Прохладная война

Удар пришелся в самое сердце Америки. В Мичигане, Пенсильвании и Огайо прекращено энергоснабжение. Миллионы американцев сидят без света. Кондиционеры, стиральные машины, компьютеры, телевизоры, стационарные и мобильные телефоны не работают. В больницах на исходе дизельное топливо для аварийных генераторов. В Теннесси светофоры, уличные табло и шлагбаумы на выездах с автобанов не реагируют на команды. В техасском Порт-Артуре вышла из строя система управления гигантского нефтеперерабатывающего завода, что привело к экологической катастрофе. Неизвестные подключились к компьютерной сети Федерального управления авиацией и похитили программное обеспечение, позволяющее определять точное местонахождение всех боевых самолетов в американском воздушном пространстве.

Хаос, за развитием которого в середине июня можно было наблюдать в строго охраняемом армейском комплексе в городке Саффолк, штат Вирджиния, – тщательно инсценированная катастрофа. Пентагон за закрытыми дверьми провел девятидневные учения с участием 800 экспертов из 100 военных и гражданских организаций, чтобы выяснить, какой может быть война будущего. Американские военные называют этот сценарий Cyber 9/11 и считают, что так может выглядеть «цифровое 11 сентября». «Для нас вопрос не в том, произойдет ли нечто подобное, а в том, когда это случится», – эти слова Кевина Лэндси из штаба интернет-операций ВС США приводит специализированное изданиеСерьезную подготовку к цифровой войне ведет не только администрация в Вашингтоне. Вооруженные до зубов хакеры показали, что могут внедриться практически в любую сеть. В частности, в Германии внимание спецслужб привлек некий «Хайнрих Краммер». В течение двух августовских дней этим именем подписывался отправитель многочисленных писем, адресованных немцам и якобы приходивших из брюссельской штаб-квартиры НАТО. Тот, кто кликал по ссылке, заинтересовавшись информацией о военном перевороте в Турции или о землетрясении в Италии, на самом деле широко распахивал дверь для хакеров. Целью атаки, по информации правительства Германии, были депутаты бундестага, ряд компаний и, главное, офисы всех крупных партий. Злоумышленники хотели получить как можно больше информации, не вникая в ее суть и к тому же не особо стараясь остаться незамеченными.

Считается несомненным, что за этими действиями стояла, предположительно, российская хакерская группировка Sofacy, которую сейчас идентифицируют многие антивирусные программы (о другой деятельности этой группировки – см. «Профиль» № 34 от 19 сентября 2016 г.). Вполне возможно, Sofacy решили еще раз «пальнуть из дробовика», прежде чем их ПО обесценится. Или же их программы попали в руки кому-то еще. Оба варианта тревожат.

Война будущего

В последние 20 лет дигитализация уничтожила целые отрасли в экономике, и вот теперь она меняет правила войны. Агрессор может, вооружившись одним дешевым ноутбуком, парализовать систему управления комплекса ПРО стоимостью в миллиарды. Величие и ресурсы сами по себе больше не могут гарантировать военное превосходство…

Боевые вертолеты, сухопутные силы и военные корабли никуда не исчезнут, однако победа или поражение впредь будет зависеть не только от них. В XXI веке интернет становится новым театром военных действий наряду с сушей, воздухом, морями и космосом. «Киберпространство ставит под вопрос все, что было в истории», – пишет Генри Киссинджер в своей книге «Мировой порядок». Старожил американской внешней политики опасается скатывания к «естественному состоянию» в понимании английского философа XVII века Томаса Гоббса – к «войне всех против всех». Ведь сегодня технические возможности намного превосходят политические компетенции.

Организовать кибератаку можно сравнительно дешево, зато построение системы цифровой обороны требует немалых усилий и затрат. Президент немецкого ведомства по защите конституции Ханс-Георг Маасен призывает к частичной ремеханизации, скажем, систем управления ядерными реакторами, чтобы вывести их из-под угрозы. Вероятность того, что пугающий сценарий может реализоваться, существенно возросла, пос-ле того как несколько недель назад в Сети появилось «цифровое оружие» из арсенала американского Агентства национальной безопасности (АНБ). Это все равно что выставить на улицу ультрасовременную технику в комплекте со сборочными чертежами, причем без охраны…

АНБ могло использовать наступательное ПО, например, для преодоления систем безопасности Cisco – американского ИТ-концерна, снабжающего аппаратными и программными решениями для сетевой безопасности учреждения, банки и крупные компании по всему миру.

