Беззвучная война (часть IV)
Автор: Майкл Джозеф Гросс. Vanity Fair
Читать также:
часть I. Поле боя >>
часть II. Москит, Флейм и Стакснет >>
часть III. Гаусс, Махди и «Лаборатория Касперского»
IV. Бумеранг
В июне 2011 года кто-то взломал компьютерные сети голландской компании DigiNotar. Внутри сетей хакеры создали и выкрали сотни цифровых сертификатов – учётных данных, которые интернет-браузеры должны получить с сетевых серверов для подтверждения подлинности веб-сайта перед тем, как разрешить обмен зашифрованными данными между компьютером и сайтом.
Цифровые сертификаты крали и раньше, но не в таких объёмах. Кто бы ни стоял за хакерской атакой на компанию DigiNotar, с таким же успехом он мог бы взломать и другие сети, воспользоваться украденными сертификатами для перехвата веб-трафика где угодно и выследить чьи угодно данные.
Могла быть украдена информация на сотни миллионов долларов, преданы гласности секреты некоторых наиболее влиятельных людей планеты. Но вместо этого, в течение двух месяцев, хакеры, получившие контроль над сертификатами компании DigiNotar, очевидно, в Иране, предприняли атаки «через посредника» на иранские сетевые соединения с различными сайтами, а также атаки с самих этих сайтов, включая Google, Microsoft, Facebook, Skype, Twitter и, что примечательно, Tor, предоставляющий программное обеспечение для анонимизации, применявшееся многими диссидентами в Иране для того, чтобы укрыться от государственного ока. Хакеры стремились взломать электронную почту, пароли и файлы рядовых иранских граждан.
Ответственность за взлом систем компании DigiNotar взял на себя 21-летний тегеранец по кличке Комодохакер. На одном из интернет-форумов он заявил, что хакерская атака является местью за эпизод во время балканских войн, когда голландские солдаты выдали сербской милиции мусульман, которые были без промедления казнены. Однако масштаб и характер события (всего за один месяц хакерским нападениям в Иране через украденные сертификаты DigiNotar подверглись 300 тысяч пользователей сайта Google) заставили многих считать, что иранское правительство само спроектировало взлом систем компании, а хакера использовало «для отвода глаз». Аналитик, расследовавший инцидент не один месяц, насмехается над добровольным признанием вины молодым иранцем. «Юные хакеры – это новая уловка», – сказал он, имея в виду, что военные таким образом маскируют свои операции, как в своё время они прятали террористов при помощи усовершенствованных разработок. (После публичного освещения подробностей атаки на компанию DigiNotar она обанкротилась.)
США начали наращивать киберпотенциал в качестве дополнения к своим дипломатическим, разведывательным и военным операциям. Первоначальным стимулом для Ирана было подавление внутренних разногласий, особенно в свете акций протеста «Зеленой революции» 2009 года, когда граждане вышли на улицы в знак недовольства тем, что Махмуд Ахмадинежад был переизбран президентом. Однако после атаки вируса «Стакснет» Иран приступил к расширению своего кибервоенного потенциала.
Как свидетельствуют официальные комментарии, высказанные первыми лицами правительства в марте 2011 года, иранский Корпус стражей исламской революции сформировал киберуправление для координации наступательных операций против «вражеских сайтов». В марте 2012 года аятолла Али Хаменеи образовал Высший совет по безопасности в киберпространстве; по имеющимся данным, Иран направляет на создание киберпотенциала 1 миллиард долларов США.
Симметричная война (специальные нападения на более сильных противников вроде США в партизанском духе) является краеугольным камнем иранской военной доктрины. Корпус стражей исламской революции имеет связи с террористическими организациями и известными хакерскими группировками не только в Иране, но и по всему миру. Возможно, Иран получает помощь на ведение киберопераций не только из России, но также из Китая и от террористический сети «Хезболла». Один «топовый» хакер, у которого много осведомлённых друзей в правительстве США, сказал: «Насколько мне известно, Иран платит русским миллионы за проведение атак, эти парни живут с размахом, им доставляют на самолетах проституток, откуда они пожелают».
От кого он об этом узнал? «С вами эти люди разговаривать бы не стали», – ответил хакер. Напрашивается ещё одно поразительное, но вполне правдоподобное предположение. Как считает высокопоставленный ливанский политтехнолог, Корпус стражей исламской революции осуществляет руководство своими кибероперациями из шестиэтажного подземного бункера в районе Бейрута Харет Хрейк, подконтрольном группировке «Хезболла». Полное отсутствие в Ливане законов о противодействии киберпреступлениям и хакерству делает его привлекательным трамплином для подобных операций. «Обратите внимание, как Иран использует «Хезболлу» в качестве платформы для многих критических операций, – отмечает ливанский политтехнолог. – Как у нас говорят: «Ливан – это лёгкие, которыми дышит Иран». Иран не смог бы вдыхать такие атаки через собственные легкие. Ему нужно средство для того, чтобы ответить «Стакснету» без необходимости отвечать за свои действия. Таким средством и является «Хезболла».
