Кибервойн@. Пятый театр военных действий Харрис Шейн
«Вице-президент Соединенных Штатов».
Макконнелл выпрыгнул из своего кресла и схватил телефонную трубку. Давний шеф Макконнелла Дик Чейни рассказал ему, что президент Буш хочет предложить его кандидатуру на пост директора национальной разведки. Работа эта неблагодарная, и Макконнеллу было известно, что гораздо более могущественные люди, чем он, отказались от нее в свое время. Самым известным из этих людей был старый друг Макконнелла Роберт Гейтс, бывший директор ЦРУ, который теперь занимал пост министра обороны.
Макконнелл ответил Чейни, что ему нужно время подумать над этим предложением и что ответ он даст после Рождества. Он повесил трубку, после чего позвонил Гейтсу, который уже знал о готовящемся назначении. Макконнелл сказал, что он возьмется за это дело, только если у него будут развязаны руки, чтобы провести некоторые значительные изменения в методах работы разведывательного сообщества, и что ему нужна поддержка Гейтса. Гейтс пообещал, что поддержит его.
Когда Макконнелл покинул АНБ, развитие методов ведения кибервойны находилось на этапе раннего детства. За время его отсутствия оно прошло подростковый возраст, и теперь Макконнеллу предстояло довести его до зрелого состояния.
Макконнелл проработал в должности директора национальной разведки (главы всех правительственных разведслужб) немногим меньше двух лет. Однако он оказал сильное влияние на работу офиса, методы ведения шпионажа и кибервойны.
Именно Макконнелл – кто же еще – убедил президента Буша одобрить тактику ведения кибервойны, использованную АНБ и военными в Ираке. Кроме того, он был инициатором масштабного пересмотра закона, ограничивающего многие операции АНБ, – Акта о наблюдении за иностранной разведкой. Так случилось, что, когда Макконнелл приступил к работе на новом посту, федеральный судья, осуществляющий надзор за электронным шпионажем, постановил, что если слежка ведется с помощью оборудования, расположенного в США, то для перехвата разговоров между иностранными гражданами, находящимися за пределами США, нужно разрешение суда. Макконнелл потратил два месяца – июнь и июль, – чтобы объяснить законодателям, что большая часть мирового телекоммуникационного трафика проходит через кабели, маршрутизаторы и коммутаторы, расположенные на территории страны. Он убеждал, что АНБ не должно спрашивать разрешения, когда использует это оборудование в целях международного шпионажа, ведь агентство, в конце концов, шпионило не за американцами.
Макконнелл рассказал законодателям, что, если АНБ не будет позволено вести наблюдение за всеми международными коммуникациями, проходящими через расположенное в Соединенных Штатах оборудование, агентство потеряет контроль за многими иностранцами, в том числе членами «Аль-Каиды» и повстанцами в Ираке. По его мнению, сейчас было не время терять доступ к высокотехнологичной инфраструктуре, с помощью которой Соединенные Штаты ведут новый тип войны.
В конгрессе приближался период летних каникул, и демократы, находившиеся у власти и имевшие большинство в сенате, рисковали потерять свои позиции в вопросе противодействия терроризму, если не смогут узаконить изменения, необходимые для сохранения АНБ в работоспособном состоянии. Большинство законотворцев ничего не знало об кибервоенных операциях, но президентская Администрация уже давно публично заявляла, что шпионская деятельность агентства сыграла немаловажную роль в предотвращении террористических атак на Соединенные Штаты.
Макконнелл воспользовался возможностью и протащил серьезное изменение закона, а не просто мелкие поправки. Он хотел переписать Акт о наблюдении за иностранной разведкой и разрешить широкий поиск по целым группам индивидуальных объектов слежки: например, по всему исходящему телефонному трафику, скажем, из Йемена. Это расширение закона было беспрецедентным. Конституция еще никогда не использовалась для оправдания полномочий, направленных против целых групп людей. Четвертая поправка требовала от властей указания конкретного имени подозреваемого и места, в котором его хотят искать. И хотя Акт о наблюдении за иностранной разведкой позволял вести шпионаж за отдельными лицами, личность которых не была еще установлена, тем не менее закон требовал, чтобы власти указали, за кем именно они собираются следить. Теперь же Макконнелл хотел получить полномочия на ведение массовой слежки.
По факту у АНБ уже были подобные полномочия, поскольку агентство вело слежку за рубежом, но не шпионило за американскими гражданами и легальными резидентами страны. Однако критики опасались, что изменения в законе позволят проводить массовую слежку внутри Соединенных Штатов. Иными словами, АНБ могло бы получить право требовать у американских технологических компаний доступ к их огромным массивам данных, ссылаясь на необходимость защиты национальной безопасности.
Именно это и произошло. В августе 2007 г. демократы, которые полагали, что Макконнелл и Белый дом загнали их в угол, неохотно поддержали законопроект. И всего месяц спустя АНБ нарастило мощности своей новой системы сбора данных Prism, которая получила от американских компаний огромное количество электронных писем и другой информации пользователей Интернета. Первой компанией, вошедшей в программу Prism, стала Microsoft. Это произошло 11 сентября 2007 г. Yahoo присоединилась в марте следующего года. За последующие четыре года в список программы PRISM вошли крупнейшие игроки американского бизнеса, в том числе Google, Facebook, YouTube и Apple. В октябре 2012 г. программа PRISM охватывала девять компаний. Сегодня эти компании отвечают за огромную часть трафика Интернета в Соединенных Штатах. Одна только Google генерирует четверть всего трафика, проходящего через оборудование провайдеров в Северной Америке. YouTube – это почти 20 % всего входящего трафика в Соединенных Штатах. Доля ближайшего конкурента – сервиса потокового видео Netflix – почти в три раза меньше. Предоставляемый компанией сервис электронной почты также привлекает миллиарды людей по всему миру. Через три года, после того как Google вошла в программу PRISM, компания заявила, что ее продукт Gmail используют 425 млн человек. В декабре 2012 г. Yahoo рассказала о 281 млн пользователей своего почтового сервиса. А в феврале 2013 г. Microsoft сообщила о 420 млн пользователей ее почтовой системы Outlook. Наконец, Apple, которая подключилась к программе PRISM последней в 2012 г., рассказала, что в том году она продала 250 млн своих смартфонов iPhone.
Какой бы масштабной не была программа PRISM, тем не менее властям по-прежнему требовалось отдельное судебное разрешение, если они хотели получить содержимое сообщений американских граждан. Что касается остального мира, то там игра велась по правилам – более или менее. Судьи, которые одобрили Акт о наблюдении за иностранной разведкой, теперь рассматривали обращения, подготовленные высокопоставленными сотрудниками Администрации, где перечислялись широкие категории целей для слежки и приводились достаточно сложные технические объяснения, каким образом АНБ обеспечит сбор информации только о тех категориях, которые были указаны. В теории выглядит реалистично, но на самом деле агентство зачастую не знало, как много информации об иностранцах или американцах оно собирает. Дело в том, что исключительно сложно узнать национальность и местоположение отправителя или получателя электронного письма, которое отправляется через Интернет не как отдельное сообщение, а как серия пакетов данных, разрозненных и рассредоточенных в Сети по самому быстрому и эффективному маршруту, собираемых обратно в цельное сообщение в конечной точке. Часто конечной точкой маршрута является не компьютер адресата, а серверы той почтовой службы, которую адресат использует, например Hotmail компании Microsoft, или Gmail от Google. Так как АНБ может не знать, где находятся отправитель и получатель и кто они такие, то агентство не может быть всегда уверено, что ведет слежку только за иностранцами.
На первый взгляд может показаться, что изменения в законе о слежке всего лишь расширили возможности АНБ для шпионажа. Вместе с тем они дали агентству больше точек доступа в инфраструктуре Интернета, из которых оно могло проводить кибервоенные операции. А с доступом к системам главных почтовых сервисов и интернет-компаний АНБ могло собирать больше информации о своих противниках и готовить сообщения, которые не вызывали подозрений, но при этом содержали вирусы и другое вредоносное ПО. Интернет был полем боя, а новый закон дал АНБ больше возможностей на этом поле.
По мере роста власти и силы, АНБ все шире раскидывало свои сети, подключаясь к морским кабелям, которые обеспечивали телекоммуникационную связь между континентами. Агентство начало фильтровать содержимое всей электронной корреспонденции, пересекавшей границы США, сканируя ее на предмет имен, телефонных номеров или адресов электронной почты людей, подозреваемых в терроризме. Агентству удалось преодолеть защитные механизмы Google и Yahoo и перехватывать сообщения на пути от заграничных частных дата-серверов компаний в общедоступный Интернет.
Свой второй серьезный вклад в развивающуюся киберборьбу Макконнелл сделал уже под конец своей службы в АНБ в 2008 г. После победы сенатора Барака Обамы на президентских выборах, прошедших в ноябре, Макконнелл прилетел в Чикаго, где встретился с будущим главнокомандующим на охраняемой территории в местном отделении ФБР. На встрече он описал контуры нового поля боя. Макконнелл обратил особое внимание на то, какими слабыми были собственные средства защиты Соединенных Штатов, и рассказал о некоторых шагах, предпринятых Администрацией Буша для их укрепления. Позже, во время личной встречи с Бушем, Обама узнал, что президент санкционировал серию секретных кибератак на иранские атомные объекты, проведенных с помощью программы-червя, которая стала известна позже как Stuxnet. Буш сказал Обаме, что эта диверсионная операция под кодовым названием «Олимпийские игры» (Olympic Games) – одна из двух разведывательных миссий, которые новому президенту не стоило бы прекращать. Второй миссией была программа ЦРУ по уничтожению подозреваемых террористов и боевиков в Пакистане с помощью вооруженных беспилотных аппаратов.
Обама согласился. А в отношении киберпрограммы он приказал провести новую серию атак вируса Stuxnet в 2009 г. В отличие от Буша, который предпочитал, не привлекая внимания, спокойно тормозить и подрывать иранскую программу по созданию ядерного оружия, Обама хотел спровоцировать масштабные разрушения на иранском заводе в Нетензе. Соединенные Штаты внедрили новую версию червя, задача которого заключалась в том, чтобы заставить роторы центрифуг раскрутиться до опасно высокой скорости вращения. Кроме того, червь содержал множество новых элементов кода, предназначенного для заражения разных компьютерных программ через уязвимости, не обнаруженные иранцами. Благодаря этим новым возможностям червь стал более разрушительным оружием. Разрушение тысячи центрифуг, которое произошло в период с 2009 по 2010 г., большинство исследователей объясняет именно действием вируса Stuxnet. Это количество составляло примерно 20 % от общего числа работающих на заводе центрифуг, и у иранцев были еще запасные центрифуги для замены вышедшего из строя оборудования. Однако представители Администрации Обамы заявили, что Stuxnet отбросил иранскую военную ядерную программу на два года назад. И это время очень ценно и полезно, если, как принято считать, Stuxnet был создан для предотвращения войны, а не для ее начала.
Однако эти агрессивные возможности программы также повысили риск обнаружения вируса Stuxnet, что в итоге и произошло в июне 2010 г., когда малоизвестная белорусская антивирусная компания нашла первые доказательства существования вируса. Первоначально исследователи полагали, что ошибка в программном коде червя (который теперь, конечно, был намного сложнее, а потому вероятность появления ошибок выросла) позволила ему «сбежать» за пределы сетей исходного объекта атаки, возможно, когда кто-то из инженеров завода подключил свой ноутбук к зараженному компьютеру, а потом, придя домой или в офис, подключился к Интернету. Но обычно из вида упускают, что этот аспект распространения вируса был, возможно, не ошибкой, а особенностью червя. Stuxnet был создан не только для вывода из строя центрифуг, но и для разведки. Он отправлял интернет-адрес и имя узла зараженного компьютера в свой командный центр. Зачем нужны были эти возможности оружию, предназначенному для атаки на машины, находящиеся в изоляции, физически отключенные от Интернета? Очевидный ответ состоит в том, что создатели Stuxnet знали, что вирус не останется в изоляции надолго. Возможно, они и не хотели, чтобы он там оставался. Stuxnet также был спроектирован для ведения разведки в сетях и компьютерах, расположенных на заводе в Нетензе, и поиска подходящих целей для атаки. Сотрудники завода работали еще и на другие компании. Если их ноутбуки будут заражены червем Stuxnet и они воспользуются своими компьютерами в другом месте работы, то червь сможет выполнять свои разведывательные функции и на других ядерных объектах Ирана. Stuxnet мог рассказать Соединенным Штатам, на какие еще компании работали сотрудники ядерной программы, где расположены другие ядерные заводы в Иране и, возможно, насколько далеко эти заводы продвинулись в деле обогащения ядерного топлива. Теоретически вирус мог помочь американцам глубже понять состояние иранской ядерной программы и сделать это лучше, чем любой внедренный агент или шпион. Решение Обамы об обострении атак червя Stuxnet было не лишено риска, но потенциальная выгода для американской разведки была слишком заманчива, чтобы ее игнорировать. Неудивительно, что Макконнелл и Буш потратили столько времени, чтобы рассказать новому главнокомандующему о кибервойне и ее преимуществах.
В конце срока своей службы в агентстве, когда Макконнелл уже готовился вернуться на работу в Booz Allen Hamilton, он почувствовал, что осталось закончить еще одно дело. АНБ достигло больших успехов в кибервойне. Армия развивала собственные возможности. Однако не было командира, который бы отвечал за их совместную работу. Военные придерживались жесткой иерархии, центральной идеей которой было то, что во время войны вооруженные силы действуют совместно. Сухопутные и воздушные войска не отправляются в бой с раздельными заданиями и планами. Они разрабатывают общий план и затем воюют вместе. Макконнелл думал, что и в кибервойне должно быть так же.
Он хотел основать новое киберкомандование в соответствии с армейской структурой командований военных группировок, которые делятся по географическим регионам мира – Тихоокеанское, Европейское командования, Центральное командование для ближневосточного региона и так далее, – а также формируются для выполнения определенной задачи. Совместное командование специальных операций (JSOC), которое работало в тесном сотрудничестве с АНБ в Ираке, попало под управление Командования специальных операций США. А Стратегическое командование проводило операции в космическом пространстве и управляло ядерным оружием Соединенных Штатов.
«Кибероперациям нужно было свое командование, – думал Макконнелл, – чтобы можно было применить уникальный опыт и возможности каждого рода войск». Военные начальники и представители Администрации президента пришли к мысли, что будущие войны будут вестись не только на традиционных полях боя, но и в Интернете. Однако создание нового командования ясно показывало, что кибервойна – это не временное явление. Макконнелл считал, что нет лучшего способа обеспечить кибернетическую живучесть, кроме как создать армейскую структуру оперативного управления.
Так случилось, что в конце октября, менее чем за две недели до выборов, военные компьютерные сети заразил червь, возникла серьезная угроза безопасности, которая убедила высшие чины Пентагона, что их киберзащита была недостаточной. АНБ быстро нейтрализовало вторжение и проводило чистку вплоть до окончания президентского срока Буша. Макконнелл посоветовался со своим старым другом Бобом Гейтсом, который согласился остаться на посту министра обороны после прихода новой Администрации. Гейтс поддержал идею о необходимости киберкомандования. Однако оно не возникнет, пока Макконнелл остается в агентстве. Официальный Вашингтон будет поглощен формальностями передачи президентской власти – Администрация Буша будет передавать дела новой команде и подробно объяснять все, над чем они работали. И Гейтс принял эстафету. В июне 2009 г. он приказал командиру Стратегического командования США создать новое Кибернетическое командование, или Киберком. Стратегическое командование было естественным домом для Киберкома – у него были номинальные полномочия для координирования информационной войны между военными ведомствами. Но на тот момент АНБ уже фактически выполняло эти функции. Таким образом, именно директор АНБ должен руководить Киберкомом, объясняли представители Пентагона. План состоял в том, чтобы временно сделать его подчиненным, дать ему вырасти, а потом повысить статус Киберкома до полноценного военного командования.
В тот момент лишь немногие могли заметить, что действующий директор АНБ, генерал армии Кит Александер, на протяжении всей своей армейской карьеры готовился к роли главы киберкомандования. Со временем он раскроется как эрудированный технарь, искусный воин и один из самых политически подкованных генералов нашего времени. Хотя теперь, когда новое кибернетическое командование постепенно вставало на ноги, он был одним из самых сильных его сторонников на Капитолийском холме, в военных кругах и в Белом доме.