Эксперты считают саму утечку и ее последствия для американской программы кибервооружений по меньшей мере столь же серьезными, что и разоблачения бывшего сотрудника АНБ Эдварда Сноудена. Издание Washington Post приводит слова одного бывшего хакера агентства, который называет соответствующие программы «ключом от врат царства».

«Информационное доминирование Америки»

Гонка вооружений в киберпространстве стартовала в 2007 году в Америке. Небольшой городок Ок-Ридж в штате Теннесси стал местом проведения уникального эксперимента: специалисты из АНБ имитировали в «Национальной лаборатории» удар по иранской ядерной программе без ракет, боевых самолетов или бункерных бомб. Их оружием был компьютерный вирус Stuxnet, который наращивал число оборотов центрифуг для обогащения урана, пока те не разрушились. Когда немногим позднее Джордж Буш-младший в Белом доме взял в руки то, что осталось от такой центрифуги, он уверовал: Америка может помешать Ирану построить ядерную бомбу, не развязывая новой войны на Ближнем Востоке.

Американский киберэксперт Лесли Харрис называет вирус Stuxnet «первым выстрелом войны, в которой мы все проиграем». Впервые программное обеспечение в руках государства стало наступательным цифровым оружием, которое оставляет после себя вполне материальные разрушения.

Диверсии с центрифугами являются частью достаточно масштабного плана. В рамках операции под кодовым названием «Нитро Зевс» хакеры на службе у АНБ инфицировали вредоносным программным обеспечением большую часть иранских инфраструктурных систем энергоснабжения, связи, ПВО. Преемник Буша Барак Обама явно хотел перестраховаться на случай провала ядерных переговоров с Тегераном.

Судя по всему, иранцы использовали Stuxnet в качестве модели для собственного кибероружия. Всего через два с небольшим года после того как американский вирус уничтожил около тысячи иранских центрифуг, в августе 2012 года, вредоносное программное обеспечение блокировало работу 30 тыс. компьютеров саудовского нефтяного концерна Saudi Aramco. Эта операция считается первым ударом возмездия в истории кибервойн.

Соединенные Штаты до сих пор официально не взяли на себя ответственность за разработку и применение Stuxnet. В том, что касается их собственного военного потенциала, Белый дом, Пентагон и спецслужбы предпочитают не открывать свои карты. Однако документы, опубликованные Сноуденом, свидетельствуют: еще в 1996 году АНБ отмечало, что военное значение информационной революции сопоставимо с изобретением ядерной бомбы. Тот, кто сможет контролировать сферу обработки данных, в XXI веке будет обладать ключами от власти, писал тогдашний директор АНБ Кеннет Минихен в памятке для своих сотрудников. Поэтому необходимо обеспечить «информационное доминирование Америки». Для этого АНБ выискивает уязвимые места в компьютерных системах противника и заражает их троянами. При необходимости специалисты из «Удаленного оперативного центра» смогут их активировать. На этапе доминирования Америка должна иметь возможность контролировать или уничтожать критически важные системы противника в сфере экономики, транспорта и связи, чтобы тем самым подавить «боевой дух», говорится в документах с грифом «секретно».

США входят в число немногих стран, у которых уже имеется проработанная кибердоктрина. В случае серьезной компьютерной атаки на критически важные объекты собственной инфраструктуры Вашингтон оставляет за собой право ответить военным ударом. В то же время Соединенные Штаты активно готовятся и к кибервойне. В архиве Сноудена есть указ президента от октября 2012 года, в котором Барак Обама велел спецслужбам составить список потенциальных целей для американских кибератак.

