секретам. Соглашение также позволяет агентству анализировать уже свершившиеся взломы, чтобы в дальнейшем оказывать помощь при отслеживании их источника.
Google взяла на себя риск, сопутствующий сотрудничеству с АНБ. Корпоративный девиз компании «Не будь злым», кажется, не стыкуется с работой под прикрытием разведывательного кибервоенного агентства. Однако Google получила полезную информацию в обмен на свое сотрудничество. Вскоре после разоблачения Китая власти предоставили Сергею Брину, сооснователю компании Google, временный допуск к секретной информации, который позволил присутствовать на закрытых совещаниях, где обсуждалась операция против его компании. Государственные аналитики пришли к выводу, что вторжение координировалось подразделением Народно-освободительной армии Китая. Это была самая специфическая информация об источнике вторжения, которую компания Google смогла получить. Эти данные могли помочь компании укрепить свои системы, заблокировать трафик от определенных интернет-адресов и принять более обоснованное решение о том, стоит ли вообще продолжать работать в Китае. Руководители Google могли с пренебрежением относиться к «секретному ингредиенту» АНБ. Однако, когда компания подверглась атаке, она обратилась за помощью именно в Форт-Мид.
В своем блоге Google рассказала, что более 20 компаний подверглись атаке со стороны китайских хакеров в рамках операции, получившей позже название «Аврора» (Aurora) по имени файла на компьютере атакующих. Вскоре компания, занимающаяся информационной безопасностью, определила, что объектов атаки было около трех десятков. В действительности, охват китайского шпионажа был и остается намного шире.
Эксперты по безопасности, как государственные так и независимые, дали название хакерам, которые стоят за такими атаками, как Aurora, направленными против тысяч разных компаний, работающих практически в каждом секторе экономики США. Они назвали таких хакеров «повышенной постоянной угрозой» (advanced persistent threat, APT). Название грозное и с подтекстом. Когда государственные чиновники говорят об APT, чаще всего они имеют в виду Китай, а еще конкретнее – хакеров, работающих под управлением или по поручению китайских властей.
Слово «повышенная» в этом описании частично относится к хакерским методикам, которые ничуть не уступают в эффективности методам, применяемым АНБ. Китайские кибершпионы могут использовать приложения для общения и отправки мгновенных сообщений на зараженном компьютере, чтобы связываться с управляющим сервером. Они могут установить вредоносную программу и затем удаленно ее настроить, добавив новые возможности по сбору информации. Государственные структуры, поддерживающие всю эту шпионскую деятельность, весьма совершенны и гораздо лучше организованы, чем малочисленные банды кибервандалов или активисты вроде группы Anonymous, которые шпионят за компаниями в политических целях. Они даже лучше организованы, чем российские криминальные группы, которые чаще всего заинтересованы в похищении банковских данных и сведений о кредитных картах. Китай готов к долгой игре. Его руководители хотят, чтобы экономика страны и промышленная мощь достигли максимального уровня за одно поколение, и готовы воровать знания, необходимые для достижения этой цели. Так говорят американские власти.