Кибервойн@. Пятый театр военных действий Харрис Шейн

Приобретая такое большое количество эксплоитов нулевого дня, АНБ поддерживает рынок кибероружия, существование которого подвергает опасности американские компании и жизненно важные объекты инфраструктуры. Если какое-то государство или террористическая группа захотят оставить один из американских городов без света, то, скорее всего, они воспользуются эксплоитом, купленным у одной из компаний, поставляющей эксплоиты также и АНБ. Кроме того, продавцы эксплоитов нулевого дня несут по крайней мере потенциальную ответственность за снижение безопасности Интернета. Однако они предпочитают обвинять производителей программного обеспечения в том, что их программы вообще могут быть взломаны. «Мы не продаем оружие, мы продаем информацию, – ответил основатель компании ReVuln, продающей эксплоиты, на вопрос журналиста Reuters, будет ли его компания обеспокоена, если одна из ее программ будет использована для атаки, которая приведет к уничтожению систем или смерти людей. – Этот вопрос лучше задать производителям, оставляющим дыры в своих продуктах».

Подобная линия защиты немного похожа на ситуацию, когда в ограблении обвиняют слесаря, сделавшего замок. Да, считается, что слесарь создает вещь, которая не позволит взломщикам проникнуть в дом. Однако, если грабителю все же удается вломиться внутрь и украсть телевизор или, еще хуже, напасть на владельцев дома, мы же не предъявляем иск слесарю. Компании, подобные ReVuln, конечно, сами никого не грабят, но, если продолжить аналогию, они продают отмычки. Нет никаких сомнений, что они тоже несут некоторую ответственность за совершенные преступления – пусть не правовую, но моральную.

А что же АНБ? В аналогии с ограблением невозможно подобрать эквивалент тому, что делает агентство. В воровском мире никто не скупает отмычки просто так. Вместе с тем АНБ хочет играть роль своего рода охранника для Интернета. Что обычно происходит, если охранник, нанятый для патрулирования окрестностей, увидит открытое окно, но не сообщит об этом владельцам дома? Более того, что если он найдет изъян в конструкции окон, которую используют все жители района, дающий взломщику возможность открыть окно снаружи? Если охранник не предупредит домовладельцев, они его просто уволят, а может быть, и потребуют его арестовать. Никому в голову не придет оправдывать охранника тем, что он держал в секрете информацию об уязвимости конструкции окна, чтобы защитить домовладельцев. И полицию, наверняка, не устроит, если эта информация останется известной только охраннику, который сможет ей воспользоваться, чтобы ходить и обворовывать дома.

Аналогия не идеальная. АНБ не относится к правоохранительным органам, это военная и разведывательная организация. Деятельность агентства подчиняется другим законам и направлена на решение других задач. Тем не менее поскольку агентство поднимает тему кибервойны и заявляет о том, что именно оно наилучшим образом подготовлено к защите государства от злоумышленников и их атак, то и вести себя оно должно, именно как охранник, а не как грабитель.

В 2013 г. на приобретение эксплоитов нулевого дня в бюджете АНБ было предусмотрено $25 млн. Эта статья расходов во внутреннем бюджетном документе агентства называлась «тайное приобретение информации о программных уязвимостях». Однако АНБ, приобретая кибероружие, полагается не только на теневой и нерегулируемый рынок. Преимущественно агентство создает свое оружие. А почему нет? Агентство располагает собственной производственной базой, состоящей из лучших в стране хакеров, многие из которых поднялись по карьерной лестнице на военной службе и за государственный счет прошли обучение на курсах по компьютерной безопасности университетского уровня. Подготовка такого персонала – это дорогостоящие и долгосрочные инвестиции. Соединенные Штаты полагаются на опыт и знания этих специалистов в киберборьбе с Китаем, у которого, вероятно, всегда будет преимущество по абсолютному числу хакеров.

Проблема АНБ заключается в том, что эти высококлассные киберсолдаты не всегда остаются на государственной службе. Они легко могут продолжить карьеру при переходе в частный бизнес, особенно сейчас, когда их работа в частном секторе так же востребована, как и в государственном.

Чарли Миллер, бывший сотрудник АНБ, известен своим умением находить трудные для обнаружения ошибки в продуктах компании Apple, в том числе в ноутбуках MacBook Air и смартфонах iPhone. В 2012 г. он ушел работать в Twitter. Таких, как Миллер, в хакерских кругах называют «хорошими парнями». Он взламывает системы для того, чтобы их исправить, прежде чем «плохие парни» смогут воспользоваться не устраненными ошибками и нанести вред. Социальная сеть, созданная компанией Twitter, по мере своего роста становилась все более привлекательной целью для шпионов и преступников. Миллер использует опыт, приобретенный в АНБ, и природный талант, чтобы защитить сотни миллионов пользователей компании Twitter, которая в 2013 г. стала публичной.

Джастин Шах прошел похожий путь. Он начал свою карьеру в середине 1990-х в качестве информационного аналитика, программиста и системного администратора в Корпусе морской пехоты США. В 2001 г. Шах поступил на службу в АНБ, где он прошел обучение в рамках Междисциплинарной программы подготовки по системам и сетям, разработанной агентством. Ее основная цель – подготовка кибервоинов. «Выпускники этой программы становятся для агентства незаменимыми, поскольку они могут решать самые универсальные задачи по управлению компьютерными сетями», – говорится в брошюре АНБ, в которой за техническими терминами скрывается главное – речь идет о киберпреступности и кибератаках. Менее чем через два года Шах перешел на службу в ЦРУ. Там он работал в Отделе технических операций, который помогал АНБ устанавливать оборудование для слежки в труднодоступных местах. Однако вскоре он ушел в частный сектор и в итоге оказался в компании Google на должности инженера по информационной безопасности.

В компании Google Шах стал членом команды, задача которой заключалась в анализе слабых мест системы безопасности и поиске эксплоитов нулевого дня, угрожавших клиентам компании и ее продуктам, например системе электронной почты и браузеру. Компания сама не раз становилась целью изощренных хакерских операций, самая заметная из которых была проведена в 2010 г. китайской группой, взломавшей хранилище программного кода компании. Хакеры украли текст программы для системы управления паролями, которая позволяла пользователям входить одновременно во многие приложения Google. Исследователи относили эту систему к «королевским регалиям» интеллектуальной собственности компании. Кража вызвала панику среди высшего руководства Google – компании, которая гордится тем, что заботится о безопасности своих пользователей и их персональных данных, и репутация которой во многом строится именно на обещании гарантий этой безопасности.

Сейчас в Google есть собственная команда сыщиков, некоторые из них работали в АНБ и других разведывательных агентствах. Команда занимается поиском угроз для компании. «В этом нет никакого секрета. Обладание огромным каталогом подозрительного или зловредного ПО действительно очень помогает защитить сотни миллионов пользователей», – написал Шах в своем твиттере в 2012 г., после того как Google купила небольшую компанию, разрабатывающую антивирус для проверки электронной почты и сайтов. Сегодня Google сканирует почту пользователей Gmail на предмет угроз, и даже показывает пользователям тревожное сообщение на привлекающем внимание красном фоне, если система подозревает, что вирус мог быть отправлен хакерами, работающими на государство. В предупреждении не говорится явно о Китае, но, очевидно, подразумевается.

В Google не хватает сотрудников, чтобы найти все уязвимости и эксплоиты нулевого дня, которые могут угрожать компании и сотням миллионов ее пользователей во всем мире. Поэтому компания также выплачивает поощрительные премии независимым хакерам – тем самым, которые продают свои находки оборонным подрядчикам. В Google говорят, что самый крупный их конкурент на теневом рынке уязвимостей нулевого дня – это АНБ. Агентство покупает информацию об уязвимостях быстрее всех и платит самую высокую цену.

Еще для получения информации об уязвимостях нулевого дня компания привлекает своих посредников. Согласно двум источникам, знакомым с программами контроля безопасности Google, для покупки информации об уязвимостях и известных эксплоитах компания пользуется услугами специализированной фирмы с названием Endgame, расположенной в пригороде Вашингтона. Доподлинно неизвестно, что именно Google намеревается делать со своими приобретениями, но кое-что можно сказать совершенно точно: во-первых, обладание коллекцией эксплоитов нулевого дня позволяет компании начать свою частную кибервойну, а во-вторых, подобные действия противозаконны. Только государственные власти могут проводить наступательные кибероперации, наносящие ущерб компьютерным системам.

Однако государственные организации не являются исключительными целями для хакеров, и в США это отлично знают. Действительно, именно масштабная шпионская кампания, направленная против оборонных предприятий, подтолкнула власти США к началу создания киберармии. И сегодня американские компании начинают осознавать, что эта армия никогда не будет достаточно большой и сильной, чтобы защитить всех. Бизнес вынужден защищать себя сам. А одним из тех мест, куда компании в первую очередь обращаются за защитой, является та самая теневая сеть, в которой хакеры продают свои навыки и оружие клиентам, предложившим наивысшую цену.

6. Наемники

Веселые 20–30-летние молодые люди в рубашках поло и джинсах сидят на красных модных креслах Herman Miller перед серебристыми ноутбуками Apple и глянцевыми плоскими мониторами. Кто-то дожевывает корпоративный обед, который им привозят каждую неделю, или еду из полноценной офисной кухни, кто-то строит планы на совместную игру в софтбол этим вечером. Их шикарный офис оформлен в стиле индустриального лофта – свободная планировка, высокие потолки, открытые коммуникации. По всем внешним признакам Endgame Inc. похож на обычный молодой технологический стартап.

Но это далеко не так. Endgame – один из ведущих игроков в глобальном бизнесе кибероружия. Среди прочего компания собирает информацию об уязвимостях нулевого дня и продает ее правительствам и корпорациям, и, судя по ценам, устанавливаемым компанией, бизнес идет неплохо. Из маркетинговых документов можно узнать, что Endgame просит $2,5 млн за годовой подписной пакет, в который входят 25 новых эксплоитов нулевого дня. За $1,5 млн клиенты получают доступ к базе данных, в которой хранится информация о физическом местоположении и интернет-адресах сотен миллионов уязвимых компьютеров, разбросанных по всему миру. Вооружившись такой информацией, клиент компании Endgame может найти уязвимые для атаки места в собственных системах и построить защиту от таких атак. Но в этой базе данных он также найдет информацию о компьютерах, уязвимых для эксплоитов. Содержимое таких компьютеров можно проанализировать для поиска полезной информации, например государственных документов или корпоративных коммерческих секретов, или их можно атаковать с помощью вредоносного ПО. Endgame может выбирать, с кем вести дела, но она не указывает своим клиентам, как использовать продаваемую компанией информацию, и, кроме того, не может воспрепятствовать противозаконным действиям своих клиентов. Точно так же Smith&Wesson не может помешать своим покупателям использовать огнестрельное оружие для совершения преступления.

Основой бизнеса компании Endgame является обработка огромного объема информации об уязвимых компьютерах и слабых местах в компьютерных сетях и представлять эти данные в графическом виде. Для этой цели Endgame использует программный инструмент собственной разработки, который сотрудники называют «Медицинская пила» (Bonesaw) и описывают как «приложение для нахождения киберцелей».

«Bonesaw позволяет построить карту практически всех устройств, подключенных к Интернету, с указанием программного и аппаратного обеспечения, используемого этими устройствами», – рассказал сотрудник Endgame журналистам в 2013 г. Программа показывает, какие системы заражены вирусами и вследствие этого уязвимы для атак.

По словам бывших государственных чиновников и исследователей в области безопасности, АНБ является одним из крупнейших клиентов компании Endgame. Известно, что компания также работает с ЦРУ, Киберкомандованием, британскими разведывательными службами и крупными американскими корпорациями. Endgame располагает четырьмя офисами, один из которых расположен в престижном районе Кларендон в городе Арлингтон. От Пентагона туда можно добраться за десять минут на машине или проехав четыре станции на метро.

Своим клиентам Endgame предлагала данные о компьютерах, используемых некоторыми из крупнейших стратегических оппонентов Соединенных Штатов. В 2010 г. Endgame составила таблицу, на которой были представлены 18 государственных ведомств и крупных государственных компаний Венесуэлы, в которых работали открытые для атаки компьютеры. Среди этих объектов были: водопроводная станция, банк, Министерство обороны, Министерство иностранных дел и Администрация президента. В таблице, которая, по словам компании, представляла собой «не полный список», были указаны интернет-адреса каждой зараженной компьютерной системы, перечислены города, в которых эти системы находились, и названы опасные приложения, которые на этих системах были запущены. Последняя колонка в таблице была обозначена как EGS Vuln. В ней, видимо, отмечалось, были ли приложения уязвимы для атак. Практически напротив каждого из перечисленных компьютеров в этой колонке стояло слово «да».

Endgame разыскивало цели и в России. Внутренняя документация показывает, что компания нашла открытые для атаки компьютеры в Министерстве финансов, а также на нефтеперерабатывающем заводе, в банке и на атомной электрической станции. Кроме того, компания обнаружила ряд объектов в Китае, странах Латинской Америке и Ближнего Востока.

Подобного рода сведения обычно относились к сфере деятельности исключительно государственных разведслужб. Только они имели доступ и владели навыками для розыска уязвимых компьютеров с такой точностью. И только у них была мотивация и средства для приобретения кибероружия, предназначенного для атак на эти системы. Теперь уже нет.

Endgame относится к пока небольшому, но возрастающему числу узкопрофильных компаний-наемников, которые специализируются в области так называемой активной защиты. Активная защита – это эвфемизм, используемый профессионалами информационной безопасности, сбивающее с толку понятие, поскольку подобного рода «защита» подразумевает не только установку сетевых экранов и антивирусов. Под этим понятием скрывается в том числе и проведение упреждающих или ответных ударов. Endgame сама не осуществляет атак, но с помощью информации, которую поставляет компания, ее клиенты могут наносить собственные киберудары. Вообще-то, закон запрещает компаниям проводить кибератаки, но он не запрещает этого государственным агентствам. По словам трех источников, знакомых с бизнесом Endgame, почти все клиенты компании – это американские государственные службы. Тем не менее с 2013 г. руководителям удалось добиться роста коммерческого успеха фирмы и заключить сделки с ведущими технологическими компаниями и банками.

Endgame была основана в 2008 г. Крисом Роуландом, первоклассным хакером, который впервые «попал на радары» Министерства обороны в 1990 г., после того как взломал пентагоновский компьютер. По имеющимся данным, власти Соединенных Штатов отказались от его преследования в обмен на согласие поработать на государство. Он основал Endgame с группой знакомых хакеров, работавших в качестве благонадежных исследователей в компании Internet Security Systems, которую в 2006 г. приобрела IBM за $1,3 млрд. Формально, предполагалось, что они должны защищать компьютеры и сети своих клиентов. Однако полученные ими навыки вполне позволяли работать не только в обороне, но и в наступлении.

Роуланд, по словам его бывших коллег, отличался деспотичным и вспыльчивым характером. Он стал активным сторонником того, чтобы разрешить компаниям самостоятельно проводить контратаки против отдельных людей, групп и даже целых стран, со стороны которых те подвергались кибератакам. «В конце концов, нам необходимо позволить корпорациям в этой стране наносить ответные удары, – заявил Роуланд в своем выступлении на круглом столе, прошедшем в рамках конференции по этике и внешней политике в Нью-Йорке в сентябре 2013 г. – Они теряют миллионы долларов, и я думаю, что мы вынуждены позволить им защищаться самостоятельно, поскольку оказание помощи в этой ситуации со стороны государства – слишком сложная задача». Роуланд выступил выразителем чувства разочарования и неудовлетворенности руководителей многих корпораций, которые стали целью кибершпионов и членов преступных организаций. Пентагон решил обеспечить специальную защиту своим оборонным подрядчикам. Очевидно, что в военном ведомстве больше беспокоились об атаках на жизненно важные объекты инфраструктуры, такие как электрические сети, чем о компаниях, ценность которых для американской экономики была намного меньше.

Ответные действия могли принимать разные формы. Компания могла направить огромный поток сетевого трафика на вредоносный компьютер и таким образом выкинуть его в офлайн. Можно было взломать жесткий диск китайского кибершпиона, найти украденные документы и удалить их. Конечно, после получения доступа к компьютеру шпиона компания могла бы удалить вообще всю хранящуюся на нем информацию, еще и вирус в сеть запустить. Единичный акт самозащиты может быстро превратиться в полномасштабный конфликт. А принимая во внимание поддержку, которой китайские кибершпионы пользуются со стороны китайских же военных, американская фирма в итоге может прийти к тому, что ей придется начать собственную кибервойну против суверенного государства.

Ни компании, ни частные лица не имеют законных прав, позволяющих им взламывать компьютеры в ответ на киберагрессию. Однако нет ничего противозаконного в том, чтобы предлагать продукты и услуги, которые предлагала Endgame. Компания привлекла более $50 млн инвестиций из ведущих венчурных фондов, в числе которых были Bessemer Venture Partners, Kleiner Perkins Caufield&Byers и Paladin Capital. Это огромные деньги для стартапа в области кибербезопасности, особенно специализирующегося в такой сомнительной сфере.