Хакеры на госслужбе

Премьер-министр Биньямин Нетаньяху взял эту тему у себя в стране под личный контроль. Государство Израиль с населением восемь миллионов человек должно стать мировой кибердержавой. В овеянном легендами подразделении 8200 (израильский аналог АНБ) трудятся несколько тысяч специалистов. Помимо всесторонней технической слежки за палестинцами на Западном берегу реки Иордан и в секторе Газа хакерская элита разрабатывает сложное цифровое оружие.

В Германии с апреля 2017 года тоже появится обособленное подразделение из 14 тысяч военнослужащих и гражданских специалистов по кибертематике. Кроме того, уже несколько лет 60 хакеров из секретного отдела компьютерных и сетевых операций проигрывают различные сценарии кибератак и контратак. Ведь современные системы вооружений можно отнести скорее к программным, чем к аппаратным решениям. Так, на борту боевых самолетов Eurofighter установлено 80 компьютеров, соединенных с различными датчиками 100 км проводов. Eurofighter – потенциальная приоритетная цель для цифрового агрессора. И таких целей много.

В последние десятилетия многие армии Запада повышали собственную эффективность по примеру крупных компаний. Унифицированная система обработки данных и стандартизированное логистическое ПО экономят средства, но в то же время снижают устойчивость систем к угрозам извне. Например, достаточно взломать программный комплекс SAP, используемый бундесвером для организации материально-технического снабжения, и «отредактировать» списки штрих-кодов на миллионы артикулов, чтобы на фронт вместо гранат отправились контейнеры с туалетной бумагой.

Русские идут?

Одной из причин, по которым армии НАТО всерьез озаботились проблемами киберугроз, послужили события 27 апреля 2007 года в Таллине. Все началось с того, что из строя вышла часть банкоматов, а в супермаркетах по техническим причинам перестали принимать банковские карты. Для жителей эстонской столицы это было досадно, но устранить проблему не удавалось. Затем в небольшой прибалтийской стране стало происходить все больше странных вещей. Онлайн-сервисы оказались заблокированы, радиостанции были отрезаны от Сети, в эстонском парламенте замолчали каналы связи. 9 мая был парализован интернет-сайт премьер-министра. На две недели эстонцы оказались отрезанными от существенной части жизни. Премьер-министр Андрус Ансип заявил: «В Эстонии испытывалась модель новой кибервойны».

Вопрос о том, кто стоял за такой акцией, до сих пор остается открытым. Однако сам Ансип не сомневался, что это Россия. Атака началась именно в тот день, когда вопреки протестам Кремля из центра Таллина перенесли Бронзового солдата. Двумя годами позднее один из лидеров молодежной организации «Наши» хвалился, что это он «дирижировал» атакой. Официальная Москва отрицает свою причастность к этому.

Правительство Германии считает, что наибольшая угроза для Запада в виртуальном пространстве исходит от четырех стран: Китая, России, Ирана и КНДР, каждая из которых преследует собственные цели. Пекин занимается преимущественно промышленным шпионажем, Кремль использует по меньшей мере 4000 высокопрофессиональных кибервоинов главным образом для политической разведки и все чаще – для диверсий. Северная Корея считается угрозой, поскольку, по всей видимости, сдает своих киберсолдат «в аренду» в качестве наемников.

По оценкам, более 15 стран сегодня имеют возможность использовать цифровое оружие для подрыва энергетических, коммуникационных и транспортных сетей, а также финансовой системы и системы доставки продуктов питания в масштабах государств. Эти страны направляют серьезные финансовые и трудовые ресурсы на разработку авторского ПО, способного уничтожать цифровую нервную систему государственных учреждений и концернов.

Атаки, подобные вирусу Stuxnet, настолько сложные, что их создание под силу только государствам. Эксперты относят их к группе Advanced Persistent Threats (APT – «развитые устойчивые угрозы»). Только печально известное «подразделение 61398» Народно-освободительной армии Китая с 2006 года осуществило свыше 140 таких масштабных наступательных операций на организации США и других англоязычных стран с целью шпионажа.

