Кибервойн@. Пятый театр военных действий - Шейн Харрис

В киберпространстве нет четких границ. Тем не менее география играет весомую роль в том, насколько далеко кибернаемники готовы зайти, чтобы решить проблемы своих клиентов. Из-за того, что в странах Европы антихакерские законы не исполняются или вообще отсутствуют, некоторые европейские фирмы гораздо легче относятся к ответным хакерским атакам. Одним из рассадников хакеров и онлайн-аферистов, готовых за вознаграждение распространять вредоносное ПО, является Румыния. Теневой рынок уязвимостей нулевого дня – еще одно место, где можно нанять хакеров. Онлайн-рынок «Шелковый путь» (Silk Road), доступ в который был открыт через анонимную систему маршрутизации Tor, предоставлял площадку поставщикам хакерских услуг до тех пор, пока федеральные власти не закрыли его в 2013 г.

На сегодняшний день ни одна американская компания не пожелала заявить о том, что она осуществляет агрессивные кибероперации, направленные на похищение информации или уничтожение электронных систем противника. Однако бывшие сотрудники разведки говорят, что ответные хакерские атаки случаются, пусть они и не афишируются. «Такие атаки незаконны, но они происходят, – говорит бывший высокопоставленный сотрудник АНБ, который теперь работает корпоративным консультантом. – Это происходит при очень серьезной поддержке юристов. Правда, я бы не посоветовал клиенту этим заниматься».

Бывший офицер военной разведки говорит, что наиболее активные хакерские контратаки осуществляются в банковской сфере. За последние несколько лет банки потеряли миллиарды долларов из-за киберпреступников в основном из Восточной Европы и России, которые используют передовое вредоносное ПО, чтобы похитить учетные данные клиентов, а затем обчистить их банковские счета.

В июне 2013 г. корпорация Microsoft объединила усилия с некоторыми крупнейшими финансовыми организациями мира, среди которых были Bank of America, American Express, JPMorgan Chase, Citigroup, Wells Fargo, Credit Suisse, HSBC, Royal Bank of Canada и PayPal, чтобы обезвредить огромный кластер взломанных компьютеров, используемых для совершения киберпреступлений. Их целью была печально известная группа Citadel. Группа заразила тысячи машин по всему миру и рекрутировала их втайне от хозяев в армию ботнетов, которую преступники используют для похищения учетных данных, а следовательно, и денег у миллионов людей. В процессе контратаки, которой в Microsoft дали кодовое название «Операция b54» (Operation b54), Отдел цифровых преступлений компании разорвал линии связи между более чем четырнадцатью сотнями ботнетов группы Citadel и примерно пятью миллионами персональных компьютеров, которые Citadel заразила вредоносным ПО. Кроме того, Microsoft получила контроль над серверами, которые Citadel использовала для проведения своих операций.

Microsoft взломала Citadel. Эта операция была бы незаконной, если бы компания не получила судебное разрешение на ее проведение. Фактически Microsoft получила контроль над компьютерами, ставшими жертвами группы Citadel, причем хозяева этих компьютеров могли об этом даже не догадываться. Теперь компания могла предупредить владельцев зараженных компьютеров о необходимости установки пакетов исправлений для их уязвимого программного обеспечения. В сущности, Microsoft взломала компьютеры пользователей, чтобы спасти их. (И спасти саму себя, поскольку машины были заражены в первую очередь благодаря наличию ошибок и уязвимостей в продуктах Microsoft, которые, вероятно, подвергаются атакам чаще всего в мире.)

Эта операция стала первым случаем сотрудничества Microsoft и ФБР. Хотя разгромом ботнетов компания занимается с 2010 г., и это был уже седьмой ботнет, который пал жертвой Microsoft. Юристы компании применили новые правовые основания, в том числе обвинение преступников, взламывавших продукты Microsoft, в незаконном использовании товарного знака компании. Это был новый юридический рубеж. Даже юристы Microsoft, среди которых числился бывший федеральный прокурор США, признали, что они никогда не рассматривали возможность использования сомнительных методов, нарушающих действующее законодательство, для получения разрешения на проведение кибератаки. При подготовке к «Операции b54» Microsoft и банковские организации на протяжении шести месяцев следили за группой Citadel, прежде чем обратиться в ФБР. В конце концов шпионам из антихакерской группы Microsoft в сопровождении Службы маршалов США[15] пришлось собирать киберкриминалистические свидетельства в двух дата-центрах, оказывающих услуги интернет-хостинга, – в Пенсильвании и Нью-Джерси – для получения разрешения на атаку сети ботнетов группы Citadel. Военные назвали бы эту подготовку сбором информации о целевом объекте. По многим признакам «Операция b54» напоминала военную кибероперацию. С технической стороны она не слишком отличалась от атаки американских кибервойск на сеть Obelisk, которую члены «Аль-Каиды» использовали в Ираке.