21 мая 2010 г. на церемонии вступления в должность, проходившей в Форт-Миде, Александер дал присягу в качестве первого командира Кибернетического командования США. Присутствовали Гейтс и Дэвид Петрэус, который на тот момент возглавлял Центральное командование. Единственным из отцов-основателей, кто пропустил церемонию, был Макконнелл. Но его работа была завершена. Соединенные Штаты официально вступили в эпоху кибервойны.
Альянс военных и кибершпионов хорошо показал себя в атаках на банды повстанцев и террористов в Ираке. Однако, что произойдет, когда Соединенные Штаты столкнутся с крупной, организованной иностранной военной силой на поле боя в киберпространстве и эта сила сможет дать отпор?
Чтобы это выяснить, 7 мая 2010 г. примерно 600 человек появились на авиационной базе ВВС США Неллис, расположенной в предместьях Лас-Вегаса, для участия в ежегодной «Военной игре Шрайвера» (Schriever wargame). Каждый год игра проводится на основе актуальных стратегических задач, стоящих перед вооруженными силами США. (В 2012 г. участники игры боролись с пиратами недалеко от Африканского Рога.) Имя Шрайвера носит военная база в Колорадо, которая отвечала за организацию игры. Это одно из важнейших имен в истории военно-воздушных сил США: Бернард Адольф Шрайвер, или Бенни, был немецким иммигрантом, который в 1961 г. стал американским генералом. Он был одним из пионеров разработки космических и баллистических ракет.
Среди участников игры 2010 г. были старшие армейские офицеры, представители всех военных командований, а также военные и гражданские специалисты по кибербезопасности более чем из 13 американских правительственных организаций, в том числе из АНБ, Министерства внутренней безопасности и Национального управления военно-космической разведки, которое отвечает за сеть спутников-шпионов и, вполне возможно, является самой секретной из всех разведывательных служб. Кроме того, были замечены руководители технологических компаний вместе с занудами-аналитиками и официальные делегации из Австралии, Канады и Великобритании – трех ближайших союзников США, – а также один из бывших членов конгресса, Том Дэвис, на территории избирательного округа которого были расположены многие крупнейшие компании, работавшие на Министерство обороны и разведслужбы. В военной игре Дэвис исполнял роль президента Соединенных Штатов.
Шел 2022 г. «Региональный противник» в Тихоокеанском регионе – конкретно он никогда называется, но все знали, что подразумевались Китай или Северная Корея – отреагировал на военную провокацию со стороны союзника США. Противник произвел деструктивную кибератаку на компьютерные сети союзника. Союзник потребовал применения соглашения о взаимной обороне с Соединенными Штатами. Вашингтон должен был ответить.
Прежде чем американские вооруженные силы могли принять решение о своем первом шаге, противник совершил упреждающий удар, проведя «агрессивную, обдуманную и решительную» атаку для блокировки доступа американских сил к компьютерным сетям, необходимым для связи и отправки приказов, согласно заявлению американского генерала, принимавшего участие в игре.
«Красные блокируют Синих», – такое сообщение получили игроки.
«Синие» готовились к блокаде на воде, но не в Интернете. Они знали, как просигнализировать противнику: «Мы тебя видим – отступи». Они могли связаться с ним по радиосвязи. С помощью сигнальных огней. Звуковых сирен. Они могли вызвать другие корабли для демонстрации силы. Существовали агрессивные, но не смертельные меры, которые мог предпринять командир, не открывая огонь по кораблям противника, чтобы остановить его продвижение.
Однако единственное, что игроки умели делать в киберпространстве, – это атаковать вражескую сеть и уничтожить ее, игнорируя все сигналы и предупреждения, переходя непосредственно к полноценной битве. Здесь не существовало команды «свистать всех наверх» для вызова экипажа на боевые посты. Тут либо атакуешь, либо нет. Традиционная стратегия сдерживания была бесполезной.
Также было непонятно, имеются ли у противной стороны своя стратегия сдерживания или хотя бы представление о ценности и необходимости такой стратегии. Военные стратеги любят сравнивать кибероружие с ядерным, поскольку применение и того и другого может привести к масштабным, стратегически важным разрушениям и требует санкции президента. Однако на случай ядерной войны был разработан порядок четких, понятных действий, которые могла предпринять каждая сторона, и это позволяло не доводить ситуацию до реального применения ядерного оружия. Во время холодной войны Соединенные Штаты и Советский Союз помогали сохранить хрупкий мир преимущественно благодаря ясному пониманию того, каким образом они могут и будут уничтожать друг друга. Советы испытали новую ракету, американцы продемонстрировали свою. Первые говорили о развертывании ракет поблизости от целей в Европе, американский президент открыто предупреждал о возможности применения ядерного оружия и говорил о своей надежде, что этого все-таки никогда не случится. В этом противостоянии каждый из оппонентов делал шаг вперед и тут же отступал назад, использовал громкие слова и стучал кулаком по столу, но тем не менее обе стороны неявно предполагали, что попытаются избежать ядерной войны, а не спровоцировать ее. Предупреждения о намерениях противника давали каждой стороне время сдать назад, остыть и сохранить лицо.
Но теперь, в этой игре, региональный противник продолжал атаковать абсолютно непредсказуемо. После удара по компьютерным сетям американских сил он отправил спутники-захватчики для блокировки американских спутников, выталкивания их с орбиты и вывода из строя.
В течение следующих четырех дней армейские командиры напряженно работали над ответными действиями, чтобы избежать полномасштабной войны, которая, по их убеждению, приведет к огромным жертвам с обеих сторон. К работе подключились высшие руководители Министерства обороны и Белого дома. Американские силы обнаружили, что у них нет соглашений с иностранными союзниками на случай кибервойны, поэтому не было плана, описывавшего международную реакцию. Военные начальники обратились за помощью к корпоративным руководителям. Какие технологии есть у компаний, с помощью которых можно отправить врагу некий сигнал и заставить его изменить тактику? Есть ли такая вещь, как невраждебная кибератака? Ответы на эти вопросы никто не знал наверняка.
Враг уже принял решение, что кибернетические и космические атаки – это лучший способ противостояния агрессии соседа и предотвращения ответных действий со стороны США. Противник «провел красную черту». И ему уже удалось вывести из игры США, ответная реакция которых увязала все глубже, по мере того как все больше и больше высших руководителей включались в обсуждение о том, какие действия будут эффективными и законными в сложившейся ситуации. Могущественная сверхдержава сжалась до кучки сбитых с толку и дезорганизованных игроков. И, что еще хуже, по словам одного из участников, складывалось впечатление, что именно этого и добивался враг. «Мы непреднамеренно и покорно следовали сценарию, написанному противником для этой кампании, а наши военные действия по сдерживанию не имели никакого влияния на их метод принятия решений».
Все военные игры начинаются с задания исходных условий. Игроки рискуют, когда предполагают, что эти условия будут иметь место в реальной жизни, и исключают из рассмотрения возможные альтернативы. «Военная игра Шрайвера» была спланирована так, что Китай или Северная Корея непременно запустят превентивную кибератаку. Конечно, они могут этого и не сделать. Может быть, в реальной ситуации они испугаются кибернетического или, еще хуже, ядерного контрудара со стороны США. Возможно, один из уроков этой военной игры состоял в том, что военным следует пересмотреть исходные положения и оценить, насколько вероятным будет первый удар в киберпространстве со стороны другой страны при условии гарантированных потерь и разрушений, которые последуют, по мнению военных, для обеих сторон.
Вместо этого игра укрепила естественную предрасположенность военных к войне. Она убедила высших офицеров и руководителей Пентагона, что если когда-либо вспыхнет кибервойна, то это случится «со скоростью света», практически без каких-либо предупреждений. С этого момента каждый раз, когда эти люди отвечали на вопросы в конгрессе, выступали с речами или давали интервью прессе, всякий раз они предупреждали о стремительной и разрушительной природе кибервойны. Это утверждение стало своеобразным символом веры при стратегическом планировании. Соединенные Штаты, по их словам, должны были готовиться к неизбежности подобного конфликта и предпринять чрезвычайные меры по укреплению своих сил для защиты и нападения.
Результаты военной игры оказались тревожными, но существовали угрозы более близкие к дому, которые беспокоили американские власти. В мае 2009 г. в своей речи, произнесенной в Восточном кабинете Белого дома, президент Обама сообщил, что «кибервзломщики зондируют наши электрические сети, а в других странах кибератаки погружают во тьму целые города». Обама не сказал, что иностранные хакеры уже на самом деле выключали свет в Соединенных Штатах. Однако в частных беседах некоторые сотрудники разведки заявляли, что ответственность за две крупных аварии в энергосистеме США, произошедшие в 2003 и 2008 гг., лежит на взломщиках из Китая. Первая из упомянутых аварий была крупнейшей в Северной Америке за всю историю. Она охватила территорию площадью 150 000 км2, включая штаты Мичиган, Огайо, Нью-Йорк и некоторые районы Канады. По оценкам, от аварии пострадали около 50 млн человек. Авария сопровождалась сильной паникой среди населения. Президенту Бушу даже пришлось выступить с обращением к нации, чтобы убедить людей в том, что свет скоро снова загорится. В течение 24 часов электроснабжение было большей частью восстановлено.
Один эксперт в области информационной безопасности, работавший на государство и крупный бизнес, препарировал китайские шпионские программы и вирусы, которые обнаруживались на компьютерах его работодателей. Он рассказал, что во время второй аварии китайский хакер, работавший на Народно-освободительную армию (НОА) Китая, пытался изучить энергосеть штата Флорида и, видимо, совершил ошибку. «Вероятно, хакер должен был только составить схему системы для своего начальства, но увлекся и в какой-то момент захотел узнать, “а что будет, если я нажму на эту кнопку”». Эксперт полагал, что хакер запустил каскадный эффект, вследствие которого часть энергосистемы Флориды отключилась. «Я подозреваю, что в момент отключения системы хакер НОА сказал по-китайски что-то вроде “Упс, ошибочка вышла”».
Компании, управлявшие сетями и электростанциями, категорически отвергали обвинения и указывали, что по результатам общественных расследований аварии произошли по естественным причинам, в том числе из-за высоких деревьев, ветви которых закоротили воздушные линии электропередач. Никто из официальных лиц не представил надежных доказательств того, что за авариями стояли китайцы. Однако постоянные слухи о причастности Китая показывали степень ужаса и паранойи, царивших в Вашингтоне из-за кибератак.
Кроме вероятной атаки на американские электросети серьезную озабоченность властей вызывало непрерывное воровство интеллектуальной собственности и коммерческих тайн у американских компаний, прежде всего хакерами из Китая. Александер, который в 2010 г. возглавил Кибернетическое командование, назвал необузданный промышленный шпионаж, проводимый Китаем, «величайшим в истории перераспределением богатства». В 2012 г. конгресс в итоге вынужден был одобрить законопроект. Это случилось через шесть лет после того, как обнаружилось, что собственные компьютеры законодателей были инфицированы шпионским ПО, и скорее всего это было сделано китайскими хакерами. Компьютеры, работавшие в офисах нескольких комитетов в палате представителей, также были заражены. В их числе оказались комитеты по контролю за торговлей, транспортом и инфраструктурой, национальной безопасностью и даже влиятельный Бюджетный комитет. Комиссия конгресса по Китаю, которая наблюдала за соблюдением прав человека и законов в Китае, также попала под удар. Оказалось, что в большинстве комитетских кабинетов были один или два зараженных компьютера. В Комитете по международным отношениям (который теперь называется Комитетом по иностранным делам), контролирующим внешнюю политику США, в том числе и переговоры с Китаем, было инфицировано 25 компьютеров и один сервер.
В 2012 г. на рассмотрение конгресса были внесены предложения, которые среди прочего давали властям больше полномочий для получения и сбора информации о кибервторжениях и кибершпионаже в компьютерных сетях от компаний, подвергшихся атаке. Идея заключалась в том, чтобы наладить обмен информацией о потенциальных угрозах, а кроме того, принудить компании усилить меры обеспечения собственной безопасности. Однако некоторые компании отказались участвовать, опасаясь, что законопроект вызовет новую волну дорогостоящего и навязчивого регулирования. Также компании опасались исков со стороны своих клиентов за работу на правительственные структуры. Провайдеры хотели иметь юридические гарантии того, что, передавая информацию об атаках в Министерство обороны или в Министерство внутренней безопасности, они не будут нести ответственность за разглашение персональных данных, которые могут содержаться в передаваемой информации. Это могут быть, например, идентификационная информация о пользователях или интернет-адреса людей, чьи пакеты данных были перехвачены или чьи компьютеры были подвергнуты опасности.
Торговая палата США, влиятельная и богатая торговая ассоциация с долгой историей поддержки кандидатов от Республиканской партии, заявила, что законопроект даст властям «слишком широкие возможности контроля тех действий, которые бизнес-сообщество может предпринять для защиты своих компьютеров и сетей». В то время как консервативные чиновники критиковали закон о здравоохранении, предложенный Обамой, в том числе за попытку вторжения властей в частную жизнь граждан, Торговая палата стала самым красноречивым оппонентом законопроекта о кибербезопасности как еще одного примера государственного произвола. Представители «Великой старой партии»[5] в конгрессе плотно сомкнули ряды и лишили всеобъемлющий законопроект о кибербезопасности всякого шанса.
Не дождавшись действий от конгресса, президент Обама в феврале 2012 г. подписал указ, который ориентировал американскую политику на «расширение безопасности и устойчивости национальной жизненно важной инфраструктуры». Столь широкое понятие «жизненно важной инфраструктуры» было использовано намеренно, чтобы охватить им множество промышленных и коммерческих компаний. Президент определил его как «системы и ресурсы, физические или виртуальные, настолько жизненно необходимые для Соединенных Штатов, что прекращение работы или разрушение этих систем и ресурсов существенно ослабит безопасность, национальную экономику и национальное здравоохранение, по отдельности или в любых комбинациях». Следуя этому определению, электрическая станция, несомненно, относится к жизненно важным ресурсам. Но к ним же можно отнести и банк. И больницу. А также поезда, автобусы и транспортные компании. Относится ли экспресс-почта UPS к жизненно важной инфраструктуре? Если считать, что перечисленные виды деятельности завязаны на грузоперевозки и своевременную доставку товаров и услуг, то вполне может быть.
Своим указом Администрация Обамы давала понять конгрессу и представителям бизнеса, что она не собирается ждать, пока выйдет новый закон, усиливающий влияние власти в Интернете. Приказ поручал федеральным службам начать более интенсивный обмен информацией о киберугрозах с компаниями; Министерству торговли и Национальному институту стандартов и технологии разработать рамочные стандарты безопасности, внедрение которых в коммерческих компаниях должно поощряться; министру внутренней безопасности составить список критических инфраструктурных объектов, на которых происшествия в сфере кибербезопасности «могут привести к катастрофическим последствиям в региональном или национальном масштабе».
Белый дом все еще был готов бороться за новый закон о кибербезопасности. А между тем президентский указ Обамы имел серьезные последствия: он дал военным зеленый свет на подготовку к кибервойне.
Президентский указ вместе с секретной директивой президента Обамы, подписанной им пятью месяцами ранее и не публиковавшейся в открытой печати, четко показал, что руководить национальной обороной во время кибератаки будут военные, а также как вооруженные силы приводятся в действие в случае вторжения иностранной армии в США или когда иностранные ракеты летят к американских городам, кибервойска страны будут подняты для защиты против цифровых атак и нанесения ответного удара.
Указ позволил Министерству обороны легко расширить программу обмена секретными данными об угрозах и включить в нее не только оборонную промышленность, но и те «жизненно важные инфраструктурные объекты», список которых составлялся властями. В отдельной директиве, известной под кодовым названием PDD-20, было сформулировано, как и при каких условиях военные могут вступить в кибервойну и кто может отдавать на этой войне приказы.
Любая кибератака может быть проведена только по приказу президента. Но в чрезвычайной ситуации президент может делегировать эти полномочия министру обороны. Например, если электростанции грозит атака и нет времени, чтобы получить одобрение президента на проведение оборонительных действий, в том числе выполнение контрудара по источнику атаки, то приказ может отдать министр обороны.
Однако PDD-20 на самом деле не совсем о киберобороне. Директива поручает военным составить список зарубежных целей «национального значения», атаковать которые кибероружием для США будет проще или эффективнее, чем оружием обычным. Эти цели в некотором смысле подобны высокоприоритетным целям в Советском Союзе во времена холодной войны. Именно туда бомбардировщики должны были сбрасывать свои бомбы в случае войны. В PDD-20 не были указаны конкретные объекты, однако национальное значение, естественно, имели телекоммуникационные системы; сети оперативно-командного управления, используемые вооруженными силами; сети финансовых организаций; системы противовоздушной обороны и управления полетами; жизненно важные инфраструктурные объекты, такие как электрические сети. Это те же объекты, которые бы стали мишенями для иностранной армии в кибервойне на территории США.