Ещё в феврале 2012 года представители Министерства обороны США в неофициальном порядке объявили кибервоенные действия Ирана несерьёзными и не заслуживающими внимания. А к августу многие уже считали, что Иран, как показала хакерская атака против компании Saudi Aramco, быстро учится. Фактически, эта атака стала зеркальным отражением случившегося после того, как вирус «Вайпер» изолировал остров Харк.
До инцидента с Saudi Aramco Харк был единственной крупной из зафиксированных кибератак, целью которой было уничтожение данных, а не их кража или изменение. Поразивший Saudi Aramco червь, получивший название «Шамун» (Shamoon) (слово было обнаружено в самой программе и представляет собой арабскую версию имени собственного «Симон»), применял идентичную тактику. По мнению Касперского, «Шамун» – программа-клон, чьих создателей вдохновила хакерская атака на остров Харк. По способу атаки, а возможно, и по абсолютному коду «Шамун» предвосхищает знаменитый эффект бумеранга в сфере вооружения: адаптация и повторное развертывание оружия против страны, впервые его разместившей.
Через две недели после атаки на Saudi Aramco вредоносная программа нанесла удар по государственной газовой компании Катара RasGas. По неподтверждённым данным, в качестве кибероружия также использовался «Шамун». Катар, в котором расположены три военные базы США, входит в число ближайших союзников Америки на Среднем Востоке и, следовательно, является ещё одной удобной замещающей мишенью.
Во вторую неделю сентября 2012 года началась новая череда кибератак, подрывавших американские интересы. Теперь мишень располагалась на американской земле – целились в банки США. Ранее неизвестная группировка, именующая себя «Кибервоины Изз ад-Дин аль-Кассама» (Izz ad-Din al-Qassam Cyber Fighters) и позиционирующая себя как организация суннитов-джихадистов, опубликовала интернет-сообщение на корявом английском, где речь шла о размещённом на сайте YouTube антиисламском видеоролике под названием «Невинность мусульман», который вызвал массовые беспорядки в мусульманском мире неделей ранее. В сообщении говорилось: «Мусульмане должны сделать всё возможное, чтобы остановить распространение фильма. Вся мусульманская молодёжь, активная в кибермире, будет атаковать американские и сионистские веб-базы столько, сколько потребуется, пока они не извинятся за нанесённое оскорбление».
Если бы Кассам действительно являлся группировкой суннитов-джихадистов, то Иран – преимущественно шиитская нация – вряд ли имел бы отношение к делу. Но, по всей видимости, джихадиссткий «флёр» – операция под чужим флагом. Как подчеркнул аналитик из разведывательных служб США, язык публичного обращения «Кассама» не обнаруживает ни малейшего сходства с обычным языком джихадистских группировок. На интернет-форумах суннитов, джихадистов и «Аль-Каиды» не было никаких следов формирования «Кассама». А само название «Кассам» отсылает к мусульманскому духовному лицу, имеющему важное значение для палестинцев и «Хамаса», но не для джихадистов. «Кругом сплошные ошибки, – говорит аналитик. – Похоже, дело сфабриковано».
Группировка «Кассам» заявила о намерении обрушить на Банк Америки и Нью-Йоркскую фондовую биржу шквал распределённых атак типа «отказ в обслуживании» (DDoS). Их цель – вывести из строя веб-сайт или спровоцировать сбой в компьютерной сети, послав огромное число запросов на установление соединения. Мишенью «Кассама» стал целый ряд других банков, среди которых – SunTrus, Regions Financial, Webster Financial Corporation, JPMorgan Chase, CitiGroup, Wells Fargo, U.S. Bancorp, Capital One, PNC, Fifth Third Bank, HSBC и BB&T. «Кассам» вывел из строя веб-сайты по меньшей мере пяти из перечисленных банков, хотя большинство из них сообщили, что ни деньги, ни информация украдены не были.
