Кибервойна. Как Россия манипулирует миром
Шрифт:
Возвращаясь назад к атакам на Эстонию в 2007 году, можно с достаточным основанием утверждать, что русские киберпреступники работали тогда либо вместе с российским государством, либо на него. Однако сегодня, кажется, Кремль уже сам принимает непосредственное участие. Директор Национальной разведки США Джеймс Клэппер (James Klapper) сообщил в марте членам сенатского Комитета по вооруженным силам о том, что российское Министерство обороны «создает свое собственное киберкомандование», которое будет отвечать за «проведение наступательной киберактивности».
А российское государство, судя по всему, увеличивает финансирование на проведение исследований и разработок в области кибертехнологий в компьютерных центрах мирового уровня, в том числе в престижном Санкт-Петербургском политехническом университете, а также в Самарском государственном университете. Эта информация была получена расположенной в Сиэтле компанией Taia Global.
Возможные свидетельства связи недавних атак на правительство Соединенных Штатов с российским государством включают в себя также цифровые подписи хакерской группировки под названием Advanced Persistent Threat 28 (или APT28; ее обнаружила расположенная в Соединенных Штатах компания Fire Eye, работающая в области безопасности в интернете), а также объединения хакеров под обозначениями CozyDuke, CosmicDuke, MiniDuke and OnionDuke (они были установлены сотрудниками Лаборатории Касперского). Индикаторы во вредоносных программах группировки APT28 позволяют предположить, что ее членами являются русскоговорящие люди, а действуют они в рабочее время в крупнейших российских городах, отмечается в недавнем докладе компании FireEye. «Более половины программных продуктов, приписываемых группировке APT28, включают установки на русском языке».
Однако настоящим разоблачением их активности являются не используемые группировкой APT28 технические характеристики, а их мишени за последние пять лет, которые включают в себя Министерство внутренних дел и Министерство обороны Грузии, правительства Польши и Венгрии, НАТО, Организация по безопасности и сотрудничеству в Европе, норвежская армия, а также американские подрядчики Министерства обороны США. Насколько можно судить, члены хакерской группировки APT28 не занимаются масштабной кражей интеллектуальной собственности в экономических целях, а вместо этого фокусируют свою деятельность на сборе разведывательных данных, – отмечают сотрудники фирмы Fire Eye. – И это может быть очень полезно для правительства«.
Хотя существует свидетельства того, что команды разработчиков группировки APT28 и хакеры из CosmicDuke, MiniDuke и OnionDuke «работали вместе, а также делались некоторыми знаниями и техническими приемами в области создания кодов» и что все они русские по происхождению, весьма вероятно, что они представляют собой отдельные группировки, считает Паганини. «Все эти группировки получают поддержку со стороны государства, и, возможно, их финансирует российское государство, хотя нельзя исключать и того, что они представляют собой просто различные подразделения одной и той же киберармии».
Стояла ли группировка APT28 – и Кремль – за хакерскими атаками на Белый дом и Госдепартамент в этом году, в результате которой была взломана секретная переписка по электронной почте (хотя, как утверждает официальный представитель, личная переписка президента не была взломана)? Кремль категорично отрицает свою причастность. «Мы знаем, что обвинения России во всех грехах превратилось уже в своего рода спорт», – пошутил официальный представитель Кремля Дмитрий Песков в беседе с журналистами. – Но главное, чтобы российские подводные лодки не искали в реке Потомак (в Вашингтоне), как это было уже в некоторых других странах».
Однако определенный код – особенно целый ряд «лазеек» (backdoors) в программе под названием CHOPSTICK, – регулярно используемых группировкой APT28, связывают с упомянутыми виртуальными проникновениями. Еще меньше сомнений существует относительно подобного рода атак на несекретную военную сеть Министерства обороны США в прошлом году. Мы проанализировали их активность в сети, связали ее с Россией и затем быстро выкинули их из этой сети, отметил в апреле Министр обороны Эштон Картер.
Кибершпионаж в отношении электронных сообщений Западного крыла (Белого дома) можно считать довольно бесцеремонным действием, однако он мало чем отличается от шпионажа старой школы и электронного перехвата данных, которым Россия и Америка занимаются уже в течение нескольких десятилетий. С другой стороны, настоящие опасения вызывает инфильтрация физической инфраструктуры в такой степени, что это может свидетельствовать о зарождении нового поколения тайных операций и проведения саботажа.
«Это совершенно новый способ ведения войны», – говорит один бывший генерал КГБ, который когда-то был шпионом в Лондоне и который сегодня работает в частном секторе в области безопасности. «Это можно сравнить с изобретением самолетов или подводных лодок. Неожиданно вы получаете возможность атаковать противника с совершенно нового и неожиданного направления… В этом суть ведения войны – все время действовать неожиданным образом».
В апреле Евгений Касперский, родившийся в Москве генеральный директор компании «Лаборатория Касперского», обратил внимание на значительное увеличение целенаправленных атак против электрический сетей, банков и транспортных сетей по всему миру. Он также предупредил о том, что те группировки, которые в качестве целей выбирают ключевые элементы инфраструктуры, обладают «возможностью нанесения весьма существенного ущерба. Но очень серьезные террористические атаки пока не ожидаются».
Среди наиболее опасных видов кибероружия нового поколения следует назвать те, что будут использоваться против так называемых систем с «воздушным зазором» (air-gapped), которые не имеют связи с интернетом или с внешними сетями. Разработчики Stuxnet преодолели воздушных зазор за счет разработки искусной программы, которая заражала диски CD-ROM и карты памяти, которые через определенное время подчинили себя компьютеры разработчиков иранской ядерной программы и в конечном итоге нанесли разрушительный физических ущерб урановым центрифугам, заставив иранцев полностью заменить их компьютерную инфраструктуру.
Однако программа Uroborus, которая, как и Stuxnet, распространяется с помощью электронной почты и карт памяти, существует с 2011 года, и ей приписывают российские корни. Программа Uroborus, используемая для проведения атак на Microsoft Windows, устанавливает тайную связь со своей родственной сетью и получает возможность преодолеть воздушный зазор, изолирующий безопасные системы от интернета.
«Опасность состоит в том, что сегодня любой человек может сделать почти все что угодно в отношении другого человека», – подчеркивает Климберг. Он считает, что единственным способом различения между криминальной и правительственной киберактивностью состоит в измерении того количества программных ресурсов, которое требуется для проведения атаки, – это относится и к программам, созданным для преодоления воздушного зазора. «Если вы видите огромное количество организационных усилий и программирования, задействованных при проведении подобной атаки, то это является хорошим индикатором участия правительства».
Соединенные Штаты и Европа продолжают оставаться исключительно уязвимыми для инфраструктурных атак – особенно по причине того, что значительная часть жизненно важных инфраструктур этих развитых экономик сегодня являются электронными – от финансовых систем до социальных сетей. Один небольшой пример: в конце апреля флотилия самолетом Boeing 737 была временно оставлена на земле после того, как обрушилось приложение для iPad под названием «электронная сумка для воздушных путешествий» (electronic flight bag), которое использовалось пилотами для предполетной проверки. Это приложение для iPad заменяло почти 6 килограммов бумажных инструкций – но когда оно обрушилось, целая флотилия самолетов оказалась прикованной к земле.