В директиве также давались указания другим правительственным министерствам и службам, включая Государственный департамент, ФБР, АНБ, Министерство финансов и Министерство энергетики, о разработке планов ответных действий против «длительной злонамеренной деятельности в киберпространстве, направленной против интересов США» на случай, когда «сетевая защита или методы законного принуждения оказываются недостаточными или не могут быть использованы вовремя». Армии также следует проводить подобные атаки под руководством президента.
Для армейских командиров и гражданских чиновников директива PDD-20 играла роль правил дорожного движения для кибервойны. Она стала ключевым документом, в котором были сформулированы правила ведомственного подчинения, определены сферы ответственности и общие принципы. В ней говорилось, что Соединенные Штаты будут вести кибервойну в соответствии с нормами международного права в период вооруженных конфликтов: удары должны сопровождаться минимальными сопутствующими разрушениями и должны быть соразмерны угрозе или масштабам атаки на Соединенные Штаты. Кроме того, военные должны действовать осторожно, чтобы не повредить и не разрушить те сети, которые соединены с объектом атаки. Вирус или червь, созданные для атаки на электростанцию в Иране, не должен уничтожить станцию в Китае. «Мы не хотим начинать третью мировую войну», – сказала Анна Барон-ДиКамилло, высокопоставленный чиновник в Министерстве внутренней безопасности, которая работала с Министерством обороны над координацией ответных действий на кибератаки в Соединенных Штатах.
Не менее важным было и то, что PDD-20 формировало фундаментальные принципы, на основе которых Соединенные Штаты будут вести войны в будущем: директива повышала статус киберопераций до уровня традиционного сражения и предписывала вооруженным силам совмещать кибервойну «с другими наступательными возможностями США» на суше, в воздухе, на море и в космосе.
Военные выделяли три типа киберопераций и, соответственно, три вида подразделений для их проведения.
Первая миссия, для выполнения которой предназначалось самое большое подразделение, состояла в защите и поддержании работоспособности военных сетей по всему миру – начиная от полей сражения в Иране и Афганистане и заканчивая водами Тихого океана, где объединенные силы сухопутных, военно-морских и военно-воздушных войск составляли первую линию атаки в любой потенциально возможной войне с Китаем. Задачей этих «сил киберобороны», как их называли сами военные, было не допустить проникновения иностранных врагов и хакеров в свои военные сети. Попытки вторжения повторяются до нескольких тысяч раз в день, но в основном это автоматическое зондирование, а не реальные атаки, и от них можно отбиться с помощью программ, работающих в автоматическом режиме. Кроме того, Министерство обороны ввело ограничение на количество точек, в которых подведомственные сети подключаются к Интернету. Это помогает укрепить военную оборону. Специальные фильтры сканируют каждую порцию информации, которая проходит через эти точки, и ищут червей, вирусы и другие признаки попыток вторжения, в том числе, трафик, приходящий с интернет-адресов, которые, предположительно, используются иностранными военными или разведывательными службами.
Это касается повседневной защиты. Силы обороны смогут реально зарабатывать звездочки на погоны только в случае полномасштабной войны, когда американский противник достанет свое самое совершенное кибероружие и пустит в дело лучших воинов, чтобы вывести из строя сети оперативно-командного управления или нарушить информацию в этих сетях. Киберудары могут происходить еще до первой перестрелки в качестве прелюдии к более традиционной битве или как часть активной «кинетической» операции. К примеру, в 1990-х гг. во время войны на Балканах американские хакеры проникли в систему противовоздушной обороны Боснии и перепрограммировали контроллеры так, что они перестали правильно определять направление движения приближающегося самолета.
Оборонная миссия осложняется тем, что военные не владеют и не контролируют большую часть своей сетевой инфраструктуры: 99 % электроснабжения и 90 % услуг голосовой связи для нужд военных ведомств обеспечивается частными кабелями, маршрутизаторами и прочими объектами инфраструктуры. Защита военных сетей «не становится легче, так как наши ключевые сети и системы, от которых мы зависим, не находятся под непосредственным контролем министерства обороны», – говорит генерал-майор Джон Дэвис, советник по кибербезопасности в Пентагоне.
Итак, силы киберобороны создали «охотничьи отряды», которые работают совместно с кибершпионами из АНБ и Разведывательного управления МО США над поиском потенциальных угроз в военных сетях. Как рассказал чиновник из Пентагона, имевший дело с подрядчиком по вопросам систем слежения, военные имеют доступ к базе данных, содержащей досье на каждого известного хакера в Китае. В досье указано, какой вид вредоносного ПО хакер предпочитает использовать, какие системы он выбирал в качестве целей атаки и где он, предположительно, работает. В некоторых случаях в досье имеется фотография, полученная оперативными сотрудниками разведки в Китае или приобретенная у частных разведывательных компаний, чьи сотрудники преследуют хакеров в реальном мире. Когда известны личности хакеров, военные могут выстраивать оборону более эффективно, зная предпочтительные для хакеров цели. Кроме того, можно заманить хакера в систему с помощью ложной или вводящей в заблуждение информации, а затем отследить его действия в контролируемой среде. Чем дольше хакер остается внутри системы, пытаясь украсть важные, как ему кажется, документы, тем дольше американская разведка сможет изучать его метод и развивать способы противодействия.
В АНБ есть подразделение, известное как Отдел нарушений. Оно специализируется на подобного рода слежке за хакерами, но делает еще один шаг вперед. Отдел наблюдает, как хакер взламывает компьютерную систему в какой-нибудь другой стране, и потом следует за ним. В 2010 г. при проведении операции под названием «Железный мститель» (Ironavenger) Отдел нарушений обнаружил электронные письма, содержащие вредоносное ПО, которые были отправлены в правительственное ведомство некоего враждебного государства – одного из тех, о котором АНБ хотело бы узнать побольше. При дальнейшем исследовании Отдел обнаружил, что вредоносное ПО пришло от союзника США, разведслужба которого пыталась проникнуть внутрь системы. Американцы позволили своим союзникам сделать всю тяжелую работу и тихо наблюдали, пока те выкачивали пароли и важные правительственные документы из системы противника. Американцы, которые видели все действия своих союзников, тем самым смогли получить некоторую конфиденциальную информацию об их методах шпионажа.
Вторая военная миссия киберподразделений состоит в обеспечении поддержки вооруженных сил во время боя. Этим занимаются кибервоины, сражающиеся вместе с сослуживцами, снабженными обычным, традиционным оружием. Эти отряды участвуют в обороне и в нападении и распределены по всем родам войск. У каждого отряда своя специализация в зависимости от места службы. К примеру, в военно-воздушных войсках киберсолдаты обучаются взлому вражеских систем противовоздушной обороны и управления полетами. В сухопутных войсках больше внимания уделяется наземным операциям: к примеру, проникновению в системы оперативно-командного управления артиллерией.
В отличие от ранних этапов становления кибервойны, теперь для осуществления боевых кибератак больше не требовалось каждый раз получать одобрение президента. В инструкции о целеполагании Объединенного комитета начальников штабов говорится, что большинство решений о том, кого и что атаковать, должно приниматься главой Кибернетического командования США. «Целеполагание в киберпространстве обычно следует процессам и процедурам, которые используются при традиционном определении целей для атаки», утверждается в инструкции. Другими словами, теперь военные считают, что кибероружие не так уж сильно отличается от ракет, бомб и пуль. Военные командиры должны всегда помнить об «уникальной природе киберпространства, отличающейся от обычного реального мира», а именно о вероятности причинения с помощью кибероружия широкого сопутствующего ущерба.
Навыки этих отрядов поддержки избыточны, то есть в будущих войнах «сухопутные» хакеры могут без больших трудностей перескочить в военно-воздушную миссию. Во время иракской войны армейские операторы взламывали сотовые телефоны повстанцев и отправляли им дезинформирующие сообщения, поскольку воевали с повстанцами на поле боя именно сухопутные войска. Однако у кибервоинов из военно-воздушных сил тоже имеются навыки проведения подобного рода дезинформации, и нет никаких причин, которые бы помешали им вступить в игру в случае, когда армейские были бы заняты в других сражениях. Аналогично военно-морской киберсолдат, обученный тому, как взломать навигационную систему вражеской подводной лодки или «поджарить» корабельный радар, может произвести разрушения и в коммерческой телекоммуникационной сети.
Третья главная задача заключается в защите самих Соединенных Штатов, и легла эта задача на так называемые Силы национальной кибернетической миссии. Эти Силы проводят не только оборонные операции. Они будут приведены в действие по приказу президента или министра обороны, если Китай попробует вывести из строя электрическую станцию или Иран попытается изменить базы данных ведущих банков или систем финансовых операций. Члены Сил национальной миссии умеют перенаправлять вредоносный трафик от атакуемого объекта, при необходимости вторгаться в сети или совершать ответные атаки на источник угрозы и уводить его в офлайн. Подчиняются Силы национальной миссии Кибернетическому командованию США, которое связано с АНБ и его хакерским Отделом специализированного доступа. Силы национальной кибернетической миссии – это только малая часть всех военных киберподразделений, где-то около 1 %, хотя точная цифра засекречена.
Пентагон «в полную силу разрабатывает наш метод, с помощью которого службы вольются» в трехуровневую структуру кибернетических сил США, как говорит Дэвис. Начиная с 2011 г. военные проводят регулярные кибервоенные игры на авиабазе Неллис, где проходила ключевая «Военная игра Шрайвера». В каждом из военных боевых командований власти основали объединенный центр управления кибероперациями, организованный в соответствии с географическим регионом. Возглавляют эти центры офицеры в звании генерал-полковника или адмирала. Каждый центр оборудован системами чрезвычайной конференц-связи, поэтому в случае надвигающейся или происходящей кибератаки на Соединенные Штаты военные ведомства, Министерство обороны, разведслужбы и дипломатические представители смогут быть на связи с президентом и Советом национальной безопасности – своего рода кабинетом министров на время кибервойны – и принимать решения об ответных действиях. Есть и свои системы оперативно-командного управления для американских кибератак. Существует даже чрезвычайная линия связи между Вашингтоном и Москвой – кибернетический аналог красного телефона времен холодной войны.
Ключевая инфраструктура для ведения кибервойны создана. Теперь Соединенные Штаты собирают армию.
Для создания кибернетических сил военным пришлось сначала отобрать самых лучших бойцов. Для каждого рода войск были разработаны тесты на определение способностей по форме тех, которые используются в крупных корпорациях. Тесты позволяли выяснить, подходит человек для работы по техническому обслуживанию и защите сетей или он может быть привлечен к более редким и сложным наступательным миссиям. Во вспомогательных родах войск началось внедрение базового обучения кибернетической безопасности всех молодых офицеров; в военно-воздушных силах такое обучение уже было обязательным. В пяти академиях военной службы методы ведения кибервойны были введены в учебную программу. Каждый год начиная с 2000-го лучшие хакеры из каждой академии соревновались друг с другом в военной игре, спонсором которой выступало АНБ. Целью соревнований было не просто состязание разных школ, но и проверка их стойкости в противостоянии с лучшими кадровыми кибервоинами.
«Мы создали сеть с нуля, а потом защищали ее от команды из АНБ», – рассказывает Мартин Карлайл, профессор в области компьютерных наук в Академии ВВС США и директор открытого при ней Центра исследований киберпространства. Битва продолжалась два с половиной дня. В 2013 г. академия выставила на соревнования команду из 15 специалистов в компьютерных областях, которая противостояла «красной команде» (так в военной игре назывался агрессор) из АНБ, состоящей почти из 30 участников – военных офицеров, гражданских специалистов и подрядчиков АНБ. Команде агентства не позволялось использовать секретные методы взлома, тем не менее они действовали против курсантов, которых, вероятно, увидят в деле, если когда-нибудь Соединенные Штаты вступят в кибервойну с иностранной армией. «Красная команда» АНБ попыталась проникнуть в сети ВВС и изменить ключевые данные, чтобы курсанты больше не могли быть уверены в их достоверности. Они запустили в сеть известные компьютерные вирусы и попытались установить бэкдоры в системах курсантов.
Команда ВВС выиграла в соревновании 2013 г., и эту победу они одержали второй раз подряд. А всего с момента начала игр в 2001 г. они победили четыре раза.
Будущие специалисты по кибербезопасности ВВС США проходили специальное обучение на авиабазе Кислер, расположенной в северной части побережья Мексиканского залива. Чтобы стать пилотом, нужно закончить летную школу, точно так же и будущие кибервоины должны преодолеть все тяготы подготовки, прежде чем они смогут носить эмблему киберподразделения – пару серебряных крыльев на фоне земного шара, перекрещенных молниями.
Следующий и самый важный этап в обучении киберсолдат – это стажировка на рабочем месте, «когда ваши пальцы на клавиатуре», как говорит генерал-лейтенант Майкл Басла, глава подразделения информационного доминирования и старший офицер по информационным технологиям (CIO) военно-воздушных сил. «Информационное доминирование» включает в себя пропаганду, дезинформацию и компьютерные операции. А CIO – обычно главный технарь в организации, ответственный за поддержание актуальности и работоспособности сетей. В ВВС персонал, обеспечивающий техническое обслуживание сетей, работает вместе со специалистами по их защите, а также с теми людьми, кто проводит наступательные операции. Это одно большое объединение технарей.
Примерно 90 % численности киберподразделений ВВС (а по состоянию на 2013 г. это примерно 12 600 человек) работает на оборону. Они охраняют сети, устраняют уязвимости и стараются следить за изменениями в программном и аппаратном обеспечении, которые создают дополнительные дыры в защите. Менее 1 % киберсолдат ВВС заняты тем, что Басла называет «тонкой» работой по проникновению в компьютерные системы противника.
У этой диспропорции есть две серьезные причины. Во-первых, наступление намного труднее, чем оборона. Методы и средства и для того и для другого во многом одинаковы, но приказать защитнику пойти и взломать вражеский компьютер, находящийся под крайне надежной защитой, это примерно то же самое, как попросить автомеханика, пусть даже талантливого, отремонтировать двигатель реактивного самолета. Он может понимать теоретически, как выполнить такое задание и каковы общие принципы, однако применение этих знаний на практике будет на порядок труднее.
Вторая причина, по которой наступательная часть настолько мала, состоит в том, что военные только недавно сделали ведение кибервойны приоритетной задачей. Защита военных сетей и компьютеров, разросшихся за последние 15 лет, долгое время была частью этой миссии. Сегодня акцент сдвигается, поскольку кибервойна была интегрирована в общую военную доктрину.
Тем не менее если американским кибервойскам когда-нибудь и придется участвовать в войне, то они столкнутся с противником, настолько же хорошо подготовленным и имеющим численное превосходство.
В течение более десяти лет действовало несколько групп хакеров из Китая. Кое-что из их первой работы можно было увидеть в 1999 г., когда американские войска непреднамеренно разбомбили китайское посольство в Югославии во время войны в Косово. Негодующие «патриотичные хакеры» взломали сайты Министерства энергетики, Министерства внутренних дел и Службы национальных парков США. Хакеры убрали обычное содержимое сайтов и заменили его антиамериканским посланием: «Протестуйте против фашистских действий США! Протестуйте против зверств НАТО!» Белый дом также подвергся массированной DDOS-атаке[6], когда подвергшийся атаке сервер не может справиться с входящим трафиком и уходит в офлайн. В целях предосторожности Белый дом на три дня отключил свой сервер.
Сегодня эти группы китайских хакеров, мотивированные собственным чувством национальной гордости и сопротивлением военным действиям иностранного государства, получают приказы от руководителей китайских военных ведомств и разведслужб. Их не призывали под знамена Народно-освободительной армии Китая, которая тайно оказывает им поддержку и одновременно не замечает их существования. Последнее время эта работа состоит по большей части в похищении информации. Китайские хакеры в каждом министерстве и ведомстве федерального правительства проникли в секретные компьютерные системы или подвергли их опасности. Они взломали бессчетное количество баз данных, чтобы выкрасть информацию, представляющую коммерческую тайну. Как и те хакеры, которые в 2007 г. проникли в сети подрядчиков Министерства обороны, эти взломщики искали любую обрывочную информацию, которая дала бы Китаю военное или экономическое преимущество и поспособствовала продвижению глобальной стратегии развития страны.
