Кибервойн@. Пятый театр военных действий - Шейн Харрис

Этот рост наблюдается в частном секторе. Двое знакомых с Фиком людей рассказали, что компания Google стала одним из крупнейших покупателей пакетов уязвимостей нулевого дня, распространяемых компанией Endgame. Если бы Google нанесла ответный удар по тем, кто пытался похитить ее интеллектуальную собственность, это было бы нарушением закона. Однако Google была одной из самых заметных и, несомненно, самых влиятельных компаний, которые настоятельно призывали конгресс и Администрацию президента Обамы осудить Китай за кибершпионаж и предпринять дипломатические шаги, если страна сама не может обуздать своих хакеров. Google начала делиться с АНБ информацией об атаках на свои сети, после того как компания стала объектом масштабной шпионской операции Китая, результатом которой стало похищение интеллектуальной собственности.

Роуланд был не единственным сотрудником Endgame, который заявлял, что у компаний должно быть право защищаться в тех случаях, когда государство не может или не хочет обеспечить помощь. Партнер одного из ключевых инвесторов Endgame выступил в защиту этой идеи после публикации хакерами из группы Anonymous презентации компании, в которой рассказывалось, как ее клиенты могут использовать кластеры, состоящие из зараженных компьютеров – так называемые ботнеты, – для атак на сайты или похищения паролей и другой конфиденциальной информации. «Если вы считаете, что в будущем войны будут вестись в киберпространстве, разве вам не хотелось бы иметь в своем распоряжении киберармию? – сказал член совета директоров Endgame Тед Шлейн корреспонденту Reuters.

Большинство частных компаний, работающих в области кибербезопасности, прилагают максимум усилий, чтобы подчеркнуть тот факт, что они не проводят «ответных взломов», то есть не влезают в компьютер взломщика, поскольку в США это незаконно. Однако компании следят за взломщиками, которые забрались в их клиентские сети. Один из известных игроков в этом бизнесе, CrowdStrike, завлекает шпионов с помощью хост-ловушек. Компания может заманивать хакеров в фальшивые клиентские сети, которые на самом деле представляют собой стерильную зону, закрытую для любых рабочих и важных клиентских компьютеров. Смысл заключается в том, чтобы выиграть время для наблюдения за взломщиками и определить, что их интересует прежде всего: ищут ли они, например, технические схемы и чертежи или хотят узнать детали ведущихся переговоров. После этого нужно заставить хакеров показать, какими инструментами и методами они пользуются для кражи информации. Компания может защитить свои фиктивные документы с помощью особенно сложного пароля в надежде, что хакер воспользуется новым способом взлома. Как только клиент понял, каким инструментарием располагает взломщик, CrowdStrike сможет предсказать, каким образом грабитель попытается влезть в другие системы в будущем. Если клиент хочет выбить взломщика из колеи, перехитрить его, он может внедрить недостоверную или вводящую в заблуждение информацию в те свои документы, которые хакер примет за описание бизнес-стратегии или за планы по выпуску новой продукции.

CrowdStrike также анализирует системы жертв взломщика, чтобы понять, какие именно технологические отрасли или виды технологий его интересуют. Затем компания составляет досье. В некоторых случаях хакеру даже дают имя. Больше года аналитики CrowdStrike отслеживали действия одного противника, которого назвали Anchor Panda, шпионившего за компаниями, связанными с созданием спутников, аэрокосмической отраслью и оборонными контрактами, а также интересовавшегося программами космических исследований иностранных государств. Вооруженные специфической информацией о том, что из себя представляет хакер и какие методы взлома он использует, каков его почерк, клиенты CrowdStrike теоретически могут предпринимать целенаправленные защитные действия. Можно провести аналогию с рассылкой по всем полицейским участкам ориентировки на беглеца, в которой приведено точное описание его внешности и манеры поведения. Это будет намного эффективнее, чем просто призывать граждан быть осторожнее и внимательнее к подозрительным людям.