Роуланд ушел с должности генерального директора Endgame в 2012 г. после скандальной публикации внутренних маркетинговых документов компании, выполненной хакерской группой Anonymous. Endgame пыталась замять ситуацию и не допустить упоминания своего имени в СМИ, даже отключила свой сайт. Тем не менее Роуланд снова выступил на конференции с провокационным заявлением, сказав, что американские компании никогда не избавятся от кибератак, если только не начнут наносить ответные удары. При этом Роуланд отметил, что высказывает исключительно свое личное мнение: «На сегодняшний день в киберпространстве отсутствует концепция сдерживания. Это глобальная зона свободного огня». Один из участников дискуссии согласился с Роуландом. Роберт Кларк, профессор права в Морском академическом центре изучения кибербезопасности, рассказал аудитории, что если компания, подвергшаяся взлому, сама осуществит внедрение в компьютер вора и удалит украденную у нее информацию, то это будет нарушением закона. «Это самая глупая вещь, которую только можно придумать, – сказал Кларк. – Это мои данные, они здесь, и мне должно быть позволено удалить их».

Спустя несколько месяцев после появления Роуланда в Нью-Йорке Endgame утвердила нового генерального директора. Им стал 35-летний Натаниэль Фик, бывший капитан морской пехоты, прошедший службу в Ираке и Афганистане. После ухода из армии он получил диплом MBA в Гарвардской бизнес-школе и участвовал в работе известного научного центра в Нью-Йорке. Фик написал книгу воспоминаний о своем боевом опыте[11], а кроме того, стал героем книги «Поколение убийц» (Generation Kill)[12], по которой телеканал HBO снял мини-сериал.

По словам двух источников, которые знают Фика лично и знакомы с бизнес-стратегией компании Endgame, новый гендиректор стремился снять компанию с иглы разведывательных контрактов и отойти от бизнеса, связанного с уязвимостями нулевого дня. Он считал это направление слишком сомнительным и крайне нерентабельным из-за того, что приходилось тратить сотни тысяч долларов на покупку одного-единственного эксплоита. Прибыль от торговли кибероружием была слишком низкой.

Однако уйти из этого бизнеса было не так-то просто. Инвесторы компании Endgame были неразрывно связаны с ее государственными заказчиками, которые располагали значительными финансовыми ресурсами и планировали потратить миллиарды долларов в течение ближайших нескольких лет на кибернетические оборону и атаки. Консультативный совет Endgame давно работал со столь выгодной клиентской базой. У компании были связи с отставным высокопоставленным чиновником из Пентагона, занимавшим в разное время влиятельные управленческие должности в области технологий. Также компания была связана с менеджером Отдела управленческих информационных систем в ЦРУ. Председатель совета директоров Endgame занимал должность генерального директора компании In-Q-Tel – подразделения ЦРУ, управлявшего венчурными капиталами, а один из членов совета директоров раньше работал директором АНБ.

Однако, как отметил Фик в своем интервью вскоре после назначения, состоявшегося в 2012 г., время огромных военных расходов, начавшееся после терактов 11 сентября, подходило к концу. США сворачивали свое военное присутствие в Ираке и Афганистане. Приближался период строгой экономии, а в конгрессе все чаще были слышны призывы к сбалансированному бюджету и снижению государственных расходов. «Оборонный бюджет окажется под давлением, впрочем, так и должно быть, – говорил Фик. – Во многих случаях избыточность и неумеренность в расходах последнего десятилетия не могут продолжаться долго, такое положение совершенно нежизнеспособно». Однако он добавил: «Я думаю, что некоторые направления будут расти и дальше».

Этот рост наблюдается в частном секторе. Двое знакомых с Фиком людей рассказали, что компания Google стала одним из крупнейших покупателей пакетов уязвимостей нулевого дня, распространяемых компанией Endgame. Если бы Google нанесла ответный удар по тем, кто пытался похитить ее интеллектуальную собственность, это было бы нарушением закона. Однако Google была одной из самых заметных и, несомненно, самых влиятельных компаний, которые настоятельно призывали конгресс и Администрацию президента Обамы осудить Китай за кибершпионаж и предпринять дипломатические шаги, если страна сама не может обуздать своих хакеров. Google начала делиться с АНБ информацией об атаках на свои сети, после того как компания стала объектом масштабной шпионской операции Китая, результатом которой стало похищение интеллектуальной собственности.

Роуланд был не единственным сотрудником Endgame, который заявлял, что у компаний должно быть право защищаться в тех случаях, когда государство не может или не хочет обеспечить помощь. Партнер одного из ключевых инвесторов Endgame выступил в защиту этой идеи после публикации хакерами из группы Anonymous презентации компании, в которой рассказывалось, как ее клиенты могут использовать кластеры, состоящие из зараженных компьютеров – так называемые ботнеты, – для атак на сайты или похищения паролей и другой конфиденциальной информации. «Если вы считаете, что в будущем войны будут вестись в киберпространстве, разве вам не хотелось бы иметь в своем распоряжении киберармию? – сказал член совета директоров Endgame Тед Шлейн корреспонденту Reuters.

Большинство частных компаний, работающих в области кибербезопасности, прилагают максимум усилий, чтобы подчеркнуть тот факт, что они не проводят «ответных взломов», то есть не влезают в компьютер взломщика, поскольку в США это незаконно. Однако компании следят за взломщиками, которые забрались в их клиентские сети. Один из известных игроков в этом бизнесе, CrowdStrike, завлекает шпионов с помощью хост-ловушек. Компания может заманивать хакеров в фальшивые клиентские сети, которые на самом деле представляют собой стерильную зону, закрытую для любых рабочих и важных клиентских компьютеров. Смысл заключается в том, чтобы выиграть время для наблюдения за взломщиками и определить, что их интересует прежде всего: ищут ли они, например, технические схемы и чертежи или хотят узнать детали ведущихся переговоров. После этого нужно заставить хакеров показать, какими инструментами и методами они пользуются для кражи информации. Компания может защитить свои фиктивные документы с помощью особенно сложного пароля в надежде, что хакер воспользуется новым способом взлома. Как только клиент понял, каким инструментарием располагает взломщик, CrowdStrike сможет предсказать, каким образом грабитель попытается влезть в другие системы в будущем. Если клиент хочет выбить взломщика из колеи, перехитрить его, он может внедрить недостоверную или вводящую в заблуждение информацию в те свои документы, которые хакер примет за описание бизнес-стратегии или за планы по выпуску новой продукции.

CrowdStrike также анализирует системы жертв взломщика, чтобы понять, какие именно технологические отрасли или виды технологий его интересуют. Затем компания составляет досье. В некоторых случаях хакеру даже дают имя. Больше года аналитики CrowdStrike отслеживали действия одного противника, которого назвали Anchor Panda, шпионившего за компаниями, связанными с созданием спутников, аэрокосмической отраслью и оборонными контрактами, а также интересовавшегося программами космических исследований иностранных государств. Вооруженные специфической информацией о том, что из себя представляет хакер и какие методы взлома он использует, каков его почерк, клиенты CrowdStrike теоретически могут предпринимать целенаправленные защитные действия. Можно провести аналогию с рассылкой по всем полицейским участкам ориентировки на беглеца, в которой приведено точное описание его внешности и манеры поведения. Это будет намного эффективнее, чем просто призывать граждан быть осторожнее и внимательнее к подозрительным людям.

Эта деятельность очень напоминает работу правоохранительных органов. И это неудивительно, поскольку двое руководителей CrowdStrike – бывшие агенты ФБР. Шон Генри, генеральный директор CrowdStrike Services, подразделения компании, которое выслеживает и идентифицирует взломщиков, отслужил в бюро 24 года. Он уволился из ФБР в 2012 г., будучи старшим офицером, который отвечал за все международные киберпрограммы и расследования. Кстати, бывший заместитель директора киберподразделения ФБР теперь работает в компании главным консультантом. По словам Генри, CrowdStrike отличается от других компаний по кибербезопасности тем, что «когда мы реагируем на происшествие, мы по-настоящему охотимся за противником». Он говорит, что компания применяет методы компьютерной криминалистики и обратной разработки вредоносного ПО, чтобы понять тактику хакеров, методы их работы и мотивацию. Он осторожно обходит стороной все вопросы, связанные с вторжением в компьютеры противников компании, – агент ФБР в прошлом, он сам годами преследовал людей за нарушение антихакерских законов. Однако слово «охотимся» указывает на более агрессивную форму анализа, которую допускает компания, в отличие от других фирм, работающих в этой области. CrowdStrike устанавливает специальную аппаратуру в сетях своих клиентов и привлекает добровольцев для сбора большего объема информации о методах взломах, как только случается хакерская атака, вместо того, чтобы собирать улики уже после завершения атаки. Компания использует полученные данные, чтобы определить принадлежность хакера к определенной группе или стране. Это одна из самых сложных проблем киберкриминалистики, поскольку опытные хакеры, как правило, стараются скрыть свое физическое местоположение, используя для проведения атак зараженные компьютеры, находящиеся в других странах. CrowdStrike обещает сообщать своим клиентам не только о том, как они были атакованы, на также о том, кем и зачем. В первую очередь компания концентрирует свое внимание на шпионах и хакерах, работающих на другие государства, в том числе Иран, Китай и Россию. (Аналитики из группы «стратегической разведки» читают на трех языках: китайском, фарси и русском.) В своих маркетинговых материалах CrowdStrike многократно повторяет, что использует методы сбора разведданных для идентификации взломщиков и передает информацию о них своим клиентам.

Данная методика тоже взята из арсенала ФБР. Бюро устраивало облавы на хакеров, самые известные из которых были членами группы Anonymous, следя за тем, как они воруют данные у компаний и частных лиц. Эта информация становилась основанием для уголовного преследования. Однако CrowdStrike и ее клиенты не всегда доводят дело до суда. И именно в этой бизнес-модели компании кроется агрессивность.

Особенность, которая отличает CrowdStrike от конкурентов, заключается, по словам Генри, в «способности компании атаковать».

«Речь не идет о встречных хакерских атаках, направленных на самих хакеров, – говорит Генри, отметая любые намеки на то, что компания переступает черту и нарушает закон. – Мы говорим об обеспечении клиента определенными возможностями для создания и организации в его сети враждебной рабочей среды». Руководители CrowdStrike знают, что одним из способов создания подобного враждебного окружения, которым пользуются некоторые компании, является внедрение вредоносного ПО в ловушках, разбросанных ими по своим сетям. Когда злоумышленник скачивает документ или файл на собственный компьютер и пытается его открыть, в его систему запускается вирус. Он может уничтожить данные на жестком диске или установить шпионское ПО или бэкдор для того, чтобы открыть жертве взлома доступ к его компьютеру. CrowdStrike заявляет, что она не использует подобного рода ухищрения для заражения компьютеров. Тем не менее в 2013 г. сооснователь CrowdStrike Дмитрий Альперович в своем интервью рассказал, что он получил одобрение на подобные действия со стороны властей Грузии. В результате российского хакера хитростью вынудили скачать шпионское ПО, которое позволило удаленно его сфотографировать с помощью собственной веб-камеры. Эта фотография была опубликована в официальном отчете. «Частные компании должны получить право на подобного рода действия», – сказал Альперович.

В феврале 2014 г. компания Target[13] сообщила о хищении номеров кредитных банковских карт более чем 100 млн покупателей. После этого CrowdStrike опубликовала обучающий онлайн-семинар на тему борьбы с киберпреступностью. «Не будь мишенью![14]» – говорилось в рекламе, которую компания разослала по электронной почте своим потенциальным клиентам. Предлагаемый курс должен был научить компании, «как использовать упреждающий подход для защиты своих сетей», и показать им, «как можно использовать информацию об угрозах для того, чтобы быть готовым к любой неожиданности». Может быть, CrowdStrike и не проводило встречных хакерских атак. Но предупреждения, которые компания отправляла своим клиентам, и услуги, которые она рекламировала, подразумевают, что клиенты в конце концов могут получить все необходимые навыки на случай, если они решат нанести ответный удар самостоятельно.

Определение местоположения противника – это огромный шаг вперед по сравнению с простым наблюдением за его перемещениями с технической и юридической точки зрения. Однако и здесь существует свой рынок, на котором кибернаемники создают и продают шпионское ПО и хакерские инструменты, по сложности не уступающие государственным разработкам США двух – трехлетней давности. Растущие мощности распределенных вычислительных систем, таких как облачные службы, дают возможность все большему числу небольших групп создавать все более сложное программное обеспечение. И вскоре маленькие компании смогут создавать масштабные и мощные образцы кибероружия, которые до недавнего времени были доступны исключительно государственным властям. Уже сейчас наемники оказывают заметную помощь чиновникам в деле запугивания и подавления активистов и диссидентов. Устройства, разработанные наемниками, относятся к самым устрашающим и опасным во всем киберпространстве.

Фирма Gamma, расположенная в Великобритании, согласно маркетинговым документам компании, продает шпионское ПО под названием FinFisher, которое прячется внутри «фальшивых обновлений для популярных программ». Шпионская программа может получить полную власть над компьютером, скопировать файлы и записать каждое слово, набранное пользователем. Она маскируется под обновление для популярной программы iTunes. Пользователи запускают обновление, полагая, что получают новейшую версию музыкальной программы, а на самом деле они устанавливают на свои компьютеры FinFisher. Египетские демократические активисты обвинили компанию в поставке шпионской программы режиму президента Хосни Мубарака, хотя компания отвергла эти обвинения. Мубарак отдал приказ на силовой разгон гражданских акций в Египте в 2011 г. незадолго до того, как его окончательно отстранили от власти. Исследователи в области безопасности также заявляют, что копии программы FinFisher были найдены в электронных письмах, отправленных на адреса демократических активистов в Бахрейне.

Кибершпионы и наемные хакеры открыто предлагают свои услуги правоохранительным органам и разведывательным агентствам. Итальянская компания Hacking Team, работающая в Милане, предлагает «полный контроль над интересующими объектами», обеспечиваемый с помощью «невидимых» методов, которые «не поддаются обнаружению и не оставляют следов».

«Одержи победу над шифрованием! – говорится в одной из презентаций на сайте компании, копирующей язык АНБ. – Тысячи зашифрованных онлайн-коммуникаций в день. Получи к ним доступ». В 2011 г. компания открыла офис в Аннаполисе, чтобы работать с американскими клиентами.

Hacking Team открыто говорит о своем бизнесе. «Иногда важная информация спрятана внутри устройства и привязана к нему, никогда не передается вовне и хранится под надежной защитой… до тех пор, пока вы не проникните прямо в это устройство», – говорится в брошюре, описывающей один из шпионских продуктов компании – программу «Система удаленного управления» (Remote Control System).

«Вопрос в том, существует ли простая возможность взломать устройство?… Вам нужно только найти способ обойти шифрование, собрать и извлечь значимую информацию с устройства и продолжать следить за вашими целевыми объектами, где бы они не находились, даже за пределами области мониторинга. Remote Control System именно это и делает. Получите управление над вашими объектами наблюдения и следите за ними, несмотря на шифрование и мобильность… Взломайте интересующие вас цели с помощью самого передового инфицирующего ПО. Войдите в беспроводную сеть и проводите тактические операции с помощью специального оборудования, спроектированного для мобильной работы. Следите за всеми своими объектами и управляйте ими удаленно, все на одном экране».

По имеющейся информации, программа может включать камеру и микрофон ноутбука, превращая компьютер в устройство для визуального наблюдения.

Только в самом конце брошюры компания Hacking Team упоминает, что ее продукт предназначен исключительно для «санкционированной властями прослушки». (Компания была основана двумя хакерами, которые создали шпионскую программу по заказу местной итальянской полиции.) Hacking Team заявляет, что продает свой продукт только государственным правоохранительным органам и разведслужбам, а также не осуществляет поставки в «страны, внесенные в черный список» Соединенными Штатами, Европейским союзом, НАТО или членами Ассоциации государств Юго-Восточной Азии (АСЕАН). Кроме того, компания обещает проводить анализ каждого потенциального клиента, чтобы убедиться, что технология не будет «использована для нарушения прав человека».

Однако в октябре 2012 г. исследователи из Citizen Lab Университета Торонто сообщили, что программа Remote Control System компании Hacker Team была использована для заражения компьютера известного демократического активиста из Объединенных Арабских Эмиратов Ахмеда Мансура – 44-летнего инженера-электрика, который был заключен в тюрьму за подписание онлайн-петиции, призывающей к открытым выборам в стране, управляемой наследными монархами. Мансур проявил неосторожность и загрузил шпионскую программу, которая была спрятана в «обычном» электронном письме. Шпионское ПО проделало брешь в защите его персонального компьютера, анализировало его файлы и записывало все, что Мансур набирал на клавиатуре. Он заметил, что его компьютер стал медленно работать, а узнав, что программа FinFisher была использована против активистов в Бахрейне, связался с исследователями по вопросам информационной безопасности, которые подтвердили, что его компьютер был взломан. Шпионское ПО было настолько совершенным, что, даже когда Мансур изменил свой пароль электронной почты, невидимый взломщик по-прежнему мог читать его переписку. Злоумышленник имел полный контроль над компьютером, отслеживал все онлайн-коммуникации Мансура и его связи с другими активистами. Удалось выяснить, что взлом был осуществлен с интернет-адреса в Объединенных Арабских Эмиратах.