В октябре президент корпорации PNC Bank Джеймс Рор заявил: «Атака на наш банк продлилась дольше остальных»; и предупредил: «Кибератаки – вещь вполне реальная и жизненная; считая, что мы защищены от них, мы просто-напросто дурачим самих себя». В скором времени атаки на банк PNC усилились, вызвав более серьёзные проблемы. С тех пор ни сам Рор, ни высшие руководители других пострадавших банков не делали столь ярких критических заявлений. «Из слов Рора извлекли урок: лучше помалкивать», – прокомментировал бывший чиновник службы национальной безопасности.
DDoS-атака предполагает простейший способ нападения, последствия которого обычно кратковременны. Однако различие между DDoS-атаками «Кассама» и предыдущими атаками можно сравнить с разницей между людной парковкой в торговом центре и «капитальной» автомобильной пробкой в Лос-Анджелесе, со вспышками дорожной ярости, в выходные, на которые выпал День Поминовения. DDoS-атаки «Кассама» были особенно эффективны (и особенно вредоносны для своих жертв) по той причине, что похищали целые центры хранения и обработки данных, полные серверов, для выполнения своей работы, порождая в десять раз больше трафика, чем самые масштабные из всех ранее зафиксированных DDoS-атак хактивистов. (Это была «Операция: Месть», предпринятая Anonymous в защиту WikiLeaks в декабре 2010 года.)
Для поглощения гигантского потока трафика банкам пришлось покупать большую полосу пропускания, которую телекоммуникационные компании должны были создать и предоставить. Последние принимают на себя все удары – как и банки, тратя большие суммы на расширение собственных сетей, а также на совершенствование или замену аппаратного обеспечения, связанного с их услугами «скраббер», поглощающими DDoS-трафик.
Первая волна предпринятых «Кассамом» атак была столь сильна, что, по имеющимся данным, проломила скрабберы одной из крупнейших и наиболее известных телекоммуникационных компаний страны. В декабре исполнительный директор по технологической безопасности AT&T Майкл Сингер, согласно имеющимся сведениям, заявил, что атаки представляют растущую угрозу для телекоммуникационной инфраструктуры, а глава службы безопасности компании Эд Аморозо обратился к правительству и конкурентам с призывом к сотрудничеству в деле защиты от атак. Ни Аморозо, ни его коллеги не представили конкретной информации о причинённом ущербе и точных затратах телекоммуникационных компаний. (Аморозо от комментариев отказался.)
«Кибервоины Кассама» по кличке Комодохакер и Карающий меч правосудия предприняли атаки, чья относительная техническая простота позволяет осуществить их любому талантливому хактивисту или криминальной группировке. Однако контекст, сроки и способы проведения, мишени DDoS-атак «Кассама» почти не оставляли сомнений в причастности Ирана или его союзников. Неопубликованные результаты исследования, выполненного одним аналитиком по вопросам кибербезопасности, содержат ряд конкретных, хотя и косвенных, доказательств того, что Иран имеет отношение к атакам на банки.
За несколько недель до их начала, в сентябре, несколько разных хакеров из Тегерана и иранский хакер, живущий в Нью-Йорке, похвастались тем, что создали тот же вид орудий атаки, который использовала группировка «Кассам». Хакеры разместили в Интернете предложения о продаже или предоставлении в аренду разработанных ими орудий. Затем опубликованные объявления были таинственным образом удалены. Иранский хакер (по-видимому, главное действующее лицо в группе) известен под кличкой Морморот. Некоторые сведения об орудиях атаки были выложены на его блоге; позднее блог исчез. На странице Морморота в сети Facebook размещены фотографии его самого и друзей-хакеров в самодовольных позах, напоминающих «Бешеных псов». А на странице его хакерской группы в той же сети Facebook красуется слоган: «Безопасность – как секс: как только в вас проникли, вас поимели».
Была прослежена связь сообщений «Кассама» с сервером в России, который ранее лишь однажды использовался для совершения противоправных действий. Возможно, это свидетельствует о том, что атаки «Кассама» были спланированы с большей тщательностью и осторожностью, чем обычные несанкционированные проникновения хактивистов или преступников, как правило, осуществляемые с серверов, где противоправная деятельность – рядовое явление. Однако данный IP-адрес, как и почти все обратные трассировки веб-трафика, можно было без труда подделать. «Кибервоины Кассама», кем бы они ни были, не обделены чувством юмора. Некоторые компьютеры, задействованные ими в банковских атаках, размещались в Министерстве внутренней безопасности США.
По оценке аналитика, работавшего в нескольких пострадавших банках, для «Кассама» характерны две важнейшие особенности. Во-первых, всякий раз, когда банки и провайдеры интернет-услуг находили способ заблокировать атаки, взломщикам удавалось изыскать обходной путь. «Адаптация нетипична», – отметил он, и может служить признаком того, что «Кассам» располагает ресурсами и поддержкой, которые чаще ассоциируются со спонсируемыми государством хакерами, чем с хактивистами.
