Шейн Харрис - Кибервойн@. Пятый театр военных действий
Власти были уверены, что DDOS-атака такого масштаба, будучи направленной на корпоративные компьютерные сети, приведет не просто к временным неудобствам, но к разрушению сети. Американские чиновники находились в постоянном контакте с банками и их провайдерами. Атакующие объявляли на онлайн-форумах, когда они планируют начать новую серию киберударов. И каждый раз банки и власти готовились к нападению. «Всякий раз интернет-провайдеры и федеральные госчиновники серьезно опасались, что нас могут сокрушить, – говорит Везерфорд. – И что в результате могут пострадать другие ключевые объекты инфраструктуры и сама сеть Интернет в целом».
После того как группа аль-Кассам объявила об очередной серии атак, руководитель отдела безопасности провайдера задал вопрос Везерфорду, а заодно и всему правительству. «Что вы, парни, собираетесь с этим делать? – спросил он. – Атака может начаться в любой день. Ее эффект будет иметь государственный масштаб. Какие меры собирается принять наше правительство?»
Везерфорд пытался убедить его, что ситуация находится под контролем, однако знал, что никакого контрнаступления не планируется. Фактически Везерфорд считал, что АНБ слишком долго не рассекречивает данные об угрозе, которые могли бы помочь защитить банки. Агентству нужно было «отмыть» передаваемые сведения до того, как передать их в Министерство внутренней безопасности, которое затем сделает их доступными для провайдеров. Нужно было убрать всю информацию об источниках этих сведений и о методах их сбора. «Для обработки информации нужно было шесть часов. Но и сама атака могла длиться всего шесть часов», – говорит Везерфорд.
Группа руководителей финансового сектора лично проталкивали свою проблему на встрече с представителями АНБ. Они хотели знать, почему правительство не организует атаку на источник вредоносного трафика и не выведет его в офлайн, аналогично тому, как для уничтожения вражеского лагеря запускают крылатую ракету. Представители АНБ отвечали, что они располагают кибероружием, в первую очередь тысячами эксплоитов нулевого дня, для использования в случае угрозы государству или если страна вступит в войну. «Как только мы воспользуемся одним из этих эксплоитов, мы никогда не сможем применить его снова, – объясняли чиновники, как рассказывает один из финансовых руководителей, который участвовал в том совещании. – Вы действительно хотите, чтобы мы растратили и потеряли это оружие только потому, что ваши сайты не работают?»
Руководители отступили.
Атаки на банки стали проверкой государственной воли. АНБ и военные не дадут силового отпора до тех пор, пока нападающие не угрожают инфраструктуре транзакций финансового сектора или не искажают банковские данные, делая их ненадежными. Государство ответит только на разрушительную кибератаку, которая вызовет масштабные эффекты во всем обществе. Отключение сайта, каким бы пугающим оно не казалось, не могло оправдать начало полноценной кибервойны. То же можно сказать и о шпионаже.
Банки – да и все компании, которые пострадали в результате нападения иностранных киберналетчиков и мародеров – встали перед очевидным вопросом: если государство не будет их спасать, то кто тогда будет?
13. Оборонный бизнес
В 50 км от делового центра Вашингтона, в пригороде Гейтерсберга, вдоль оживленной улицы напротив клуба Sam’s Club, транспортного агентства и магазина игрушек Toys R Us расположилось невысокое офисное здание. Пара охранников на проходной – первый признак того, что это не просто очередной склад самообслуживания или банальный офисный центр. В почти лишенном окон крыле здания площадью 7600 м2 находится кибернетический наблюдательный центр. Несколько десятков аналитиков и исследователей вредоносного ПО наблюдают за трафиком в глобальной распределенной сети компьютеров и серверов, на которых хранится часть самой секретной информации в Соединенных Штатах, в том числе чертежи реактивных истребителей, ракетных систем и спутников-шпионов. Однако это здание, которое может сойти за сверхсекретный объект, место которому в Форт-Миде или Пентагоне, не контролируется властями и не принадлежит им. В этом здании находится NexGen Cyber Innovation & Technology Center, и принадлежит оно компании Lockheed Martin – крупнейшему оборонному подрядчику. Здесь, а также в подобных центрах, расположенных в Денвере, в Фарнборо в Англии, в Канберре в Австралии, компания, которая сделала свое имя на разработке систем вооружений, создает новый бизнес в сфере киберобороны.