Через месяц после того, как специалист помог Мансуру очистить компьютер от вредоносного ПО, на Мансура было совершено нападение на улице. Нападавший знал имя Мансура, и Мансур подозревал, что его могли выследить через мобильный телефон. Он несильно пострадал в драке. Менее чем через неделю на Мансура снова напали. Уже другой человек снова нанес ему несколько ударов по голове. Мансур пережил и это нападение.

По мнению исследователей, Мансур был не единственным активистом, компьютер которого был заражен шпионским ПО компании Hacking Team. Он был одним из многих активистов, против которых применялись коммерческие шпионские программы во время бурных событий, происходивших на территории Северной Африки и Ближнего Востока. Нет никаких доказательств того, что Hacking Team знала или была каким-то образом вовлечена в нападения на Мансура. Компания просит предоставить документальные доказательства того, что ее продукт был использован противозаконным способом. Компания уверяет, что очень тщательно следит за соблюдением закона.

Режим соблюдения законности отслеживается компанией самостоятельно. И в этом смысле она не одинока. Не существует никакого международного органа или закона, которые бы обеспечивали продажу шпионского ПО и хакерских инструментов только для законного использования и только тем государствам, которые не нарушают права граждан и не подавляют активистов. Также не существует никаких процедур контроля за распространением кибероружия, подобного Stuxnet. Политические власти США, России, Китая и других стран в последние годы публично поднимали проблему отсутствия законодательства о кибероружии, но ни одна страна до сих пор не подготовилась к принятию соглашения, которое могло бы удержать ее от создания нового поколения вооружений. Кроме того, не существует какого-то ясного и очевидного пути для ввода в действие соглашения о кибероружии. На предприятиях по обогащению ядерного топлива можно провести инспекцию. Танки, корабли, самолеты видны на большом расстоянии. Кибероружие создается на компьютере, и его практически невозможно увидеть, пока им кто-либо не воспользуется.

События «арабской весны» сопровождались обвинениями в адрес компаний, работающих в области кибербезопасности, в том, что они сотрудничают с властями. Впрочем, это было не в первый раз. Осенью 2010 г., примерно в то время, когда сайт WikiLeaks готовил публикацию потенциально компрометирующей информации о Bank of America, содержащей в том числе внутренние отчеты и документы, чиновники из Министерства юстиции США связались с юристами банка и рекомендовали им начать сотрудничество с юридической фирмой из Вашингтона Hunton & Williams. Эта фирма объединила три небольших технологических компании для запуска своего рода пропагандистской кибероперации, направленной против оппонентов Торговой палаты США – ведущего лоббиста бизнес-интересов в Вашингтоне. Группа планировала прочесать сайты и социальные сети и с помощью методов анализа больших объемов данных составить досье на оппонентов Палаты. Компания Hunton & Williams обратилась к группе, работавшей под именем Team Themis, с просьбой проделать то же самое против людей, поддерживающих WikiLeaks. Кроме того, группу Team Themis попросили определить, где организация хранит секретную информацию, полученную из анонимных источников.

«Очевидно, если они смогут показать, что WikiLeaks хранит данные в определенных странах, судебное преследование этой организации станет проще», – написал в электронном письме своим коллегам один из членов группы. Чиновники Министерства юстиции искали информацию, которую можно было бы использовать для дискредитации основателя WikiLeaks Джулиана Ассанжа, который опубликовал секретные отчеты военной разведки и телеграммы Госдепартамента. Теперь федералы хотели поручить часть своего расследования внешнему исполнителю и для этого свели Bank of America с группой Team Themis, получившей свое имя в честь героя греческой мифологии Титана. Титан олицетворял «божественный закон» как противопоставление закону человеческому.

В группу Team Themis входила компания Palantir Technologies, стартап из Кремниевой долины, которая быстро свела дружбу с такими тяжеловесами национальной безопасности, как Ричард Перл, бывший глава Совета по оборонной политике и влиятельный политик-республиканец, а также Джордж Тенет, в прошлом директор ЦРУ, ушедший работать к Херберту Аллену. Аллен был инвестором компании Palantir и главой таинственного инвестиционного банка Allen & Company, который проводил ежегодную конференцию Sun Valley Conference, собиравшую вместе известных журналистов, спортсменов и бизнесменов. Также компания Palantir получила начальные инвестиции от венчурного фонда ЦРУ In-Q-Tel, нынешний глава которого является председателем директоров компании Endgame.

Кроме Palantir в группу Team Themis входили еще две фирмы, занимающиеся вопросами кибербезопасности – HBGary Federal, генеральный директор которой безуспешно пытался организовать совместные операции с АНБ, и Berico Technologies, в которой работал ветеран войны в Ираке, имевший опыт применения кибероружия в полевых условиях. Судя по разработанному группой предложению, Team Themis планировала создать аналитическую ячейку, которая бы снабжала юридическую фирму информацией об «оппонирующих организациях и вызывающих интерес сетях». Гендиректор HBGray Аарон Барр сказал, что команда должна собирать информацию об «участниках и добровольцах из разных стран мира», поддерживающих WikiLeaks, а также о спонсорах организации с целью их последующего запугивания. «Нужно дать людям понять, что если они поддерживают эту организацию, то мы будем их преследовать», – написал Барр в электронном письме. Он предложил отправлять в WikiLeaks фальшивые документы с расчетом на то, что сайт их опубликует и таким образом дискредитирует себя. Барр также рекомендовал взять на прицел «людей вроде Гленна Гринуолда», блогера и активного сторонника WikiLeaks. Он сказал, что хотел начать «кибератаки» на серверы WikiLeaks, расположенные в Швеции, чтобы «получить данные» об анонимных источниках организации и раскрыть их.

Team Themis так и не выпал шанс начать свою шпионскую и пропагандистскую кампанию. В феврале 2012 г. в одной из статей Financial Times была приведена цитата Барра, где он заявлял, что сможет проникнуть во внутреннюю структуру хакерской группы Anonymous. Хакеры ответили тем, что взломали электронную почту Барра и опубликовали письма за весь прошедший год, в том числе предложения и переписку, касавшиеся Team Themis. Барр покинул компанию, сказав журналистам: «Я хочу уделять больше времени своей семье и заняться восстановлением своей репутации». Компания Berico по-прежнему в деле. Она продает услуги по анализу данных и геолокационное ПО государственным организациям. Palantir является одной из самых быстро растущих технологических компаний в области национальной безопасности, а среди ее клиентов можно найти ЦРУ, Командование специальных операций и Корпус морской пехоты США. Все они используют разработанное компанией ПО для выслеживания террористов, так же как и Разведывательное управление Министерства обороны США, Национальный антитеррористический центр, Министерство внутренней безопасности и ФБР. Кит Александер, бывший директор АНБ, сказал, что Palantir может помочь агентству «увидеть» хакеров и шпионов в киберпространстве и что АНБ оценило программный продукт, предлагаемый компанией. Клиентами Palantir являются также департаменты полиции Лос-Анджелеса и Нью-Йорка. В этих департаментах созданы разведывательное и антитеррористическое подразделения, по мнению многих экспертов, более опытные и продвинутые, чем ФБР и ЦРУ.

Хотя группа Team Themis потерпела неудачу, американские власти обратились к другим частным кибершпионам для ведения слежки за WikiLeaks и оказания помощи в других расследованиях. Компания Tiversa, расположенная в Питсбурге, попала в газетные заголовки в 2011 г., когда обвинила WikiLeaks в использовании пиринговой (децентрализованной) файлообменной системы (вроде тех, которые используются для скачивания музыки) для получения секретных военных документов. WikiLeaks, которая заявляла, что публикует только документы, полученные от своих информаторов, назвала эти обвинения «абсолютно ложными». Tiversa передала свои находки государственным следователям, которые попытались построить судебное дело против Ассанжа. В консультативный совет компании Tiversa входили известные эксперты в области информационной безопасности и бывшие американские госчиновники, такие как генерал Уэсли Кларк, бывший глава Высшего штаба союзных государств Европы и бывший кандидат в президенты от Демократической партии, и Говард Шмидт, который был советником Барака Обамы по вопросам кибербезопасности.

Tiversa обнаружила массив секретных и крайне важных государственных документов, гуляющий по файлообменным сетям, и, возможно, это оказало добрую услугу. Компании и государственные службы, поставленные в неудобное положение из-за утечки информации, получили стимул для повышения мер собственной безопасности и усиления работы по защите ключевой и секретной информации. Tiversa объявила, что ее аналитики нашли чертежи президентского вертолета Marine One на компьютере, находящемся в Иране. Один из сотрудников оборонного предприятия в городе Бетесда (штат Мэриленд), возможно, пользовался файлообменной системой, а в итоге пользователь из Ирана получил доступ к жесткому диску его компьютера. В 2009 г. Tiversa рассказала комитету при конгрессе, что в результате расследования были обнаружены: документ, раскрывающий местоположение конспиративной квартиры, которая используется Секретной службой для обеспечения безопасности Первой леди во время чрезвычайной ситуации; электронные таблицы, содержащие персональные данные тысяч американских военнослужащих; документы, указывающие местоположение ядерных объектов; персональная медицинская информация тысяч частных лиц, в том числе данные о медицинской страховке и платежных документах, а также результаты диагностических процедур.

Однако, указав на слабые места в информационной защите, Triversa вызвала разногласия и конфликты. В 2013 г. компания из Атланты LabMD, занимающаяся диагностикой рака, подала жалобу, в которой обвиняла Tiversa в краже с помощью пиринговых сетей информации о пациентах как у самой LabMD, так и у других медицинский компаний. После того как в результате утечки информация о пациентах якобы была раскрыта, Федеральной торговой комиссией было проведено расследование в отношении LabMD. Компания заявила, что власти наняли Tiversa для того, чтобы получить документы без согласия и информирования LabMD. Согласно судебным документам, Triversa нашла информацию о пациентах LabMD в пиринговой сети, а затем якобы неоднократно звонила и отправляла электронные письма в эту медицинскую компанию, пытаясь продать свои услуги по обеспечению кибербезопасности. Иск LabMD впоследствии был отозван или отклонен, и Traversa подала встречный иск за клевету.

В киберпространстве нет четких границ. Тем не менее география играет весомую роль в том, насколько далеко кибернаемники готовы зайти, чтобы решить проблемы своих клиентов. Из-за того, что в странах Европы антихакерские законы не исполняются или вообще отсутствуют, некоторые европейские фирмы гораздо легче относятся к ответным хакерским атакам. Одним из рассадников хакеров и онлайн-аферистов, готовых за вознаграждение распространять вредоносное ПО, является Румыния. Теневой рынок уязвимостей нулевого дня – еще одно место, где можно нанять хакеров. Онлайн-рынок «Шелковый путь» (Silk Road), доступ в который был открыт через анонимную систему маршрутизации Tor, предоставлял площадку поставщикам хакерских услуг до тех пор, пока федеральные власти не закрыли его в 2013 г.

На сегодняшний день ни одна американская компания не пожелала заявить о том, что она осуществляет агрессивные кибероперации, направленные на похищение информации или уничтожение электронных систем противника. Однако бывшие сотрудники разведки говорят, что ответные хакерские атаки случаются, пусть они и не афишируются. «Такие атаки незаконны, но они происходят, – говорит бывший высокопоставленный сотрудник АНБ, который теперь работает корпоративным консультантом. – Это происходит при очень серьезной поддержке юристов. Правда, я бы не посоветовал клиенту этим заниматься».

Бывший офицер военной разведки говорит, что наиболее активные хакерские контратаки осуществляются в банковской сфере. За последние несколько лет банки потеряли миллиарды долларов из-за киберпреступников в основном из Восточной Европы и России, которые используют передовое вредоносное ПО, чтобы похитить учетные данные клиентов, а затем обчистить их банковские счета.

В июне 2013 г. корпорация Microsoft объединила усилия с некоторыми крупнейшими финансовыми организациями мира, среди которых были Bank of America, American Express, JPMorgan Chase, Citigroup, Wells Fargo, Credit Suisse, HSBC, Royal Bank of Canada и PayPal, чтобы обезвредить огромный кластер взломанных компьютеров, используемых для совершения киберпреступлений. Их целью была печально известная группа Citadel. Группа заразила тысячи машин по всему миру и рекрутировала их втайне от хозяев в армию ботнетов, которую преступники используют для похищения учетных данных, а следовательно, и денег у миллионов людей. В процессе контратаки, которой в Microsoft дали кодовое название «Операция b54» (Operation b54), Отдел цифровых преступлений компании разорвал линии связи между более чем четырнадцатью сотнями ботнетов группы Citadel и примерно пятью миллионами персональных компьютеров, которые Citadel заразила вредоносным ПО. Кроме того, Microsoft получила контроль над серверами, которые Citadel использовала для проведения своих операций.

Microsoft взломала Citadel. Эта операция была бы незаконной, если бы компания не получила судебное разрешение на ее проведение. Фактически Microsoft получила контроль над компьютерами, ставшими жертвами группы Citadel, причем хозяева этих компьютеров могли об этом даже не догадываться. Теперь компания могла предупредить владельцев зараженных компьютеров о необходимости установки пакетов исправлений для их уязвимого программного обеспечения. В сущности, Microsoft взломала компьютеры пользователей, чтобы спасти их. (И спасти саму себя, поскольку машины были заражены в первую очередь благодаря наличию ошибок и уязвимостей в продуктах Microsoft, которые, вероятно, подвергаются атакам чаще всего в мире.)

Эта операция стала первым случаем сотрудничества Microsoft и ФБР. Хотя разгромом ботнетов компания занимается с 2010 г., и это был уже седьмой ботнет, который пал жертвой Microsoft. Юристы компании применили новые правовые основания, в том числе обвинение преступников, взламывавших продукты Microsoft, в незаконном использовании товарного знака компании. Это был новый юридический рубеж. Даже юристы Microsoft, среди которых числился бывший федеральный прокурор США, признали, что они никогда не рассматривали возможность использования сомнительных методов, нарушающих действующее законодательство, для получения разрешения на проведение кибератаки. При подготовке к «Операции b54» Microsoft и банковские организации на протяжении шести месяцев следили за группой Citadel, прежде чем обратиться в ФБР. В конце концов шпионам из антихакерской группы Microsoft в сопровождении Службы маршалов США[15] пришлось собирать киберкриминалистические свидетельства в двух дата-центрах, оказывающих услуги интернет-хостинга, – в Пенсильвании и Нью-Джерси – для получения разрешения на атаку сети ботнетов группы Citadel. Военные назвали бы эту подготовку сбором информации о целевом объекте. По многим признакам «Операция b54» напоминала военную кибероперацию. С технической стороны она не слишком отличалась от атаки американских кибервойск на сеть Obelisk, которую члены «Аль-Каиды» использовали в Ираке.

Microsoft сотрудничала с правоохранительными органами в 80 странах мира для нанесения удара по группе Citadel. Глава Отдела по расследованию киберпреступлений Европола, правоохранительной организации Европейского союза, заявил, что «Операция b54» успешно выбила Citadel почти с каждого зараженного этой группой компьютера. А юрист Отдела цифровых преступлений компании Microsoft сказал: «Плохие парни получили удар под дых».

Microsoft продолжает свои атаки на ботнеты, и ее успех вдохновляет государственных чиновников и руководителей корпораций, которые убеждаются, что сотрудничество между полицией и корпоративными хакерами может быть жизнеспособным методом борьбы с киберпреступностью. Однако слаженные контрудары, подобные атаке на группу Citadel, требуют времени для согласования и планирования, а также целые команды юристов для получения разрешения на их проведение. Но что случится, если компания не захочет полгода ждать, чтобы получить разрешение на ответную хакерскую атаку, или если за ее плечами не окажется офицера федеральной правоохранительной организации?

Отставной офицер военной разведки беспокоится, что относительная техническая простота хакерских контрударов будет способствовать тому, что организации, и прежде всего банки, откажутся от сотрудничества с компаниями вроде Microsoft и будут самостоятельно предпринимать ответные действия, не спрашивая на то разрешения суда. «У банковских организаций разыгрался аппетит к ответным ударам, поскольку они устали от полумер, – сказал он. – Мы начинаем осознавать, что индустрия не готова принимать на себя подобные риски. И если правительство не может или не хочет принять необходимых мер, единственным логичным выходом остается предпринять их самостоятельно». Он говорит, что хакерские контратаки не будут прерогативой исключительно крупных корпораций. «Если вы знаменитость, разве вы не заплатите кому-то, чтобы найти источник, который собирается опубликовать некоторые ваши пикантные фотографии? Да, конечно, найдете, черт возьми!»

