Каждое утро десятки мужчин и женщин идут сквозь обширную автостоянку к стеклянным вращающимся дверям современного офисного здания, держа в руке неизменный бумажный стаканчик кофе. Привычная картина начала офисного дня, и только гроздья камер и охранных датчиков да вооруженные автоматами полицейские на КПП указывают на то, что это – не обычный офисный центр.
Весь рабочий день – с девяти до шести – сидя в своих кубиклах и опенспэйсах, в компьютерных лабораториях и серверных, эти люди, равно как и их коллеги по цеху из других стран, совершают деяния, квалифицируемые почти во всем мире как уголовное правонарушение. Если цитировать Уголовный кодекс России, получается следующая формулировка: они «создают и распространяют вредоносное программное обеспечение, осуществляют несанкционированный доступ к компьютерным системам и сетям»… Мы знаем два крупных офиса, в которых сосредоточены кибервозможности американского государства. Расположенные в двух разных штатах, они все равно находятся в ближайших пригородах Вашингтона: это Форт Мид – вотчина Агентства национальной безопасности, которую оно делит с Киберкомандованием армии США; и кампус Даллес Дискавери – исследовательский центр Центрального разведывательного управления, названный в честь директора ЦРУ Аллена Даллеса. Киберподразделения ЦРУ занимают здание, известное как «Даллес Дискавери 2».
Отвлечемся пока от физического мира и посмотрим на то, как деятельность этих подразделений представлена в киберпространстве. Основная их задача – проникать в компьютерные системы и сети – государственные, промышленные, инфраструктурные и военные. В том числе, отключенные от интернета. Во всех этих сетях они оставляют свои программные закладки, называемые в американской терминологии «имплантами». Некоторые из проникновений происходят непосредственно в точке подключения атакуемой сети к интернету. Но если это оказывается невозможно, под атакой оказываются сотрудники организации, их личные компьютеры и мобильные устройства. Часто в качестве пути в защищенную сеть используются менее защищенные сети смежных организаций и подрядчиков. Возможности американских спецслужб таковы, что они способны даже подменять поставляемое оборудование на точно такое же, но оснащенное закладками.
С обратной стороны деятельности атакующих противостоят подразделения информационной безопасности (их ресурсы и возможности к выявлению вредоносной активности обычно серьезно ограничены) и игроки рынка кибербезопасности – антивирусные компании, разработчики средств ИБ, компании, предоставляющие услуги аудита безопасности и расследований инцидентов. Обладая доступом к большому количеству источников данных, они могут соотносить между собой разрозненные события и обнаруживать атаки. Исследуя попадающее в их сети вредоносное программное обеспечение, наблюдая тактику атакующего, они могут выявлять, что за, казалось бы, не связанными друг с другом атаками стоит одна хакерская группа.
Обнаружив постоянную и целенаправленную деятельность (то, что называют APT – Advanced Persistent Threat), аналитики присваивают хакерской группе название, отражающее какие-нибудь характерные признаки ее деятельности. Сами хакерские группы по понятным причинам не очень стремятся ассоциировать себя с такими внешними названиями, поэтому, несмотря на то что их деятельность хорошо заметна, люди, за ней стоящие, обычно остаются в тени.
Термин Advanced Persistent Threat применяется к согласованным, скрытным, постоянным кибератакам на конкретные организации, в отличие от спекулятивных, единичных или продиктованных случаем инцидентов, которые составляют основную долю криминальной активности. Такие атаки используют очень сложные вредоносные приложения для нарушения защиты организации.
(Энциклопедия Касперского)
И хотя напрямую доказать отношение хакеров к государственным органам обычно очень сложно, есть несколько важных признаков, по которым аналитики относят группировку к «предположительно государственным». В первую очередь, это масштаб деятельности и сложность инструментов. Отметим, что инновации на этом «рынке» обычно принадлежат киберпреступникам, они, в отличие от государства, стремятся оптимизировать свои расходы. Во-вторых, государственные хакеры обычно следуют определенным внутренним стандартам в своей деятельности, и эти стандарты считываются во всех их действиях.
