Беззвучная война (часть III)

• Вика Рябова
• 17.04.2014
• Категории: Рекомендуем
• Теги: вирус, кибервойна

Автор: Майкл Джозеф Гросс. Vanity Fair

Читать также:

часть I. Поле боя >>

часть II. Москит, Флейм и Стакснет >>

 

III. Гаусс, Махди и «Лаборатория Касперского»

В сентябре 2011 года в сеть проникла ещё одна вредоносная программа, впоследствии получившая название «Гаусс» (Gauss). Она использовалась для кражи информации и реквизитов доступа у банков в Ливане, иранского союзника и сервера-заместителя. (Программа названа в честь Иоганна Карла Фридриха Гаусса: как позднее установили следователи, некоторым внутренним модулям присвоены имена математиков.)

Через три месяца, в декабре, другая вредоносная программа начала шпионские атаки более чем на 800 компьютеров, в основном в Иране, а также в Израиле, Афганистане, ОАЭ и ЮАР. В дальнейшем её окрестили «Махди» (Mahdi), обнаружив в программном коде отсылку к мессианской фигуре, чья миссия, как сказано в Коране, – избавить мир от тирании до наступления Судного дня.

Вирус «Махди» рассылался по электронной почте работникам государственных ведомств, посольств, инженерных фирм и компаний, оказывающих финансовые услуги. В некоторых случаях в электронных письмах, заражённых «Махди», имелся вложенный файл Microsoft Word с новостной статьёй о секретном плане израильского правительства вывести из строя электросеть и телекоммуникации Ирана в случае военного удара со стороны Израиля. В других электронных письмах с вирусом «Махди» имелись вложенные файлы PowerPoint, чьи слайды содержали изображения и текст религиозной направленности. Если получатель подобных писем кликал на вложение, возникала опасность заражения и, как следствие, возможность отслеживания его электронных писем, мгновенных сообщений и других данных.

Весенним днем 2012 года, когда гражданин Мали встретился в Женеве с гражданином России, для вредоносных программ пошёл обратный отсчёт. Речь идёт о Хамадуне Туре, генеральном секретаре Международного союза электросвязи – специализированного учреждения Организации Объединённых Наций. Он пригласил Евгения Касперского, российского программиста и генерального директора фирмы «Лаборатория Касперского», специализирующейся в сфере кибербезопасности, обсудить вопрос о создании партнёрства для проведения криминалистического анализа в отношении крупнейших кибератак типа «Стакснет», вспоминает Касперский. По его словам, Туре прямо Иран не упоминал, хотя вирус «Стакснет» и послужил стимулом для сотрудничества.

Партнёрство приступило к действиям через месяц с момента женевской встречи в ответ на предпринятую против Ирана кибератаку, в результате которой были стёрты данные из памяти неизвестного числа компьютеров в Министерстве нефтехимии страны. По словам иранских чиновников, кибератака, совершённая при помощи вредоносной программы, получившей название «Вайпер» (Wiper), не отразилась на добыче и экспорте нефти, однако, по имеющимся данным, министерство на двое суток перекрыло доступ в Интернет национальной нефтяной компании, а также нефтяным объектам, буровым вышкам и главному морскому нефтеотгрузочному терминалу на острове Харк.

Расследуя атаку «Вайпера», аналитики из «Лаборатории Касперского» обнаружили другой вирус – «Флейм», о котором было объявлено 28 мая 2012 года. Как написали исследователи ЛК, «Флейм», по всей видимости, спонсировался государством и содержит элементы кода «Стакснет», что наводит на мысль о некотором сотрудничестве между создателями двух вредоносных программ.

Дополнительные доказательства в пользу возможного спонсирования разработки вируса государством появились практически сразу после его появления в публичном пространстве. Операторы вируса «Флейм» немедленно активировали модуль самоуничтожения вредоносной программы, и её инфраструктура команд и управления была ликвидирована. Вредоносная программа криминального характера не может удалить саму себя аккуратно и оперативно, однако разведывательные операции, как правило, предусматривают «отказоустойчивые» планы аварийного прекращения работы в случае обнаружения.

Следующие несколько месяцев команда ЛК была в предвкушении. Обнаружение «Гаусса» было анонсировано фирмой в июне, «Махди» – в июле. В октябре «Лаборатория Касперского» выявила гораздо менее масштабную и более специализированную версию вируса «Флейм» под названием «Мини-Флейм» (MiniFlame), которая использовалась для шпионажа на нескольких десятках компьютеров в странах Западной Азии и Иране ещё в 2007 году. При этом следы одних из вредоносных программ были обнаружены внутри других. «Мини-Флейм», в числе прочего, представляла собой не только автономную программу, но и модуль, использовавшийся вирусами «Гаусс» и «Флейм», которые, в свою очередь, порождали элементы вируса «Стакснет», построенного на той же программной платформе, что и «Дью-кью».