Несомненно, они найдут талантливых хакеров, готовых сделать эту работу. По результатам опроса, проведенного в 2012 г. на конференции Back Hat USA в Лас-Вегасе, в котором принял участие 181 респондент, стало известно, что 36 % «профессионалов в области информационной безопасности» заявили о своем участии в ответных хакерских атаках. Эти люди пока составляют меньшинство, тем не менее можно предположить, что не все респонденты были честны. При этом компании по кибербезопасности, которые пока не связаны с хакерскими контратаками, обладают всеми необходимыми умениями и навыками, необходимыми для начала частной кибервойны.

Бывший чиновник АНБ говорит, что в настоящее время, по его оценкам, лучшими частными фирмами в сфере кибербезопасности руководят бывшие специалисты служб радиотехнической разведки. Эти фирмы используют не только методы ведения электронной разведки, но и человеческие ресурсы. Из своего опыта работы в АНБ их руководители вынесли, что нужно отслеживать дискуссии на тематических интернет-форумах, которые часто посещают хакеры, и научились играть роль потенциальных преступников, желающих купить вредоносное ПО.

Один из руководителей частной фирмы, работающей в сфере кибербезопасности, говорит, что часть актуальной и полезной информации о новых видах вредоносного ПО, хакерских методиках и целях приходит, что не удивительно, из крупнейшего источника шпионов и киберграбителей, действующих против США – из Китая. Рик Ховард, до того как стал кибершпионом-частником, руководил Компьютерной группой реагирования на чрезвычайные ситуации. Рик говорит, что в те времена, когда он отвечал за разведывательную деятельность в частной компьютерной компании iDefence, он поддерживал постоянную связь с хакерами и продавцами кибероружия в Китае. Его источники рассказывали iDefence, какое новейшее вредоносное ПО сейчас доступно (как и в США, оно продается в Китае на теневом рынке), кто сейчас основные игроки на этом рынке и какие цели представляют интерес для хакеров. В конце концов, хакинг – это бизнес, которым занимаются люди, а не машины.

До 2013 г. Ховард возглавлял направление информационной безопасности в компании TASC – крупной IT-фирме, в которой был собственный «центр операций обеспечения кибербезопасности». TASC находится в офисном кампусе в городе Шантили рядом с другими технологическими компаниями, которые сделали Вашингтон одним из богатейших городов Соединенных Штатов. Офисы компании TASC, занимающие три здания, напоминают базу АНБ. Вдоль коридоров выстроились двери с табличками «Секретно», а вход контролируется с помощью кодовых замков и устройств для считывания карт. Попав внутрь этих защищенных помещений, вы с трудом ответите на вопрос, находитесь ли вы в Шантили или в Форт-Миде.

Многие хакеры, работавшие в прошлом на АНБ, не боятся говорить о своем сотрудничестве с властями. Фактически они используют это как рекламу. Брендан Конлон работал в элитном подразделении TAO. Позже, судя по его профилю в сети LinkedIn, он основал IT-компанию Vahna, имея за плечами «10-летний опыт работы в области наступательных операций в компьютерных сетях в АНБ». Конлон начал свою карьеру с разработки ПО для имплантатов, затем перешел работать в TAO, где возглавил гавайское отделение. Также он работал в разыскном отделе АНБ, который занимался выслеживанием китайских хакеров. Выпускник Военно-морской академии США, он принимал участие в трех совместных с АНБ операциях в Афганистане, а также сотрудничал с ЦРУ при проведении хакерских операций. Компания Vahna хвалится тем, что ее сотрудники имеют «многолетний опыт работы в разведывательных и оборонных киберсообществах», и заявляет, что располагает «беспрецедентными возможностями доступа к уязвимостям в системах вашей информационной безопасности, снижению риска в зоне работы ваших технологий и обеспечению тактических ответных действий на появление дыр в системе безопасности». Другими словами, все, чему Конлон научился в АНБ, он теперь может использовать для корпораций.

Последние несколько лет крупные оборонные подрядчики активно поглощали небольшие технологические фирмы и специализированные группы, работающие в области кибербезопасности. Таким образом они приобретали ценные кадры, специализированное ПО, а также контракты с разведывательными службами, военными ведомствами и корпорациями. В 2010 г. один из крупнейших американских оборонных подрядчиков, компания Raytheon, согласилась заплатить $490 млн за Applied Signal Technology – IT-фирму, работающую в сфере обеспечения кибербезопасности, клиентами которой были военные и правительственные организации. Объективно высокая цена представляла жалкие гроши для Raytheon, оборот которого в предшествующем году составил $25 млрд. В 2013 г. гигант в области производства сетевого оборудования, компания Cisco, приобрела за $2,7 млрд наличными фирму Sourcefire. Эту транзакцию издание New York Times назвало «разгорающейся страстью» к компаниям, которые защищают другие компании от кибератак и шпионажа. После того как информация о сделке была обнародована, отставной офицер военной разведки рассказал, что он был поражен огромной суммой денег, которую Cisco заплатило за компанию, чей флагманский продукт построен на системе обнаружения вторжения Snort, использующей открытый код, доступный любому. Эта сделка показала, что либо квалификация в сфере кибербезопасности стала насколько ценной, либо на рынке появился очередной огромный «пузырь», заявил бывший офицер.

Тем не менее компании делают верную ставку. Они рассчитывают на государственные расходы в области кибербезопасности. Бюджет Пентагона на статьи, связанные с кибербезопасностью, в 2014 г. составил $4,7 млрд, что на $1 млрд больше, чем в предыдущем году. Армия уже не закупает дорогостоящие ракетные системы. После появления дронов многие руководители убеждены, что нынешнее поколение истребителей станет последним, в котором управление осуществляется пилотом, находящемся в кабине самолета. Огромные средства брошены на дорогостоящие системы вооружений. Во время холодной войны военные расходы обеспечили огромный интерес подрядчиков Вашингтона, так что теперь они поворачиваются в сторону кибернетического рынка, растущего гигантскими темпами.

7. Копы становятся шпионами

Шпионское ПО стало триумфом хитрости и программистского искусства. Шпионские программы незаметно работали на компьютере жертвы и записывали все, что пользователь набирал на клавиатуре. Электронные письма. Документы. Но главный интерес представляли пароли. Один из паролей в особенности – фраза или последовательность букв и цифр, используемая жертвой для запуска программы шифрования под названием «Неплохая защита приватности» – Pretty Good Privacy (PGP). В отличие от других программ шифрования, PGP была простой в использовании для простых пользователей. Программу можно скачать в Интернете, а уровень безопасности, который она обеспечивала, раньше был доступен только правительственным агентам и шпионам. Теперь за несколько кликов мышкой и с помощью пароля любой пользователь мог превратить свои сообщения в не поддающуюся расшифровке абракадабру, прочитать которую мог только тот, кому оно предназначалось. Шпионская программа перехватывала пароль и отправляла его своему оператору, после чего он мог декодировать зашифрованные сообщения, притом что жертва была уверена в их конфиденциальности. Создатели выбрали подходящее название для своего творения, осветившего прежде темное пространство, – «Волшебный фонарь» (Magic Lantern).

Создатели этой вредоносной программы не были китайскими хакерами. Они не были российскими ворами кредитных карт. Они были сотрудниками Федерального бюро расследований США. А работали они в одном из самых секретных и технически обеспеченных управлений во всем бюро, которое сегодня выступает незаменимым партнером АНБ при проведении шпионских и военных киберопераций.

Управление называется Отделом технологий перехвата информации (Data Intercept Technology Unit), но сотрудники называют его DITU (произносится как «диту»). Внутри ФБР это фактически аналог АНБ. Управление проводит операции радиотехнической разведки, которые вряд ли освещались СМИ, а на слушаниях в конгрессе о них упоминали всего несколько раз за последние 15 лет. DITU расположен в огромном здании на военно-морской базе в Квонтико, которая также стала домом для академии, готовящей агентов ФБР. DITU занимается перехватом телефонных звонков и электронных писем террористов и шпионов на территории Соединенных Штатов. Когда АНБ хочет получить кучу информации от Google, Facebook, Yahoo и других технологических гигантов, за ней отправляют именно DITU. Отдел обслуживает техническую инфраструктуру, обеспечивающую работу программы PRISM, которая собирает персональные данные в крупнейших технологических компаниях. Среди прочего DITU следит за тем, чтобы все американские компании создавали свои компьютерные сети и прикладные программы в строгом соответствии с законом США о наблюдении за иностранной разведкой, согласно которому все эти объекты должны позволять властям достаточно просто организовать прослушку. А если договориться не удастся, DITU установит специальное устройство, с помощью которого организует наблюдение в интересах государства.

АНБ не может выполнять свою работу без DITU. Отдел работает в тесном сотрудничестве с крупнейшими американскими телекоммуникационными компаниями – AT&T, Verizon и Sprint. «DITU – основное связующее звено между провайдерами услуг и службами национальной безопасности», – говорит представитель технологической индустрии, который работал с отделом во многих ситуациях. Отдел гарантирует, что телефонные и интернет-коммуникации могут быть легко перехвачены в огромной сети оптоволоконных кабелей, используемых этими компаниями. В последние годы отдел оказывал помощь в создании компьютерных программ анализа и фильтрации данных, которые ФБР хочет внедрять в телефонные и интернет-сети, чтобы власти могли собирать еще больше информации, в том числе данные о маршрутах электронных писем, трафике, интернет-адресах, номерах портов, обслуживающих входящие и исходящие сообщения, и определять, какая операционная система и какие приложения запущены на компьютерах.

Magic Lantern был одним из первых успешных проектов отдела. Разработанная в конце 1990-х гг., эта программа стала спутником более известной программы анализа электронных писем Carnivore, которая извлекала информацию из заголовка писем (поля «кому», «от кого», «дата отправления»), чтобы следователь мог с помощью коммуникационной модели собрать воедино разрозненные данные о членах криминальной сети. Обе эти программы, как и другое шпионское ПО с названиями CoolMiner, Packeteer и Phiple Troenix, были разработаны, чтобы помочь ФБР ловить наркодилеров, террористов и торговцев детским порно. Однако в новостных сообщениях появилась информация, что Carnivore стал синонимом государственной слежки в стиле «Большого брата», а группы, выступающие в защиту гражданских свобод, заявляли, что усилия ФБР дискредитируют шифрование, используемое в законных целях (например, для защиты финансовой информации и личных данных пациентов). Те же аргументы звучали по прошествии почти целого десятилетия, когда стало известно, что АНБ втайне ослабляет алгоритмы шифрования.

Программы ФБР в области кибершпионажа начались за несколько лет до терактов 11 сентября и первых попыток АНБ расширить свои наблюдательные сети до полного покрытия территории США. Агенты ФБР начали заниматься внутренним кибершпионажем задолго до своих друзей из Форт-Мида. А сегодня они фактически объединили свои усилия. Оптоволоконные линии связывают Квонтико и штаб-квартиру АНБ, так что информация, собранная DITU, может быть передана и доставлена немедленно. Агенты ФБР и юристы из Министерства юстиции анализируют запросы АНБ на сбор электронной почты в Google и отслеживание записей в Facebook. Они представляют агентство в секретном Суде наблюдения за иностранной разведкой, который также рассматривает заявки на ведение слежки за гражданами США. Именно ФБР подало в суд прошение о том, чтобы обязать телефонные компании передавать в АНБ записи всех телефонных звонков, сделанных с территории США. Когда журналисты и законодатели заявляли, что АНБ «шпионит за американцами», в действительности они имели в виду, что ФБР помогает АНБ в этом деле, предоставляя техническую и правовую инфраструктуру для проведения внутренних разведывательных операций. Посредничество DITU также позволяет технологическим компаниям публично говорить о том, что они не передают никакую информацию о своих клиентах непосредственно АНБ. И это правда. Они передают ее DITU, который потом переправляет ее в АНБ.

АНБ является крупнейшим пользователем DITU. Но деятельность этого отдела не сводится к роли мальчика на побегушках. Вместе с другими разведывательными и кибергруппами ФБР DITU осуществляет некоторые из самых сложных государственных разведывательных программ. В академии ФБР в Квонтико DITU делит пространство с Отделением оперативных технологий (Operational Technology Division), которое отвечает за техническую сторону сбора, обработки и предоставления информации в ФБР. Его девиз – «Бдительность с помощью технологий». Среди обнародованных возможностей отделения числятся: наблюдение и прослушка наземных линий связи, беспроводных сетей, а также коммуникаций компьютерных сетей, в том числе электронной почты, коммутаторов и маршрутизаторов; сбор аудиофайлов, видеозаписей, изображений и других цифровых свидетельств для использования в расследованиях; дешифровка. Также отделение специализируется на нелегальном проникновении в помещения и установке компьютерных вирусов и оборудования для ведения наблюдения. DITU имеет договоренность с ведущими американскими технологическими компаниями о получении привилегированного доступа к их системам. К примеру, по поручению АНБ отделение ведет работу с Microsoft, чтобы иметь гарантии того, что новые функции программы Outlook, благодаря которым пользователи могут создавать почтовые адреса-псевдонимы, не создадут помех для наблюдения. Соглашение с компанией помогло властям обойти процедуру шифрования и удостовериться, что сообщения Outlook могут быть прочитаны государственными аналитиками.

ФБР начало заниматься киберслежкой задолго до того, как эта деятельность стала приоритетом национальной безопасности. Первые случаи использования ФБР хакерских методов относятся к программе «Киберрыцарь» (Cyber Knight) – именно в рамках этой программы бюро создало шпионскую программу Magic Lantern. Инженеры из ФБР разработали «маячки» – специальные программы, которые могут встраиваться в электронные письма и определять интернет-адрес пользовательского компьютера. Первые маячки применялись для оказания помощи при поиске похищенных детей. Когда похититель связывался с родителями ребенка (зачастую сам похититель – это или бывший супруг, или партнер), агент ФБР отправлял ответ. И когда похититель открывал электронное письмо, маячок начинал работать. Может быть, маячок и не приводил агентов прямо к порогу дома похитителя, но по крайней мере позволял определить, откуда именно похититель отправил сообщение. Это был отличный ключ в расследовании. Эти маячки стали начальным этапом технологии, с помощью которой спецслужбы построили схемы сетей ядерного объекта в иранском городе Нетенз.

Маячки использовались ФБР также для выслеживания детских порнографов. Бюро заражало их компьютеры вирусами и разными шпионскими программами, помечало детские фотографии, чтобы затем отследить их перемещение от одного пользователя к другому. Агенты собирали доказательства для уголовного преследования, но также пытались выяснить, как торговцы детской порнографией обмениваются фотографиями. В этом смысле это была операция по сбору разведданных.

По американским законам ФБР отвечает за расследование всех киберпреступлений, шпионажа и атак на территории США. В введении бюро находится Национальная объединенная рабочая группа по расследованию киберпреступлений, которая была создана по указанию президента. В нее входили Секретная служба, ЦРУ и АНБ. Рабочая группа занималась не только кибершпионами и зондированием сетевой инфраструктуры, но и отслеживанием преступлений в финансовой сфере и онлайн-мошенничества, наблюдением за группами так называемых хактивистов, которые проводят протестные акции, направленные против компаний и государственных агентств, а также контролем за внутренними угрозами, связанными, например, с утечками информации от госслужащих в СМИ.

Обычно работа ФБР заключается в сборе доказательств и улик для уголовных дел. Но, когда дело касается кибербезопасности, ФБР отходит от этой правоохранительной миссии и действует скорее как разведывательная служба. Бюро больше заботится о прогнозировании и предупреждении кибератак, чем о судебном преследовании хакеров.

«Бюро все больше концентрируется на сборе информации и передаче ее АНБ, разведывательному сообществу и Министерству обороны, – говорит высокопоставленный чиновник из правоохранительных органов, который работает над расследованиями внутренних и международных киберпреступлений, в том числе связанных с банковскими махинациями и детской порнографией. – ФБР, вообще говоря, не стремится доводить дела до судебного разбирательства». Чиновник говорит, что в последние годы ФБР переключает многих своих сотрудников, занимавшихся вопросами противодействия терроризму, на проблемы кибербезопасности, которые теперь считаются высшим «приоритетом национальной безопасности» и идут перед должностными преступлениями, коррупцией в органах власти и нарушениями гражданских прав. Количество сотрудников в антитеррористических отделах и контрразведке – а в бюро их группируют вместе – всегда было большим: почти 13 000 человек в 2013 г. В период с 2001 по 2009 г. число агентов, занимающихся противодействием терроризму, увеличилось вдвое. Этот рост совпал с резким снижением количества уголовных преследований по делам, не связанным с террористической деятельностью, особенно в сфере должностных и экономических преступлений. ФБР подверглось обвинениям за то, что приложило недостаточно усилий для расследования махинаций с ипотекой и ценными бумагами в преддверии финансового кризиса 2008 г.

В 2012 г. бюро потратило на различные кибероперации $296 млн. На следующий год чиновники просили у Конгресса дополнительные $86 млн для программы ФБР «Киберинициатива нового поколения» (Next Generation Cyber Initiative), которая существенно расширяла возможности бюро по ведению наблюдения и слежки за счет дополнительного набора сотрудников и создания новой системы анализа вредоносного ПО и компьютерных взломов. Бюро хотело нанять 152 новых сотрудника в дополнение к существующему штату, насчитывающему 1232 человека, большая часть из которых были не агентами ФБР, а учеными, инженерами, киберкриминалистами и информационными аналитиками. Киберпрограммы составляли быстро растущую часть бюджета ФБР. Перед своим увольнением директор агентства Роберт Мюллер, который вступил в должность за неделю до терактов 11 сентября, заявил в конгрессе, что «в обозримом будущем уровень кибернетической опасности будет равноценен или даже превзойдет уровень опасности распространения терроризма».

