Досье Сноудена: кибероперации

Авторизованный перевод материала газеты Washington Post от 30.08.2013 из серии «Специальный доклад: черный бюджет».

Спецслужбы США провели в 2011 г. 231 наступательную кибероперацию. Эти операции включают в себя шпионаж, саботаж и кибервойны. Эти данные извлечены из документов, секретного разведывательного бюджета, полученного нашей газетой от Эдварда Сноудена. Эти материалы представляют новые доказательства, что администрация Обамы участвует в кибервойнах, а также операциях с целью проникнуть и разрушить иностранные компьютерные сети.

Кроме того, в рамках обширной программы под кодовым названием GENIE, американские компьютерные специалисты осуществляют проникновение в зарубежные сети с тем, чтобы поставить их под негласный контроль США. В бюджетных документах указано, что 652 млн.долларов было потрачено на разработку и использование «секретных имплантатов» (сложных многофункциональных вредоносных программ), при помощи которых ежегодно инфицируются десятки тысяч компьютеров, серверов, маршрутизаторов и т.п. по всему миру. Планируется значительно увеличить это количество и довести его до миллионов.

Документы, представленные Сноуденом, и интервью с высшими должностными лицами США говорят о том, что компьютерные вторжения осуществляются намного шире и агрессивнее, чем это признавалось ранее. Администрация Обамы либо маскирует такие кибероперации, либо вообще отказывается признать их существование.

Масштаб и наступательный характер операции показывает, что киберполитика изменилась и больше не стремится сохранить международные нормы, направленные против актов агрессии в киберпространстве. Это происходит потому, что американская военная мощь сегодня в критической степени зависит от информационных технологий.

Бывший заместитель Министра обороны США Уильям Линн III заявил нам: «В ходе обсуждения киберполитики акцент теперь делается на наступательные операции. Я думаю, это связано с тем, что наступательные кибероперации могут быть важным элементом сдерживания киберпротивников».

Из бюджетных документов следует, что львиная доля из 231 наступательной кибероперации, проведенных в 2011 г, приходится на такие страны, как Иран, Россия, Китай и Северная Корея, а также операции, связанные с контролем за атомным оружием.

Stuxnet, компьютерный червь, который был разработан в Соединенных Штатах и Израиле и вывел иранские ядерные центрифуги из строя в 2009-2010 гг., часто приводится в качестве наиболее драматического примера использования кибервооружения. Эксперты заявили, что на сегодняшний день им неизвестны другие кибератаки, проведенные США, которые выводили бы из строя физические объекты.

Американские агентства определяют наступательные кибероперации, как деятельность, направленную на «манипуляцию, стирание, подмену и уничтожение информации резидентов в компьютерах или компьютерных сетях, или осуществление этих действий в отношении непосредственно аппаратных средств и их сетей». Такое определение дано в президентской директиве, опубликованной в октябре 2012 г.

Большинство наступательных операций имеют непосредственные последствия только в отношении использования, изменения, уничтожения данных резидента или обеспечения ненадлежащего функционирования его аппаратных средств, включая замедление подключения к сети, сбои в работе, намеренное искажение результатов расчетов и т.п. Наступательные операции также предусматривают возможность потери противником контроля над своими компьютерами и сетями, или создание  в них замаскированных, необнаруживаемых противником уязвимостей.

Сегодня спецслужбы США рутинно используют по всему миру вредоносные программы, т.е. занимаются ровно тем, в чем американские власти постоянно упрекают Китай. Принципиальная разница, как сообщили официальные лица США, газете состоит в том, что Китай на сегодняшний день главные усилия сосредоточил на воровстве американских корпоративных секретов для преодоления научно-технического отставания и получения экономической выгоды.

Имплантаты иногда размещаются на аппаратных средствах с использованием агентов, либо оперативников ЦРУ, которые физически имеют доступ к соответствующим аппаратным средствам и сетям.