Китайские хакеры опытны и жестоки. И, кроме того, лишены всяческого стыда. Они гораздо менее предусмотрительны в сокрытии своих следов, чем их американские противники. Отчасти это связано с их уверенностью в том, что американские власти не хотят публичности. Правительство не склонно объявлять о том, что его важнейший торговый партнер и кредитор стал жертвой глобальной шпионской кампании. Кроме того, китайцы рассматривают кибершпионаж и кибервойну как набор тактических приемов, которые помогают им соперничать с более передовыми экономическими, военными и разведывательными организациями. Они не мучаются угрызениями совести, когда взламывают системы конкурентов, поскольку знают, что это одна из немногих возможностей получить некоторое преимущество перед своими оппонентами. У Китая нет «флота голубой воды»[7], способного вести боевые действия в Мировом океане. Но у него есть кибервойска, которые могут нанести ущерб американским объектам, находясь на другом конце света.
Китайские кибервойска, как и аналогичные подразделения в России, создали технологии взлома американских военных самолетов. В частности, китайцы разработали метод внедрения компьютерных вирусов по беспроводной связи в системы трех моделей самолетов, которые ВВС используют для ведения наблюдения и разведки. Атака осуществляется посредством электромагнитных волн и направлена на бортовые системы наблюдения, которые их излучают. Это очень изобретательная тактика и потенциально крайне разрушительная: такой удар может вывести из строя системы управления самолетом, что приведет к его падению.
Однако эти достижения были предсказуемы. Веками китайцы использовали стратегию асимметричного удара и подавляли более крупного противника, атакуя его слабые места обычным оружием. Кибернетический шпионаж и кибервойна – это просто новейшие примеры в долгой, вызывающей у китайцев чувство гордости традиции.
Не совсем верно считать китайских хакеров организованной группой. Они не работают как единый коллектив, и их организация до сих пор остается загадкой – в отличие от американцев, китайцы не разглашают свою кибервоенную иерархию и структуру командования. Тем не менее для выработки методов противодействия американские специалисты по безопасности часто считают хакеров единой структурой, поскольку у них есть нечто общее – национальная гордость, вера в экономический шпионаж как средство национального развития и стратегия асимметричной силы. Эксперты в области безопасности дали китайской киберорде имя – передовая постоянная угроза. «Именно она ответственна за глобальное распространение вредоносного ПО, которое заразило или попыталось заразить каждую значимую компьютерную систему в США», – заявляют американские власти. Любая американская компания, работающая за рубежом и ведущая бизнес с Китаем, или в Китае, или с любым из китайских конкурентов, может быть уверена, что она тоже объект шпионажа. Многие компании даже не догадываются об этом. В среднем, в большинстве компаний проходит по крайней мере месяц, прежде чем они обнаруживают, что в их сетях появился взломщик.
Точное количество китайских киберсолдат неизвестно, но эксперты едины во мнении относительно двух вещей: это количество очень велико и составляет, вероятно, десятки тысяч человек, и, в отличие от США, китайские киберсолдаты ориентированы преимущественно на нападение.
В 2013 г. Джо Стюарт, директор отдела изучения вредоносного ПО в компании Dell SecureWorks, рассказал в интервью для Bloomberg Businessweek, что ему удалось отследить 24 000 интернет-доменов, которые, как он полагает, были арендованы или взломаны китайскими кибершпионами и используются как плацдарм для проведения операций, направленных против властей США и американских компаний. Точное число хакеров трудно посчитать, но Стюарт различает три сотни видов вредоносного ПО и методик взлома, которые использовались китайцами, и, по его оценкам, это в два раза больше, чем было в 2012 г.: «С их стороны было привлечено громадное количество людских ресурсов».
В 2013 г. исследовательская фирма Mandiant, изучавшая вопросы компьютерной безопасности, выпустила революционный отчет, в котором она идентифицировала и установила местоположение предполагаемой хакерской группы, известной как Unit 61398 (китайское военное кодовое название), основанной в Шанхае. Один из их главных центров операций находился в 12-этажном здании общей площадью 130 000 м2, способном вместить 2000 человек. Компания отследила деятельность Unit 61398 с 2006 по 2013 г. и обнаружила, что около 150 организаций стали жертвами взломов, совершенных этой группой. В Mandiant сделали вывод, что эта группа была одной из самых продуктивных в Китае. Другие эксперты по компьютерной безопасности связали деятельность группы с произошедшим в 2012 г. вторжением в сети канадского отделения компании Telvent. Эта компания разрабатывает системы автоматизации технологических процессов, используемые для управления клапанами и вентилями, а также системы безопасности для нефтяных и газовых компаний в Северной Америке. В Telvent подтвердили, что взломщики украли файлы проектов. Хакеры могли их использовать для построения схемы сетей нефтегазовых компаний и поиска их слабых мест.
Группа Unit 61398 вызывала серьезные опасения и была очевидно заинтересована в потенциальных атаках на жизненно важные объекты инфраструктуры. Вместе с тем это была всего лишь одна из 20 хакерских групп, которые удалось отследить специалистам из Mandiant. В целом китайские хакеры по большей части заняты шпионажем. Однако для участников этих групп не представляет труда переключиться в режим кибервойны и начать выводить из строя системы, уничтожать данные или запускать вредоносное ПО на жизненно важных объектах инфраструктуры, таких как электростанции и телекоммуникационные сети. Если численность каждой из этих 20 групп составляет хотя бы половину от численности Unit 61398, тогда китайская передовая постоянная угроза насчитывала бы более 12 000 человек.
Соединенные Штаты прошли долгий путь, чтобы сравняться по размерам кибервойск с Китаем. В 2013 г. в отделе специализированного доступа – элитном центре АНБ – работало всего около 300 человек. В штате Киберкомандования США, отвечающего за координацию действий всех военных киберподразделений, было около 900 человек, включая административных сотрудников и офицеров, не занимавшихся активным хакингом. Министерство обороны планирует увеличить численность кибервойск до 6000 человек до конца 2016 г. Если бы сегодня Китай прекратил наращивание своих кибервойск, то и тогда их численность оставалась по крайней мере в пять раз выше американской.
Для расширения кибервойск США командиры планируют переобучить сетевых защитников в солдат. В ВВС, например, большая часть киберкоманды – это специалисты технического сопровождения и системные администраторы – разновидность службы технической поддержки.
Тем не менее эти специалисты – все, чем ВВС располагают на данный момент. Планов по расширению штата киберподразделений нет. Действительно, войска ВВС сегодня имеют наименьшую численность личного состава за всю историю, и в дальнейшем она будет продолжать уменьшаться из-за принятого в 2013 г. решения об обязательном сокращении расходов. Киберкомандование США, которое управляет всеми кибероперациями, тоже планирует выйти из разряда вспомогательного персонала. Власти хотят автоматизировать большинство функций поддержки военной компьютерной инфраструктуры и в идеале высвободить персонал для наступательных операций.
«Мы испытываем недостаток профессионалов, обладающих критически важными навыками», – говорит генерал-майор Джон Дэвис, старший военный советник по кибернетической политике в Пентагоне. Военное ведомство не может платить своему персоналу столько же, сколько платят в коммерческом секторе, где наиболее подготовленные и опытные военные хакеры могут легко зарабатывать в два раза больше, работая на государственных подрядчиков. «ВВС никогда не смогут победить в войне предложений» с частным бизнесом, считает Марк Мейбери, старший научный сотрудник ведомства. То же самое можно сказать и о других родах войск. И для этой проблемы на рынке труда нет очевидного решения. У военных нет такого количества денег, чтобы нанять большее количество киберсолдат. А у конгресса нет большого желания поднять зарплату и в существующих подразделениях.
Военные настаивали на том, что методам ведения кибервойны нужно обучать в колледжах и университетах, аналогично тому, как это делают ВВС. Лишь немногие учебные заведения этим занимаются. Большая же часть относится к компьютерному хакерству как к неприятному, отталкивающему занятию. «Университеты не хотят этого касаться, они не хотят обучать людей ведению подрывной деятельности», – рассказал журналистам Стивен Лафонтен, представитель АНБ, который помогает разрабатывать новые программы обучения. Когда бывшие студенты приходят на службу в агентство, обнаруживается, что они не обучались по стандартам АНБ. «Нам приходится давать им технические знания, которые, как мы полагали, они должны были получить еще в школе, и только потом мы приступаем к обучению специфическим вещам, непосредственно связанным с их миссией», – сказал Лафонтен.
АНБ объединилось с некоторыми университетами, чтобы оказать помощь в написании учебных программ. Студенты, которые хотят обучаться по этим программам, должны пройти проверку биографии и получить право доступа к сверхсекретной информации. Программа обучения на курсе включает посещение секретных семинаров в АНБ. Агентство также поможет некоторым студентам оплатить обучение, чтобы они могли получить степень бакалавра по компьютерным наукам и пройти общий курс по информационной безопасности – агентство даже выдает им ноутбуки и выплачивает ежемесячную стипендию. В обмен на эту помощь после окончания университета студент идет работать в агентство. Большинство таких учебных заведений – а все они очень разные, начиная от Принстонского университета и заканчивая небольшими местными колледжами, которые есть почти в каждом штате – не учат кибернетическим атакам. За эту часть учебной программы отвечает АНБ, которое обучает студентов, когда они приходят туда работать.
Еще до поступления студентов в колледжи, военные не оставляют их без внимания. Ведомство спонсирует компьютерные клубы и соревнования по киберзащите для школьников, такие как программа «Киберпатриот» (CyberPatriot) – общенациональное соревнование для учащихся средних и старших классов школы. Спонсором программы выступают оборонные предприятия, в том числе Northrop Grumman и SAIC, компания, создавшая прообраз RTRG. Партнерами программы являются организации «Бойскауты Америки» (Boy Scouts of America), «Клубы мальчиков и девочек Америки» (Boys & Girls Clubs of America), а также программа подготовки молодых офицеров запаса (Junior ROTC), эскадрильи гражданского воздушного патруля (Civil Air Patrol) и отряды Корпуса военно-морских кадетов США (Naval Sea Cadet Corps). Дэвис называет эти соревнования «возможностью [для молодых людей] внести свой вклад в дело гражданской и экономической безопасности нашей нации».
Тем не менее, чтобы привлечь наиболее талантливых людей, АНБ приходится соперничать с частным бизнесом. Бизнес набирает сотрудников из лучших учебных заведений в области компьютерных наук, в том числе Стэнфордского университета и Университета Карнеги-Меллона. Бизнес отправляет своих представителей на самые важные ежегодные хакерские конференции Black Hat и Def Con, проходящие в Лас-Вегасе. В июле 2012 г. директор АНБ Кит Александер выступил с речью на конференции Def Con, призывая собравшихся там хакеров объединить усилия с его агентством – пойти туда работать или просто сотрудничать с его командой. Многие хакеры работали на компании, занимающиеся компьютерной безопасностью, но были и такие, которые работали фрилансерами. Они зарабатывали тем, что искали дыры в системах безопасности, а потом предупреждали производителей или разработчиков, чтобы те смогли их залатать. Готовясь к выступлению, Александер сменил свою армейскую униформу на джинсы и черную футболку. «Это лучшее в мире сообщество в области кибербезопасности. В этом зале собрались таланты, в которых наша нация нуждается для обеспечения безопасности киберпространства», – сказал он хакерам, многих из которых правоохранительные органы США считают преступниками. «Иногда, ребята, вас ругают, – сказал Александер. – С моей точки зрения, то, что вы делаете, чтобы найти уязвимости в наших системах, – очень здорово. Мы должны находить и устранять их. Именно вы держите оборону».
Однако Александер был не единственным, кто занимался в Лас-Вегасе поиском специалистов. В конференц-зале руководители и сотрудники компаний по обеспечению кибербезопасности раздавали свои брошюры и фирменные футболки. Среди них было и несколько бывших сотрудников АНБ, которых агентство выучило и сделало высококлассными хакерами.
Следующим летом задача по набору новых специалистов, стоявшая перед Александером, еще больше усложнилась. Документы, обнародованные бывшим сотрудником АНБ, раскрыли впечатляющие подробности о тайных попытках агентства вести шпионаж по всему миру. В том числе стало известно о программе, позволявшей агентству собирать записи всех телефонных разговоров в США, и о другой программе по сбору данных, полученных от важнейших мировых технологических компаний, среди которых были Google, Facebook и Apple. Конечно, вовсе не секрет, что АНБ ведет шпионскую деятельность, но масштаб шпионажа удивил даже некоторых хакеров, не говоря уже о простых людях. Def Con аннулировал приглашение Александера и отказал ему в выступлении. Александер появился вместо этого на конференции Black Hat, но и там аудитория его грубо перебивала и не давала говорить.
4. Поле битвы – интернет
К моменту вступления в должность руководителя Кибернетического командования США в 2010 г. Кит Александер уже пять лет осваивал радиоэлектронную разведку на посту директора АНБ. Он был хорошим техническим специалистом. «Когда он хотел обсудить что-то с нашими инженерами, он вникал в детали вопроса так же глубоко, как и они. И он понимал все, о чем они говорили», – рассказывает один из бывших руководителей АНБ. Позже, когда в 2007–2008 гг. изменения в законодательстве США открыли более широкий доступ разведки к коммуникационным сетям, Александер уловил смысл политического момента и превратил АНБ в бесспорного лидера по слежке в Интернете. Агентство получило полномочия и средства на создание отряда хакеров. Строго говоря, хакеров нанимала разведывательная служба, поставив им задачу вести наблюдение в компьютерных сетях. Но, после того как их объединили с Кибернетическим командованием, хакеры стали солдатами. Они свободно переходили от одной миссии к другой, стирая границы между шпионажем и войной. Одна из таких хакерских групп, в частности, стала секретным оружием АНБ.
Самые подготовленные и опытные хакеры агентства работают в Отделе специализированного доступа (Tailored Access Operations, TAO). Оценки количества сотрудников этого отдела разнятся от 300 до 600 человек, правда, максимальная оценка может учитывать не только хакеров, но и аналитиков и вспомогательный персонал.
Внутри TAO несколько групп занимаются разными задачами – от шпионажа до организации кибератак. Одна группа ведет наблюдение и составляет карту компьютерных сетей, принадлежащих объектам слежки, а также ищет уязвимости в этих сетях. Другое подразделение изучает новейшие средства и методы взлома для проникновения в защищенные компьютерные сети. В составе этой группы работают хакеры, которые создают инструменты для захвата контроля над видеокамерами персональных компьютеров, промышленными системами управления, устройствами, которые управляют энергосетями, ядерными реакторами, плотинами и другими объектами инфраструктуры. Еще одна группа осуществляет атаки на компьютерные сети совместно с Отделом технологического менеджмента ЦРУ, который помогает АНБ внедряться в труднодоступные сети, когда агент вручную устанавливает вирус или шпионское ПО, например с помощью USB-носителя.
Офис TAO расположен в охраняемом здании в Форт-Миде (штат Мэриленд). Чтобы попасть внутрь, сотрудники проходят сканирование сетчатки глаза и вводят шестизначный код перед огромной стальной дверью, охраняемой вооруженными людьми. Хакерское подразделение – одна из самых закрытых организаций в разведывательном мире. Лишь немногие сотрудники АНБ имеют достаточно высокий уровень допуска к секретной информации, чтобы знать о том, чем занимается TAO, или иметь возможность войти в укрепленное учреждение в Форт-Миде.
У хакеров TAO работа одна: проникать всеми правдами и неправдами внутрь сетей противника. Хакеры крадут и взламывают пароли, внедряют шпионские программы, устанавливают программы-ловушки и работают с агентской сетью ЦРУ – предпринимают самые разнообразные действия для получения информации. Этот шпионаж ведется ради двух целей. Первая заключается в добыче секретов конкурентов и соперников США. Вторая – сбор информации, позволяющей уничтожить компьютерные сети и связанную с ними инфраструктуру, в случае если такой приказ когда-нибудь отдаст президент страны. На пространстве Интернета TAO следит за потенциальными мишенями. Если только приказ атаковать будет дан, они помогут управлять операцией.
Согласно секретным документам, обнародованным бывшим сотрудником АНБ Эдвардом Сноуденом, власти США и эксперты в области разведывательной деятельности полагают, что TAO уже внедрил шпионские устройства по крайней мере в 85 000 компьютерных систем в 89 странах мира. В 2010 г. TAO провел 279 операций. Специалисты этого отдела взломали криптозащиту, которая широко используется в системах, работающих с электронной почтой, в том числе в смартфонах BlackBerry. Это дало возможность следить за пользователями по всему миру. Доходило до того, что партии компьютеров, поставляемые объектам слежки, перенаправлялись в АНБ, где в них внедрялось шпионское программное обеспечение. TAO в своей презентации, рассказывающей о подвигах этого отдела, ради хвастовства использовало измененную версию известного логотипа фирмы Intel – «TAO Inside».
