Серия «Так кончится этот мир»

По мере приближения к концу книги повествование автора, к сожалению, приобретают сильную политическую ангажированность. Иначе я не могу объяснить, почему в книге нашёл место рассказ об ольгинских троллях и их вмешательствах в американские президентские выборы в 2016 году. Книжка-то про хакеров, а не про троллей. На момент выхода книги уже стало ясно, что, несмотря на все старания, вряд ли эти тролли на что-то серьёзно повлияли. Но журналистке NYT в этом по сей день не по силам признаться. Потому она маниакально держится за свою точку зрения, что если бы не несколько сот пригожинских троллей – не видать бы Трампу своего президентства, как своих ушей. Сам Пригожин, кстати, недавно признался, что таки влиял на американскую политику.

Кроме Cozy Bear, есть ещё одна группа русских «медвежат»: Fancy Bear. Говорят, между собой они не в лучших отношениях. Это не помешало всем им влезть в компьютеры демократической партии и скопировать оттуда десятки тысяч мейлов её членов. Их бризантное содержимое было обнародовано некоей персоной под псевдонимом Guccifer 2.0. И хотя он позиционировал себя румыном, в мета данных ясно было видно, что они хранились на компьютерах с русскими настройками. Некоторые файлы были помечены неким «Феликс Э. Дзержинским». Да-да, такое имя пользователя, написанное вдобавок кириллицей. Сами материалы Николь называет ёмким словом kompromat. Хиллари они были, конечно, не так, чтобы кстати. По мере приближения выборов американцы перешли на угрозы. Обама сказал Путину с глазу на глаз, что если Россия будет упорствовать, Америка сможет разрушить российскую экономику. Директор ЦРУ тоже предупредил своего коллегу из ФСБ, что Штаты дадут сдачи. И русские отвалили, иначе им пришлось бы несладко. А Хиллари всё равно проиграла. Из-за русских, полагает автор.

Если российских хакеров называли милыми мишками, то для TAO, диверсионной группы АНБ, Kaspersky придумал не менее глупое название: Equation Group. В том же 2016 году их тоже ломанули и выложили на свет Божий целую кучу первоклассных эксплойтов, в том числе и вышеупомянутый EternalBlue. Кто ломанул? До сих пор неизвестно. Взломщик косил под русского, получалось не очень. Как бы то ни было, после настойчивых попыток продать украденное за битки The Shadow Brokers выложили барахлишко в открытый доступ. Кому надо – тот успел скачать.

Этот удар был почище разоблачений Сноудена. Всему миру стало известно, что АНБ годами держали у себя эксплойты, причём разного уровня сложности, в том числе такие, которыми мог пользоваться неспециалист. АНБ стало терять людей. Не пребывали в безопасности и их конкуренты из ЦРУ. В 2017 году WikiLeaks опубликовали серию документов под названием Vault 7 с описанием взлома всевозможных электронных устройств: смартфонов, компьютеров и даже телевизоров. Асандж говорил, что он опубликовал лишь сотую часть того, что было.

Прошло ещё немного времени, и израильские спецы хакнули системы Касперского и обнаружили, что его софт скачивал с компьютеров своей обширной клиентской базы секретную информацию. Касперский стал оправдываться, говоря, что софт автоматом стягивал информацию, вызывающую подозрения, и что «неправильно» скачанная секретная информация немедленно уничтожалась. Вы этому верите? Я – нет. Так что вполне возможно, что The Shadow Brockers таки говорили по-русски. Тем не менее, они прекрасно разбирались в персонале АНБ, и когда один из бывших работников Агентства написал что-то у них в блоге, те сразу раскрыли его прошлое всему миру. 14 апреля 2017 года стал последним днём, когда «теневые брокеры» сообщиле что-то миру. Это что-то включило в себя фамильное серебро АНБ: код двадцати лучших 0days-эксплойтов, которые можно было использовать не только для шпионажа, но и для кибератак. Майкрософт принялась судорожно затыкать дыры, начав с EternalBlue, патч для которой был выпущен даже для давно почившей Windows XP. Если АНБ успело ломануть с его помощью десятки тысяч систем, то в течение двух недель число заражённых компьютеров с эксплойтами EternalBlue перевалило за 400 тысяч.