Преследование киберпреступников и иностранных кибервоинов – это будущее ФБР. И бюро становится все больше похоже на ЦРУ или АНБ. Большинство новых сотрудников – это информационные аналитики и хакеры, а не офицеры правоохранительных органов. А чиновники говорят о том, что ФБР все чаще использует Акт о наблюдении за иностранной разведкой (Foreign Intelligence Surveillance Act, FISA) для сбора информации в процессе расследования киберпреступлений, поскольку разрешение на ведение слежки проще получить в рамках этого закона, чем обращаясь к Уголовному кодексу, который требует от правоохранительных органов предъявления резонных оснований того, что совершается преступление.

«Когда информация приходит в рамках FISA, она не используется для уголовного преследования. Так зачем же мы ее собираем? Я задумывался над этим, – заявил высокопоставленный чиновник. – В каком-то смысле, мы больше не проводим расследований. Мы просто собираем информацию». Другими словами, ФБР занимается шпионажем.

Это исторический сдвиг в политике ведущей правоохранительной организации Соединенных Штатов. Когда ФБР собирает информацию для использования в суде, то ему приходится следовать более строгим процедурам и правилам, контролирующим методы получения улик, и ограничивать область своих расследований. Когда же бюро превращает разведывательную деятельность в свою первостепенную задачу, то оно раскидывает сети шире и уделяет больше внимания поиску объектов и целей для АНБ и военных кибервоинов, чем привлечению преступников к суду.

Сегодня одними из самых важных целей для ФБР выступают китайские кибершпионы, ворующие объекты интеллектуальной собственности. «Мы собираем большие объемы информации о действиях Китая против американских компаний», – говорит бывший высокопоставленный сотрудник ФБР, который занимался киберрасследованиями. Специалистам ФБР удалось взломать компьютеры китайских хакеров и скачать список компаний, представлявших для хакеров особый интерес. «Мы нашли эти компании и отправили им уведомления: “Такой-то компьютер в вашей сети взломан китайцами. Узнали мы об этом таким-то образом”».

Кибероперативники ФБР также раздобыли адреса электронной почты сотрудников, которых китайские хакеры намеривались сделать жертвами фишинга, отправив им на первый взгляд безвредные электронные письма, в которых на самом деле содержалось шпионское ПО. «Мы знали, какие ключевые слова и фразы содержались в тех письмах, еще до того, как они были отправлены, – говорит бывший сотрудник ФБР. – Мы сообщили компаниям, на что стоит обратить внимание. Какие электронные письма не стоит открывать. Мы могли сказать им, что они следующие в списке».

Среди людей, фигурировавших в тех списках, самое большое беспокойство вызывали сотрудники американских нефтегазовых компаний. Эти компании владеют крупнейшими нефтеперерабатывающими заводами и трубопроводами, управление которыми осуществляется с помощью систем SCADA (систем диспетчерского управления и сбора данных). Оборудование, используемое для построения таких систем, относится к тому же типу, который применялся на иранских предприятиях атомной промышленности. На оборудование именно этого типа АНБ проводило свои атаки с целью вывода из строя иранских газовых центрифуг. По словам бывшего сотрудника бюро, китайские попытки проникнуть на предприятия нефтегазовой отрасли «были непрерывными». Пик активности пришелся на весну 2012 г., когда хакеры взломали компьютерные сети 20 компаний, владеющих и эксплуатирующих трубопроводы для перекачки природного газа. В ситуацию пришлось вмешаться представителям ФБР и Министерства внутренней безопасности. Они провели секретные совещания с руководителями и сотрудниками служб безопасности этих предприятий. Они взяли под наблюдение действия и перемещения хакеров, чтобы лучше понять, как им удалось проникнуть в сети и какой ущерб они могут причинить. Доказательств и признаков того, что хакерам удалось получить доступ к ключевым SCADA, управляющим трубопроводами, не было – возможно, шпионы разыскивали стратегически важные документы или информацию об энергоресурсах США. Однако проникновения в сети были столь частыми и тревожными, что Министерство внутренней безопасности опубликовало специальное предупреждение для энергетической отрасли о существующих угрозах и тех шагах, которые можно предпринять для защиты своих систем.

Отставной чиновник говорит, что агентам ФБР также удалось проникнуть в российские и восточноевропейские криминальные группировки, которые специализируются на хищении денег с банковских счетов компаний – украденные суммы достигают нескольких миллиардов долларов в год. ФБР выяснило, кого мошенники выбрали в качестве своих жертв, после чего бюро предупредило людей и компании, что против них готовится атака. Также агенты проникли в компьютеры хакерской группы Anonymous, нашли списки интересующих хакеров лиц и предупредили этих людей.

Могут ли подобные разведоперации предотвратить хакерские атаки? «Я совершенно ясно вижу препятствия для атак», – говорит бывший чиновник. Это установка программных исправлений, блокировка определенных IP-адресов в корпоративных сетях, усовершенствование основных правил безопасности (например, использование более длинных или сложных паролей), ведь даже передовые компании зачастую игнорируют эти правила. Однако сложно дать количественную оценку результативности этих мер. Компании стараются умалчивать об отдельных случаях, когда помощь со стороны властей принесла пользу, поскольку не хотят признавать, что им грозила опасность.

Действующие и бывшие чиновники говорят, что ФБР тратит большую часть своего кибербюджета и рабочего времени на то, чтобы отследить проникновения китайских хакеров в американские компьютерные сети и попытаться предотвратить основные атаки на жизненно важные объекты инфраструктуры. Несомненно, это очень важная миссия, но эту деятельность сложно назвать охраной правопорядка, которой собственно ФБР и должно заниматься. Бюро не само решает, в каких случаях проводить расследование – это определяют Министерство юстиции, федеральные прокуроры и в конечном счете генеральный прокурор. Однако на сегодняшний день Соединенные Штаты ни разу не доводили до суда дела о краже интеллектуальной собственности или нарушении американских антихакерских законов китайскими хакерами.

«Когда дело касается вопросов национальной безопасности, американские власти отдают приоритет контрразведывательной деятельности, которая, как они надеются, приведет к формированию некой стратегии, могущей помешать китайцам делать то, что они делают», – говорит бывший чиновник. Вместо обращений в суд Администрация Обамы решила открыть информацию о китайских хакерах и надавить на их правительство, чтобы оно усилило контроль за ними. Свидетельства, собранные ФБР и АНБ, помогают это сделать. (Конечно, китайские власти почти наверняка не станут сотрудничать в рамках американского уголовного дела, направленного против одного из собственных граждан. Китайские руководители вряд ли признают, что их страна виновна в таком наглом шпионаже против США, и наверняка они обвинят американских хакеров, имея на то некоторые основания, в шпионаже против них.)

Пока власти ищут дипломатическое решение проблемы шпионажа, сведения, которые передает ФБР, должны помочь корпорациям защититься от будущих атак. Подобно тому как АНБ предоставляет информацию оборонным предприятиям, ФБР передает сведения владельцам и операторам критических объектов инфраструктуры, а также банкам и финансовым службам – организациям, которые власти считают жизненно важными для обеспечения экономической безопасности и нормальной повседневной жизни в США.

ФБР не всегда предупреждает компании о том, что их компьютеры были взломаны. Иногда бюро использует их как приманку, однако последствия таких методов работы могут быть катастрофическими.

В начале декабря 2011 г. у Джорджа Фридмана, генерального директора частной разведывательно-аналитической компании Stratfor, состоялся телефонный разговор с Фредом Бертоном, первым вице-президентом компании информационной разведки, который раньше работал в Госдепартаменте в качестве специалиста по противодействию терроризму. Бертон рассказал Фридману, что сайт компании взломан, а информация о кредитных картах клиентов, оформивших подписку на различные информационные материалы и отчеты компании по международным делам и межгосударственным отношениям, украдена. Номера кредиток не были зашифрованы, то есть компания не приняла самых элементарных мер безопасности. Согласно написанному позже отчету Фридмана, на следующее утро он встретился с агентом ФБР, «который дал ясно понять, что ведется расследование, и предложил сотрудничество».

Под этим расследованием скрывалась операция ФБР против членов хакерской группы Anonymous, которые выбрали Stratfor своей жертвой из-за тесных связей компании с американскими властями и разведывательным сообществом. (Один из хакеров позже обвинил компанию в «шпионаже за всем миром» и за группой Anonymous в частности.) В Stratfor работали бывшие сотрудники госслужб, тем не менее это частная компания, которая готовит отчеты и аналитику и мало чем отличается от многих других консалтинговых фирм или даже новостных агентств. Ее ежедневные сводки мировых событий читают госслужащие, в том числе сотрудники военных ведомств и разведывательных агентств, однако составляются эти сводки не только для них.

За шесть месяцев до этого в Stratfor узнали, что в компании завелся «крот» – ФБР арестовало известного хакера Гектора Ксавье Монсегера, который скрывался под именем Сабу, и сделало его своим информатором. Монсегер был лидером еще одной хакерской группы, LulzSec, целями которой также были компьютерные системы корпораций и государственных агентств, в том числе и ЦРУ, чей сайт они однажды, по их словам, вывели в офлайн. Представители ФБР позже расскажут, что Монсегер помог им атаковать хакеров в Британии, Ирландии и Соединенных Штатах, а полученная от него информация помогла предотвратить вторжение хакеров в 300 государственных агентствах и компаниях. Однако Stratfor не была одной из них.

ФБР узнало, что группа Anonymous проявляет интерес к Stratfor в декабре 2011 г., когда Джереми Хаммонд, которого обвиняют в руководстве операцией, связался с Монсегером и сообщил ему, что смог внедриться в сеть компании и сейчас занимается расшифровкой конфиденциальной информации. Однако, вместо того чтобы предупредить об этом Stratfor, ФБР решило устроить западню.

В бюро попросили Монсегера убедить Хаммонда и его друзей-хакеров в необходимости скачать информацию из сети Stratfor на другой компьютер, который находился под тайным контролем ФБР. Как сказано в материалах уголовного дела, хакеры скачали «несколько гигабайт конфиденциальных данных», в том числе номера 60 000 кредитных карт и записей о клиентах компании, а также адреса электронной почты ее сотрудников. Однако в течение этой двухнедельной операции ФБР могли видеть, как хакеры украли финансовую информацию невинных подписчиков и удалили некоторые частные документы компании Stratfor. Кроме того, хакеры отправили в WikiLeaks 5 млн электронных писем из внутренней переписки компании. (Позже ФБР заявляло, что у бюро не было возможности остановить хакеров, поскольку они хранили электронные письма на своих компьютерах.)

В ФБР Фридмана попросили не сообщать его клиентам об утечке и не предавать огласке информацию о взломе компьютеров компании. В бюро хотели, чтобы он подождал, пока агенты отследят все действия хакеров. Но потом, во второй половине дня 24 декабря, Фридман получил информацию о том, что сайт Stratfor снова был взломан. На этот раз хакеры опубликовали «победную реляцию» на главной странице компании, в которой говорилось, что они похитили номера кредитных карт и огромное количество адресов электронной почты, а также что четыре сервера Stratfor были «практически уничтожены вместе с данными и резервными копиями», – так Фридман написал в своем отчете.

Это был сокрушительный удар по инфраструктуре компании. На взломанных серверах хранился многолетний объем отчетов и аналитической информации, которую компания продавала своим подписчикам. Именно эти данные составляли суть бизнеса Stratfor. Электронные письма были конфиденциальными, а в некоторых из них содержалась частная переписка между сотрудниками компании, публикация которой могла вызвать скандал. Например, некоторые письма Бертона содержали расистские выпады в адрес арабов.

Позже Хаммонд сказал, что уничтожение серверов было обычной практикой. «Сначала вы подменяете главную страницу сайта, потом скачиваете информацию и в конце уничтожаете сервер – просто ради лулзов (ради забавы) и чтобы они не смогли восстановить систему. Мы не хотим, чтобы они восстанавливали. Ну и еще чтобы уничтожить киберкриминалистическую информацию, которая могла бы использоваться для поиска тех, кто это сделал».

Удаление архивов Stratfor и публикация частной переписки, по существу, уничтожили бизнес компании и ее репутацию. ФБР могло бы предупредить Stratfor, чтобы в компании приняли экстренные меры предосторожности для защиты собственной информации. Бюро могло попытаться задержать хакеров. Но руководители решили, что гораздо важнее заставить Хаммонда и его коллег скачать информацию на компьютер ФБР, чтобы потом ее можно было использовать как улику в уголовном деле. Stratfor попала под перекрестный огонь в охоте ФБР за группой Anonymous.

В том же положении оказались и клиенты компании. В течение нескольких дней после взлома хакеры опубликовали номера кредитных карт подписчиков, которые, по сообщениям, использовались для мошеннических покупок на сумму $700 000. Эти транзакции, некоторые из которых приняли форму благотворительных пожертвований, могли быть отменены компаниями, обслуживающими кредитные карты. Но хакеры также раскрыли электронные адреса подписчиков, которые позже использовались для проведения вредоносных атак. Некоторые из подписчиков Stratfor были отставными офицерами разведки. Другие же вели научную деятельность, участвовали в международных проектах или занимались корпоративной безопасностью. Среди знаменитостей, входивших в число подписчиков компании, были бывший госсекретарь Генри Киссинджер, бывший советник по национальной безопасности Джон Пойндекстер и экс-вице-президент Джеймс Куэйл.

По оценкам Stratfor, хакерская атака принесла компании убытки на $2 млн в виде упущенной выгоды и затрат на восстановление. Кроме того, компании пришлось удовлетворить групповой судебный иск, поданный бывшими подписчиками, который, по опубликованным данным, обошелся компании не менее чем в $2 млн в виде бесплатной подписки, которую компания согласилась предоставить своим бывшим и текущим клиентам, а также в виде судебных издержек и услуг финансового мониторинга для тех клиентов, которые эти услуги затребовали.

Случай со Stratfor пугает масштабами ущерба, который может понести компания от рук хакеров под наблюдением ФБР. Конечно, бюро должно заниматься сбором доказательств преступления, если оно собирается арестовывать хакеров. Позже официальные лица заявили, что Монсегер помог им фактически развалить группу LulzSec, которая несет ответственность за целый ряд взломов и разрушений сайтов. И многие компании получили предупреждение от бюро об опасности для их бизнеса. Но операция, связанная со Stratfor, показала опасную и неприятную правду об антихакерской стратегии ФБР. Если задача состоит в сборе информации, конкретно о китайских и российских группах, тогда ФБР готово помочь упредить атаки и предотвратить ущерб. Но если бюро работает в своем традиционном стиле – ловит плохих парней и приводит их в суд, то в этом случае оно готово пожертвовать невинными.

Монсегер доказал, что он полезный союзник ФБР. В 2013 г. Министерство юстиции потребовало, чтобы судья отложил вынесение ему приговора, поскольку он продолжал оказывать помощь в других незавершенных расследованиях. «Буквально с того самого дня, когда он был арестован, обвиняемый деятельно сотрудничал с властями, – написал федеральный обвинитель судье в Нью-Йорке. – Иногда он проводил всю ночь в общении с другими хакерами, что помогало властям начать уголовное преследование этих хакеров». Если бы Монсегеру дали максимальный срок, то он провел бы остаток своей жизни в тюрьме.

Джеффри Хаммонд утверждает, что сотрудничество Монсегера с властями зашло намного дальше простого наведения агентов на хакерские группы типа Anonymous. «Многие не знают о том, что Сабу использовался своими кукловодами для содействия при взломе тех объектов, на которые указывали власти, в том числе многочисленных сайтов, принадлежащих иностранным государствам. В тех случаях, когда Соединенные Штаты не могли действовать законно, они использовали Сабу, а в дополнение еще и меня, и моих соответчиков, чтобы выполнить задачу противозаконными методами». Хаммонд, которого позже приговорили к десяти годам заключения за взлом компании Statfor, не представил доказательств своих заявлений, а ФБР никогда не признавало использование хакеров для внедрения в иностранные компьютерные системы.