Но гораздо чаще имплантаты внедряются в компьютерные сети и аппаратные средства через интернет. Этим занимается специальное подразделение Агентства Национальной Безопасности – ТАО. Согласно нашим данным, группа зачастую организует разработку боевых программ применительно к каждой конкретной цели.

Программное обеспечение для наступательных операций нацелено, прежде всего, не на отдельные компьютеры, а на сети. Оно решает задачу проникновения в сети противника, используя известные и обнаруживаемые самим агентством уязвимости, которые содержатся не только в программах и технических средствах, разработанных противником, но и в харде и софте, используемых по всему миру известных брендов, большинство из которых производится в США.

Имплантаты предназначены для того, чтобы не просто скрытно присутствовать в программном обеспечении противника, но и сохраняться в нем даже в случае модернизации оборудования, либо программного обеспечения. Имплантаты призваны решать не только разведывательные задачи по сбору нужной информации, но и выполнять функцию своего рода шлюзов для проникновения в сети и коммуникации противника боевого софта, способного вывести их из строя, либо перехватить контроль над ними. В некоторых случаях одно взломанное устройство открывает доступ в сотни или тысячи других.

Часто цель имплантата – найти уязвимость и замаскировать ее с тем, чтобы противник не обнаружил упущения в своей программной и аппаратной инфраструктуре. Как сказал нам один сотрудник разведки на условиях анонимности: «Это похоже на ситуацию, когда вы открываете окно и оставляете его открытым, причем таким образом, что хозяин вернувшись в квартиру не узнал об открытом окне, с тем, чтобы  вы всегда смогли воспользоваться им».

В кибердоктрине США эти операции называются не атакой, а эксплуатацией. Хотя используются они как для нападения, так и для обороны.

К концу этого года по прогнозам GENIE по всему миру будет заражено как минимум 85 тыс. стратегических серверов. Это практически четырехкратное увеличение по сравнению с соответствующим показателем в 2008 г.

Единственным ограничением для АНБ в количестве взятых под контроль аппаратных средств является необходимость использования на сегодняшний день людей-операторов для извлечения информации и осуществления удаленного контроля над взломанными машинами. Даже со штатом 1870 человек GENIE максимально использует только 8448 из 68975 машин с внедренными имплантатами по состоянию на 2011 г. Сейчас АНБ внедряет автоматизированную систему под кодовым названием TURBINE, которая должна позволить в автоматизированном режиме управлять миллионами имплантатов для сбора разведывательной информации и осуществления активных атак.

АНБ в своей штаб-квартире в Форд-Миде и региональных операционных центрах в Джорджии, Техасе, Колорадо и на Гавайях активно использует так называемые эксплуатационные команды, состоящие из боевых хакеров. Как сказал газете один из бывших работников АНБ: «Их главная функция – это нападение, а не защита. После того, как  находится дыра в обороне противника, они проникают через нее в сети, получая доступ как к данным, так и непосредственно к программным и аппаратным средствам. При этом, как правило, используются специальные программы, которые изменяют журналы системы и выполняют другие функции, чтобы замаскировать вторжение, сохранив постоянный доступ через уязвимость».

Эксплуатационные команды работают совместно с людьми из киберкомандования, а также из ФБР и ЦРУ.  В отличие от них операторы национального оперативного центра угроз АНБ, также размещенные во всех региональных офисах АНБ, ориентированы в первую очередь на кибербезопасность. Собственно, Эдвард Сноуден, как раз и занимался деятельностью в сфере киберобороны, работая у подрядчика, который был призван определять места утечек в собственных сетях АНБ и разрабатывать конкретные меры по их недопущению, либо ликвидации.

На кибермиссии, связанные с защитой военных и других секретных компьютерных сетей от иностранного нападения, тратится примерно одна треть от общего бюджета на кибероперации в 2013 г., которые составляют 1,02 млрд.долларов. Таким образом, на хакерские работы и наступательные кибероперации, осуществляемые GENIE приходится соответственно почти в два раза больше – 651,7 мн.долларов. Наиболее дорогостоящими GENIE операциями, как определено в бюджетных документах, является «осуществление тайного, виртуального или физического доступа в иностранные компьютерные сети и аппаратные средства, и поддержание постоянного присутствия там». В бюджете отмечается, что эти операции «призваны замаскировать вторжения и обеспечить гарантированный доступ в будущем для выполнения конкретных оперативных целей».