В 2015 году антивирусная компания «Лаборатория Касперского» опубликовала доклад о крупнейшей и самой сложной из атак, с которой она до этого сталкивалась. Помимо крайне впечатляющих возможностей (в частности, ряд программных разработок, используемых хакерами, позволяли им закрепляться на компьютерах жертв даже после форматирования жестких дисков), обращало на себя внимание использование криптографических библиотек, несколько отличающихся от тех, что находятся в широком доступе. Особенности этих библиотек и навели аналитиков на подходящее название для группы – Equation Group. Используя попавшую в их руки информацию, сотрудники Касперского смогли исследовать инфраструктуру командных серверов Equation. Даты регистрации доменов, ведущих на эти сервера, подсказывали, что большая часть инфраструктуры создана в 2001 году, некоторые домены существуют как минимум с 1998 года, но встречаются и такие, которые зарегистрированы еще в 1996 году. Таким образом, научно-исследовательские работы в области кибероружия, очевидно, начались еще в последнее десятилетие ХХ века, а начало активной деятельности группы относят к 2001 году.
Китайская антивирусная компания Qihoo 360 проанализировала время, в которое были скомпилированы попавшие в руки аналитиков образцы кибероружия. Большая часть образцов скомпилирована в рабочие часы по «Североамериканскому восточному времени». Что не только говорит о том. что разработчики находятся в США. но и о том. что у них строго следят за соблюдением рабочего графика.
Спустя год – летом 2016 года – неизвестным, но, предположительно, тоже государственным хакерам, как считается, удалось захватить какие-то из командных серверов Equation. Руководствуясь неизвестными нам мотивами, они приняли решение опубликовать информацию об этой операции. Назвавшись «The Shadow Brokers», весь последующий год хакеры раскрывали имеющуюся у них информацию. В отличие от доклада «Лаборатории Касперского», присваивавшего хакерским инструментам Equation собственные имена, в материалах «The Shadow Brokers» инструменты были названы теми именами, которые имелись при создании. К удивлению наблюдателей, многие из этих имен совпадали с теми, что за несколько лет до этого опубликовал беглый сотрудник АНБ Эдвард Сноуден. Таким образом, то, что раньше было только предположениями, переросло в твердую уверенность: Equation Group – это подразделение АНБ. Структурно оно находится внутри крупного департамента, известного как «Tailored Access Operations», а ныне переименованного в «Computer Networks Operations».
Возможно, что в самом АНБ Equation Group называют «Team Meade», или подразделением информационной войны P42 (дословно: «P42 Information Warfare Cell»). Об этом можно прочитать в одном из документов, опубликованных Сноуденом. Этот же документ, датированный 2004 годом, описывает разграничение полномочий между АНБ и Стратегическим командованием США: возложенные на Стратегическое командование задачи по организации информационных операций продолжало выполнять АНБ. Директор АНБ Майкл Винсент Хайден стал по совместительству заместителем командующего Стратегического командования, в рамках которого для него был создан «Штаб поддержки сетевых атак». Такая структура взаимодействия сохранялась как минимум до 2010 года, когда окончательно было сформировано Киберкомандование США. Но, судя по тому, что «Equation Group» продолжала свои операции и в 2017 году, преемственность этой структуры сохраняется по сей день.
Отдельная история связана с киберподразделениями ЦРУ.
В марте 2017 года сотрудник ЦРУ Джошуа Шульте передал организации Wikileaks архив с электронной технической документацией на киберинструменты, используемые в ЦРУ. Всего Wikileaks опубликовала чуть менее девяти тысяч документов, которые были объединены в архив под названием «Vault 7». Из документов следовало, что ЦРУ, как и АНБ, разрабатывает киберинструменты, позволяющие им проникать в закрытые сети и отдельные системы. К радости исследователей, все документы оказались выгрузкой из используемой в ЦРУ системы управления проектами. Помимо непосредственно технической информации, в них встречались имена сотрудников (Wikileaks анонимизировала их, но оставила возможность посчитать их количество), сведения о структуре и названиях подразделений, об устройстве внутренней сети ЦРУ. И, что не менее ценно, – диалоги сотрудников на профессиональные и бытовые темы. Встречаются даже смешные картинки и глянувшиеся разведчикам мемы из интернета. Благодаря этому мы можем восстановить структуру и состав подразделения, которое до 2020 года не получало никакого внешнего названия. И только в марте 2020 года китайская антивирусная компания опубликовала расследование о деятельности группы, широко использующей инструментарий из арсенала «Vault 7». Этой группе китайцы присвоили свое внутреннее название APT-C-39.