Иногда кажется, что государство и компании, которые якобы находятся под его защитой, работают друг против друга. Вместе с тем в киберпространстве формируется союз между государством и бизнесом, несмотря на их весьма спорные взаимоотношения. Он рождается из взаимного понимания, что национальная безопасность и экономическое благополучие США подвергаются серьезной опасности из-за необузданного кибершпионажа и потенциальной возможности проведения кибератак на жизненно важные объекты инфраструктуры. Государство считает защиту всех отраслей промышленности и всех видов предпринимательской деятельности лучшим способом защиты киберпространства. Но государство не может справиться с этой задачей в одиночку. Примерно 85 % компьютерных сетей в Соединенных Штатах принадлежат коммерческим группам и частным лицам, и любые из них могут оказаться слабым звеном в цепи кибернетической безопасности. Это и крупные телекоммуникационные компании, которые контролируют основные сети Интернета. Это и техногиганты вроде Google, которые несут ответственность за огромную долю интернет-трафика и уже начинают прокладывать в некоторых американских городах собственные кабели для предоставления доступа в Интернет и оказания телевизионных услуг. Это и финансовые организации, через чьи частные сети передачи данных ежедневно проходят транзакции на общую сумму в триллионы долларов, а деньги переводятся с одного счета на другой по всему миру без задержек. Это и традиционные союзники государства – оборонные предприятия, чьи сети забиты чертежами сверхсекретных видов оружия и другой секретной информацией. Государство решило, что защита киберпространства является высшим национальным приоритетом. Однако компании имеют право на свое мнение о том, как эта защита должна осуществляться. Союз государства и бизнеса – сердце военно-сетевого комплекса. Именно этот союз будет определять характер киберпространства и то, как все мы будем в нем работать и жить в XXI в.

Часть II

8. Еще один манхэттенский проект

Май 2007 г.

Овальный кабинет

Всего 15 минут потребовалось Майклу Макконнеллу, чтобы убедить Джорджа Буша санкционировать кибервойну в Ираке. Макконнелл, вообще-то, просил о часовой встрече с президентом и его ведущими советниками по вопросам национальной безопасности, рассчитывая, что именно столько времени понадобится, чтобы убедить их в целесообразности столь рискового предприятия. И что ему теперь делать с оставшимися 45 минутами?

«У Вас еще какой-то вопрос?», – спросил Буш.

«Ну, на самом деле, есть один», – ответил Макконнелл.

С февраля месяца, с момента возвращения на государственную службу, Макконнелл искал возможность поговорить с Бушем об одной, серьезно тревожившей его проблеме национальной безопасности: Соединенные Штаты уязвимы по отношению к разрушительным кибератакам национального масштаба. Макконнелл опасался возможного внешнего проникновения в коммуникационные системы страны, как это было в Ираке, с последующим нарушением их работы или уничтожением. Особенно его беспокоило, что компании финансового сектора не предпринимают достаточных мер предосторожности для защиты информации о счетах, фондовых сделках и денежных переводах, а также для предотвращения преступлений, связанных с хищениями миллиардов долларов с личных и корпоративных банковских счетов.

Кроме того, физическая инфраструктура тоже подвергалась опасности. Двумя месяцами ранее Министерство внутренней безопасности обратилось в Национальную лабораторию Айдахо, которая проводит ядерные исследования и разработки в области энергетики для федеральных властей, с просьбой проверить, смогут ли хакеры получить удаленный доступ к электрической станции и вывести из строя генератор, заставив его раскрутиться до потери управления. Результаты оказались пугающими. На видеозаписи эксперимента, которая позже всплыла в СМИ, можно было видеть гигантский зеленый генератор, вибрировавший как при землетрясении до тех пор, пока из него не повалил пар и черный дым. Это видео можно было бы назвать мультяшным и смешным, но заснятый эффект был совершенно реальным. Эксперимент раскрыл критически слабое место в самом сердце американских электрических сетей. Власти опасались, что хакеры могут вывести из строя энергетическое оборудование, что приведет к аварийному отключению электричества. На восстановление оборудования и работы электросети потребуются недели и даже месяцы.

Киберугроза перестала быть гипотетической. К тому времени в Министерстве обороны начали замечать вторжения в компьютерные сети подрядчиков. На их компьютерах можно было найти чертежи многих секретных систем вооружений, и похищение этой информации хакерами было лишь вопросом времени. Хакерам могли достаться чертежи Единого ударного истребителя, вертолета Black Hawk, беспилотника Global Hawk, предназначенного для дальнего наблюдения, а также информация о видеосистемах и каналах передачи данных, используемых для удаленного управления беспилотными летательными аппаратами; чертежи ракетной системы Patriot, реактивных двигателей компании General Electric, противоракетной системы Aegis; информация о технологии анализа разведданных; чертежи сонара для подводного картографирования, боевого корабля ВМС прибрежной зоны; схемы легких торпед; чертежи боевых машин Корпуса морской пехоты; информация о планах армии по снабжению солдат передовыми приборами для ведения наблюдения и разведки; чертежи громадного грузового самолета C-17 Globemaster, а также информация об армейской глобальной системе управления грузоперевозками; системные чертежи самолета-разведчика RC-135, описание технологии перехвата радиосигналов и схемы механизмов радиоантенн, используемых военно-морскими силами. Каждый род американских войск подвергался риску. Были скомпрометированы технологии и вооружение, которые использовались Соединенными Штатами на земле, на воде, в воздухе и в космосе.

Но как передать эту обеспокоенность Бушу? Макконнелл знал, что президент не в ладах с техникой. Однажды Буш заявил, что пользуется гуглом крайне редко и только для того, чтобы посмотреть на спутниковые снимки своего ранчо в Техасе. Будет достаточно трудно объяснить ему на техническом языке, как некто, сидя за клавиатурой за тысячи километров от США, может произвести разрушения с помощью компьютера, с принципами работы которого президент был так плохо знаком. Макконнелл решил обратиться к теме, которая владела вниманием Буша практически весь срок его президентства – к терроризму.

Макконнелл предложил Бушу обсудить такой гипотетический сценарий: если бы террористы «Аль-Каиды» не направили угнанные коммерческие авиалайнеры в здания 11 сентября 2011 г., а взломали бы базы данных ведущих финансовых организаций и стерли их содержимое, то тогда бы шестеренки мировой финансовой системы остановились. Транзакции бы прекратились. Сделки не совершались. Через компьютерные сети ежедневно во всем мире перекачиваются триллионы долларов. Эти «деньги», по сути, просто информация. Балансы счетов. Распределенные сети электронных бухгалтерских книг, которые сохраняют данные о том, кто и что купил, куда и кому перевел деньги. «Достаточно повредить или уничтожить лишь часть этих данных, и массовая паника неизбежна», – говорил Макконнелл. Экономики стран могут рухнуть просто из-за недостатка доверия и конфиденциальности. А о том, смогут ли все банки и финансовые организации восстановить потерянные данные, не стоит и говорить.

Буш, казалось, был настроен скептически. Как может взломщик, вооруженный всего лишь компьютером, проникнуть в святая святых американской финансовой системы? Конечно, финансовые компании примут меры предосторожности для защиты своих драгоценных активов. Буш хотел знать, где еще есть слабые места? Подвергается ли опасности Белый дом? Буш показал на телефон на своем рабочем столе, подключенный к защищенной линии связи. Президент пользовался им для общения с членами кабинета министров и иностранными руководителями. «Может кто-нибудь его прослушивать?» – спросил Буш.

В Овальном кабинете наступила тишина. Помощники президента по вопросам национальной безопасности нервно переглянулись. Макконнелл понял, что до настоящего момента президенту никогда не рассказывали о том, насколько слабой была собственная электронная защита органов власти.

«Господин президент, – сказал Макконнелл, – если существует возможность взломать устройство связи, то мы должны полагать, что наши враги обязательно ею воспользуются».

И все это после того, как Макконнелл рассказал Бушу о способах и методах, с помощью которых США смогут внедриться в телекоммуникационную систему Ирака. Президент начал осознавать: то, что он может сделать с другими, другие могут сделать и с ним.

Возвращаясь к гипотетической кибератаке на финансовую систему, Макконнелл провел еще одну параллель с терроризмом.

«Экономические потери подобной атаки будут намного серьезнее, чем от физических атак 11 сентября», – сказал Макконнелл Бушу, который знал о том, что удар по башням-близнецам и Пентагону усилил экономический спад США.

Буш выглядел ошеломленным. Он обратился к министру финансов Генри Полсону, прошлым местом работы которого был инвестиционный банк Goldman Sachs, где он занимал должность генерального директора: «Хэнк, то, что говорит Майкл, это правда?»

Полсон ответил: «Правда, господин президент, и более того, когда я работал на Goldman, именно этот сценарий не давал мне спать по ночам».

Буш поднялся. «Интернет – наше конкурентное преимущество, – сказал он своим помощникам и членам кабинета министров. – Мы должны сделать все необходимое для его защиты. Мы запустим новый Манхэттенский проект, если придется», – сказал президент, намекая на секретную программу времен Второй мировой войны по созданию первой атомной бомбы.

Макконнелл не ожидал такой сильной реакции. Более десяти лет он надеялся, что президент – любой президент – будет на острие тех опасностей, которые, как он считал, лежат прямо на поверхности повседневной жизни.

Буш обратился к Макконнеллу: «Майкл, ты рассказал нам об этой проблеме. У тебя есть тридцать дней, чтобы ее исправить».

Никто не сможет «исправить» эту проблему за 30 дней. Вряд ли ее вообще можно решить. Но президент Буш только попросил разработать комплексный национальный план по усилению киберобороны, взявшись за решение одной из самых важных и высокотехничных задач в истории Америки. Макконнеллу открылась редкая возможность, и он за нее ухватился. Однако он не мог начать это дело в одиночку. Так, начальник над шпионами обратился к источнику технического мастерства, который он знал лучше остальных.

С самого начала государственный план киберобороны разрабатывался АНБ. К его созданию относились, как к военной и разведывательной программе, а потому держали в строгом секрете. Он был официально засекречен президентским указом, который Буш подписал в январе 2008 г. Администрация предложила потратить $40 млрд на реализацию программы в течение первых пяти лет – огромная сумма для всего лишь одной инициативы. Как и Макконнелл, Кит Александер ждал момента, когда президент использует весь свой авторитет и влияние для поддержки государственных усилий по противодействию невидимым врагам, которые, по мнению Александера, представляли реальную угрозу Соединенным Штатам. Александер также считал, что злонамеренные хакеры, действующие, вероятно, от лица враждебных государств или террористических групп, в конце концов выберут своей целью финансовые организации на Уолл-стрит, электрические сети и другие жизненно важные объекты инфраструктуры.

На первом этапе национального контрнаступления нужно было сократить часть целей, открытых для вражеского удара. Министерство обороны урезало количество подключений собственных сетей к общедоступному Интернету до 18 точек, называемых шлюзами. Это уже был подвиг, учитывая тот факт, что интернет-доступ был открыт в каждом углу широко раскинувшихся вооруженных сил, вплоть до почти каждой штаб-квартиры в зонах боевых действий. (Именно благодаря этому технология охоты за повстанцами в Ираке работала так гладко.) Министерство обороны справилось с задачей лучше, чем любое другое государственное ведомство, предотвратив вторжения в свои сети, но иногда врагам все-таки удавалось проникнуть внутрь. В июне 2007 г. хакеры взломали открытую (несекретную) систему управления электронной почтой, которой пользовались министр обороны Роберт Гейтс и сотни других чиновников ведомства. Этот случай стал важным напоминанием о том, что пришло время поднять виртуальные разводные мосты, строго ограничив доступ во внешний мир.

Тем временем АНБ начало вести постоянное наблюдение за шлюзами в поисках признаков злонамеренной деятельности. Это была активная сторона компьютерной обороны, которую высокопоставленный чиновник из Пентагона позже опишет как «отчасти наблюдательную, отчасти сторожевую, отчасти снайперскую». Если хакеры или управляемые ими ботнеты пытались войти в сеть Министерства обороны, военные могли заблокировать интернет-адрес для предотвращения передачи вредоносных данных, после чего отправить предупреждение военным и разведывательным организациям, чтобы они наблюдали за трафиком, идущим из этого узла. Идея заключалась в том, чтобы обеспечить лучшую защиту собственным сетям Министерства обороны с помощью навыков сбора информации, которые есть у АНБ. Кроме того, создать что-то вроде системы раннего оповещения компаний на основе обнаружения любого проходящего по сети вредоносного ПО, которое могло сигнализировать о начале атаки против ключевых предприятий промышленности. Первыми в списке получателей предупреждений были энергетические и финансовые компании.

Однако это все были полумеры, которые не дотягивали до полноценного плана по защите нации. Пытаться выследить в Интернете вредоносное ПО, путешествующее через множество точек доступа, – это как найти муху на стене, глядя через соломинку. Нет никаких свидетельств, подтверждающих, что АНБ удалось хоть раз предотвратить крупную кибератаку в рамках этой стратегии наблюдения за собственными сетями. Александер сказал, что для основательной защиты страны АНБ нужно больше тропинок в сетях американских компаний. Некоторые из этих тропинок АНБ протоптало благодаря секретной контрразведывательной программе под названием Операция «Византийская опора» (Operation Byzantine Foothold), в рамках которой хакеры АНБ выслеживали китайских и других иностранных шпионов, проникших в сети военных подрядчиков. АНБ пыталось определить источник распространения фишинговых электронных писем, содержащих вредоносное ПО. Информация о тактике хакеров, которую они собирали по крупицам, помогла укрепить кибероборону компаний. Однако сотрудничать с Пентагоном согласилось всего несколько десятков компаний. Они передавали информацию из собственных сетей и позволили АНБ ненадолго заглянуть внутрь. Александер хотел, чтобы власти расширили область действия программы на компании, выходящие за пределы военно-промышленного комплекса. Но на это требовались время и политическая воля, которыми Буш уже не располагал в конце своего президентского срока. Макконнелл же считал, что, если руководящая роль АНБ в обеспечении внутренней киберзащиты будет раскрыта, это приведет к политической катастрофе. Пока не прошло и двух лет после публикации в New York Times нашумевшей статьи о программе АНБ по незаконной прослушке телефонов и перлюстрации электронной почты внутри страны. Участие агентства в обеспечении киберобороны означает расширение подобной деятельности. Кроме того, происходит смещение функций агентства от сбора информации в сторону ведения киберборьбы, вплоть до того, что агентство сдерживает и дает отпор хакерам. Некоторые члены конгресса хотели ограничить разведывательную деятельность АНБ, которая стала необходимой частью кибероборонной миссии агентства. Макконнелл считал, что пока агентству необходимо сохранять сдержанность и сосредоточиться на менее сомнительных аспектах киберобороны, продолжая наблюдение за ведомственными сетями и сетями оборонных предприятий.

Тем временем Макконнелл начал работу с гражданской частью правительства. Министерство внутренней безопасности, обладавшее законными полномочиями по обеспечению безопасности в доменной зоне. gov, которой пользовалось большинство государственных учреждений (за исключением военных ведомств и разведывательных агентств), следило за исполнением инициативы по сокращению интернет-шлюзов. Их количество насчитывало более 1000, а должно было уменьшиться до 50. Эта задача оказалась более масштабной и размытой, чем у Министерства обороны, – гражданские сети не имели централизованного управления, и было их намного больше, чем военных. Срок реализации этого проекта совершенно точно должен был превысить время пребывания Буша на посту президента, следовательно, и Макконнелл уйдет раньше, чем проект завершится.

А вот Александер не был ограничен этим сроком. Он вступил в должность только в 2005 г. Хотя по традиции срок пребывания на этом посту не превышает четырех-пяти лет, ничто не мешало будущему президенту или министру обороны его продлить. Действительно, предшественник Александера проработал на этой должности шесть лет – дольше, чем кто-либо еще за всю 56-летнюю историю агентства. Чем заметнее становилось участие АНБ в разведывательных операциях, особенно в контртеррористических, тем влиятельнее становился директор агентства и тем сложнее было его заменить. Александер понимал, что будущие значение и вес агентства в разведывательной иерархии зависят от того, насколько прочно удастся зафиксировать лидерство АНБ в обеспечении киберобороны и ведении киберборьбы. Это была еще одна масштабная задача, на которой правительство должно сосредоточить свои приоритеты национальной безопасности. По грубым оценкам, противодействие терроризму уходило на второй план, а кибербезопасность становилась главным приоритетом. Александеру нужно было только дождаться момента, когда лидеры страны это поймут и обратятся к нему за помощью. Ему нужен был кризис.

9. Американская картечь

Пятница 24 октября 2008 г. оказалась неожиданно суматошным днем в штаб-квартире АНБ. В тот день в Форт-Мид приехал президент Буш для встречи с руководителями агентства. Это был его последний запланированный визит на посту президента США, который он покидал в январе будущего года. В 16:30, когда большинство сотрудников АНБ уже готовились уйти домой на выходные, Ричард Шефер, высокопоставленный чиновник, отвечавший за компьютерную безопасность, вошел в кабинет Кита Александера со срочным сообщением.

Молодой аналитик одной из поисковых команд АНБ, занимавшихся розыском вредоносных вторжений, обнаружил мошенническую программу, запущенную в военной компьютерной сети. Программа служила своего рода маяком и отправляла сигналы где-то расположенному головному компьютеру, запрашивая инструкции о своих следующих действиях – нужно ли скопировать файлы или, может быть, стереть все данные. Подобная ситуация сама по себе уже была опасной и тревожной. Но мало того, сигналы передавались из секретной сети, которую использует Центральное командование США, ведущее войны в Ираке и Афганистане. А ведь считалось, что это невозможно, поскольку сеть не была подключена к Интернету.