Во-вторых, атаки, по всей видимости, не имели криминальной подоплёки типа мошенничества или кражи, а значит, попасть в заголовки газет для «Кассама» могло быть интереснее, чем нанести по-настоящему ощутимый вред. Как указывает исследователь, при всей головной боли и финансовом ущербе, которые «Кассам» причинил своим жертвам, его главным достижением стало фигурирование в новостях, где акцентировались слабые американские стороны в киберцарстве, тогда когда США стремятся продемонстрировать силу.
Лидерство США в банковском секторе, судя по всему, сильно пострадало от вынужденных расходов на ликвидацию последствий, которые в случае отдельно взятого банка значительно превышают 10 миллионов долларов США. Фактически, банки рассматривают подобные расходы как непрописанный в законодательстве налог в поддержку американского шпионажа в отношении Ирана. Банки «хотят помочь отключить [DDoS-атаки], а правительство США действительно бьётся над этой задачей. Сплошное непаханое поле», – говорит бывший чиновник службы национальной безопасности.
При этом банки — далеко не единственные организации, которым приходится платить по счёту. Одна волна атак «Кассама» следует за другой, их мишенью становится всё большее число банков (не только в США, но и в Европе и Азии), а также брокерские фирмы, компании-эмитенты кредитных карточек и DNS-серверы, образующие физический каркас сети Интернет наряду с другими его компонентами.
Для крупного банка 10 миллионов долларов – капля в море. Однако управляющие банками, действующие и бывшие правительственные чиновники слышат в недавних атаках первые звоночки: демонстрацию силы и предвестие возможного развития событий. Комментируя нынешнее состояние конфликта, бывший офицер ЦРУ отметил: «Напрашивается аналогия с большой дозой кокаина на ногте пальца руки – жест показывает, что перед вами реальная вещь». А относительно банковских атак бывший чиновник службы национальной безопасности высказал следующее замечание: «Если, сидя в Белом доме, ты не воспринимаешь их как послание, я полагаю, ты глух, нем и слеп».
Другое хакерское нападение, совершённое несмотря на то, что банковские атаки продолжались всю весну, обернулось ещё более серьёзной финансовой угрозой, хотя его первоисточник было трудно установить. 23 апреля в Twitter-аккаунте агентства Ассошиэйтед Пресс (АП) появилось сообщение: «Сенсационная новость: два взрыва в Белом доме, Барак Обама ранен». После такой новости промышленный индекс Доу-Джонса за считанные минуты упал на 150 пунктов, по стоимости равных 136 миллиардам долларов. Когда выяснилось, что информация не соответствует действительности, а Twitter-аккаунт АП был просто-напросто взломан, рынки вернулись в исходное состояние. Ответственность за сбой взяла группировка, именующая себя Сирийской электронной армией (СЭА).
Действовала ли СЭА в одиночку? В прошлом она уже предпринимала хакерские атаки на Twitter-аккаунты ряда других новостных организаций, в том числе Би-би-си, «Аль-Джазиры», Эн-Пи-Ар и Си-Би-Эс. Однако ни одна из них не целилась в финансовую систему США и не нанесла ей косвенного урона. До недавнего времени этим славились только «Кибервоины Кассама», скорее всего, как говорилось ранее, имеющие связи в Иране.
По словам находящегося в Лондоне ближневосточного кибераналитика, «есть веские основания полагать, что членов [СЭА] готовили иранские специалисты». А один американский аналитик подчеркнул, что хакерская атака на АП, использовавшая для нанесения финансового ущерба информационное противоборство, не только напоминает технику «Кассама», но и отражает восприятие самим Ираном вреда, причинённого США Исламской Республике. (В прошлом году, ещё до начала «Кассамом» атак на банки, государственные СМИ Ирана утверждали, что, распространяя ложные слухи об их стране, США привели её валюту на грань краха.)
На данный момент отсутствуют убедительные доказательства участия Ирана в хакерском нападении на АП, однако в списке правдоподобных сценариев нет ни одного утешительного. Возможно, не без помощи Ирана или по его настоянию СЭА продолжила эксперименты «Кассама» с угрозами финансовой системе США. А может быть, СЭА взяла на вооружение предпринятые «Кассамом» банковские атаки и провела собственную операцию по той же модели. Или же взломщик аккаунта АП, кто бы он ни был, не преследовал никакой финансовой цели, а падение на 136 миллиардов долларов — не более чем побочный эффект.
Читать также: Часть V. Рынок кибероружия