Халявные эксплойты быстро нашли желающих ими воспользоваться. 12 мая 2017 года на весь мир прогремел WannaCry – северокорейский вирус-вымогатель, который шифровал содержимое носителей памяти, предлагая расшифровать за мзду посильную в 300 долларов. Но в биткойнах. Срубили они на этом деле двести тысяч, а вот вреда причинили как минимум на миллиард. Те, кто заплатили, обнаружили при этом, что расшифровать свои данные они по-прежнему не могут. Распространялся WannaCry при помощью того же EternalBlue, который Майкрософт уже закрыл за месяцы до того. Это обновление, как оказалось, накатил далеко не каждый.

В течении часов после начала атаки некий Маркус Хатчинс нашёл, как нейтрализовать вирус, перенаправив компьютеры жертв с сервера злоумышленника на безвредный адрес, который он купил за десятку грина. Вы думаете, ему достались почёт и уважуха? Как бы те так. После раскрытия его имени его повязала полиция за хакерство в бытность студентом колледжа. Ни одно доброе дело не должно оказаться без наказания. Пару лет пришлось отсидеть.

Через месяц появился NotPetya, про которого я уже рассказывал в самом начале. Помимо EternalBlue, он использовал ещё один эксплойт из арсенала АНБ – EternalRomance. На Украине перестали работать денежные автоматы, прекратилась отправка грузов. Оказались затронуты и другие страны, включая Россию, которую Николь, кстати, винит в авторстве вируса. Это уже был не вымогатель, а разрушитель. Он шифровал данные без возможности восстановления.

Со времён стакснета стало ясно, что Штаты могут получить ответку за свой кибертеррор. Долгие годы другие страны пытались организовать заключение международного договора в сфере информационной безопасности. Но зачем им было связывать себе руки? Теперь же стало ясно, что разрыв стремительно сокращается. И всё же договариваться они по-прежнему не собирались.

Эксплойты АНБ стали известны хакерам из Китая задолго до обнародования их «теневыми брокерами». Группа под кодовым названием Legion Amber обнаружила их и приспособила для своих целей. С её помощью Китаю удалось выкрать многие секретные технологии. Разрыв Трампом «пакта о ненападении» в информационной сфере привёл к многочисленным атакам на американские компании из различных отраслей: связь, нефтегаз, фарма, хайтеч, транспорт, строительство… Однако на этот раз китайцы не пользовались грубым взломом, а прокрадывались в заднюю дверь. Подобно АНБ в самом Китае, они внедрялись в сетевое оборудование и приложения связи для получения доступа к информации многочисленных пользователей. Также подобно АНБ, они стали коллекционировать уязвимости. С их помощью уже в 2019 году они смогли заражать компьютеры и смартфоны жертв, заходящих на определённые веб-страницы уйгурских сепаратистов. Эта атака на водопое оказалась возможной, благодаря внушительной цепи из аж четырнадцати 0day-эксплойтов.

Трамп разругался не только с Китаем, но и с Ираном. Боевые действия в киберсфере разгорелись с новой силой. В середине 2019 года иранцы атаковали Госдеп, нефтянку, электростанции. Выглядело это как воровство интеллектуальной собственности, но кто знает, что они на самом деле замышляли. В ответ американцы заложили «бомбы замедленного действия» в иранские системы связи, ПВО и энергосети. Это лето было неспокойным и в реале. США обвиняли Иран в минировании чужих танкеров, в ответ иранцы посадили американский дрон. Трамп уже приказал нанести удар по иранской ПВО, отменив свой приказ за десять минут до начала его действия. Вместо этого он перенёс возмездие в киберсферу. Компьютеры, связанные со взрывами танкеров, были обезврежены. В ответ иранцы атаковали американскую нефтянку, стирая данные и воруя секреты.