Microsoft сотрудничала с правоохранительными органами в 80 странах мира для нанесения удара по группе Citadel. Глава Отдела по расследованию киберпреступлений Европола, правоохранительной организации Европейского союза, заявил, что «Операция b54» успешно выбила Citadel почти с каждого зараженного этой группой компьютера. А юрист Отдела цифровых преступлений компании Microsoft сказал: «Плохие парни получили удар под дых».

Microsoft продолжает свои атаки на ботнеты, и ее успех вдохновляет государственных чиновников и руководителей корпораций, которые убеждаются, что сотрудничество между полицией и корпоративными хакерами может быть жизнеспособным методом борьбы с киберпреступностью. Однако слаженные контрудары, подобные атаке на группу Citadel, требуют времени для согласования и планирования, а также целые команды юристов для получения разрешения на их проведение. Но что случится, если компания не захочет полгода ждать, чтобы получить разрешение на ответную хакерскую атаку, или если за ее плечами не окажется офицера федеральной правоохранительной организации?

Отставной офицер военной разведки беспокоится, что относительная техническая простота хакерских контрударов будет способствовать тому, что организации, и прежде всего банки, откажутся от сотрудничества с компаниями вроде Microsoft и будут самостоятельно предпринимать ответные действия, не спрашивая на то разрешения суда. «У банковских организаций разыгрался аппетит к ответным ударам, поскольку они устали от полумер, – сказал он. – Мы начинаем осознавать, что индустрия не готова принимать на себя подобные риски. И если правительство не может или не хочет принять необходимых мер, единственным логичным выходом остается предпринять их самостоятельно». Он говорит, что хакерские контратаки не будут прерогативой исключительно крупных корпораций. «Если вы знаменитость, разве вы не заплатите кому-то, чтобы найти источник, который собирается опубликовать некоторые ваши пикантные фотографии? Да, конечно, найдете, черт возьми!»

Несомненно, они найдут талантливых хакеров, готовых сделать эту работу. По результатам опроса, проведенного в 2012 г. на конференции Back Hat USA в Лас-Вегасе, в котором принял участие 181 респондент, стало известно, что 36 % «профессионалов в области информационной безопасности» заявили о своем участии в ответных хакерских атаках. Эти люди пока составляют меньшинство, тем не менее можно предположить, что не все респонденты были честны. При этом компании по кибербезопасности, которые пока не связаны с хакерскими контратаками, обладают всеми необходимыми умениями и навыками, необходимыми для начала частной кибервойны.

Бывший чиновник АНБ говорит, что в настоящее время, по его оценкам, лучшими частными фирмами в сфере кибербезопасности руководят бывшие специалисты служб радиотехнической разведки. Эти фирмы используют не только методы ведения электронной разведки, но и человеческие ресурсы. Из своего опыта работы в АНБ их руководители вынесли, что нужно отслеживать дискуссии на тематических интернет-форумах, которые часто посещают хакеры, и научились играть роль потенциальных преступников, желающих купить вредоносное ПО.

Один из руководителей частной фирмы, работающей в сфере кибербезопасности, говорит, что часть актуальной и полезной информации о новых видах вредоносного ПО, хакерских методиках и целях приходит, что не удивительно, из крупнейшего источника шпионов и киберграбителей, действующих против США – из Китая. Рик Ховард, до того как стал кибершпионом-частником, руководил Компьютерной группой реагирования на чрезвычайные ситуации. Рик говорит, что в те времена, когда он отвечал за разведывательную деятельность в частной компьютерной компании iDefence, он поддерживал постоянную связь с хакерами и продавцами кибероружия в Китае. Его источники рассказывали iDefence, какое новейшее вредоносное ПО сейчас доступно (как и в США, оно продается в Китае на теневом рынке), кто сейчас основные игроки на этом рынке и какие цели представляют интерес для хакеров. В конце концов, хакинг – это бизнес, которым занимаются люди, а не машины.