Насколько живучими могут быть профинансированные государствами цифровые вооружения, показывает пример APT28, также известной как Sofacy. В прошлом году эта хакерская группировка провела диверсию против французского телеканала TV5 Monde. Злоумышленники парализовали вещание, разместили на портале исламистские тексты и тем самым создали впечатление, что за атакой стоит «киберхалифат» «Исламского государства» (эта организация запрещена в России). Сегодня ИТ-эксперты не сомневаются, что в действительности за Sofacy стоит Россия. И дело не только в том, что жертвами этих хакеров на удивление часто становятся российские диссиденты и украинские активисты. Специалисты по ИТ-безопасности также подметили, что деятельность группы приходится главным образом на обычные часы работы в офисах Москвы и Санкт-Петербурга. А также, что наиболее важные строки программного кода набраны на кириллической клавиатуре. Конечно, это не доказательства, но серьезные улики.

Атака на TV5 Monde удивила западных военных экспертов и по другой причине. Одной из целей почти всех APT-операций в предшествующие годы была максимально длительная и полная слежка за жертвами, которые не должны ни о чем догадываться. Однако дерзкая атака на французский телеканал была актом открытой диверсии. Возможно, Кремль хотел продемонстрировать миру свои возможности?..

Гонка кибервооружений

Опрос федерального ведомства Германии в сфере ИТ-безопасности в немецких компаниях и организациях в прошлом году выявил парадокс. Почти 60% предприятий на условиях анонимности сообщили, что в 2014 и 2015 годах становились жертвами кибератак, примерно половина которых была результативной. Однако лишь немногие фирмы работают над защитой цифровых данных. А каждая шестая компания вообще не имеет в штате сотрудника, отвечающего за ИТ-безопасность. Марко Ди Филиппо, эксперт, участвующий в разработке «карты существующих рисков в сфере индустриальной ИТ-безопасности» Германии, убежден: нужно чуть ли не радоваться, что террористы до сих пор отдавали предпочтение взрывчатке и автоматам Калашникова.

Кибероружие – это революция в области ведения войны, но станет ли война будущего благодаря ему более «гуманной», уменьшится ли количество жертв и масштаб разрушений? Ответ не слишком обнадеживает: оружие не знает морали. Все зависит от того, кто и как его будет использовать.

Stuxnet показал, на что способно цифровое оружие. По сравнению с обычным военным ударом физическое воздействие минимально. Этот вирус был заточен на уничтожение исключительно иранских урановых центрифуг, операция не повлекла человеческих жертв.

Когда в 1981 году израильские ВВС разбомбили иракский центр ядерных исследований, они обратили его в груду развалин; погибли десять военнослужащих и один гражданский сотрудник. Так что же: Stuxnet прорубил окно в будущее «гуманного» ведения войн? Время покажет.

Однако исторический опыт свидетельствует: едва ли. Весьма вероятно, что новые кибервооружения или беспилотники приведут к очередной глобальной гонке вооружений. «Мы уже находимся в состоянии кибервойны», – считает один высокопоставленный правительственный источник в Берлине.

Страны НАТО договорились, что кибератаки на одну из них могут расцениваться как нападение на все государства альянса. Но для этого нужно точно знать, от кого они исходят, что весьма проблематично. Представим себе, что инициатор атаки сидит в интернет-кафе в ЮАР, взламывает компьютер где-нибудь в Аргентине и с его помощью проникает в китайскую систему, которая управляется серверами, физически находящимися в Великобритании.

25% компьютеров, атаковавших Эстонию в 2007 году, стояли в Штатах, хотя операция, предположительно, осуществлялась российскими хакерами. Серверы для недавней атаки на немецкие партии, как сообщается, стояли на Бали. Даже самые серьезные киберрасследования часто заканчиваются выявлением компьютера-агрессора, но не дают однозначного ответа на вопрос, управлялся ли этот компьютер дистанционно, и если да, то кем и откуда.

В цифровом мире замести следы стало проще, а вычислить реального противника и однозначную цель для контрудара – труднее, чем когда-либо. Вполне возможно, что американское кибероружие, три недели назад оказавшееся в Сети, уже было кем-то использовано. И если бы о краже не стало известно, то в случае очередной атаки все бы указывало на «авторство» исключительно АНБ.

Публикуется в сокращении