Иранский катер снимает неразорвавшиеся мины с корпуса танкера.

Когда на горизонте замаячили очередные президентские выборы в США, Иран стал с новой силой атаковать американские компьютерные сети, стремясь не допустить перевыборов нелюбимого ими Трампа. Самому Трампу это не понравилось, и он решился «завалить» Сулеймани. В ответ Иран выпустил 22 ракеты по американским военным базам в Ираке. Обошлось без жертв. На этом напряжённость в реальной сфере уменьшилась. Не то, что в виртуальной. На момент написания книги Иран продолжал свои попытки проникнуть в критическую инфраструктуру США.

Тем временем на рынке эксплойтов возник новый состоятельный перекупщик. Он называл себя Crowdfence и являлся своего рода поставщиком королевских дворов Эмиратов и Саудовской Аравии. И после того, как Безос месяц за месяцем продолжал расследовать убийство Джамаля Кашогги в своей Washington Post (со страниц которой Кашогги регулярно критиковал MBS), саудиты хакнули смартфон самого Безоса через дыру в Вотсапе.

В сентябре 2018 года Трамп отдал полномочия по наступательным действиям в области IT Пентагону и АНБ, и эти ребята сразу засучили рукава. За месяц до выборов в Конгресс они запостили предупреждение ольгинским троллям прямо на экраны, чтобы те не думали влезать в избирательную кампанию. В день выборов они вообще вывели в офлайн их сервера, продержав их около недели в таком состоянии. Но не прошло ещё несколько недель, как активизировались Cozy Bear. Они мешали жить демократам, журналистам, прокурорам и прочей публике, вплоть до Пентагона. В начале 2019 года они снова пропали из вида. В том же году городские службы и больницы США подверглись опустошительным атакам программ-вымогателей. Атаки были организованы посредством ботнета TrickBot, который имел явно российское происхождение. Кстати, на днях на нескольких деятелей трикбота были наложены санкции. Сами атаки проводились чаще всего в дневное время суток по Москве. Русские языковые артефакты были рассыпаны по зловредному коду, который содержал блокировку заражения компьютеров в РФ. Российские киберпреступники продолжали повышать свою рентабельность.

Приближающиеся президентские выборы ольгинские тролли встречали изменённой тактикой. На этот раз они не стали активно создавать группы и постить всякую дичь. Быть может, не смогли. Но зато они лайкали и всячески продвигали кондовую американскую дезу. Россия топила за Трампа, Иран – против. А за кого топил Китай? Конечно, за Байдена. Они надеялись, что тот откатит торговые войны, начатые предшественником. Сейчас уже видно, что здесь они ошибались.

Выборы прошли без свидетельств иностранного вмешательства. Кстати, за несколько недель до них Путин предложил сделать «перезагрузку» в кибервойнах, чтобы не влезать в дела друг друга. Вы думаете, американцы согласились? Как бы не так. Отвергли как «бесчестную риторику и циничную дешёвую пропаганду». Короче, всё идёт, как раньше. Россия проникает в промышленную инфраструктуру, включая АЭС, отключает блокировки на саудовских НПЗ, берёт под контроль энергосети. Соответственно и американцы влезают в российские энергосети, считая их законной целью. Однако до диверсий не доходят. Обеим сторонам есть чего терять.

В эпилоге Николь набросала несколько идей по поводу того, как улучшить ситуацию с информационной безопасностью. Вряд ли они происходят из её головы, но это неважно. Она отмечает, что потенциал для саботажа сегодня высок, как никогда. Организации, носящие в своём названии слово «безопасность» своими руками сделали сограждан более уязвимыми. Самым очевидным решением проблемы будет выпускать софт с меньшим количеством багов. Конечно, так дороже. Но многие уже понимают, что так и лучше тоже.

Попытки оградить критическую инфраструктуру цифровыми стенами не сработали. Настала пора заново продумать меры защиты, создавая слоёную систему безопасности, которая должна начинаться с кода. Инженер по безопасности должен иметь право голоса при выборе архитектуры проекта. Баги нужно искать не только в своём, но и в открытом коде. GitHub, принадлежащий Майкрософт, уже платит за такие, кстати.