В большинстве случаев владелец зараженного компьютера даже не подозревает, что хакеры TAO следят за ним. Это связано с тем, что в своей работе отдел полагается на так называемую уязвимость нулевого дня[8], которая представляет собой, по существу, изъяны в компьютерной системе, известные только хакерам. Агентство покупает информацию об этих уязвимостях на черном рынке у обнаруживших их хакеров, выплачивая иногда несколько тысяч долларов за каждую. В ряде случаев АНБ платило компаниям, разрабатывающим программное обеспечение и компьютерное оборудование, чтобы они не раскрывали информацию об уязвимости или наличии бэкдоров в своих продуктах, давая таким образом возможность агентству и хакерам из TAO использовать их в своих целях.
Проникнув единственный раз внутрь таких компьютеров, хакер сможет прочитать и скопировать со взломанной машины любые незашифрованные документы, включая текстовые файлы, электронную почту, аудио– и видеофайлы, презентации, списки контактов – абсолютно все. Зашифрованную информацию прочитать труднее, но вполне возможно. В конце концов, одной из задач АНБ является взлом шифров, и в этом деле они были лучшими более 60 лет.
Пожалуй, единственной задачей, с которой хакеры из TAO не могут справиться, является шпионаж в странах, ограничивающих выход в Интернет. Именно поэтому Северная Корея оказалась за пределами досягаемости этого элитного подразделения. Коммуникации этого государства с внешним миром настолько ограничены и так тщательно охраняются и отслеживаются, что шансы легкого проникновения у TAO очень малы.
А вот в Китае другая ситуация.
Китай – это одна из наиболее важных целей АНБ для слежки и планирования кибервойны. И хотя китайские власти пошли на все, чтобы контролировать доступ в Интернет и активность пользователей в Сети в пределах страны, Китай все же огромная, технологически развивающаяся страна, и это делает ее уязвимой.
Журналист и историк разведки Мэтью Эйд узнал, что TAO «успешно проник в китайские компьютерные и телекоммуникационные сети почти 15 лет назад и, таким образом, получал лучшие и самые надежные разведданные о том, что происходит в Китайской Народной Республике». В самом деле, именно TAO предоставил властям США доказательства проникновения со стороны Китая в компьютерные сети оборонных подрядчиков и других американских компаний. Секретные документы АНБ показывают, что агентство выбрало целью сети компании Huawei, крупнейшего в мире производителя телекоммуникационного оборудования, основанного в Китае. Несколько лет руководители разведки и некоторые законодатели в США подозревали, что Huawei работает в интересах военных и разведывательных служб Китая. Контролирующие органы США запретили установку телекоммуникационного оборудования Huawei, включая коммутаторы и маршрутизаторы, в своей стране из опасения, что оно будет использовано в качестве каналов связи для кибершпионажа.
Эдвард Сноуден рассказал китайским журналистам, что АНБ взломало компьютеры Университета Цинхуа в Пекине, одного из ведущих образовательных и исследовательских центров в стране. Сноуден описал масштабы взлома. Согласно документам, которые он показал журналистам, в январе 2013 г. АНБ удалось получить доступ по крайней мере к 63 университетским компьютерам и серверам. По словам Сноудена, эти документы доказывают его заявление о том, что сделало АНБ, так как в них приводятся IP-адреса, которые могли быть получены только при наличии доступа к компьютерам.
Почему АНБ было заинтересовано во взломе компьютеров китайского университета? Сноуден объяснил журналистам, что Университет Цинхуа является домом для образовательной и исследовательской сети Китая (CERNET) – государственной компьютерной системы, с помощью которой «можно получить интернет-данные миллионов китайских граждан». Это может быть одной из причин, по которой АНБ захотело проникнуть в эту систему. Однако американские аналитики и исследователи полагают, что китайские университеты – это основная «кузница кадров» для правительства и органов власти. Согласно данным фирмы Mandiant, работающей в сфере компьютерной безопасности, Unit 61398, киберподразделение Народно-освободительной армии Китая, базирующееся в Шанхае, «активно набирает новых талантливых сотрудников на научно-технических факультетах университетов, таких как Харбинский политехнический университет и Колледж компьютерных наук и технологий в провинции Чжэцзян. Большинство кодов профессий, описывающих специальности, на которые Unit 61398 набирает сотрудников, требует высокого уровня владения компьютерной технологией».
Возможно также, что, взломав компьютеры Цинхуа, АНБ пыталось получить имена китайских новобранцев или узнать больше об их обучении. Факультет компьютерных наук и технологий Университета Цинхуа предлагает программы обучения уровня бакалавров, магистров и кандидатов наук. Согласно международному исследованию, Университет Цинхуа является ведущим университетом континентального Китая в области компьютерных наук и занимает 27 место в мировом рейтинге. Университет открыто рекламирует себя как передовой исследовательский институт. В АНБ и Министерстве обороны ведут базу данных всех известных хакеров, работающих в Китае. Если в АНБ хотели найти будущих китайских хакеров, когда они еще только учатся и осваивают это дело, то искать таких людей в Цинхуа было бы логично.
Китай – это важнейшая цель последних лет, но не единственная, которая обращает на себя внимание хакеров ТАО. Они помогли выследить сотни террористов «Аль-Каиды» и повстанцев во время операции в Ираке в 2007 г. Тогда же они были удостоены награды от руководителей АНБ за свою работу по сбору разведданных о состоянии иранской военной ядерной программы. Мэтью Эйд пишет, что по заявлению недавно уволенного сотрудника АНБ, ТАО сейчас – это желанное место работы. Сотрудники, которые хотят продвинуться по службе или заслужить профессиональные награды, стараются получить перевод в этот отдел. В ТАО у них будет много возможностей показать свои навыки электронного шпионажа. Тереза Ши, одна из руководителей АНБ, получила назначение на пост главы департамента радиотехнической разведки – одну из самых престижных и важных должностей в агентстве – благодаря работе, которую она выполняла в качестве руководителя ТАО. Ведь только этому отделу удавалось собирать информацию, которую не могла добыть ни одна государственная служба.
Благодаря работе в хакерском отделе сотрудники, кроме прочего, могли составить впечатляющее резюме и получить передовой опыт. Впоследствии все это они могли использовать для получения более высокооплачиваемой работы в области кибербезопасности в частном бизнесе. Бывшие сотрудники ТАО уходили работать на государственных подрядчиков: например, в компанию по созданию программного обеспечения SAP, или в Lockheed Martin, или в знаменитые корпорации, вроде Amazon. Они создавали собственные частные фирмы по обеспечению кибербезопасности, выполняя по найму хакерские операции против компаний и иностранных групп, пытавшихся украсть информацию их клиентов.
В ТАО работали лучшие хакеры АНБ, но лучшие из лучших были собраны вместе в одном из его подразделений. Официальное название этого подразделения – Центр удаленных операций (Remote Operations Center), но сами сотрудники называли его просто ROC – произносится как «рок».
ROC был домом для самых квалифицированных и опытных хакеров, работавших на государство. Они трудились в Форт-Миде или в представительствах в Колорадо, Джорджии, Техасе и на Гавайях, вне зоны досягаемости политиков из Вашингтона. Судя по секретному бюджету АНБ, в 2013 финансовом году центру было выделено $651,7 млн на проведение операций по внедрению в компьютерные системы по всему миру. Это в два раза больше, чем «оборонный» бюджет всего разведывательного сообщества, предназначенный для защиты военных и секретных компьютерных сетей США от атак.
Формально предполагалось, что Кибернетическое командование США будет сотрудничать с военными командованиями для ведения кибервойны. В реальности оказалось, что ROC и Киберкомандование работали в тесной связке при проведении наблюдательных и атакующих операций, причем ROC обычно занимал лидирующую позицию. Работа ROC неотделима от кибервойны, ведь наблюдение всегда предшествует любой атаке. В задачи центра входило исследование систем и сетей и предоставление информации об объектах атаки Кибернетическому командованию. А так как обе организации находились в подчинении у одного лица – директора АНБ, который сидел на двух стульях, руководя еще и Киберкомандованием, то они могли работать вместе без особых проблем.
Региональные центры были особенно активны, когда приходилось следить за иностранными врагами и даже союзниками США. Во второй половине 2009 г. небольшая команда в Гавайском центре провела прицельные операции против высокоприоритетных объектов из «Аль-Каиды». Хакеры, как во время киберопераций в Ираке, взломали электронные устройства террористов, чтобы навести военных на их адреса.
Также региональные центры были местом проведения наиболее секретных операций по шпионажу против союзников США. В мае 2010 г. сотрудники центра в Сан-Антонио (штат Техас) отчитались об успешном взломе почтового сервера, который использовался президентом Мексики и его командой. В сверхсекретном отчете об операции, получившей название Flatliquid, сотрудники ТАО хвастались, что получили «впервые в истории доступ к публичному электронному ящику президента Фелипе Кальдерона». Команда работала совместно с ЦРУ и шпионскими группами в американских посольствах в Мексике. Они перехватывали телефонные разговоры и текстовые сообщения, передаваемые по мексиканским сетям.
Скомпрометированный АНБ сервер электронной почты также использовался и мексиканским кабинетом министров. Американские шпионы теперь имели доступ к «дипломатическим, экономическим и политическим переговорам, которые позволили изнутри взглянуть на политическую систему Мексики и оценить ее устойчивость». Кальдерон, надежный союзник США, был тайно обращен в «ценный источник информации».
Операция эта была особенно коварной, ведь Кальдерон имел очень тесные связи с разведывательными, военными и правоохранительными службами США, поскольку сотрудничал с ними в борьбе с мексиканскими наркокартелями. Наркокартели убивали руководителей правоохранительных органов и терроризировали практически всю Мексику. Всякий раз, когда высшие руководители американской разведки говорили об американо-мексиканских отношениях, они щедро хвалили Кальдерона и открытость его правительства к совместной работе с американцами. Американцы делились информацией о наркокартелях, в том числе и записями разговоров, перехваченных тем же агентством, которое шпионило за мексиканским президентом.
Дело было не в том, что американские власти сомневались в заинтересованности Кальдерона в войне с наркотиками. Тем не менее они явно хотели быть уверены, что он со своей стороны границы выполняет все, что обещает, и что ему не угрожает опасность, которую он не может обнаружить или предотвратить. Это была смесь патернализма со снисхождением – видимо, власти считали, что ситуация в стране была слишком нестабильна, чтобы Кальдерон мог справиться в одиночку.
Вместе с тем шпионаж за Кальдероном велся и в собственных интересах Америки. Американские власти полагали, что насилие наркокартелей может распространиться за пределы Мексики и хлынуть в Соединенные Штаты. Было даже опасение, что картели могут свергнуть правительство Кальдерона или ослабить его настолько, что Мексика станет фактически «несостоятельным государством». Летом 2012 г. АНБ получило доступ к электронным письмам тогдашнего кандидата в президенты Энрике Пенья Ньето, занявшего президентский кабинет в декабре того же года. В сверхсекретном документе АНБ утверждается, что агентство перехватывало и его телефонные разговоры, а также разговоры «девяти его ближайших помощников» и более чем 85 000 текстовых сообщений, отправленных Ньето и его помощниками. Шпионы использовали программу визуализации, которая отображала взаимные связи между абонентами и определяла, какой набор сообщений указывал на важные взаимоотношения среди отслеживаемых. За такими людьми велось более пристальное наблюдение.
Сказать, что АБН вело себя в вопросах политики, как слон в посудной лавке, значит неверно истолковать то, чем занималось агентство. Хотя шпионаж против союзников США – это очевидное злоупотребление доверием, тем не менее это обычная практика в шпионском деле: и руководители, и сотрудники АНБ настаивают, что в этом деле они всего лишь следуют приказам президента, его Администрации и политиков высшего уровня, которые дважды в год разрабатывают и утверждают документ с перечнем вопросов, ответы на которые они хотят получить от АНБ и других агентств. В Администрации президента Обамы посчитали, что наблюдение за внутренней работой мексиканского правительства важно для сохранения безопасности в обеих странах. АНБ не само решило шпионить за Мексикой – это задание ему было поручено.
Способ, которым Отдел специализированного доступа и центр ROC комбинировали профессиональный опыт и кадры из разведслужб и военных ведомств, указывает на одну из ключевых особенностей кибервойны: кибервойна размывает границы между разведывательными и военными операциями. По американским законам разрешается привлекать разведслужбы к проведению секретных операций, нарушающих законы и суверенитет других стран, участие правительства США в которых скрыто. Военные операции проводятся в соответствии с международным военным законодательством и, хотя не всегда проводятся в открытую, тем не менее являются более прозрачными и понятными, чем операции разведывательные. Когда же оба типа операций объединяются, возникает серьезная задача для юристов и руководителей агентства определить, когда операция должна проводиться по законам и постановлениям, регулирующим разведку, а когда по военным законам. На практике решение принимается руководителями АНБ вплоть до директора, который должен переключаться между управлением агентством (где он служит шпионом) и Киберкомандованием (где он служит солдатом).
Эта взаимозаменяемость шпиона и солдата отражает те изменения, которые произошли в мире сил специального назначения, в котором военный спецназ, обученный ведению боевых действий, отправляется на секретные разведывательные миссии. Операция, в результате которой был убит бен Ладен, на самом деле проводилась под руководством главы Совместного командования специальных операций адмирала Уильяма Макрейвена. Но по закону ее должен был курировать директор ЦРУ Леон Панетта. Фактически это означало, что Панетта сидел в кабинете в Лэнгли, давая понять, что формально он держит все под контролем, и оттуда отдавал приказ Макрейвену на начало операции. Никто не сомневался, что Макрейвен командовал операцией и что именно его солдаты выполняли свою миссию. Тем не менее правовое разграничение было важным. Во-первых, оно давало правительству США возможность откреститься от этой операции в случае, если она будет раскрыта. Во-вторых, США таким образом могли обойти определенные военные законы, а именно положение, по которому одно государство не может вторгаться на территорию другого (в данном случае Пакистана, где и прятался бен Ладен), если эти два государства не находятся в состоянии войны. Превращение солдат в шпионов – это общая практика в реальной жизни. То же самое происходит и в киберпространстве.
Действительно, АНБ не могло провести ни одной своей хакерской операции без помощи ЦРУ. Сотрудники ЦРУ осуществили более сотни нелегальных действий по вторжению на физические объекты и установке вредоносного или шпионского оборудования в компьютерные системы иностранных правительств, военных ведомств и корпораций, в частности телекоммуникационных компаний и операторов услуг Интернета. Для АНБ подобраться к таким компьютерам удаленно слишком сложно.
Секретные вторжения проводятся Специальной службой сбора информации, объединяющей усилия ЦРУ и АНБ, штаб-квартира которой находится недалеко от города Белтсвилл (штат Мэриленд), примерно в 10 минутах езды от АНБ. Во времена холодной войны эта группа приобрела репутацию безрассудной и отчаянной за прослушивание руководителей Коммунистической партии Советского Союза и стран Восточного блока. Членов этой группы сравнивали с незаметными взломщиками-акробатами из телевизионного сериала «Миссия невыполнима» (Mission: impossible). Говорят, они использовали лазеры, направленные на окна, для записи разговора людей, находящихся в помещении. Они даже привязывали подслушивающие устройства к голубям, которые обычно сидели на наружных подоконниках советского посольства в Вашингтоне.
В наши дни Специальная служба сбора информации работает в 65 точках, или «постах прослушивания», в американских консульствах и посольствах. Ее новые объекты – это террористы в отдаленных районах, где достаточно трудно разместить подслушивающее устройство, а также иностранные правительства, создающие собственные киберармии, особенно в Китае и Восточной Азии. (Александер отправил нескольких сотрудников службы работать с кибервойсками Ирака для выслеживания повстанцев и террористов.) Группа оказывает неоценимую помощь АНБ в установке цифровых плацдармов, необходимых для прослушивания труднодоступных коммуникационных сетей и устройств и для запуска при необходимости кибератак, направленных на уничтожение или вывод из строя этих систем. По имеющимся сведениям, несколько лет назад Специальная служба сбора информации получила доступ к коммутационному центру, который обслуживает несколько оптоволоконных магистральных линий в одной южноазиатской стране. Таким образом, АНБ получило возможность перехватывать сообщения высших военных руководителей страны, а кроме того, приобрело жизненно важную точку доступа к ее телекоммуникационным артериям. Проведение подобного рода операций позволяло убить сразу двух зайцев – установить слежку и организовать плацдарм для проведения кибератак. Кроме того, АНБ тайно завладевало управлением компьютеров в этих странах и затем могло использовать их для запуска вредоносного программного обеспечения, заметая следы и усложняя отслеживание источника атаки в Соединенных Штатах. Несколько десятков секретных сотрудников ЦРУ, обученных проведению нелегальных операций по внедрению шпионского ПО, теперь работают в штаб-квартире АНБ в Форт-Миде.