Еще ни разу до этого момента секретная, не подключенная к Интернету сеть не подвергалась взлому. Такие сети специально изолировались от глобальной сети, поскольку через них проходили сверхсекретные военные сообщения, в том числе планы ведения войны и приказы подразделениям на полях боевых действий. Аналитики лихорадочно работали в течение нескольких следующих дней, чтобы определить, каким образом вредоносная программа попала в сеть. Они подозревали, что скорее всего она была принесена на зараженной флешке, которой пользовался один из солдат в Афганистане. Именно там происходило большинство заражений компьютеров. И это была еще одна проблема – заражения продолжались, и в огромном количестве. Вредоносное ПО распространялось, размножаясь и заражая другие компьютеры в сети через USB-носители. Похоже, что аналогичное ПО обнаружилось также в двух других секретных сетях.

Руководители АНБ немедленно заподозрили, что это работа вражеской разведки, которая пыталась украсть секретную военную информацию. Аналитики полагали, что зараженная флешка могла быть подброшена где-нибудь на автостоянке, где дожидалась какого-нибудь доверчивого человека – «пациента ноль»[16], – который бы подобрал этот носитель и вставил в защищенный компьютер, расположенный в помещениях Центрального командования или на военной базе. Вредоносная программа не могла соединиться с Интернетом для получения инструкций. Однако шпион мог управлять программой, находясь за несколько километров от зараженного компьютера, с помощью радиосигнала – АНБ само использовало подобное оборудование, когда внедряло шпионское ПО в локальные сети. Имелись некоторые признаки того, что червь также заражал и несекретные системы, которые имели соединение с внешним миром и могли стать для иностранных шпионов точкой входа в сети Пентагона.

Этот взлом был беспрецедентным за всю историю военных и разведывательных служб. Александер сказал, что пришло время заявить об опасности.

Генерал ВВС Майкл Басла работал в Пентагоне в пятницу ночью, когда из Форт-Мида поступил тревожный звонок. Басла тогда занимал должность заместителя директора Объединенного комитета начальников штабов по командованию, контролю, связи и компьютерным системам. Он быстро осознал опасность, о которой ему сообщили руководители АНБ. «Столько слов, – позже вспоминал Басла, – чтобы, по сути, сказать: “Хьюстон, у нас проблема”[17]».

Шестерни государственной военной машины закрутились. Той ночью Басла вместе с руководителями АНБ провел совещание с адмиралом Майклом Малленом – председателем Объединенного комитета и высшим военным советником президента Буша. Также агентство проинформировало заместителя министра обороны Гордона Ингленда, который вместе с лидерами конгресса принимал деятельное участие в создании Оборонной военно-промышленной инициативы.

Никто не знал наверняка, когда вредоносное ПО попытается выполнить свою миссию и попытается ли вообще. И что именно за задача была у этой программы, тоже было не ясно. Однако члены разыскной группы АНБ, которые обнаружили червя, полагали, что есть способ его нейтрализовать. Червь отправлял запрос на получение инструкций от головного сервера. Так почему бы не дать червю то, чего он хочет? Специалисты группы хотели создать подменный сервер управления, который бы связался с червем и выдал ему команду перейти в режим сна и не предпринимать никаких дальнейших действий. В этом плане присутствовала доля риска. Если группа своими действиями нарушит работу запущенных в секретной сети программ, обеспечивающих, например, связь между командирами на поле боя, это может нанести урон военным операциям в Афганистане и Ираке. Секретная сеть должна работать без сбоев.

Пентагон согласился на реализацию плана АНБ, которому дали кодовое название «Американская картечь» (Backshot Yankee). Ночь с пятницы на субботу специалисты разыскной группы провели за проработкой всех мельчайших деталей плана, налегая на пиццу и поглощая содовую, чтобы не уснуть. В субботу они погрузили сервер в грузовик и отправились в расположенное неподалеку Агентство оборонных информационных систем, которое управляло глобальными телекоммуникационными системами Министерства обороны. Там сервер под контролем специалистов заразили вредоносным ПО, после чего был активирован подменный компьютер, который отдал червю команду отключиться. План сработал.

Теперь у АНБ появился способ деактивации червя. Однако сначала нужно было найти все его копии, которые расползлись по сетям Министерства обороны. АНБ призвало своих лучших хакеров – элиту из Отдела специализированного доступа. Они занялись поиском зараженных червем военных компьютеров. Но затем пошли дальше и начали отслеживать следы зловредной программы и на гражданских компьютерах, в том числе тех, которые работали в правительственных сетях США и других стран. Выяснилось, что червь распространился очень широко.

В этом не было ничего удивительного. Оказалось, что червь был не таким уж новым. Впервые он был обнаружен финскими специалистами по информационной безопасности, и в июне 2008 г. появился на военных компьютерах страны, входящей в НАТО. Специалисты дали червю имя Agent.btz. Слово agent – обычное название для новых найденных образцов вредоносного ПО, а суффикс. btz использовался в качестве внутренней ссылки. Не было никаких свидетельств тому, что заражение червем Agent.btz привело к похищению или уничтожению данных на каком-либо из американских компьютеров. Фактически червь оказался не так уж сложно устроен, что вызвало вопрос, зачем иностранная разведка потратила усилия на создание червя, который прятался в компьютерах по всему миру и ничего не похищал.

Однако военные руководители все еще опасались дыры в системе безопасности военных сетей, полагая ее страшной угрозой для национальной обороны. Через неделю после того, как АНБ предупредило Пентагон, Маллен был приглашен на совещание с президентом Бушем и министром обороны Гейтсом. АНБ взяло на себя задачу по обнаружению каждого зараженного червем Agent.btz компьютера и обезвреживанию этого червя с помощью подменного сервера. В ноябре Стратегическое командование США, которое на тот момент полностью отвечало за ведение кибервойн, выпустило указ: отныне использование внешних накопителей на компьютерах Министерства обороны и всех военных компьютерах запрещено повсеместно. Указ был избыточно строг, и это подчеркивало, до какой степени были напуганы и встревожены высокопоставленные военачальники.

Александер меньше волновался на этот счет. В возникшей панике он увидел возможность сделать АНБ новым военным лидером в киберпространстве. Ведь именно его разыскная группа обнаружила червя. Именно его эксперты придумали ловкий способ нейтрализации зловредной программы. Именно его хакерская элита, используя свои шпионские навыки, выследила червя в потайных местах. Представители Пентагона раздумывали, следует ли им истребить червя, начав ответную кибератаку, или достаточно просто хитростью заставить его получать команды от их подменного сервера. (Процесс очистки компьютеров от инфекции занял в конечном счете 14 месяцев.)

На тот момент ответственность за проведение согласованного военного удара – настоящей кибервойны – лежала преимущественно на Объединенном командовании функциональными частями для ведения сетевой войны (Joint Functional Component Command for Network Warfare), подчиняющемся Стратегическому командованию. Однако оно было мало по сравнению с АНБ, и у него не было того опыта в области информационной защиты и шпионажа, какой был у АНБ. Власти решили, что разрушительный удар, особенно по компьютерным системам, расположенным в других странах, был слишком серьезным шагом по противодействию червю Agent.btz, который в конце концов не причинил никакого вреда. Но операция «Американская картечь» показала, что в реальной общенациональной критической ситуации – например, при кибератаке на электроэнергетические сети или на банк – военным придется собрать под одной крышей всех самых лучших специалистов.

«Стало понятно, что нам нужно собрать вместе все оборонные и наступательные ресурсы», – сказал Александер, выступая перед комитетом в конгрессе в 2010 г., после того как Пентагон рассекретил некоторые детали проведенной операции. Именно этого он и хотел добиться с самого начала своей службы на посту директора АНБ.

Операция «Аериканская картечь» стала катализатором, ускорившим процесс создания Кибернетического командования США – единого органа, который руководил бы всеми военными мероприятиями по защите от виртуальных атак на свои системы, а также инициировал собственные атаки. Эту идею поддержал директор национальной разведки Майкл Макконнелл, в итоге она получила одобрение и Боба Гейтса. Высокие военачальники осознали, что их загнали в ловушку и что многие из них переоценивали свои возможности быстрого реагирования на взлом пентагоновских компьютеров. «Этот случай открыл нам всем глаза», – говорит Басла.

Сообразительность Александера и его команды кибервоинов убедила пентагоновские чины, Гейтса и Белый дом, что АНБ подготовлено лучше остальных, чтобы возглавить кибервойска, а потому именно агентство должно взять руководство на себя. Александер будет управлять новым Киберкомандованием прямо из Форт-Мида. Он получит дополнительный штат сотрудников и финансирование. Однако сами воины и инфраструктура поступают преимущественно из АНБ.

АНБ по-прежнему должно было заниматься полным истреблением вредоносного червя Agent.btz. Этот процесс продолжался более года, и агентство воспользовалось этим временем, чтобы расширить свое могущество. Всякий раз, когда обнаруживался новый вирус, АНБ закрывало всю информацию о нем, оставляя доступ только тем, «кому нужно» знать, что произошло. Каждый случай становился своего рода секретным подпроектом более масштабной операции. Согласно словам бывшего информационного аналитика из Министерства обороны, который имел доступ к информации об «Американской картечи», такое поведение АНБ усложняло жизнь другим агентствам, мешало им принимать ответные меры при обнаружении дыр в защите и собирать информацию о том, что произошло – именно этого, очевидно, и добивался Александер. Завеса тайны накрыла практически все стороны новой кибермиссии АНБ. Бывший аналитик Министерства обороны описывает реакцию АНБ на операцию «Американская картечь» как «захват власти».

Необходимость в секретности не поддается пониманию в том случае, если червь Agent.bzt действительно был частью разведывательной программы России, Китая или другого государства. Однако представители Пентагона никогда не заявляли о том, что брешь в защите привела к утечке секретной или иной жизненно важной информации. Так и не было установлено, была ли зараженная флешка, ставшая, по мнению аналитиков, переносчиком инфекции, специально подброшена возле здания военного ведомства или просто какой-то беспечный военнослужащий или гражданский сотрудник подхватил червя Agent.bzt где-то за пределами военной сети, возможно, подключив ноутбук к сети в интернет-кафе, после чего принес его внутрь, позволив вредоносной программе таким образом преодолеть разрыв между внутренней сетью и внешним миром. Вполне возможно, что «пациент ноль» просто случайно подхватил этого червя и что это вовсе не было целенаправленной работой иностранного государства. Действительно, Agent.bzt оказался разновидностью практически безвредного червя трехлетней давности. Некоторые чиновники, работавшие над операцией «Американская картечь», сомневались в причастности иностранных шпионов. Ведь если бы шпионы собирались проникнуть в святая святых военного киберпространства, разве не действовали бы они более хитро и коварно? И разве не украли бы хоть что-нибудь? Кроме того, возможно, шпионы проверяли американскую систему защиты и наблюдали за реакцией американской стороны на вторжение, чтобы понять, как устроена ее система безопасности.

Если бы законодатели и чиновники из Администрации Буша понимали, что червь Agent.bzt был относительно безвредным, они бы дважды подумали, прежде чем давать АНБ столь широкие полномочия по управлению киберобороной и нападением. Возможно, Александер и его помощники были заинтересованы в том, чтобы сохранить детали вторжения в секрете и таким образом усилить собственную аргументацию в пользу назначения АНБ ответственным за Киберкомандование. Подобный подход согласуется с тем, как Александер пытался запугать госчиновников киберугрозами, а затем убедить их, что только он сможет не дать «чудовищу выбраться на сушу». «Александер, как волшебник Изумрудного города, создал эту ауру невероятных возможностей, спрятанных за завесой в Форт-Миде, – говорит бывший чиновник из Администрации Обамы, который тесно сотрудничал с генералом по вопросам кибербезопасности. – Он использовал секретность, для того чтобы никто не смог отодвинуть эту завесу».

Секретность была и остается мощным источником власти для АНБ. Однако агентство также опиралось на параноидальные страхи, которые после операции «Американская картечь» проросли в высшем эшелоне руководителей Министерства обороны. Чтобы избавиться от опасности потенциальных вирусов, высшие военачальники запретили использование внешних носителей во всем Министерстве и во всех родах вооруженных сил. Соответствующий указ вызвал возмущение военнослужащих на полях боевых действий, поскольку они полагались на портативные накопители для переноса документов и карт с одного компьютера на другой. Запрет сохранялся в течение нескольких лет после окончания операции «Американская картечь». «Если вы достанете флешку и вставите ее в мой компьютер, то буквально через несколько минут в дверь постучат и конфискуют компьютер», – рассказал Марк Мейбери, старший научный сотрудник ВВС США во время интервью в своем кабинете в Пентагоне в 2012 г.

Чиновники Администрации Буша оказались захвачены волной киберстраха. Волна эта прокатилась по ним и перешла на Администрацию следующего президента.

10. Секретный ингредиент

С того самого момента, как Барак Обама принял на себя бремя президентства, он был атакован плохими новостями о состоянии американской государственной киберобороны. Он уже провел секретное совещание с Майклом Макконнеллом в Чикаго, где директор разведслужбы представил ему свою версию жуткой истории, рассказанной Бушу в 2007 г. Во время предвыборной кампании китайскими шпионами были взломаны электронные почтовые ящики сотрудников избирательного штаба Обамы и его оппонента, сенатора Джона Маккейна. Теперь, когда 44-й президент США занял свое место в Овальном кабинете, Центр стратегических и международных исследований – уважаемый аналитический центр в Вашингтоне – опубликовал всеобъемлющий и обескураживающий аналитический отчет о кибербезопасности США. Авторы отчета, которые провели как минимум 16 закрытых встреч с высшими военными и государственными руководителями, описали несколько ужасающих компьютерных взломов, информация о которых была рассекречена. Среди описанных случаев были взлом электронной почты министра обороны Роберта Гейтса; заражение компьютеров Министерства торговли шпионской программой, которую, по мнению нескольких независимых экспертов, китайские хакеры установили на ноутбук министра торговли Карлоса Гутьерреса во время его официального визита в Пекин; компьютерные взломы в Госдепартаменте, вследствие которых были утеряны терабайты информации. Однако, по словам члена команды, работавшей над отчетом, эти и прочие взломы, перечисленные в итоговом документе, составляли лишь 10 % от общего количества слабых мест в системе безопасности, обнаруженных авторами. Остальные случаи были слишком секретными и, может быть, слишком тревожными, чтобы обсуждать их публично.

Участники совещания, среди которых были высокопоставленные представители АНБ, руководители некоторых крупнейших технологических и оборонных предприятий, члены конгресса и эксперты в области кибербезопасности, продолжавшие работать в новой Администрации, хвалили инициативу «нового Манхэттенского проекта», реализация которой была начата Бушем. Однако они признали, что дело продвинулось не слишком далеко. Администрации Обамы следовало взять прежние достижения за основу и установить правила, которые бы требовали от определенных отраслей промышленности и ключевых объектов инфраструктуры усиления и поддержания их кибербезопасности. «Это стратегическая проблема одного уровня с проблемами оружия массового уничтожения и глобальным терроризмом, за решение которых основную ответственность несет федеральное правительство, – написали участники совещания. – Неспособность Америки защитить киберпространство – это одна из самых срочных и неотложных проблем национальной безопасности, стоящих перед новой Администрацией… Это битва, в которой мы проигрываем».

Иностранные шпионы неотступно работают над получением доступа к средствам коммуникации, записям речей и текстам политических меморандумов высокопоставленных членов новой президентской Администрации. В первый же год пребывания Обамы на посту президента китайские хакеры начали кампанию, направленную против чиновников Госдепартамента, в том числе госсекретаря Хиллари Клинтон. Хакеры разыграли чрезвычайно искусную комбинацию. Пятеро сотрудников Госдепартамента, которые вели переговоры с китайскими чиновниками о снижении выброса парниковых газов, получили фишинговые электронные письма, где в качестве отправителя был указан знаменитый вашингтонский журналист Брюс Стокс. Стокса в Госдепартаменте знали хорошо, поскольку он писал о проблемах международной торговли и изменении климата. Кроме того, он был женат на Венди Шерман, занимавшей должность посла. Она была высшим политическим советником Билла Клинтона по Северной Корее, а позже заняла третью по значимости государственную должность и вела переговоры с Ираном по ядерной программе в 2013 г. Дипломатический представитель США в Китае по вопросам изменения климата Тодд Стерн тоже был старым другом Стокса. В теме электронного письма было указано «Китай и изменение климата», и казалось, что это обычное письмо с вопросами от журналиста. А в теле сообщения содержались комментарии, имевшие отношение к работе получателей письма и их текущим делам. Кем бы ни был отправитель этого сообщения, он изучил Стокса и знал сеть его друзей и источников достаточно хорошо, чтобы составить электронное письмо в его стиле. Это письмо содержало вирус, способный скачивать документы со служебных компьютеров и отслеживать электронные коммуникации владельцев этих компьютеров, и до сих пор не ясно, открывал ли его кто-то из получателей или нет.