Положительный эффект может иметь обязательная сертификация критических систем. Нужно поощрять разработчиков, проходящих курсы по безопасности. Также необходимо защищать разработчиков опенсорса мультифакторной авторизацией и другими средствами верификации, чтобы злоумышленник не мог сделать закладку от их имени.

Безопасная архитектура требует идентификации критических систем. Исходить надо из того, что любая часть проекта может быть взломана, и стараться ограничить ущерб для сопредельных частей. Что-то наподобие песочниц на айфоне. Новый безопасный дизайн CHERI уже сегодня готов использовать разработчик процессоров ARM.

Что касается нас, конечных пользователей, следует признать, что пароль – так себе защита. Его могут украсть, подобрать, подсмотреть. Лучшее средство на данный момент – мультифакторная авторизация.

Многое можно улучшить путём государственного регулирования. Автор в курсе, что в Штатах это не самый любимый способ. Но оно работает, достаточно посмотреть хотя бы на Японию или страны Скандинавии. Самим Штатам следует понять, что информационная безопасность – это прежде всего защита, а не нападение. Нельзя долгие годы цепляться за эксплойты, как бы ни удобны они были. Прошло N лет – сообщи разработчику. Если берёшь эксплойт на стороне – требуй эксклюзивных прав на него. В идеале, конечно, ещё заставить торговцев типа NSO или Hacking Team не продавать свой товар «неправильным» странам, но Николь сама признаёт, что это пока фантастика. И, наконец, несмотря на всю иллюзорность договорённости в киберсфере с Россией, Китаем или Ираном, какие-то красные черты необходимо провести. Чтобы не подвергать людей и окружающую среду неоправданному риску.

------------------------------------

В целом книга имеет положительные отзывы среди читателей. И всё же те, кто разбирается в теме, возмущаются вопиющей некомпетентностью её автора. Я, кстати, вас заранее предупреждал. Прочитав её, не станешь лучше разбираться. Если взглянуть на внушительный список её высококлассных собеседников, то можно представить себе, какой выдающийся исторический труд можно было создать. Но и здесь Николь не сотворила нечто из ряда вон выходящее. Историк должен быть объективен, а здесь предвзятость лезет из каждого абзаца. А уж американская исключительность вообще навязла в зубах. Нам можно всё, им – ничего, потому что они злые. Это отмечает почти каждый критически настроенный рецензент, если он не из США, конечно.

Не ждите перевода на русский, его не будет. Почему? В качестве ответа приведу текст одной из рецензий:

Эта книга, хотя и очень информативная, продвигает фальшивые нарративы вроде того, что Россия взламывает наши выборы. Теперь мы знаем, что именно кампания Клинтон распространяла дезинформацию и фактически оплачивала досье Стила. Если Россия даже чихнула, не прикрыв нос, Николь сообщает об этом. В какой-то момент она объявляет "Путина плохим", потому что Россия вторглась в воздушное пространство Финляндии и позволила индийским беженцам пересечь границу в Финляндию. Сколько их там было? 1000 в 2016 году! У нас 8000 в день пересекают границу в США в ДЕНЬ, и все же она распространяется про 1000 в год из России в Финляндию? Пролог книги еще более отвратителен. Она заявляет, что кибератака на украинскую энергосистему произошла со стороны Российской Федерации, но у нее нет доказательств. Работая с компьютерами уже 40 лет, я чертовски хорошо знаю, что часто нет никакого способа отследить, откуда изначально взялся червь или вирус. Итак, могло ли это прийти из России? Да, но опять же у нее нет доказательств, и мы, конечно, не можем доверять украинским чиновникам, которые скажут нам, откуда это взялось. Часто это ложные флаги, чтобы обвинить конкретную страну или группу. Она также выступает с обличительной речью против Трампа и утверждает, что Трамп ничего не сделал по поводу вмешательства России в наши выборы. Никакого взлома из России не было. Это утверждение было доказано заведомой ложью! Если бы я мог поставить Николь ноль звезд, я бы это сделал. Если вы сможете выдержать проход через минное поле дезинформации, то вы многому научитесь из этой книги. Но, когда она говорит о России, Украине или Трампе, я бы перешел к следующему разделу.

