Кибервойн@. Пятый театр военных действий - Шейн Харрис

Компания CenturyLink, штаб-квартира которой находится в городе Монро, в течение многих лет была мало известна в разведывательном сообществе. Однако в 2011 г. она приобрела телекоммуникационную фирму Qwest Communications, с которой АНБ было очень хорошо знакомо. Еще до террористической атаки 11 сентября представители АНБ выходили на руководителей Qwest и просили их предоставить доступ к высокоскоростным оптоволоконным сетям для наблюдения и выявления потенциальных кибератак. Компания давала категорический отказ на все запросы агентства, поскольку его представители не имели судебного разрешения на получение доступа к оборудованию компании. После террористической атаки АНБ снова обратилось к Qwest с просьбой передать агентству записи телефонных разговоров клиентов компании без судебной санкции, как это сделала AT&T. И снова компания отказала. Только спустя 10 лет, когда компания была продана, сети Qwest стали частью расширенной аппаратной структуры безопасности АНБ.

Потенциальная клиентская база для реализации поставляемой государством киберинформации, продаваемой через корпорации, настолько же широка и разнообразна, насколько разнообразна сама экономика США. Чтобы получить эту информацию, компания должна удовлетворять государственному определению ключевого объекта инфраструктуры: «имущество, системы и сети, физические или виртуальные, настолько жизненно необходимые США, что их выход из строя или уничтожение может подорвать обороноспособность страны, национальную экономическую безопасность или национальную систему здравоохранения». Может показаться, что это определение довольно узкое, однако категории ключевых объектов инфраструктуры многочисленны, разнообразны и охватывают тысячи различных направлений деятельности. Официально выделены 16 секторов: химическая промышленность; коммерческие предприятия, включая торговые центры, спортивные учреждения, казино и парки отдыха; линии связи; ключевые промышленные предприятия; плотины; военно-промышленный комплекс; экстренные службы, такие как службы оперативного реагирования и поисково-спасательные службы; энергетические предприятия; здравоохранение; информационные технологии; ядерные реакторы, материалы и отходы; транспортные системы; системы водоснабжения и канализации.

Невозможно представить, чтобы каждая компания из подобного списка рассматривалась как столь «жизненно необходимая Соединенным Штатам», что прекращение ее работы нанесет урон национальной безопасности и здоровью нации. Кроме того, за годы, прошедшие после терактов 11 сентября, государство раскинуло такую широкую защитную сеть, что практически каждая компания могла быть объявлена ключевым объектом инфраструктуры. Власти не раскрывают сведения о том, какие компании получают информацию о киберугрозах. К тому же на данный момент участие в программе остается добровольным. Тем не менее законодатели и некоторые представители разведслужб, в том числе Кит Александер и другие сотрудники АНБ, вынуждали конгресс урегулировать стандарты кибербезопасности для владельцев и операторов ключевых объектов инфраструктуры. Если бы это произошло, то власти смогли бы потребовать, чтобы все компании, начиная с Pacific Gas & Electric и заканчивая Harrah’s Hotels and Casinos, приняли государственную помощь, делились информацией о своих клиентах с разведслужбами и выстраивали свою киберзащиту согласно государственным стандартам.

В 2013 г. в своем выступлении главный советник Пентагона по кибербезопасности генерал-майор Джон Дэвис объявил, что Министерство внутренней безопасности и Министерство обороны работали вместе над планом расширения оригинальной программы DIB на другие сектора экономики. Дэвис сказал, что они собирались начать с энергетики, транспорта и нефтегазовой отрасли – с «тех, кто является ключевыми для миссии Министерства обороны, национальной экономики и государственной безопасности и которых мы не можем контролировать непосредственно». Генерал назвал «неизбежной угрозой» раскрытие хакерами структуры этих систем и потенциальные атаки на них. Государство само никогда не справится с обеспечением столь всестороннего режима безопасности. Оно не может справиться и сейчас, и именно поэтому полагается на сотрудничество с AT&T и CenturyLink. Гораздо больше компаний обратится к реализации этой миссии, как только государство расширит пределы кибернетического периметра. Потенциальный рынок для услуг в сфере кибернетической безопасности практически безграничен.