В ЦРУ было также создано собственное хакерское подразделение, известное как Центр информационных операций (Information Operations Center, IOC). Согласно бюджетному документу, опубликованному Эдвардом Сноуденом, за последние годы эта группа выросла, и теперь в ней работают сотни людей, что делает ее одной из самых больших групп в ЦРУ. Как сказано в документе, IOC осуществляет кибератаки и вербует иностранных шпионов для оказания помощи в проведении операций.
Интернет превратился в настоящее поле боя. В последние годы союз между солдатами и шпионами стал крепче, а область, в которой они ведут совместные боевые операции, заметно расширилась.
Они перенесли в Афганистан те методы выслеживания, которые доказали свою эффективность в Ираке. Хакеры из АНБ вступили в зону боевых действий и работали совместно с боевыми отрядами, устраивая облавы и уничтожая боевиков «Талибана». В рамках программы «Движущаяся тень» (Shifting Shadow) агентство собирало в Афганистане информацию о разговорах и местоположении с помощью мобильных телефонов, используя, как сказано в секретном документе, «иностранную точку доступа». Однако в систему анализа загружалась и другая информация: например, результаты социологических опросов, отчеты о движении транспорта и даже цены на основные продукты питания на местных рынках. Аналитики пытались оценить общественное настроение и найти связи между, скажем, резкими скачками стоимости картофеля и вспышками насилия. Результаты были смешанными. Один из американских чиновников заявил, что эта система может «предсказывать будущее» и что определение времени и места атак «Талибана» с точностью в 60–70 % стало возможным только благодаря ей. Другие же высмеивали систему как раздутый и дорогостоящий эксперимент по интеллектуальному анализу данных, не давший, в действительности, никаких полезных результатов, о которых заявляли его сторонники.
Однако независимо от степени эффективности высшее военное командование в Афганистане полагало, что кибервойна внесла весомый вклад, и, когда война вошла в затяжную стадию, оно приоткрыло завесу над обычно секретными операциями. «Могу вам сказать, что, когда в 2010 г. я был командующим в Афганистане, я мог использовать кибероперации против своих противников с очень весомыми результатами, – рассказал генерал-лейтенант ВМС Ричард Миллз во время своего выступления на технологической конференции, проходившей в Балтиморе в августе 2012 г. – Я мог внедриться в их сети, заразить их оперативно-командный центр и фактически защититься от почти постоянных нападений, направленных на проникновение в мои линии связи и воздействие на мои операции». В то время Миллз был самым высокопоставленным офицером ВМС в Афганистане, где он проводил боевые операции в юго-западной части страны. В своих публичных заявлениях он описывал те же методы и тактические приемы, которые применялись в Ираке.
На протяжении двух войн АНБ использовало более 600 своих сотрудников в зоне боевых действий. 20 из них погибли. Никто не может сказать, что кибервойна полностью исключала риск для тех, кто в ней участвовал.
Эти киберсолдаты также отправлялись и на менее масштабные и более короткие войны.
Во время американской военной операции в Ливии в 2011 г., которая привела к отстранению от власти Муаммара Каддафи, АНБ сотрудничало с киберсолдатами ВМС для поиска целей в Ливии и оказания помощи в создании «ударных пакетов». Хакеры находили цели в реальном мире с помощью радиосигналов электронных устройств, а затем передавали координаты ударной группе ВМС, находившейся на американском военном корабле Enterprise. Такие кибероперации проводились Командованием информационных операций ВМС, которое находилось в Форт-Миде вместе с АНБ.
Вряд ли это был первый раз, когда АНБ и ВМС работали вместе. В 2010 г. во время реализации шестимесячного проекта, руководил которым министр обороны, Командование информационных операций ВМС сотрудничало с АНБ и его подразделением специальных операций по работе с источниками, которое наблюдало за американскими телекоммуникационными компаниями, в том числе теми, которые поставляли информацию для системы PRISM. Конкретные детали операции остались засекречены: в частности, неизвестно, была ли ее целью правительственная или террористическая сеть. Однако, по словам ее участников, операция свелась к отслеживанию в реальном времени более 600 отдельных объектов, по крайней мере в 14 странах мира, и по ее результатам было составлено более 150 письменных отчетов. Это было дальнейшей эволюцией методов ведения кибервойны и шпионажа, когда вооруженные силы работают с разведслужбой для получения информации американских компаний. В прошлом военные ведомства воздерживались от проведения операций внутри Соединенных Штатов. Когда их цели находились за пределами страны, у них были средства внутри страны для ведения этой войны нового типа. В подобные моменты Интернет казался полем битвы, лишенным каких-либо границ.
Также киберсолдаты одерживали победы над террористическими группами, которые сами не признавали никаких границ. Центр ROC пропускал через фильтр различные веб-сайты и форумы, которые активисты «Аль-Каиды» использовали для общения. В одной частной беседе хакеры из ROC как-то сказали, что они могут заразить шпионской программой или вирусом «практически любого», кто посетит определенный форум.
Американские киберсолдаты одержали впечатляющие победы над остатками «Аль-Каиды» и ее отделениями. В августе 2013 г. старший авиатор – звание, эквивалентное армейскому капралу – 17-го разведывательного авиакрыла ВВС США фильтровал перехваченную информацию и обратил внимание на разговор, показавшийся ему подозрительным. Служащие авиакрыла, которое отправляло отчеты Киберкомандованию США в Форт-Мид, регулярно вторгались в иностранные коммуникационные сети для похищения информации о вооружении, для контроля за соблюдением достигнутых соглашений и получения шифрованной оперативно-командной информации. Однако этот разговор был не на эти темы. Старший авиатор, лингвист по образованию, перехватил насторожившую военных информацию о «телефонном совещании» лидеров «Аль-Каиды», которые планировали террористическую атаку. Он предупредил своего старшего офицера, а тот передал эти сведения вверх по цепочке командования президенту Обаме.
Полученные данные вынудили Государственный департамент США временно закрыть посольства в 22 странах Ближнего Востока. Террористическая угроза была одной из самых серьезных за последнее время. Разведывательное сообщество, военные и просто американские граждане, находящиеся за границей, были приведены в повышенное состояние готовности к возможным мощным атакам на американские посольства и другие государственные учреждения за пределами США.
Совещание проходило не по телефонной связи, а с помощью интернет-системы обмена зашифрованными сообщениями. Как говорится в статье на сайте The Daily Beast, который первым опубликовал новости об этом совещании, а также по заявлениям генерала ВВС, мы можем сделать вывод, что старший авиатор обнаружил протоколы совещания, загруженные в виде текстовых документов связным «Аль-Каиды» на несколько зашифрованных почтовых ящиков. Старший авиатор расшифровал и перевел эти документы, таким образом, предоставив Соединенным Штатам возможность в будущем перехватывать документы и установить местонахождение связного, который впоследствии с помощью ЦРУ был арестован властями Йемена. При связном обнаружили запись другого виртуального интернет-совещания, в котором участвовали более 20 высших руководителей «Аль-Каиды» со всего мира.
Жизнь на передовой кибервойны изменила американских солдат и открыла им глаза на целый мир угроз, которые они никогда не принимали во внимание. После возращения из Ирака в 2007 г. капитан Боб Стасио как-то днем очутился на обеде в штаб-квартире АНБ в Форт-Миде за одним столом с генерал-лейтенантом. Комната была заполнена мужчинами и женщинами в униформе, и Стасио слушал, как кто-то из них читал выдержки, восхваляющие работу, сделанную Стасио и его киберсолдатами в Ираке. Как небольшому взводу радиотехнической разведки, состоящему всего из 35 человек, удалось поспособствовать захвату 450 высокоприоритетных объектов – поразительное достижение для любого подразделения, но особенно для одного-единственного взвода. Как менее чем за один год удалось сократить число атак на 90 %. За свои усилия Стасио и его коллеги получили престижную Премию директора АНБ – высшую награду в радиотехнической разведке. На тот момент взвод Стасио был самым маленьким подразделением, получившим эту награду.
Когда выступающий назвал имя Стасио и аудитория начала аплодировать, генерал-лейтенант, сидевший рядом с ним, улыбнулся и слегка толкнул его локтем. «Отличная работа», – сказал Кит Александер, директор АНБ.
Это было только началом их новых взаимоотношений. Александер пригласил Стасио на работу командиром боевой группы, передовой команды Александера. Стасио подчинялся старшему офицеру, который отчитывался непосредственно перед Александером. Стасио выполнил некоторую предварительную работу, оказавшую помощь при организации нового Кибернетического командования. В 2009 г. он возглавил команду, отвечающую за проведение армейских киберопераций со стороны АНБ. У него в распоряжении было 70 солдат и столько новейшего и дорогостоящего оборудования, сколько он никогда раньше не видел. Он нес двойную нагрузку, выполняя обязанности еще и вахтенного офицера в Центре операций в компьютерных сетях, который, как ему казалось, напоминает Центр управления полетами НАСА в Космическом центре Джонсона. В итоге Стасио уволился из армии, но остался работать в АНБ как гражданский сотрудник и стал руководителем операций в Кибернетическом центре АНБ.
Там Стасио работал, как он сам говорил, в «режиме постоянного кризиса». Теперь он мог видеть, как военные сети постоянно зондируются и сканируются хакерами, ищущими способ проникнуть в сеть. А еще как весь Интернет заполнен людьми, пытающимися украсть информацию, захватить управление компьютерами или уничтожить информационные сети и сопутствующую инфраструктуру. Эта работа открыла Стасио глаза на мир угроз, которым, как он считал, лишь немногие могли дать адекватную оценку и еще меньше были готовы противостоять. Стасио знал, какой вред могут причинить хакеры, – ведь он сам делал подобные вещи. Иногда, когда в выпуске новостей слышал историю о сошедшем с рельсов поезде, он задумывался, а не мог бы хакер спровоцировать эту аварию?
Стасио провел годы в ожидании будущей катастрофической кибератаки на Соединенные Штаты. После ухода из АНБ он организовал собственную компанию по обеспечению кибербезопасности – Ronin Analytics – и выслушивал руководителей корпораций, нахваливающих свои изощренные методы киберзащиты и неприступные сети. Клятвенные уверения о том, что они отлично защищены. Что они в безопасности.
Он только качал головой и думал: «Вы не видите того, что вижу я».
5. Враг среди нас
Интернет превратился в поле битвы. Но враг прятался прямо на виду. В киберпространстве повсюду, куда ни глянь, Кит Александер видел угрозы. Для банков. Для энергетических сетей. Для сетей военных и разведывательных организаций. Каким образом киберсолдаты АНБ смогут обнаружить все эти угрозы?
Через год после начала службы в АНБ, Александер предупредил свою команду о приближающейся «сетевой войне». Агентство было вынуждено постепенно отойти от своей контртеррористической миссии, которая была развернута в полную силу после атак 11 сентября, в сторону розыска хакеров и борьбы с ними независимо от того, работают ли они на террористические организации, криминальные структуры или иностранные государства. Александер отправил указания сотрудникам АНБ, приписанным к секретной программе «Турбуленция» (Turbulence). Это была одна из первых попыток ведения наблюдения с помощью системы датчиков за хакерами и их вредоносными программами во всемирном масштабе, а в некоторых случаях и организации кибератак для нейтрализации угрозы. Александер сообщил членам команды, задействованным в программе, что «в агентстве нет ничего важнее» их работы.
Для завершения своей миссии АНБ должно было перейти к более агрессивной политике по внедрению прослушивающих и наблюдающих устройств в компьютерные системы во всем мире. Американские хакеры, которые дали клятву защищать государство от киберугроз, должны были начать думать так же, как их противники: они должны были стать хитрыми и коварными. Им пришлось принять на вооружение многие из тех тактических приемов, от которых они сами же и пытались защититься. Киберсолдаты собирались «войти в серую зону», и ради того, чтобы сделать Интернет безопасным, им придется подорвать самые его основы.
В процессе того, как киберсолдаты АНБ осматривали горизонт в поисках угроз, они осознавали, что определенные ключевые свойства киберпространства станут препятствием для осуществления их миссии. Поэтому они решили избавиться от этих помех. В первую очередь они обратили свой взор на популярную систему маршрутизации под названием Tor, которая позволяла людям со всего света подключаться к Интернету анонимно. В самой технологии Tor нет ничего криминального, и поддерживается она вовсе не врагами Соединенных Штатов. Она была разработана в Исследовательской лаборатории ВМС США в 2002 г. и сегодня используется демократическими активистами и диссидентами, которые таким образом избегают слежки со стороны деспотичных властей. Но вместе с тем этой технологии отдают предпочтение злонамеренные хакеры, шпионы и мошенники, скрывающие свое местоположение при осуществлении противоправных действий. Кроме того, Tor прокладывает путь в самые темные уголки Интернета, где люди анонимно покупают и продают противозаконные товары и услуги, в том числе наркотики, оружие, компьютерные вирусы, хакерские услуги и даже услуги наемных убийц.
Анонимность – это проклятие для кибервоенных операций АНБ. Хакеры не могут добраться до цели, если не знают, где она находится. Поэтому неудивительно, что в 2006 г. АНБ начало предпринимать попытки подорвать анонимные возможности технологии Tor. И в течение нескольких лет продолжало эти попытки.
Пользователи Tor, в основе которого лежит так называемая луковая маршрутизация, загружают свободно распространяемое ПО на свои компьютеры. Скажем, пользователь хочет анонимно подключиться к сайту. Программа автоматически направляет его через сеть, состоящую из тысяч узлов ретрансляции, работа которых поддерживается по большей части добровольцами. Трафик в пределах Tor шифруется, когда проходит через различные сетевые слои, – отсюда и появилась «луковая» метафора. Как только пользователь соединяется с сайтом, его данные шифруются столько раз, а его трафик передается через такое количество промежуточных точек, что определить местоположение пользователя становится практически невозможно. Tor может использовать любой – наркоторговцы, распространители детской порнографии, хакеры, террористы и шпионы, любой, кто нашел в этой технологии жизнеспособное средство для достижения анонимности в сети и надежный способ ускользнуть от преследования правоохранительных органов и разведывательных служб.
В феврале 2012 г. АНБ на шесть дней объединило усилия со своими британскими коллегами из Центра правительственной связи, чтобы установить 11 «ретрансляторов» в сети Tor. Ретранслятор, он же маршрутизатор или узел, распределяет трафик внутри системы. Установленные государством ретрансляторы получили название Freedomnet.
Оказалось, что установка шпионского ретранслятора в сети Tor является лучшей альтернативой прямым атакам на узлы этой сети с целью их отключения, хотя, согласно сверхсекретным документам, хакеры из АНБ рассматривали и такой вариант. В итоге они решили отказаться от непосредственных атак, поскольку не могли всякий раз наверняка определить, находится ли узел в Соединенных Штатах или он расположен за пределами страны, при этом использование спецоборудования для проведения атак внутри США сопряжено с массой правовых проблем. Устранение узлов также представлялось авантюрным предприятием, поскольку в сети Tor тысячи ретрансляторов, и их могут устанавливать в самых разных местах. Таким образом, АНБ попыталось идентифицировать пользователей внутри сети с помощью собственных узлов ретрансляции, перенаправляя на них трафик. Кроме того, хакеры из АНБ отправляли потенциальным пользователям Tor фишинговые сообщения электронной почты – сообщения, которые составлены так, как будто они отправлены из надежного источника (например, от друга или от человека, контакты которого есть в адресной книге пользователя), но на самом деле в таком электронном письме содержался вирус или ссылка, перейдя по которой жертва попадет на сайт, зараженный шпионским ПО.
Также, согласно краткому документу, озаглавленному Tor Stinks, хакеры рассматривали возможность «нарушения работы» сети Tor. Может быть, посредством ее замедления или с помощью «установки множества действительно медленных узлов Tor (заявленных как высокоскоростные) для снижения общей стабильности работы сети». Они обдумывали, как усложнить или «затруднить» процедуру подключения к Tor. АНБ примеряло на себя роль злого гремлина, из вредности ломающего технику.