В 2009 г. один из руководителей команды Хиллари Клинтон получил от своего коллеги из соседнего офиса электронное письмо. В письме было вложение, которое, по словам отправителя, имело отношение к прошедшему недавно совещанию. Получатель не мог вспомнить, что это было за совещание, и не был уверен, что оно вообще имело место быть. Он отправился к коллеге в соседний офис и спросил его о письме, которое тот только что отправил.

«Какое письмо?» – спросил коллега.

Благодаря подозрительности молодого сотрудника шпионы лишились возможности установить программу для слежки на компьютерах в офисе Хиллари Клинтон. Этот случай стал напоминанием о том, насколько продвинутыми и искушенными стали шпионы. Кроме того, он показывал, что противник выстраивает схему взаимоотношений сотрудников Администрации, чьи имена крайне редко попадают в прессу. Китайские шпионы отточили эту методику за последующие годы и постоянно пользуются ей. Чарли Крум, генерал ВВС в отставке, который руководил Агентством оборонных информационных систем, а теперь занимает пост вице-президента по кибербезопасности в Lockheed Martin, говорит, что кибершпионы будут тщательно изучать сайт компании в поисках имен сотрудников, встречающихся в пресс-релизах, отмечать все публичные появления руководителей и использовать другие самые незначительные крупицы информации, которые могут помочь им детализировать свой подход к потенциальной цели атаки. В прошлом шпионам приходилось следить за людьми на улицах и потрошить мусорные баки, чтобы раздобыть такие подробности.

Перед лицом опасности иностранного кибершпионажа, угрожающей команде президента, и тревожных сигналах о состоянии американской обороны Обама, как только занял пост главы государства, дал понять, что намеревается сделать кибербезопасность одним из высших приоритетов. В своей речи, произнесенной в мае 2009 г. в Восточном зале Белого дома, он сказал: «Мы знаем, что кибервзломщики зондируют наши электросети и что в других странах кибератаки погружали в темноту целые города». Обама не сказал, где это произошло, однако сотрудники разведки пришли к выводу, что два аварийных отключения электроэнергии в Бразилии в 2005 и 2007 гг. были устроены хакерами, получившими доступ к SCADA-системам, которые управляли электрическим оборудованием.

До выступления Обамы американские чиновники, в редком случае соглашаясь на упоминание в прессе своего имени, по большей части только намекали, что электрические сети подвергаются опасности. Владельцы и операторы электрооборудования опровергали слухи об отключениях электроэнергии, вызванных действиями хакеров, в том числе в США, называли подобные слухи спекуляциями и абсурдом и цитировали результаты официальных расследований, в которых отказы обычно объяснялись природными явлениями (например, падением дерева на линию электропередачи или скоплением грязи на проводах). Но теперь президент признавал, что американские электросети уязвимы и что в некоторых странах кошмар кибернетического блэкаута[18] стал реальностью.

«Моя Администрация будет внедрять новый всесторонний подход к обеспечению безопасности американской цифровой инфраструктуры, – заявил Обама. – Этот новый подход начинается с самого верха, с моей личной ответственности: с нынешнего момента отношение к нашей цифровой инфраструктуре – сетям и компьютерам, от которых зависит повседневная жизнь, – будет таким, каким оно должно быть, – это наши стратегические государственные активы. Защита этой инфраструктуры станет приоритетом национальной безопасности. Мы должны быть уверены, что эти сети безопасны, надежны и отказоустойчивы. Мы будем обнаруживать, предотвращать, сдерживать атаки против объектов этой инфраструктуры и быстро восстанавливать их после любого повреждения или уничтожения».

Обама заявил, что защита киберпространства – это государственная задача.

Кит Александер одобрил выступление. Для него единственным вопросом оставалось, кто именно в правительстве возьмется за такую геркулесову задачу.

Вскоре после назначения на пост директора АНБ в 2005 г. Александер посетил штаб-квартиру Министерства внутренней безопасности. Она представляла собой комплекс зданий в респектабельном пригороде Вашингтона Cathedral Heights, где криптографы ВМС США во время Второй мировой войны помогли взломать шифр «Энигмы». Александер привез свернутый лист бумаги, чтобы передать его Майклу Чертоффу, бывшему федеральному прокурору и судье, который был назначен новым министром внутренней безопасности чуть раньше в этом же году. По закону министерство должно координировать политику кибербезопасности на уровне правительства, защищать компьютерные сети гражданских государственных служб и сотрудничать с компаниями в области защиты жизненно важных объектов инфраструктуры. Сфера ответственности была огромной и размытой. Защита инфраструктуры была лишь одной из множества задач, делегированных министерству, которому на тот момент исполнилось всего два года. Среди прочего оно должно было заниматься патрулированием государственных границ, проверкой авиапассажиров и грузов, восстановлением неработающей государственной иммиграционной системы, а также предотвращением новых неожиданных террористических атак в США.

В защищенном от прослушки кабинете Александер развернул свой лист во всю длину стола для переговоров. На нем была изображена огромная диаграмма, отражающая всю вредоносную деятельность в Интернете, о которой в тот момент знало АНБ. Послание Александера можно было трактовать двумя способами. Он пришел, чтобы помочь молодому министерству справиться со своей миссией по обеспечению кибербезопасности. С другой стороны, возможно, он был не столь благодушен и намекал, что без помощи АНБ Министерству внутренней безопасности не справиться и что лучше ему отойти в сторону и позволить экспертам взять власть в свои руки. Правда была в том, что Министерство внутренней безопасности не могло составить такую диаграмму, какую только что показал Александер. Министерство испытывало недостаток в опытных сотрудниках, бюджетных средствах, глобальной архитектуре наблюдения, бюрократической и политической поддержке Вашингтона и не могло работать на уровне АНБ.

Александер и его помощники считали, что отказать в посильной помощи министерству будет проявлением безответственности и даже халатности. Однако это вовсе не означало, что они уступают ему ведущую роль в вопросах кибербезопасности. АНБ подчинялось Министерству обороны, и его полномочия распространялись на защиту государства от иностранных атак как на земле, так и в воздухе, на воде и в компьютерных сетях.

Чертофф и Александер хорошо сработались, как говорит бывший чиновник, имевший дело с ними обоими. Министр, кажется, был счастлив позволить киберсолдатам из Форт-Мида взять руководство на себя. Александер провел следующие четыре года за строительством киберармии АНБ, кульминацией чего стали операция «Американская картечь» и создание Кибернетического командования. В 2009 г. Обама назначил министром внутренней безопасности бывшего губернатора Аризоны Джанет Наполитано. Александер велел своей команде предоставить Наполитано и ее помощникам любую помощь и консультации, какие им только могли потребоваться. Но у него не было намерения оставить поле боя. Не сейчас, когда он готовился начать свою крупнейшую кампанию.

Александер уже видел, как «Инициатива оборонной промышленности» (Defense Industrial Base, DIB) позволяет властям получить доступ к информации из корпоративных компьютерных сетей. Компании превратились в цифровых разведчиков киберпространства, а информация, которую они поставляли, помогала АНБ пополнять свой каталог цифровых угроз – список известных вредоносных программ, хакерских методов и подозрительных интернет-адресов. Александер любил называть эту инициативу «секретным ингредиентом». На старте программа DIB включала всего 20 компаний. Теперь же Александер хотел использовать модель DIB в новых отраслях, в том числе в энергетической и финансовой, и привлечь для участия в программе еще около 500 компаний.

Внутри АНБ план получил название «Транш 2» (Tranche 2). Операторы «ключевых объектов инфраструктуры» – а к ним легко можно отнести электроэнергетические компании, операторов атомных электростанций, банки, производителей программного обеспечения, транспортные и логистические компании и даже медицинские учреждения и поставщиков медицинского оборудования, если поставляемая ими техника может быть взломана удаленно – все они должны будут направлять свой входящий и исходящий трафик для сканирования провайдеру интернет-услуг. Провайдер с помощью сигнатур, полученных от АНБ, будет искать вредоносные программы или признаки кибершпионажа со стороны иностранных государств. Такова была версия изначального плана Александера по превращению АНБ в информационно-аналитический центр по обнаружению киберугроз. Само АНБ не стало бы заниматься сканированием, но оно предоставило бы все необходимые для этого сигнатуры. Таким образом, агентству удалось бы избежать подозрений в том, что оно пробивает себе путь в частные компьютерные сети, хотя именно оно при этом управляло бы всей операцией. Если сканер обнаружит угрозу, обратятся к аналитикам АНБ, чтобы те дали ей свою оценку. Они решат, нужно ли заблокировать трафик, или его можно пропустить, или необходимо провести ответную атаку на источник угрозы.

Агентство к тому времени уже разработало систему для сканирования Tutelage, которая могла изолировать электронное письмо, содержащее вирусы, и поместить в своего рода цифровую чашку Петри, где аналитики могли бы изучить его, не заражая другие компьютеры. Эта система была «сигнализатором, караульным и снайпером», и именно ее АНБ использовало для наблюдения за своими интернет-шлюзами в 2009 г. Теперь Александер хотел сделать эту систему частью программы Tranche 2, фактически выдвинув сотни компаний и операторов инфраструктурных объектов на новый фронт кибернетических войн.

Эта программа заставила некоторых членов Администрации Обамы занервничать. Президент совершенно ясно дал понять, что намеревается защищать киберпространство как ключевой государственный ресурс. Но он сомневался, можно ли спустить АНБ «с поводка», насколько можно ослабить контроль за агентством. Обама никогда не испытывал теплых чувств ни к агентству, ни к Александеру. И хотя он ценил и пользовался широкими возможностями, которые могло предложить АНБ, тем не менее культура шпионажа, кажется, была ему чуждой.

Летом 2009 г. официальные представители Пентагона предложили проект «исполнительного акта», который бы позволил военным проводить контратаки на компьютеры, генерирующие вредоносный трафик не только в военных системах, но и в сетях частных предприятий, обслуживающих ключевые объекты инфраструктуры, такие как электрические станции. Шаг был экстраординарным. До сих пор правительство лишь оказывало помощь компаниям, предоставляя им информацию о хакерах и вредоносном ПО, которую они могли использовать для укрепления своих средств защиты. Теперь же АНБ хотело получить полномочия на выполнение ответных ударов по тем хакерам, которые проводили атаки на ключевых представителей американского бизнеса, в случае если эти атаки могли привести к человеческим жертвам – например, в результате аварии энергосистемы или нарушения работы системы управления воздушными полетами – или когда опасности подвергались американская экономика или национальная безопасность. Такой набор критериев был слишком размытым и давал возможность для широкой интерпретации. Можно ли, к примеру, считать враждебным актом, подвергающем опасности экономику США, массированную DDOS-атаку на американские банки, ведь она не направлена на похищение денег и не разрушает банковскую систему, а только нарушает ее работу?

Администрация Обамы сократила предложенный законодательный акт, но незначительно. Обама не стал препятствовать АНБ наносить ответные киберудары. Он только потребовал от агентства, чтобы оно получало одобрение президента или министра обороны на подобные действия.

Возможно, чувствуя, что на безусловную поддержку Обамы положиться не получается, Александер представил свой план программы Tranche 2 на Капитолийском холме законодателям, которые контролировали многомиллиардный бюджет его агентства. Александер рассказал, что он поддерживает законодательную инициативу, которая обяжет компании делиться своими данными с назначенными правительством анализаторами трафика. Однако это предложение, по крайнем мере в его нынешней форме, не поддерживает Администрация. В 2011 и 2012 гг., когда законопроект проходил согласование в конгрессе, советникам Белого дома пришлось несколько раз предупреждать Александера о недопустимости выступлений от имени президента и предостерегать от раздачи обещаний, выполнение которых Администрация не могла гарантировать.

«Там, в центре, довольно злы на меня», – робко сказал Александер на одном из совещаний с конгрессменами. Однако это не остановило его от более жестких действий. Александер был довольно слабым оратором, но в небольших аудиториях он мог быть очаровательным и убедительным. Он вступил в союз с лидерами демократов и республиканцев и с Сенатским комитетом по разведке. Законодатели давали ему столько денег, сколько он хотел, и выделяли новые бюджеты на кибербезопасность. Надзор конгресса за деятельностью АНБ был минимальным и ненавязчивым. Александер выигрывал войну на Капитолийском холме. Однако в Администрации президента у него были недруги.

Джейн Холл Льют в начале 2009 г., к моменту своего появления в Министерстве внутренней безопасности в качестве нового заместителя министра, обнаружила, что борьба за контроль над кибербезопасностью уже завершена и победителем стал Александер. Многие ее коллеги уже давно пришли к выводу, что АНБ – это лучший вариант, поскольку оно было единственным агентством, обладавшим исчерпывающим каталогом сигнатур компьютерных угроз, включавшем описание вредоносного ПО, хакерских методов и подозрительных интернет-адресов. Они знали, что эта информация тщательно собиралась при проведении секретных и дорогостоящих разведывательных операций, что придавало этим сведениям весомость. Они также знали, что Министерство внутренней безопасности не располагало подобным объемом информации, не говоря уже о том, что там едва ли нашлась бы серьезная команда профессионалов в области кибербезопасности. В 2009 г. там работали 24 специалиста-компьютерщика, тогда как в Министерстве обороны их было больше 7000, причем большая часть работала в АНБ. Чрезвычайный наблюдательный центр Министерства внутренней безопасности не мог отслеживать сетевой трафик в реальном времени, что делало его практически бесполезным в качестве системы раннего обнаружения кибератак. Фактически министерство играло роль PR-службы, которая убеждала компании следовать правилам «кибернетической гигиены», лучше следить за собственными сетями и делиться информацией с властями. Но это были всего лишь символические жесты, а не реальные действия.

Чиновника, отвечавшего за перспективы развития кибероборонной миссии министерства, Льют впервые встретила, когда он вручил ей свое заявление об уходе. В марте Род Бэкстром уволился в знак протеста против того, что он описал как вмешательство АНБ в политическую деятельность, которая, по закону, была прерогативой Министерства внутренней безопасности. «АНБ фактически руководит деятельностью министерства в сфере кибербезопасности», – написал Бэкстром с резким упреком. Агентство разместило своих сотрудников в штаб-квартире министерства и внедрило свою закрытую технологию. А недавно руководители АНБ предложили перевести Бэкстрома и его команду – всех пятерых – в штаб-квартиру агентства в Форт-Мид.

«Во время моей работы на посту директора мы не были склонны отдать центр под руководство АНБ», – писал Бэкстром. Он предупредил Льют, Наполитано и высших президентских советников по вопросам национальной безопасности, в том числе и министра обороны Роберта Гейтса, что, если АНБ отпустят с привязи, оно весьма грубо и жестко обойдется с неприкосновенностью частной жизни и гражданскими свободами и внедрит в министерстве культуру скрытности и секретности.

Льют не была киберэкспертом. Она была армейским офицером в отставке и в прошлом руководила миротворческими силами ООН. Но, будучи по факту главным операционным руководителем министерства, она отвечала за осмысленность его непрозрачной кибернетической политики. Очевидно, битва с АНБ должна была продолжиться. (Наполитано не хотела поступать на эту должность и, вероятно, не имела для нее нужной квалификации. У нее не было своих онлайн-аккаунтов, и даже по работе она не пользовалась электронной почтой. Она фактически была технофобом.)

Льют довольно долго вращалась среди руководителей разведслужб и могла уже сделать выводы о том, что они получают большую часть своей власти благодаря секретности и созданию видимости своего всезнания. Она не соглашалась с общепринятой точкой зрения, что только АНБ имеет необходимый багаж знаний для защиты киберпространства. «Представьте, что телефонная книга Манхэттена – это вселенная вредоносного ПО, – сказала она однажды своим коллегам. – У АНБ есть всего лишь одна страница из этой книги». Льют считала, что многие компании уже располагают информацией о наиболее важных угрозах: они вынуждены собирать информацию о них, поскольку хакеры и иностранные государства каждый день пытаются взломать сети. Частные охранные компании, разработчики антивирусных программ и даже журналисты собирали и анализировали данные о вредоносных программах и других киберугрозах и либо продавали эту информацию, либо публиковали ее на общедоступных ресурсах. Софтверные компании выпускали автоматические исправления для известных дыр безопасности в своих программах. АНБ отслеживало всю эту информацию. Почему все полагают, что разведданные агентства не содержат уже известные всем сведения? «Информация шпионского агентства может быть полезной, но она не всегда требуется компаниям для обеспечения собственной защиты», – говорила Льют. Нужно, чтобы компании обменивались друг с другом тем, что они знают, создали своего рода интернет-версию соседского надзора.

Страницы: «« 123456 »»

Читать бесплатно другие книги:

Поддельная картина часто выглядит эффектнее подлинника. Фальшивые чувства бывают убедительнее настоя...
Странные и загадочные события происходят в Игрушечном королевстве. В самом центре этих невероятных п...
Это история произошла в годы Великой Отечественной войны в глухой сибирской деревне. После проводов ...
У Киры жизнь шла ровно и гладко, словно в сказке, и всё было замечательно. Судьба сложилась так, как...
Мы с детства слышим о том, что мысли материальны. О чем подумаешь, то и исполнится. Однако не у всех...
В своей новой книге Тит Нат Хан, знаменитый мастер дзен, показывает, как сохранять невозмутимость, н...