Шейн Харрис - Кибервойн@. Пятый театр военных действий

Операция Aurora позволила сделать первую беглую оценку широты использования эксплоитов APT. Впервые в контексте китайской шпионской деятельности были названы конкретные компании. «Масштаб этой деятельности намного больше, чем кто-либо мог себе вообразить», – сказал Кевин Мандиа, генеральный директор и президент компании Mandiant, расположенной недалеко от Вашингтона и занимающейся компьютерной безопасностью и криминалистикой. АРТ представляет собой хакерскую деятельность, которая ведется на государственном, стратегическом уровне. «Скомпрометированы не 50 компаний. Опасности подвергаются тысячи компаний. Опасности настоящей. Прямо сейчас», – сказал Мандиа, ветеран киберрасследований, который начал карьеру в качестве офицера компьютерной безопасности в военно-воздушных силах и работал над расследованием киберпреступлений. Mandiant стала профессиональной организацией, в которую компании обращались, когда обнаруживали, что шпионы проникли в их компьютерные сети. Вскоре после взлома Google Mandiant раскрыла детали собственного расследования на закрытой встрече с представителями Министерства обороны за несколько дней до опубликования этой информации.

АРТ – это не единая организация, но совокупность хакерских групп, куда входят команды, работающие на Народно-освободительную армию Китая, а также так называемые хакеры-патриоты – инициативная молодежь, помешанная на компьютерах, которая хочет послужить своей стране. В китайских университетах множество студентов, обучающихся компьютерным наукам, после окончания идут работать в военные организации. Наиболее важными качествами хакеры АРТ считают хитрость и терпение. Они используют уязвимости нулевого дня и устанавливают бэкдоры. Они тратят время на идентификацию сотрудников в интересующей их организации, затем отправляют им тщательно подготовленные фишинговые электронные письма, снабженные шпионским ПО. Они проникают в организацию и часто находятся там месяцами или даже годами, прежде чем кто-то обнаружит их присутствие, и все это время скачивают схемы и чертежи, читают электронные письма и просматривают вложения к ним, отслеживают уволившихся и вновь принятых сотрудников, которые могут стать в будущем объектами для атаки. Иными словами, китайские шпионы ведут себя точно так же, как их американские коллеги.

Ни одна разведывательная организация не сможет выжить, если не будет знать своего врага. С такой обширной сетью наблюдения, как у АНБ, иногда проще получить точную информацию о хакерских кампаниях от самих объектов атаки. Именно поэтому АНБ сотрудничает с Google. Именно поэтому власти выслушали частных сыщиков из Mandiant, когда те пришли с информацией об АРТ. Защита киберпространства – слишком масштабная работа даже для лучшего в мире шпионского агентства. Нравится им это или нет, но АНБ и корпорации должны бороться с врагом вместе.

Сергей Брин – всего лишь один из сотен директоров, которые были допущены в тайный круг АНБ. Начиная с 2008 г. агентство предлагает руководителям компаний временное право допуска к закрытой информации, иногда сроком всего на один день. Это дает им возможность присутствовать на закрытых брифингах по проблемам киберугроз. «Агентство могло пригласить кого-нибудь из руководителей на один день и познакомить со множеством пикантных фактов об опасностях, грозящих бизнесу в Соединенных Штатах», – говорит руководитель телекоммуникационной компании, который присутствовал на нескольких таких встречах, проводимых примерно три раза в год. Директора должны были подписать соглашение о неразглашении любой информации, полученной ими в ходе брифинга. «Их многословно предупреждали, что, если нарушишь это соглашение, тебя арестуют, осудят и ты проведешь остаток своих дней в тюрьме», – говорит руководитель.

Почему люди соглашались с такими суровыми требованиями? «Пусть на один день, но они становились особенными и могли видеть вещи, доступные лишь немногим», – говорит руководитель телекоммуникационной компании, который благодаря регулярной работе над секретными проектами имел высокий уровень доступа к закрытой информации и сведениям о самых тайных операциях АНБ, в том числе о незаконной программе слежки, реализация которой началась после терактов 11 сентября. «[На этих закрытых встречах] Александер приобрел много личных друзей среди директоров компаний, – добавляет источник. – Я присутствовал на некоторых из них и сказал как-то: “Генерал, вы рассказываете этим парням такие вещи, утечка информации о которых может подвергнуть нашу страну опасности”. А он ответил: “Я знаю. Но это осознанный риск, на который мы вынуждены пойти. И если утечка произойдет, все они предупреждены о последствиях”».

Однако агентству не было нужды запугивать руководителей компаний, чтобы привлечь их внимание. Разоблачения агентства, касающиеся похищенных данных и вражеских взломов пугают сами по себе, и это сделано специально. «Мы пугаем их до чертиков», – сказал госчиновник, выступая на Национальном общественном радио в 2012 г. Некоторые из руководителей выходили с подобных совещаний с теми же чувствами, которые испытали оборонные подрядчики, «поседевшие» после встречи в Пентагоне летом 2007 г. Неуверенные в собственных силах, некоторые директора обратились в частные охранные компании, такие как Mandiant. «Я лично знаю одного генерального директора, жизнь которого сильно изменилась после закрытого совещания в АНБ по вопросам киберугроз, – рассказал Ричард Бейтлич, старший офицер безопасности Mandiant, в интервью Национальному общественному радио. – Генерал Александер усадил его и рассказал, что происходит. Этот руководитель, на мой взгляд, должен был знать о тех угрозах, которые стоят перед его компанией, но он не знал, и теперь эта информация заставила его переосмыслить все, что он думал об этой проблеме».

У АНБ и частных охранных компаний сложились взаимовыгодные отношения. Власти запугивали руководителей, а те бежали за помощью к экспертам, таким как Mandiant. Эти компании, в свою очередь, делились с властями сведениями, которые они получали в результате своих расследований. Например, именно так поступила Mandiant после взлома сетей компании Google в 2010 г. АНБ также использовало закрытые брифинги для того, чтобы побудить компании укреплять свои средства защиты. На одной встрече, прошедшей в 2010 г., представители агентства заявили, что они обнаружили уязвимость в биосе персональных компьютеров – коде, вшитом в память машины и управляющем ее работой. Эта уязвимость давала хакерам возможность превратить компьютер в «кирпич», сделав его абсолютно бесполезным. Руководители компаний – производителей компьютеров, которые присутствовали на этой встрече и были заранее проинформированы об этой уязвимости, распорядились ее устранить.