12. Весеннее пробуждение

Соединенные Штаты ни разу не подвергались крупным кибератакам, результатом которых могло бы стать нарушение работы ключевых объектов инфраструктуры. Однако в начале 2012 г. некоторые чиновники заволновались, решив, что то, чего они так долго боялись, может произойти. В марте того года по меньшей мере 20 компаний, обслуживающих газовые трубопроводы в США, обратились в Министерство внутренней безопасности с информацией о подозрительных электронных письмах, отправленных сотрудникам этих компаний. Письма приходили от якобы знакомых людей или коллег – обычный метод фишинга. Некоторые сотрудники – до сих пор неизвестно, сколько их было – открыли эти письма и запустили таким образом шпионское ПО в корпоративные сети операторов трубопроводов. У хакеров не было доступа к системам управления трубопроводами, однако они опасно приблизились. Если бы операторы отключили свои системы управления оборудованием от Интернета, возможно, они оказались бы в безопасности. Хотя, конечно, всегда остается риск того, что ничего не подозревающий сотрудник может принести вредоносную программу на внешнем носителе.

Руководители ФБР, АНБ и Министерства внутренней безопасности самого высшего уровня находились в состоянии боевой готовности. Взломщик, который получит контроль над трубопроводами, сможет нарушить подачу природного газа или вывести из строя систему управления, что приведет к аварии или даже взрыву. Соединенные Штаты покрыты сетью газовых труб общей протяженностью более 300 000 км, а природный газ составляет примерно треть в общем энергобалансе страны. До сих пор не было ни одной подтвержденной кибератаки, которая привела бы к уничтожению трубопроводной системы. Однако во времена холодной войны ЦРУ якобы установило вредоносное ПО на оборудовании трубопроводной системы Сибири. Этот трубопровод взорвался в 1982 г. Теоретически существовала возможность удаленного изменения давления внутри трубопровода. Атаку такого рода АНБ провело на иранском атомном объекте.

Как только газовые компании передали властям информацию о том, что их сети зондируются, чиновники тотчас же отправили на предприятия «летучие» команды для сбора сведений с жестких дисков и анализа сетевых лог-файлов. Источник электронных писем был отслежен. Оказалось, что все эти письма рассылались в рамках одной операции, которая, по оценкам аналитиков, началась в декабре 2011 г. По словам бывшего сотрудника правоохранительных органов, который занимался этой проблемой, предприятия непрерывно сообщали об обнаружении шпионов в своих сетях. Тем не менее истинные цели операции ускользали от аналитиков. Пытались ли взломщики собрать информацию о конкурентах в сфере трубопроводного бизнеса, относящуюся, например, к поиску новых поставщиков газа или строительству новых установок? Или они пытались прервать поток газовой энергии, внедрив вредоносную программу, которая могла бы позднее в определенный день уничтожить трубопровод?

Для того чтобы это выяснить, государственные следователи решили не делать публичных заявлений, а тихо наблюдать, за какой именно информацией пришли взломщики. Это был рискованный ход. В любой момент хакеры могли начать вредоносную атаку на корпоративные сети и украсть или стереть ценную информацию. Кроме того, оставался шанс, пусть небольшой, что объектом атаки станут сами трубопроводы. Это повлекло бы за собой катастрофические экономические последствия и даже могло бы привести к гибели людей, оказавшихся рядом с местом взрыва. Власти провели закрытые встречи с отдельными компаниями, чтобы выяснить степень их информированности. Госструктуры поделились с персоналом, обеспечивающим корпоративную безопасность, «стратегиями уменьшения ущерба», передав им известные адреса электронной почты, с которых были отправлены фишинговые сообщения, и конкретные IP-адреса, доступ к которым операторам трубопроводов следовало закрыть. Однако власти не очистили сети от шпионов и не дали указания компаниям, как это сделать. 29 марта группа экстренного реагирования, базирующаяся в Министерстве внутренней безопасности и работающая в тандеме с АНБ, опубликовала на секретном правительственном сайте предупреждение для всех операторов трубопроводных сетей, в котором предписывалось позволить шпионам искать интересующие их сведения и не вмешиваться до тех пор, пока их действия не угрожают работе трубопроводной системы. Торговые ассоциации, представляющие нефтегазовые компании, были предупреждены госчиновниками из Вашингтона и получили указания сохранять детали проводимой операции в секрете.