Шейн Харрис - Кибервойн@. Пятый театр военных действий

Спустя несколько месяцев после появления Роуланда в Нью-Йорке Endgame утвердила нового генерального директора. Им стал 35-летний Натаниэль Фик, бывший капитан морской пехоты, прошедший службу в Ираке и Афганистане. После ухода из армии он получил диплом MBA в Гарвардской бизнес-школе и участвовал в работе известного научного центра в Нью-Йорке. Фик написал книгу воспоминаний о своем боевом опыте [11], а кроме того, стал героем книги «Поколение убийц» (Generation Kill) [12], по которой телеканал HBO снял мини-сериал.

По словам двух источников, которые знают Фика лично и знакомы с бизнес-стратегией компании Endgame, новый гендиректор стремился снять компанию с иглы разведывательных контрактов и отойти от бизнеса, связанного с уязвимостями нулевого дня. Он считал это направление слишком сомнительным и крайне нерентабельным из-за того, что приходилось тратить сотни тысяч долларов на покупку одного-единственного эксплоита. Прибыль от торговли кибероружием была слишком низкой.

Однако уйти из этого бизнеса было не так-то просто. Инвесторы компании Endgame были неразрывно связаны с ее государственными заказчиками, которые располагали значительными финансовыми ресурсами и планировали потратить миллиарды долларов в течение ближайших нескольких лет на кибернетические оборону и атаки. Консультативный совет Endgame давно работал со столь выгодной клиентской базой. У компании были связи с отставным высокопоставленным чиновником из Пентагона, занимавшим в разное время влиятельные управленческие должности в области технологий. Также компания была связана с менеджером Отдела управленческих информационных систем в ЦРУ. Председатель совета директоров Endgame занимал должность генерального директора компании In-Q-Tel – подразделения ЦРУ, управлявшего венчурными капиталами, а один из членов совета директоров раньше работал директором АНБ.

Однако, как отметил Фик в своем интервью вскоре после назначения, состоявшегося в 2012 г., время огромных военных расходов, начавшееся после терактов 11 сентября, подходило к концу. США сворачивали свое военное присутствие в Ираке и Афганистане. Приближался период строгой экономии, а в конгрессе все чаще были слышны призывы к сбалансированному бюджету и снижению государственных расходов. «Оборонный бюджет окажется под давлением, впрочем, так и должно быть, – говорил Фик. – Во многих случаях избыточность и неумеренность в расходах последнего десятилетия не могут продолжаться долго, такое положение совершенно нежизнеспособно». Однако он добавил: «Я думаю, что некоторые направления будут расти и дальше».

Этот рост наблюдается в частном секторе. Двое знакомых с Фиком людей рассказали, что компания Google стала одним из крупнейших покупателей пакетов уязвимостей нулевого дня, распространяемых компанией Endgame. Если бы Google нанесла ответный удар по тем, кто пытался похитить ее интеллектуальную собственность, это было бы нарушением закона. Однако Google была одной из самых заметных и, несомненно, самых влиятельных компаний, которые настоятельно призывали конгресс и Администрацию президента Обамы осудить Китай за кибершпионаж и предпринять дипломатические шаги, если страна сама не может обуздать своих хакеров. Google начала делиться с АНБ информацией об атаках на свои сети, после того как компания стала объектом масштабной шпионской операции Китая, результатом которой стало похищение интеллектуальной собственности.

Роуланд был не единственным сотрудником Endgame, который заявлял, что у компаний должно быть право защищаться в тех случаях, когда государство не может или не хочет обеспечить помощь. Партнер одного из ключевых инвесторов Endgame выступил в защиту этой идеи после публикации хакерами из группы Anonymous презентации компании, в которой рассказывалось, как ее клиенты могут использовать кластеры, состоящие из зараженных компьютеров – так называемые ботнеты, – для атак на сайты или похищения паролей и другой конфиденциальной информации. «Если вы считаете, что в будущем войны будут вестись в киберпространстве, разве вам не хотелось бы иметь в своем распоряжении киберармию? – сказал член совета директоров Endgame Тед Шлейн корреспонденту Reuters .

Большинство частных компаний, работающих в области кибербезопасности, прилагают максимум усилий, чтобы подчеркнуть тот факт, что они не проводят «ответных взломов», то есть не влезают в компьютер взломщика, поскольку в США это незаконно. Однако компании следят за взломщиками, которые забрались в их клиентские сети. Один из известных игроков в этом бизнесе, CrowdStrike, завлекает шпионов с помощью хост-ловушек. Компания может заманивать хакеров в фальшивые клиентские сети, которые на самом деле представляют собой стерильную зону, закрытую для любых рабочих и важных клиентских компьютеров. Смысл заключается в том, чтобы выиграть время для наблюдения за взломщиками и определить, что их интересует прежде всего: ищут ли они, например, технические схемы и чертежи или хотят узнать детали ведущихся переговоров. После этого нужно заставить хакеров показать, какими инструментами и методами они пользуются для кражи информации. Компания может защитить свои фиктивные документы с помощью особенно сложного пароля в надежде, что хакер воспользуется новым способом взлома. Как только клиент понял, каким инструментарием располагает взломщик, CrowdStrike сможет предсказать, каким образом грабитель попытается влезть в другие системы в будущем. Если клиент хочет выбить взломщика из колеи, перехитрить его, он может внедрить недостоверную или вводящую в заблуждение информацию в те свои документы, которые хакер примет за описание бизнес-стратегии или за планы по выпуску новой продукции.

CrowdStrike также анализирует системы жертв взломщика, чтобы понять, какие именно технологические отрасли или виды технологий его интересуют. Затем компания составляет досье. В некоторых случаях хакеру даже дают имя. Больше года аналитики CrowdStrike отслеживали действия одного противника, которого назвали Anchor Panda, шпионившего за компаниями, связанными с созданием спутников, аэрокосмической отраслью и оборонными контрактами, а также интересовавшегося программами космических исследований иностранных государств. Вооруженные специфической информацией о том, что из себя представляет хакер и какие методы взлома он использует, каков его почерк, клиенты CrowdStrike теоретически могут предпринимать целенаправленные защитные действия. Можно провести аналогию с рассылкой по всем полицейским участкам ориентировки на беглеца, в которой приведено точное описание его внешности и манеры поведения. Это будет намного эффективнее, чем просто призывать граждан быть осторожнее и внимательнее к подозрительным людям.