Агентство также пыталось атаковать пользователей Tor из внешней сети, заражая или «помечая» их компьютеры своего рода электронным маркером в те моменты, когда они входили и выходили из сети Tor. Хакеры АНБ искали разные пути взлома компьютеров, которые могли использовать эту сеть, но могли и не использовать. Однажды им удалось обнаружить особенно слабое место в одной из версий интернет-браузера Firefox, и благодаря этому стало легче помечать компьютеры, использующие этот браузер. Никто не брал в голову, что та же уязвимость, если ее не устранить, могла принести вред людям, которые не слышали никогда о сети Tor и не испытывали никакого желания скрыть следы своей онлайн-активности.
Кампания АНБ против сети Tor проходила в 2013 г., как следует из сверхсекретных документов, опубликованных Эдвардом Сноуденом. Эти документы также говорят о том, что затея по большей части провалилась. АНБ удалось идентифицировать и определить местоположение всего нескольких десятков человек, использующих Tor. Это показывает, насколько хорошо работает Tor. Вместе с тем атаки АНБ были показателем того, насколько далеко готово зайти агентство, чтобы получить преимущество перед своими противниками, не считаясь с затратами. С учетом того, что АНБ не всегда может знать местоположение компьютера, использующего Tor, оно почти наверняка заразило компьютеры американских пользователей. По оценкам, около 400 000 пользователей подключается к сети Tor непосредственно из Соединенных Штатов.
Методы АНБ также шли вразрез с американской внешней политикой. За последние несколько лет Госдепартамент выделил миллионы долларов на поддержку Tor и поощрял использование этой сети иностранными активистами и диссидентами, в том числе повстанцами в Сирии, которые участвуют в изнурительной гражданской войне за свержение диктатора Башара аль-Асада. В АНБ знали, что Госдеп продвигает Tor, и тем не менее агентство атаковало эту сеть. В США теперь конкурируют две прямо противоположных политики: поддержка сети Tor и в то же время попытки ее демонтажа.
Бывший директор АНБ Майкл Хайден описал эту дилемму, используя особенно резкие выражения, свойственные АНБ. «Госсекретарь отмывает деньги через общественные организации для распространения программного обеспечения в арабском мире и защиты людей на улицах арабских стран от слежки со стороны их властей, – сказал он в 2012 г. в «мозговом» центре в Вашингтоне еще до того, как операции АНБ против Tor были раскрыты. – Поэтому, с одной стороны, мы боремся с анонимностью, а с другой – мы выбрасываем туда программные продукты для защиты анонимности в сети».
В результате действий АНБ усилия США по продвижению демократии и свободного доступа в Интернет теперь сдерживаются. «Правительство Соединенных Штатов крайне щедро на многочисленные программы… и сотрудники не должны придерживаться тех взглядов на мир, которые исповедует АНБ, – говорит Дан Мередит, директор фонда Open Technology – частной некоммерческой организации, которая получает через радиостанцию «Свободная Азия» ежегодное финансирование из США на проекты, направленные на борьбу с цензурой в Интернете, в том числе на работу с сетью Tor. – Вам следует попытаться объяснить это активистам в Судане, хотя не факт, что они поймут вас. Иногда я трачу пятнадцать минут на общение с людьми, пытаясь убедить их, что я не [шпион]».
Не только АНБ работает над разрушением ключевых основ безопасности и неприкосновенности частной жизни в Интернете. В рамках секретной программы SIGINT Enabling Project агентство заключает сделки с технологическими компаниями по внедрению бэкдоров в их коммерческие продукты. В 2013 г. конгресс США выделил $250 млн на реализацию этого проекта. АНБ, работая в тесном сотрудничестве с ФБР, получило инсайдерскую информацию об одной особенности программы Microsoft Outlook для работы с электронной почтой, которая могла создать затруднения для слежки, если бы осталась без внимания. Агентство также получило доступ к переписке и разговорам в Skype и к облачному хранилищу Microsoft SkyDrive[9], таким образом аналитики АНБ могли читать сообщения пользователей еще до выполнения шифрования.
Из секретных документов также следует, что АНБ предлагает производителям криптографических продуктов разрешить экспертам агентства проанализировать продукцию компаний под мнимым предлогом повышения устойчивости алгоритмов шифрования. Однако на самом деле эксперты АНБ внедряют в эти продукты уязвимости, чтобы потом использовать их в шпионских или кибервоенных операциях. В одном из документов утверждается, что эта работа позволяет агентству «удаленно доставлять или получать информацию в/из целевой конечной точки». Другими словами, похищать информацию с удаленного компьютера или устанавливать на нем вредоносное ПО.
Такие опорные точки в технологических продуктах, продаваемых и используемых по всему миру, позволяют агентам АНБ вести шпионаж без риска быть обнаруженными, а если понадобится, то и вывести из строя сам технологический продукт. Работа компьютерного червя Stuxnet, который уничтожил центрифуги на иранском ядерном производстве, была построена на неизвестной ранее уязвимости в системе управления, используемой компанией Siemens. Эксперты по компьютерной безопасности задавались вопросом: может быть, производитель знал об этой уязвимости и согласился оставить ее неисправленной? В любом случае АНБ, несомненно, обладало какой-то детальной информацией о слабых местах и использовало ее при создании червя Stuxnet.
Военные тоже обучали своих киберсолдат, которые работали под руководством Кибернетического командования США, взламывать некоторые из широко распространенных видов телекоммуникационного оборудования. Армия отправляла солдат на курсы, где студенты обучались устройству и эксплуатации сетевого оборудования Cisco. Не для того, чтобы они могли обслуживать оборудование, а для того, чтобы уметь его взламывать и защищать от взлома.
В рамках программы SIGINT Enabling Project АНБ платило телефонным и интернет-компаниям, чтобы они при строительстве своих сетей оставляли лазейки для агентства или, если использовать менее понятный язык секретного документа, «обеспечивали непрерывное сотрудничество с основными поставщиками телекоммуникационных услуг для формирования глобальной сети с целью приобретения набора доступов».
Вся эта секретная работа подчеркивает степень зависимости АНБ от корпораций, которые производят программное и аппаратное обеспечение, а также владеют сегментами глобальной сети и обслуживают их. Без кооперации с такими компаниями агентство, в общем-то, не смогло бы вести шпионскую и кибервоенную деятельность. Однако попытки агентства занять доминирующее положение на «пятом театре» военных действий не ограничивались только заключением сделок с частными корпорациями.
За последние десять лет АНБ совместно с британскими коллегами из Центра правительственной связи прилагало все усилия, чтобы нейтрализовать повсеместное использование технологий шифрования путем внедрения скрытых уязвимостей в широко используемые стандарты шифрования. Шифрование – простыми словами, это процедура превращения онлайн-данных (например, содержимого электронного письма) в бессмысленный набор символов, который можно расшифровать только с помощью ключа, находящегося у адресата. АНБ однажды вступило в открытую борьбу за получение доступа к ключам шифрования, чтобы иметь возможность расшифровывать сообщения по своему желанию, но проиграло битву. Тогда агентство переключило свое внимание на ослабление алгоритмов шифрования, которые используются прежде всего для шифрования онлайн-коммуникаций.
АНБ – кузница лучших в мире криптографов, которые регулярно консультируют общественные организации, в том числе и правительственные агентства, по вопросам повышения устойчивости алгоритмов шифрования. В 2006 г., через год после прихода Александера на должность директора АНБ, агентство помогало разрабатывать стандарт шифрования, который был в итоге официально принят Национальным институтом стандартов и технологий (NIST) – американским правительственным агентством, которое имеет последнее слово в вопросах мер и весов, используемых для тарировки всякого рода инструментов, промышленного оборудования и научных приборов. Одобрение стандарта шифрования институтом – это своего рода знак качества. Этот знак убеждает компании, лоббистские группы, частных лиц и правительственные агентства по всему миру в том, что можно использовать одобренный стандарт. NIST работает открыто и прозрачно, что позволяет экспертам анализировать стандарт и давать свои комментарии. Это одна из причин, по которой одобрение института имеет такой вес. Доверие к NIST настолько велико, что любой алгоритм шифрования, который используется в коммерческих продуктах, продаваемых в США, должен получить одобрение института.
Однако за кулисами этого, в остальном открытого, процесса АНБ курировало разработку генератора случайных чисел – ключевого компонента любого алгоритма шифрования. Как отражено в секретных документах, АНБ заявляло, что всего лишь хотело слегка «усовершенствовать» некоторые детали алгоритма, но на самом деле агентство стало его «эксклюзивным редактором» и засекретило весь процесс создания. Скомпрометировав генератор случайных чисел, причем таким способом, о котором знает только АНБ, агентство подорвало доверие к надежности всего стандарта шифрования. АНБ получило лазейку, которую оно могло использовать для расшифровки информации или получения доступа к компьютерным системам.
Участие АНБ в создании алгоритма не было секретом. Действительно, участие агентства придавало процессу некоторый престиж. Но менее чем через год после официального утверждения стандарта исследователи в области безопасности обнаружили очевидные слабые места в алгоритме и публично предположили, что эти недостатки были введены в алгоритм шпионским агентством. Известный эксперт в области компьютерной безопасности Брюс Шнайер обратил пристальное внимание на один из четырех методов генерации случайных чисел, одобренных NIST. И этот метод, писал он в 2007 г., «не похож на остальные».
Во-первых, Шнайер отметил, что этот алгоритм работал в три раза медленнее остальных. Кроме того, его «отстаивало АНБ, которые впервые предложило этот метод годом ранее в рамках связанного проекта по стандартизации в Американском национальном институте стандартов».
Шнейер был встревожен тем, что NIST будет продвигать посредственный алгоритм, который был принят с энтузиазмом тем агентством, чья основная задача заключается во взломе шифров. Однако никаких доказательств злого умысла АНБ не было. Несовершенство генератора случайных чисел не делало его бесполезным. Шнейер отметил, что существовал способ обхода недостатка алгоритма, хотя вряд ли кто-нибудь озаботился бы его реализацией. Тем не менее этот изъян держал криптографов в напряжении. АНБ, несомненно, знало об их беспокойстве, а также о возрастающем количестве признаков, указывающих на тайное вмешательство агентства. В агентстве рассчитывали на решение международной организации по стандартизации, которая представляет 163 страны, об официальном одобрении нового алгоритма. АНБ хотело распространить алгоритм по всему миру, чтобы отказаться от его использования компаниям было бы уже затруднительно.
Шнейер был озадачен, зачем АНБ нужно было использовать в качестве бэкдора такую очевидную, а теперь еще и всем известную уязвимость (годом ранее на слабость алгоритма впервые указали сотрудники компании Microsoft). Частично это могло быть связано со сделкой, которую, как сообщают, АНБ заключило с RSA, одной из ведущих мировых компаний в области компьютерной безопасности, пионером индустрии. Согласно опубликованному в 2013 г. отчету агентства Reuters, компания приняла на вооружение созданный АНБ алгоритм «даже до его одобрения в NIST. Позже АНБ ссылалось на раннее внедрение алгоритма в правительственных организациях, аргументируя положительное одобрение его в NIST». Алгоритм стал «использоваться по умолчанию для генерации случайных чисел» в программном продукте bSafe компании RSA, предназначенном для обеспечения безопасности, говорилось в докладе Reuters. «Бывшие сотрудники говорили, что это никого не встревожило, поскольку о сделке договаривались управленцы, а не технари». Согласно докладу Reuters, за согласие и готовность компании RSA внедрить слабый алгоритм в свой продукт ей заплатили $10 млн.
И не важно, что АНБ создало для себя очевидную лазейку. Алгоритм был внедрен в продукты, которые продавались одной из ведущих мировых компаний в области безопасности. Кроме того, он был одобрен не только NIST, но и международной организацией по стандартизации. Кампания АНБ по ослаблению глобальной безопасности ради собственных целей была проведена превосходно.
Когда в 2013 г. появились новости о «достижениях» АНБ благодаря документам, опубликованным Эдвардом Сноуденом, и RSA, и NIST хоть и дистанцировались от шпионского агентства, но не опровергли внедрение бэкдора.
В заявлении, сделанном после публикации доклада Reuters, компания RSA отрицала, что она пошла на тайную сделку с АНБ, и утверждала, что «мы никогда не вступали ни в какие договорные отношения и совместные проекты с намерением ослабления защиты продуктов RSA или внедрения потенциальных бэкдоров в наши продукты для их последующего использования кем бы то ни было». Но она не отрицала, что бэкдор существовал или мог существовать. Действительно, RSA утверждала, что несколькими годами ранее, когда было принято решение об использовании этого уязвимого генератора случайных чисел, «АНБ пользовалось доверием общества и прилагало усилия по повышению безопасности шифрования, а не его ослаблению». Но теперь это уже было не так. Когда опубликованные Сноуденом документы подтвердили подозрения о результатах работы АНБ, компания RSA призвала отказаться от использования этого генератора случайных чисел, так же поступил и NIST.
После сделанных Сноуденом разоблачений Комитет по стандартизации обнародовал собственное заявление. Представителям комитета пришлось очень тщательно подбирать слова. «NIST не будет преднамеренно ослаблять криптографические стандарты, – говорилось в публичном заявлении организации, которое совершенно явно оставляло допустимой вероятность того, что АНБ тайно внедрило уязвимость или сделало это против воли NIST. – NIST имеет богатую историю всестороннего сотрудничества с экспертами по криптографии мирового уровня ради поддержки надежных стандартов шифрования. [АНБ] участвовало в криптографических разработках института, поскольку в агентстве работают признанные эксперты в этой области. Кроме того, устав института требует проведения консультаций с АНБ».
Фактически Комитет по стандартизации говорил миру, что у него не было никаких возможностей воспрепятствовать АНБ. Даже если бы в комитете хотели отстранить АНБ от разработки стандартов, этого нельзя было сделать по закону. Высокопоставленный представитель АНБ, по всей видимости, поддержал этот аргумент. В декабре 2013 г. Анна Ньюбергер, которая отвечала в АНБ за взаимодействие с технологическими компаниями, дала интервью национальному блогу по вопросам безопасности Lawfare. Анну спросили о сообщениях, согласно которым агентство тайно ухудшило алгоритм в процессе его разработки. Она не подтвердила, но и не опровергла эти обвинения. Ньюбергер назвала NIST «крайне уважаемым и близким партером по многим вопросам». Однако она отметила, что «институт не входит в число членов разведывательного сообщества».
«Вся их деятельность абсолютно чиста, – продолжала Ньюбергер, подразумевая, что в работе института не было никакого злого умысла, а ее целью была исключительно защита шифрования и содействие обеспечению безопасности. – Они отвечают только за стандартизацию и усовершенствование и укрепление стандартов настолько, насколько это возможно».
Похоже, что Ньюбергер собиралась «выдать NIST индульгенцию», избавляющую институт от всякой ответственности за внедрение уязвимости.
Случай, связанный с проведенной в 2006 г. работой по снижению безопасности генератора случайных чисел, не был единичным. Это было частью масштабной, длительной кампании по ослаблению безопасности основных стандартов защиты информации, которыми частные лица и организации пользуются во всем мире. Судя по документам, АНБ и NIST сотрудничали еще в начале 1990-х гг. Задачей АНБ было ослабление стандартов шифрования еще до их официального утверждения и внедрения. АНБ контролировало процесс разработки стандарта DSS (цифровой подписи) – метода установления подлинности отправителя электронного сообщения и проверки достоверности содержащейся в сообщении информации. «NIST открыто предложил [стандарт] в августе 1991 г. и сначала не упоминал о каком-либо участии АНБ в его разработке. Этот стандарт предназначался для использования в несекретных гражданских системах», – рассказывают в Информационном центре защиты электронных персональных данных, который получил документы о разработке стандарта DSS с помощью Закона о свободе информации. После того как группа экспертов в области компьютерной безопасности подала судебный иск, NIST признал, что АНБ разработало стандарт, который «был подвергнут широкой критике представителями компьютерной индустрии за его низкую надежность и неполноценность по сравнению с существующими технологиями проверки подлинности». «Многие наблюдатели допускали, что [существующая] методика не получила одобрения АНБ, поскольку фактически она была более безопасной, чем алгоритм, предложенный агентством».
C точки зрения АНБ его усилия, направленные на дискредитацию шифрования, совершенно естественны. В конце концов, взлом шифров – основной вид деятельность агентства. Именно этой работой оно уполномочено заниматься, и именно этой работы от него ожидают. Если агентство внедрило лазейки в алгоритмы шифрования, о которых знало только оно, то какой от этого вред?
