Власти США рассматривают разведку в интернете как нулевую фазу своей военной стратегии, говорится в представленных Сноуденом документах. Согласно опубликованным данным, главная цель наблюдения — обнаружение уязвимостей в системе противника. В рамках второй фазы через выявленные дыры американским военным предписывается проникать внутрь с помощью «тайных имплантатов». Третья фаза — получение «постоянных доступов».
«Это необходимо для получения контроля или уничтожения критических систем и сетей через предустановленный доступ», — говорится в одном из документов. Под «критической системой» в АНБ подразумевают, в основном, гражданскую инфраструктуру: энергетика, связь и транспорт.
«Следующий масштабный военный конфликт начнётся в киберпространстве», — гласит один из докладов АНБ. У армии США, военно-морского флота, пехоты и ВВС уже есть собственные киберподразделения. Во главе этих департаментов — Агентство национальной безопасности, директор которого — адмирал Майкл Роджерс — также возглавляет американское киберкомандование. Именно Роджерс отвечает в США за шпионаж в интернете и взломы чужих сетей.
Цифровой артобстрел
В конце прошлого года специалистами Symantec был обнаружен загадочный вирус Regin. Поначалу эксперты не могли понять, в чём его цель, но позже выяснилось — программа атакует вышки мобильной связи, проникает в роутеры и маршрутизаторы. Оттуда Regin на неизвестные сервера пересылал все данные подряд. Другими словами, хакеры перехватывали телефонные звонки ещё до того, как абонент успевал принять вызов. С помощью этого вируса американская разведка прослушивала телефон канцлера Германии Ангелы Меркель и членов Еврокомиссии.
Новость об обнаружении Regin заставила общественность вспомнить другой знаменитый вирус — Stuxnet. Несколько лет назад он уничтожил несколько центрифуг на секретном иранском заводе по обогащению урана. Вирус проник в изолированную компьютерную сеть предприятия, два месяца следил за показаниями приборов, после чего брал управление оборудованием на себя.
Пока операторы станции наблюдали на мониторах «нормальные» показатели, Stuxnet выводил центрифуги из строя. Вирус мог разогнать или затормозить центрифугу до критической скорости. В обоих случаях оборудование уничтожалось само по себе. Из-за атаки Stuxnet иранская ядерная программа оказалась отброшена на несколько лет назад.
Атака на иранские атомные станции была организована американскими и израильскими спецслужбами. По одной из версий, система была заражена вирусом с USB-флэшки, включённой в один из компьютеров на станции. Проникнув в систему, Stuxnet c помощью полученных от израильской разведки идентификаторов нашёл подходящие терминалы и встроился в архитектуру. Stuxnet так и не был бы обнаружен до сих пор, если бы случайно не вышел за пределы иранской сети — вирус нашли на тысячах компьютеров в Европе и США, однако на компьютерах рядовых пользователей он был практически безвреден.
Новые документы Сноудена свидетельствуют о том, что Stuxnet и Regin — это только начало. Американские спецслужбы обладают необходимым опытом и ресурсами, чтобы внедриться в любую существующую на данный момент сеть. Как показывает пример с вирусом Stuxnet, для АНБ не представляет труда даже взлом изолированных машин. Это лишь вопрос удачи и агентурной работы.
Головорезы АНБ
Новый пакет документов, переданный Der Spiegel, проливает свет на внутреннее устройство американской цифровой разведки и конкретные методы работы АНБ. Немецкие журналисты, например, узнали о «цифровых снайперах АНБ» из «Управления специализированным доступом» (Tailored Access Operations, TAO). Сотрудники департамента из офиса в Форт-Мид, штат Мэриленд, способны отследить кибератаку, вычислить IP-адрес управляющего сервера и начать собственную атаку.
Другим важным подразделением является «Центр удалённых операций» (Remote OperationsCenter, ROC). В документах он значится под кодовым именем S321. Центр занимается тайными операциями. ROC находится в том же офисе, что и TAO, на третьем этаже здания в Форт-Мид. «Поначалу это была банда хакеров, которых мы нанимали на разовой основе, — цитируется неназванный сотрудник в докладе АНБ. — В наши дни подключения этих людей к боевым задачам стали систематическими». «Ваша информация — это наша информация, ваше оборудование — наше оборудование», — гласит слоган отдела ROC.
Отслеживанием активности киберподразделений других стран в АНБ занимается департамент S31177, также известный как Transgression («правонарушение» — англ.). Фактически, этот отдел является киберконтрразведкой США.
В документах также содержится информация об использовании стажёров. Им поручаются задачи попроще — установить на машину жертвы троян, удалённо уничтожить жёсткий диск и так далее. Конечная цель программы стажировки — «формирование мышления злоумышленника».
Возможностей у сотрудников АНБ масса. Например, в рамках операции Passionatepolka («страстная полька» — англ.) агенты могли получить подробные чертежи устройства интересующих их сетей. Программа Berserker позволяла устанавливать на взломанные компьютеры «устойчивые бэкдоры» и «паразитные драйверы». С помощью вируса Barnfire агенты способны стереть BIOS (загрузочный сектор компьютера) на удалённом сервере. В арсенале спецслужб также программы для проникновения в чаты Facebook и Yahoo, эксплойт для уязвимости в iOS-браузере Safari и масса другого оружия, поражающего в том числе электронику массового потребления.
И это лишь малая часть американского кибероружия. В пачке новых документов присутствует код кейлоггера Querty. Сама по себе программа не отличается от множества себе подобных, однако исходя из особенностей кода специалисты считают, что это лишь один модуль полноценной системы Warriorpride. Они полагают, что комплекс позволяет каким-то образом проникать в смартфоны iPhone и доступен другим странам группы «Пять глаз», военного альянса в киберпространстве — Великобритании, Канаде, Австралии и Новой Зеландии.
В данный момент нет ни одной международной конвенции, каким-либо образом ограничивающей применение кибероружия. Вместе с этим американские хакеры не видят различий между военной и гражданской инфраструктурой — их учат одинаково эффективно поражать как пульты запуска ракет, так и сервера больниц.
АНБ при этом пристально следит, чтобы её атаки оставались незамеченными как можно дольше и пытается скрыть собственные следы. Так, Regin впервые был обнаружен ещё несколько лет назад, и поначалу никто не придал подозрительным фрагментам кода значения. Официально пока никто не взял на себя ответственность за эту атаку. Спецслужбы применяют к собственным операциям политику «правдоподобного отрицания».
Параллельно АНБ применяет в отношении своих противников тактику «Четвёртой части набора». В документации агентства фигурируют данные об атаке на китайскую разведывательную систему SIGINT в 2011 году. Американским шпионам удалось не только отследить ключевое звено китайской атаки, но и выкрасть с азиатских серверов документы ООН, прежде скачанные хакерами Поднебесной. Der Spiegel пишет, что американские разведчики позволяют вражеским хакерам выполнить всю грязную работу, а затем похищают необходимые данные с их серверов.
Противостояние АНБ
«Успех кибератаки зависит от нескольких переменных, а именно — от политики безопасности предприятия, от технологий защиты и, конечно, от человеческого фактора, — продолжает эксперт. — Если речь идёт о государственных сетях, то существуют определённые стандарты по защите подобной инфраструктуры. Как правило, такие сети защищены на очень высоком уровне».
Так или иначе, недавние атаки стали важным сигналом к проверке безопасности внутренних жизненно важных сетей. «Все сети, представляющие собой критическую инфраструктуру, должны быть тщательно защищены, — считает Ложкин. — Речь идёт о защите энергетических предприятий, транспорте и других не менее важных систем».