Проблему кибербезопасности Lockheed изучила, что называется, из первых рук, когда в 2006 г. компания подверглась атаке китайских хакеров, похитивших чертежи Единого ударного истребителя. Компания является крупнейшим поставщиком товаров и услуг в сфере информационных технологий для гражданских и разведывательных агентств, а также для военных ведомств, а потому представляет повышенный интерес для хакеров. После кибератаки компания потратила несколько лет на подробное изучение методов и технологий, используемых хакерами для взлома ее секретных систем и похищения государственных тайн. Молодой аналитик Lockheed Эрик Хатчинс как-то услышал, что для описания всех шагов, которые нужно пройти, прежде чем открыть огонь, начиная от идентификации цели и до определения ее точного географического положения, некоторые военные летчики используют термин kill chain[20]. Хатчинс предположил, что продвинутые хакеры, которые пытаются проникнуть в компьютерные сети Lockheed, также следуют некой пошаговой процедуре: выискивают цели, приобретают вредоносное ПО, запускают фишинговые атаки и в конце концов похищают данные. В сотрудничестве с двумя коллегами он адаптировал военную концепцию, после чего cyber kill chain стала основой для оборонной стратегии Lockheed. Компания применяет эту стратегию для защиты не только собственных сетей, но и сетей некоторых своих государственных заказчиков, а также банков, фармакологических компаний и по меньшей мере 17 коммунальных предприятий, которые обмениваются информацией с компанией и позволяют ей осуществлять сканирование их сетевого трафика в поисках угроз.
Cyber kill chain состоит из семи различных этапов, большая часть которых оставляет возможность заблокировать вторжение или атаку еще до их начала. Все начинается с наблюдения и разведки. Lockheed отслеживает ключевые слова, которые приводят пользователей на сайт компании через поиск в Google или в других поисковых машинах. Хакеры ищут в пресс-релизах и на веб-страницах компании имена сотрудников, чтобы более эффективно провести фишинговую атаку. Они устанавливают, какими программами пользуются менеджеры, работающие над конкретными государственными заказами. Они даже отслеживают высказывания и интервью руководителей компании, чтобы в фишинговом электронном письме можно было сослаться на запланированное мероприятие. Компания предупреждает своих сотрудников, ставших потенциальными объектами атаки, чтобы те были особенно внимательны, когда открывают документы, прикрепленные к электронным письмам, или кликают по присланным ссылкам.
На втором этапе, который в Lockheed называют «вооружение», аналитики ищут явные киберкриминалистические улики присутствия вредоносного ПО: к примеру, зараженный pdf-документ, прикрепленный к электронному письму. В Lockheed ведут базу данных всех зараженных pdf-файлов, когда-либо попадавшихся аналитикам компании. Эти данные используются в программах-сканерах, которые автоматически анализируют все электронные письма, получаемые сотрудниками компании, и помещают в карантин письма, которые могут быть заражены вредоносным ПО.
Следующими этапами cyber kill chain являются «доставка» (отправка вредоносной программы по электронной почте или на USB-носителе), «эксплоит», когда аналитики уделяют особое внимание поиску уязвимостей нулевого дня (Хатчинс утверждает, что им удалось обнаружить по крайней мере три эксплоита, использующих уязвимости в продуктах компании Adobe), «установка» на компьютер, «управление и контроль» коммуникаций с узловым компьютером и, наконец, «целевые действия» (похищение файлов, удаление данных или уничтожение элементов физического оборудования). На седьмом этапе хакер представляет максимальную опасность. Если аналитикам Lockheed удается обнаружить подобную активность, то они немедленно извещают руководство компании, ставшей целью атаки. Хакеры, обнаруженные на ранних этапах kill chain, скажем на третьем этапе, менее опасны, поскольку им предстоит пройти еще несколько шагов, прежде чем они смогут причинить какой-либо вред. Если аналитики видят, что хакер может попытаться заразить компьютеры с помощью внешних носителей, компания может запрограммировать свои системы так, чтобы запретить выполнение компьютерных программ с любых USB-дисков. Чем раньше Lockheed или кто-либо еще, кто использует стратегию cyber kill chain, сможет установить защиту, тем более эффективной она будет.