Однако изъяны алгоритмов не были секретом. К 2007 г. об уязвимости генератора случайных чисел писали популярные сайты и ведущие эксперты по безопасности. Использовать эту уязвимость, то есть подобрать ключ, который открывал бы «черный ход», оставленный АНБ, было довольно сложно, но возможно. Иностранные власти могли найти способ взломать алгоритм шифрования, и тогда им открывалась возможность шпионить за своими гражданами или за американскими компаниями и агентствами, которые использовали этот алгоритм. Криминальные структуры могли использовать недостатки алгоритма для похищения персональных и финансовых данных. Алгоритм был уязвим везде, где он применялся, в том числе в продуктах одной из ведущих на мировом рынке компаний в сфере безопасности.
В АНБ могли успокаивать себя, рассуждая о том, что криптографические службы других стран, несомненно, пытались нейтрализовать использование шифрования, в том числе и тех алгоритмов, которыми манипулировало АНБ. И конечно, они этим занимались. Однако это не ответ на вопрос, зачем сознательно дискредитировать не просто один алгоритм, а весь процесс создания стандартов шифрования? Тайные действия АНБ подорвали доверие к NIST и разрушили давнюю репутацию агентства как надежного и ценного партнера, внесшего свой вклад в создание некоторых основополагающих технологий в Интернете – тех самых устройств, благодаря которым люди могли не опасаться за безопасность своих личных данных, а значит, и за неприкосновенность своей личной жизни. Представьте, если бы АНБ занималось производством дверных замков и навязчиво предлагало бы каждой строительной компании в Америке отдавать предпочтение их моделям, в которых есть тайный изъян. Никто не стал бы этого терпеть. В крайнем случае сами потребители завалили бы компанию судебными исками и требовали бы отставки руководителей организации.
Однако реакция общества на работу АНБ, направленную против шифрования информации, была относительно слабой. Отчасти это связано с тем, что многие эксперты, среди которых были и криптографы, уже давно подозревали агентство в подобного рода теневой деятельности. Новое разоблачение было содержательным и полезным, но не вызвало удивления. Кроме того, у американских законодателей и чиновников было сильное ощущение, что именно этим АНБ и должно заниматься. Оно взламывает шифры, чтобы похищать информацию. NIST утверждает новые стандарты посредством открытой и прозрачной процедуры. А это проклятие для скрытного характера АНБ. С точки зрения агентства Комитет по стандартизации создает угрозу распространения устойчивых ко взлому алгоритмов и криптографических технологий, которые позволяют надежно защитить информацию, то есть ведет деятельность, прямо противоположную задачам АНБ. Многие годы законотворцы, которые утверждали бюджет АНБ, и чиновники Администрации, которые курировали его работу, были на стороне агентства. Рассеять возникающие опасения им помогал тот факт, что, пока проделки АНБ оставались в секрете, ущерб безопасности Интернета и репутации Соединенных Штатов был минимальным. Разоблачения, опубликованные в 2013 г., положили конец подобным предположениям.
Из всех темных дел АНБ, наверное, ни одно другое не подвергало безопасность Интернета и людей, его использующих, большему риску, чем секретный поиск методов создания кибероружия.
В течение последних 20 лет аналитики АНБ подробно изучали мировое программное, аппаратное обеспечение и сетевое оборудование, пытаясь найти ошибки и уязвимости, с помощью которых можно создать программы для атаки на компьютерные системы. Такие программы получили название эксплоитов[10] нулевого дня, поскольку в них используются ранее неизвестные уязвимости, защиты от которых еще не существует.
Уязвимость нулевого дня – самое эффективное кибероружие. Применение этого оружия создает эффект неожиданности, дающий огромное преимущество в битве. Эксплоит нулевого дня создается специально под конкретную уязвимость. А поскольку недостаток системы, делающий ее беззащитной, скорее всего будет устранен, как только объект поймет, что был атакован, использовать такой эксплоит можно лишь один раз.
Атаки нулевого дня особенно сложны для реализации, поскольку неизвестные уязвимости трудно найти. Однако АНБ много лет занималось накоплением информации о таких уязвимостях. В 1997 г., согласно недавно рассекреченному информационному бюллетеню АНБ, по крайней мере 18 подразделений агентства тайно собирали данные об уязвимостях технологий, используемых частными лицами, компаниями и государственными учреждениями по всему миру. В настоящее время и эксперты в области безопасности, и государственные чиновники признают, что АНБ – единственный крупнейший владелец эксплоитов нулевого дня, многие из которых агентство покупает на теневом рынке в Сети у независимых хакеров и корпоративных посредников.
Этот теневой рынок, строго говоря, не является незаконным, но он функционирует на «задворках» Интернета. Принцип его работы следующий: специалисты по вопросам безопасности – еще одно название для хакеров – находят уязвимости. (Многие из этих специалистов базируются в Европе, где местные и национальные законы, противодействующие взлому компьютерных систем, гораздо мягче, чем в Соединенных Штатах.) Затем специалисты разрабатывают эксплоиты, или способы атаки с использованием найденной уязвимости, о которой на тот момент знают только те, кто ее обнаружил. Далее они продают эксплоиты посредникам, в качестве которых, как правило, выступают крупные оборонные подрядчики. Два крупнейших игрока на этом рынке – компании Raytheon и Harris Corporation. Они также разрабатывают традиционные виды систем вооружения для военных ведомств, при этом являются самыми крупными и авторитетными подрядчиками Пентагона. Они имеют давние и прочные связи с военными и АНБ. Кроме того, сбором и продажей уязвимостей нулевого дня занимаются небольшие специализированные фирмы. Некоторыми из них руководят бывшие армейские офицеры или сотрудники разведслужб.
Когда у посредников появляется информация о новых уязвимостях нулевого дня, они продают ее своему клиенту – АНБ. Однако цепочка поставок начинается с хакера. Чтобы стать хорошим охотником на уязвимости нулевого дня, хакер должен уметь смотреть на вещи глазами программиста и находить недостатки в его коде. Процесс можно в некоторой степени автоматизировать. К примеру, метод «фаззинг» заключается в том, что в компьютерную программу вводятся неожиданные или случайные данные с целью вызвать критическую ошибку. Потом хакер анализирует те недостатки, которые вызвали «падение» программы.
Однако, чтобы отыскать глубоко скрытые изъяны, хакер должен придумывать новые, более искусные методики, которые заставят компьютер показать слабые места программы. Например, в 2005 г. аспирант Калифорнийского университета в Лос-Анджелесе обнаружил, что, если измерять «небольшие, микроскопические колебания» во внутреннем генераторе тактовых частот компьютера, можно однозначно идентифицировать компьютер в сети, состоящей из тысяч машин. Позже в своей научной статье он написал, что с помощью этой методики «злоумышленники, находясь за тысячи километров» от атакуемого компьютера, могут обойти программные средства сокрытия физического местоположения компьютера, в том числе и средства Tor – сети маршрутизаторов-анонимайзеров, которую АНБ с таким усердием пыталось разрушить. Через год после публикации статьи исследователь из Кембриджского университета обнаружил, что фактически существует возможность идентифицировать в сети сервер, на котором запущено программное обеспечение для сохранения анонимности в сети Tor и таким образом лишить эту сеть самого важного преимущества. Ему удалось это сделать, отправляя на анонимный сервер сети Tor множественные запросы, которые повышали нагрузку на сервер и буквально заставляли его разогреваться. С повышением температуры изменяется интенсивность движения электронов в микросхемах, что, в свою очередь, влияет на точность тактового генератора. Таким образом, расположение анонимного сервера было по-прежнему неизвестно, но удалось получить уникальный «фазовый сдвиг импульсов тактового генератора» и опросить компьютеры в глобальном Интернете, чтобы найти нужный сервер. Исследователь это и сделал. Фазовый сдвиг позволил ему определить местоположение сервера сети Tor, который считался скрытым. Согласно секретному документу АНБ под названием Tor Stinks, в котором описаны попытки АНБ уничтожить эту сеть, агентство изучило обе методики, связанные с определением фазового сдвига, для поиска маршрутизаторов сети.
Изобретательность и искусность при розыске таких скрытых, едва различимых особенностей отличает великих хакеров от просто хороших. Именно это умение позволяет находить уязвимости нулевого дня. Хакеры просят за них высокую цену. Если эксплоиты поставляются в форме «оружия», то есть готовыми к применению против какой-либо системы, их цена начинается от $50 000 и может достигать $100 000, как говорят эксперты. Некоторые эксплоиты могут стоить еще дороже, в случае если они предназначены для атаки на более ценные или труднодоступные объекты. Текущая стоимость эксплоита для атаки на операционную систему Apple iOS, которая установлена в смартфонах iPhone и других мобильных устройствах той же компании, составляет полмиллиона долларов, по словам одного из экспертов. А более сложные эксплоиты, которые используют недостатки во внутренней механике элементов оборудования, могут стоить миллионы долларов. Столь высокая цена таких эксплоитов обусловлена тем, что объектом их атаки является аппаратная часть оборудования, недостатки которого не могут быть устранены так же, как ошибки в программном обеспечении, с помощью нескольких новых строк кода. Структурами, у которых есть стимулы и средства для покупки такого оружия, являются исключительно организованные преступные группы и государственные организации.
Серьезные покупатели информации об уязвимостях нулевого дня, такие как АНБ, добывают ее разными способами. Они создают резервы на будущее. По словам бывшего высокопоставленного государственного чиновника, получившего информацию на секретном совещании с руководителями АНБ, агентство хранит данные более чем о двух тысячах уязвимостей нулевого дня для потенциального применения против одних только китайских электронных систем. Это потрясающе огромное количество эксплоитов. Компьютерный червь Stuxnet, который был создан совместными усилиями США и Израиля для нарушения работы объектов иранской атомной программы, содержал четыре эксплоита нулевого дня, что само по себе немало для одной атаки. Коллекция из 2000 эксплоитов нулевого дня – это кибернетический аналог ядерного арсенала.
Этот арсенал к тому же подвергает риску пользователей во всем мире. Раз АНБ запасает данные об уязвимостях, вместо того чтобы сообщать производителям высокотехнологичной продукции, что в их аппаратном и программном обеспечении имеются изъяны, значит агентство, вероятно, скрывает ценную информацию, которая могла бы быть использована для защиты от злонамеренных хакеров. АНБ, конечно же, использует накопленные знания об эксплоитах нулевого дня для затыкания дыр в технических средствах, которые оно применяет или может применить в рамках военной или разведывательной деятельности. Но оно не предупреждает остальной мир, ведь тогда эксплоиты нулевого дня будут менее эффективны или вообще бесполезны. Если АНБ предупредит технологические компании об уязвимостях в их продуктах, то потенциальные цели агентства в Китае или Иране смогут подготовиться к отражению атак.
Однако на теневом рынке уязвимостей нулевого дня никто не дает гарантий, что АНБ приобретает исключительные права на информацию об этих уязвимостях. Один сомнительный поставщик, французская компания Vupen, продает информацию об одних и тех же уязвимостях нулевого дня и одни и те же эксплоиты многим клиентам, в том числе и государственным ведомствам разных стран. АНБ тоже является клиентом компании Vupen – из общедоступных документов видно, что агентство приобретает информацию об уязвимостях нулевого дня по подписке, которая предполагает получение информации об определенном количестве уязвимостей в течение срока действия договора. (Вооруженное этой информацией, АНБ может создать собственные эксплоиты.) Vupen также ведет каталог сложных, готовых к реализации атак нулевого дня, которые стоят гораздо дороже информации, распространяемой по подписке.
АНБ знает, что Vupen не всегда заключает эксклюзивные договоры, поэтому агентству приходится покупать все больше и больше информации об уязвимостях нулевого дня, рассчитывая на то, что по крайней мере какая-то часть из них окажется бесполезной в случае, если другое государство или компания, или криминальная группа воспользуются ими. Критики обвиняют компанию Vupen в поддержке «гонки кибервооружений» – стравливании государственных разведслужб и вооруженных сил друг с другом. Клиенты Vupen знают, что, если они упустят возможность купить информацию об очередной уязвимости, компания обязательно найдет клиента где-нибудь еще. Уязвимости, информацией о которых владеет Vupen, не являются уникальными для какой-то одной страны. Многие из них обнаружены в широко продаваемых высокотехнологичных продуктах, используемых по всему миру. Таким образом, у государств имеется стимул приобретать как можно больше информации об уязвимостях нулевого дня как для самозащиты, так и для проведения атак на своих противников.
В компании Vupen говорят, что они всего лишь продают информацию «заслуживающим доверия организациям». К таким организациям компания относит «разработчиков в сфере безопасности, поставляющих оборонные решения», государственные организации в «одобренных странах» и «всемирные корпорации», среди которых компании из первой тысячи рейтинга журнала Fortune. Это длинный список потенциальных клиентов, и в Vupen согласны, что не имеют возможности убедиться в надежности каждого из них. Компания не может гарантировать, что клиенты, купившие подписку или кибероружие из ее каталога, не передадут эти сведения людям, которым компания никогда не продает информацию непосредственно. Руководители дают туманные заверения, что существует внутренняя процедура проверки, не попадут ли в руки независимым хакерам и посредникам опасные продукты и знания, проданные компанией государственным ведомствам. Особое беспокойство вызывали страны Северной Африки и Ближнего Востока с репрессивным режимом правления, где власти, пытаясь сломить сопротивление демократических активистов, привлекают хакеров для внедрения зловредного ПО, чтобы вести слежку за протестующими. Вредоносные же программы приобретаются у таких компаний, как Vupen, представители которых заявляют, что никогда не продают свои продукты для таких неблаговидных целей. Тем не менее подобные продукты можно обнаружить на компьютерах и мобильных телефонах активистов, некоторые из которых подвергались преследованию и жестокому обращению со стороны властей и экстремистских группировок.
На всяком рынке, будь он серый или любой другой, крупнейшие покупатели имеют привилегии устанавливать свои условия и правила. АНБ как общепризнанный единственный крупнейший покупатель уязвимостей и эксплоитов нулевого дня может перевернуть рынок с ног на голову, если начнет приобретать информацию с ясной целью раскрыть ее обществу. Агентство располагает миллиардами долларов для расходов на кибербезопасность. Почему бы не потратить часть этих денег на то, чтобы предупредить мир о существовании устранимых уязвимостей? Какую ответственность понесет агентство, если предупредит собственников и операторов небезопасной технологии о существовании потенциальной угрозы атак на них? Эту этическую дилемму агентство не обязано решать. Однако, если когда-нибудь случится кибератака на США, которая приведет к значительному физическому ущербу или вызовет массовую панику, а может, и смерти, агентство будет призвано к ответу за то, что не сумело предотвратить катастрофу. Вполне вероятно, что когда-нибудь в будущем директору АНБ придется сесть на место свидетеля и перед телевизионными камерами объяснить членам конгресса и гражданам США, как так вышло, что он знал об уязвимости, которой воспользовались враги Америки, но только из-за желания АНБ однажды воспользоваться этой информацией решил сохранить ее в тайне.
К наиболее уязвимым для разрушительных кибератак нулевого дня относятся те же самые объекты, которые АНБ так старается защитить: электростанции, предприятия атомной промышленности, газовые трубопроводы и другие жизненно важные объекты инфраструктуры, банки и компании финансового сектора. Не во всех этих компаниях есть система для легкого обмена информацией об уже известных уязвимостях и эксплоитах, информацию о которых зачастую раскрывают хакеры, больше ориентированные на защиту. Эти хакеры видят свое предназначение в поиске недостатков в высокотехнологичных продуктах и предупреждении о них компаний-производителей, а не в извлечении личной выгоды. Когда выясняется, что информационная система компании подвергается риску, установка исправлений и обновлений системы ложится на саму компанию, а технологическая гибкость у разных компаний разная. Одни готовы к оперативному внесению исправлений, другие могут даже не осознавать, что они используют уязвимое программное обеспечение. Иногда компании буквально не получают от производителей извещений, предупреждающих о необходимости установки обновления или изменения параметров безопасности продукта для повышения его надежности. Даже если компания использует ПО, для которого регулярно выпускаются обновления, системные администраторы компании должны согласовано скачать эти обновления, убедиться, что они были установлены повсеместно в компании, и продолжать отслеживать все будущие обновления. Когда на одном предприятии нужно обслуживать сотни или тысячи компьютеров, установка обновлений может оказаться весьма трудной задачей.