В дополнение к фактам, обнаруженным «Лабораторией Касперского», иранская пресса периодически публиковала новости о других кибератаках на ядерную программу страны, хотя отдельные проверки по ним не проводились. Один человек, представившийся иранским учёным-ядерщиком, прислал крупному исследователю из Финляндии электронное письмо о том, что в результате действий хакеров на рабочих станциях посреди ночи на полную мощность начинала играть музыка. «Полагаю, звучала композиция Thunderstruck группы AC/DC», – говорилось в письме.

Небольшая группа специалистов с жадностью следила за всеми новостями, пытаясь выявить возможности. Уэс Браун, в настоящее время занимающий должность старшего архитектора в компании ThreatGrid, был поражён множеством сходств между вирусом «Флейм» и его собственной революционной программой «Москит». Увидев код «Флейма», он первым делом подумал: «Пора!» – с того момента, как они с приятелем произвели «Москита» на свет, прошло два года, и, как заключил Браун, теперь «можно с уверенностью сказать, что государственная организация могла сделать то же самое, что в свое время проделали мы».

Евгений Касперский, чья компания обнаружила большую часть вредоносных программ, вызывает все большее любопытство к своей персоне. Январским вечером этого года я приехал для беседы в его номер-люкс в манхэттенском отеле «Дрим Даунтаун», где компания Касперского выводила на рынок новый продукт. Он лично открыл мне дверь и поприветствовал, в его манере угадывались два качества: умение по-компанейски удивляться и фантастическая подозрительность, благодаря которым он и является ведущим «мозговым центром» в вопросах кибервойны. Продолжая одеваться, Касперский заскочил в спальню, чтобы застегнуть и заправить рубашку, а потом обратил моё внимание на жутковатую картину, висевшую на стене, – изображение лица молодой женщины в скаутской шляпе очень крупным планом. На женщине были надеты большие солнечные очки в стиле Лолиты. «Ужасно!» – воскликнул Касперский, тряся гривой седых волос. Показывая на тёмные очки, на ломаном английском он произнёс, что опасается, что за ними вместо глаз девушки — чёрные дыры.

В молодости Касперский учился в школе КГБ, поэтому и у него самого, и у компании в целом много личных и профессиональных связей с различными высокопоставленными чиновниками российского правительства и ведомственными структурами. (После того, как один журналист подробно написал про эти связи, Касперский обвинил его в потворстве «паранойе холодной войны» и ответил, что отнюдь не является «шпионом и участником кремлевской команды… в действительно всё гораздо прозаичнее – я всего лишь пришёл “спасти мир”».)

Однако у некоторых возник вопрос, не была ли череда разоблачений, сделанных его компанией в 2012 году, отчасти продиктована политическими мотивами: все обнаруженные Касперским шпионские программы обслуживали интересы США и подрывали интересы Ирана; многие подозревают, что Россия оказывает помощь в проведении иранских киберопераций. Касперский это отрицает, ссылаясь на разоблачение компанией кибершпионской операции «Красный октябрь», направленной против правительств всего мира и имеющей, по всей видимости, российские корни. Когда речь заходит о кибератаках на Иран, аналитики «Лаборатории Касперского» не решаются открыто показывать пальцем на Вашингтон, но складывается впечатление, что их намеки порой избавляют от необходимости называть имена.

Одно из самых инновационных (а для многих и наиболее неприятных) свойств всех вредоносных программ было обнаружено у вируса «Флейм» – предшественника «Стакснета». В частности, «Флейм» распространялся в некоторых компьютерных сетях, маскируясь под Центр обновления Windows. Он обманным путём вынуждал компьютеры своих жертв устанавливать программное обеспечение, якобы разработанное компанией «Майкрософт». Центр обновления Windows никогда ранее умышленно не использовался для камуфляжа. Пользуясь Центром обновления Windows как прикрытием для заражения вредоносной программой, разработчики «Флейма» создали вероломный прецедент. Если предположение о том, что «Флейм» был развёрнут именно американским правительством, соответствует действительности, то США одновременно подорвали надёжность и цельность системы, которая составляет сердцевину Интернета и, следовательно, мировой экономики.

Отвечая на вопрос, не воспринимает ли он подобное развитие событий как переход через Рубикон, Касперский поднял ладонь, как будто намереваясь сделать важное замечание, затем приложил её к груди, поднёс пальцы ко рту и отвёл глаза в сторону, собираясь с мыслями. Из всех вопросов, прозвучавших в ходе часового интервью, только этот заставил его нервничать. Ответ, на котором он остановился, обнажил морально-этическую неоднозначность – или, может быть, непоследовательность – такой кибервоенной операции, как «Флейм», чьи создатели негласно взяли грех на душу ради правого дела. «Это всё равно что гангстеры в полицейской форме», – наконец проговорил он. На прямой вопрос, не должны ли правительства придерживаться более высокого стандарта, чем преступники, Касперский ответил: «Пока это игра без правил».

Читать также: Часть IV. Бумеранг >>

Ч