Эта деятельность очень напоминает работу правоохранительных органов. И это неудивительно, поскольку двое руководителей CrowdStrike – бывшие агенты ФБР. Шон Генри, генеральный директор CrowdStrike Services, подразделения компании, которое выслеживает и идентифицирует взломщиков, отслужил в бюро 24 года. Он уволился из ФБР в 2012 г., будучи старшим офицером, который отвечал за все международные киберпрограммы и расследования. Кстати, бывший заместитель директора киберподразделения ФБР теперь работает в компании главным консультантом. По словам Генри, CrowdStrike отличается от других компаний по кибербезопасности тем, что «когда мы реагируем на происшествие, мы по-настоящему охотимся за противником». Он говорит, что компания применяет методы компьютерной криминалистики и обратной разработки вредоносного ПО, чтобы понять тактику хакеров, методы их работы и мотивацию. Он осторожно обходит стороной все вопросы, связанные с вторжением в компьютеры противников компании, – агент ФБР в прошлом, он сам годами преследовал людей за нарушение антихакерских законов. Однако слово «охотимся» указывает на более агрессивную форму анализа, которую допускает компания, в отличие от других фирм, работающих в этой области. CrowdStrike устанавливает специальную аппаратуру в сетях своих клиентов и привлекает добровольцев для сбора большего объема информации о методах взломах, как только случается хакерская атака, вместо того, чтобы собирать улики уже после завершения атаки. Компания использует полученные данные, чтобы определить принадлежность хакера к определенной группе или стране. Это одна из самых сложных проблем киберкриминалистики, поскольку опытные хакеры, как правило, стараются скрыть свое физическое местоположение, используя для проведения атак зараженные компьютеры, находящиеся в других странах. CrowdStrike обещает сообщать своим клиентам не только о том, как они были атакованы, на также о том, кем и зачем. В первую очередь компания концентрирует свое внимание на шпионах и хакерах, работающих на другие государства, в том числе Иран, Китай и Россию. (Аналитики из группы «стратегической разведки» читают на трех языках: китайском, фарси и русском.) В своих маркетинговых материалах CrowdStrike многократно повторяет, что использует методы сбора разведданных для идентификации взломщиков и передает информацию о них своим клиентам.

Данная методика тоже взята из арсенала ФБР. Бюро устраивало облавы на хакеров, самые известные из которых были членами группы Anonymous, следя за тем, как они воруют данные у компаний и частных лиц. Эта информация становилась основанием для уголовного преследования. Однако CrowdStrike и ее клиенты не всегда доводят дело до суда. И именно в этой бизнес-модели компании кроется агрессивность.

Особенность, которая отличает CrowdStrike от конкурентов, заключается, по словам Генри, в «способности компании атаковать».

«Речь не идет о встречных хакерских атаках, направленных на самих хакеров, – говорит Генри, отметая любые намеки на то, что компания переступает черту и нарушает закон. – Мы говорим об обеспечении клиента определенными возможностями для создания и организации в его сети враждебной рабочей среды». Руководители CrowdStrike знают, что одним из способов создания подобного враждебного окружения, которым пользуются некоторые компании, является внедрение вредоносного ПО в ловушках, разбросанных ими по своим сетям. Когда злоумышленник скачивает документ или файл на собственный компьютер и пытается его открыть, в его систему запускается вирус. Он может уничтожить данные на жестком диске или установить шпионское ПО или бэкдор для того, чтобы открыть жертве взлома доступ к его компьютеру. CrowdStrike заявляет, что она не использует подобного рода ухищрения для заражения компьютеров. Тем не менее в 2013 г. сооснователь CrowdStrike Дмитрий Альперович в своем интервью рассказал, что он получил одобрение на подобные действия со стороны властей Грузии. В результате российского хакера хитростью вынудили скачать шпионское ПО, которое позволило удаленно его сфотографировать с помощью собственной веб-камеры. Эта фотография была опубликована в официальном отчете. «Частные компании должны получить право на подобного рода действия», – сказал Альперович.

В феврале 2014 г. компания Target[13] сообщила о хищении номеров кредитных банковских карт более чем 100 млн покупателей. После этого CrowdStrike опубликовала обучающий онлайн-семинар на тему борьбы с киберпреступностью. «Не будь мишенью![14]» – говорилось в рекламе, которую компания разослала по электронной почте своим потенциальным клиентам. Предлагаемый курс должен был научить компании, «как использовать упреждающий подход для защиты своих сетей», и показать им, «как можно использовать информацию об угрозах для того, чтобы быть готовым к любой неожиданности». Может быть, CrowdStrike и не проводило встречных хакерских атак. Но предупреждения, которые компания отправляла своим клиентам, и услуги, которые она рекламировала, подразумевают, что клиенты в конце концов могут получить все необходимые навыки на случай, если они решат нанести ответный удар самостоятельно.