Кроме затрат на создание собственных имплантатов, т.е. многофункциональных боевых и шпионских программ, АНБ в 2013 г. потратит 25,1 млн.долларов на «дополнительные тайные покупки программ обнаружения уязвимостей в программном обеспечении» у частных производителей хакерского софта на так называемом сером рынке. Этот рынок базируется в основном в Европе.

Бюджетные документы описывают наступательные операции, как неотъемлемую часть киберобороны, позволяющую осуществлять так называемую «активную оборону».

Одно бывшее должностное лицо Министерства обороны сказало нам: «Если вам удалось нейтрализовать систему управления ядерным оружием противника, это будет нокаутирующий удар. Но надо помнить, чем в большей степени программы ориентированы, в конечном счете, на вывод из строя физических объектов и сетей, тем сложнее оставить это вторжение скрытым на протяжении долгого времени. Соответственно, тем более сложный и дорогой софт вам понадобится для этих целей».

Еще один бывший высокопоставленный американский чиновник на условиях анонимности сказал нам: «Соединенные Штаты движутся в сторону все более активного использования киберинструментов, которые могут превентивно убедить противника изменить его поведение на стратегическом уровне».

Наиболее грозными источниками киберугроз рассматриваются Китай и Россия. При этом, не всегда легко определить, кто конкретно и  на кого работает. Китайские наступательные операции сосредоточены в Бюро технической разведки Народно-Освободительной армии Китая. При этом, американские разведслужбы полагают, что китайцы активно привлекают наемных хакеров. Днем эти хакеры, используя всю государственную инфраструктуру, работают на правительство. А ночью они, используя найденные днем уязвимости в американских сетях, работают на себя. Их бизнес – это хищение американской интеллектуальной собственности и ее продажа на черном рынке заинтересованным корпорациям.

Еще один источник основных киберугроз это – Иран. Его боевые хакеры имеют целью не кражу информации, а ее уничтожение, а также попытки найти пути к выведению из строя физических объектов и сетей критической инфраструктуры США.

В документах говорится, что наряду с кибероперациями против Китая, России, Ирана, Северной Кореи,  АНБ активно использует программные средства в борьбе с террористами в Афганистане, Пакистане, Йемене, Ираке, Сомали и в других убежищах экстремистов.

Главную скрипку в этой работе играет ЦРУ. Ей заняты в подразделениях, расположенных в Северной Виржинии, сотни людей. Все эти подразделения координируются в рамках Центра информационных операций ЦРУ или IOS. В последние годы основной упор в его работе сместился с контртерроризма к кибербезопасности.

Основное внимание общественности уделяется Киберкомандованию США. При этом, IOS, оставаясь незаметным, зачастую берет на себя наиболее заметные наступательные операции, в том числе с использованием агентов и наемных хакеров.

Дело в том, что военное Киберкомандование в своих действиях жестко ограничено законодательством. В соответствии с директивой Президента, выпущенной в октябре, для наступательных военных киберопераций необходимо в обязательном порядке утверждение Президента. Но это не относится к операциям, осуществляемым ЦРУ и другими структурами разведывательного сообщества.

Сердцем наступательных операций в киберпространстве станет вводимый в ближайшее время огромный Дата Центр в штате Юта. Согласно документам, этот Центр будет заниматься «хранением, анализом, разведкой и интеллектуальной добычей данных». Введение в строй Центра позволит спецслужбам, в том числе распознавать неотслеживаемые сегодня наступательные операции в киберпространстве, а также хакерские атаки, от кого бы они ни исходили – от государств, террористических сетей или организованной преступности».