«Быть лучшей мастерской по разработке специализированных аппаратных
и программных решений для информационных операций: использовать знание операционных систем, аппаратной архитектуры, мастерства программирования и экспертизы в области сетей для поддержки миссии Центра Информационных Операций».
(Миссия"Управления разработки встроенных систем")
На бюрократическом языке ЦРУ подразделение APT-C-39, как следует из документов, называется «Центр информационных операций». Центр состоит из пяти управлений (branch): Управление разработки встроенных систем (сюда входят различные устройства интернета вещей: телевизоры, микроволновки, автомобили и т. п.); Управление удаленной разработки; Управление поддержки операций; Управление разработки для мобильных устройств; Управление разработки сетевых устройств. Всего в «центре» работают 39 сотрудников, причем самыми большими, судя по всему, были Управление поддержки операций (14 работников) и Управление разработки для сетевых устройств. Несколько сотрудников – ведущие разработчики и консультанты – составляют научно-технический совет (Technical Advisor Council).
Исследуя переписку сотрудников центра, можно прийти к выводу, что все они – обычные программисты в возрасте от 20 до 40 лет, интересующиеся массовой культурой. В их переписке не встречается специфическая хакерская лексика. Инструменты подчеркнуто именуются с применением принятой и в ЦРУ, и в АНБ терминологии (например, закладки именуются «имплантами»). Квалификация у сотрудников подразделения, судя по обсуждаемым техническим деталям, тоже довольно различная – от младших разработчиков до технических гуру. Один из сотрудников оставил на своей личной странице прокламацию, обещая внедрить в своем управлении «гибкие методологии разработки» (Agile), что в целом говорит о том, что современные веяния доходят до этих стен все-таки с некоторой задержкой.
Вашей миссией было заполнить страницу “миссия" вашего управления. Очевидно, что она провалена год назад». (Комментарий сотрудника ЦРУ к пустой странице»Mission and Vision Statement»управления поддержки операций)
Не в пользу высокой квалификации сотрудников центра говорит и то, что задача безопасности собственных (совершенно секретных!) материалов там решалась спустя рукава. Как выяснилось на суде над мистером Шульте, сервер с похищенной документацией был снабжен простым паролем, который знали все сотрудники, поскольку он был опубликован на внутреннем портале. Удивительно, что ожидая увидеть внутри спецслужбы воспетую массовой культурой группу взломщиков на грани гениальности, мы сталкиваемся, по сути, с обычной среднестатистической «софтверной» компанией. Тем не менее, работая над задачей создания кибероружия каждый день, эти люди сумели создать впечатляющие инструменты и провести не менее впечатляющие операции. Две организации, которые мы рассмотрели, – наверное, самые могущественные группы в современном мире. Сплетенная ими паутина дотягивается до самых секретных организаций. Их не останавливают ни физические барьеры, ни «воздушный зазор» между интересующей их системой и интернетом. Бытует мнение, что жертвы государственных хакеров практически не в состоянии самостоятельно бороться с этой угрозой и даже осознать ее характер. Однако далеко не все векторы атаки, применяемые хакерами, носят сложный технический характер. Многие из них построены на методах из арсенала обыкновенных мошенников, которые в IT-среде принято называть «социальной инженерией».
Этим атакам все-таки можно противодействовать: повышать уровень знаний своих сотрудников о подобных операциях, обучать их противостоянию мошенническим действиям (пригодится в любом случае), развивать в IT-специалистах и специалистах по информационной безопасности умение хотя бы вовремя распознавать, что организация стала целью сложной хакерской атаки. Это не решит всех проблем, но существенно усложнит жизнь хакерам. Даже таким целеустремленным, как Equation Group или APT-C-39. Олег Макаров
Источник: журнал «Новый оборонный заказ. Стратегии» № 2 (61) 2020