Ну а что ж вы хотели от журналюги из «Нью-Йорк Таймс»?

Касательно самой темы кибервойн – да, они продолжаются и не собираются утихать. Нужно с этим жить. Но главные сражения ещё впереди. То, что было на данный момент – это лишь небольшая артподготовка. Готовьтесь. Не надейтесь, что антивирус или файрволл спасут. Бэкап и воздушный зазор – лучший друзья инженера. И да пребудет с нами Сила!

Arthur R. Bowman Dam

А попали на небольшой ручей в штате Нью-Йорк:

Bowman Avenue Dam

Американцы встали на уши и чуть ли не разбудили президента среди ночи. В этой связи у меня скорее претензии к ним, нежели к иранским хакерам. Можно перепутать плотины по названиям. Но нельзя перепутать системы управления несравнимых по величине объектов.

Не пощадили иранские хакеры и компьютерных систем казино Sands в Лас-Вегасе и других городах. Так они отомстили их владельцу Шелдону Адельсону за предложение совершить ядерный удар по Ирану. На этот раз они не только насовали картинок с фотками Адельсона в компании с Нетаньяху, но и слили в Сеть личные данные работников фирмы. Примерно в это же время китайцы похитили личные данные двадцати миллионов американцев в Управлении кадровой службы США. А северные корейцы вывели из строя 70% компьютеров Sony Pictures. Эта атака очень напоминала иранские. Кибердиверсанты учились друг у друга. Грязное бельё кинокомпании, называвшей Анджелину Джоли «минимально талантливой испорченной паршивкой» и платившей неадекватные зарплаты, оказалось вывешенным на обозрение общественности. Ответкой от американцев стало отключение Северной Корее от интернета на один день.

В 2015 году Обама заключил две сделки, которые позволили снизить градус накала в кибервойнах. Соглашение по иранской ядерной программе изменило область применения хакерских навыков Ирана. Они меньше стали заниматься диверсиями, больше – шпионажем. Также Обама договорился с Китаем о «прекращении огня» в цифровой сфере. Раздражённые китайской активностью американцы стали угрожать санкциями, хотя АНБ начало шпионить первым и не собиралось прекращать свою деятельность. 25 сентября во время визита Си в Вашингтон была объявлена договорённость не заниматься воровством интеллектуальной собственности. И не атаковать критическую инфраструктуру друг друга в мирное время. Почти немедленно китайские кибератаки снизились примерно на 90%. Потом в президентский офис вошёл Трамп с его торговыми войнами. Кибератаки возобновились. Но на этот раз они были более скрытыми и более изощрёнными.

Повышенное внимание иностранных агентов к американской критической инфраструктуре, а именно электросетям, было зарегистрировано уже в 2012 году. Главным подозреваемым была Россия. В том же году российский министр связи призвал к подписанию международного договора, который бы запретил кибервойны. Но зачем было Вашингтону связывать себя какими-то обязательствами в области, где он – впереди планеты всей? Ну и получайте – в течении полутора лет русские залезли в более, чем тысячу фирм. Они вламывались в компьютеры инженеров, заражали веб-серверы и занимались фишингом паролей и кодов доступа. В 2014 году им удалось встроить свои трояны в обновления для промышленного софта для управления плотинами ГЭС, трубопроводов, АЭС и электросетей. Это вам уже не китайский шпионаж. АНБ стало расследовать случаи, указав в конце концов пальцем на русскую разведку. После публикации результатов расследования частными экспертами CrowdStrike, FireEye и Symantec атаки резко прекратились.

Продав компанию iDefence, наш старый знакомый Уоттерс не вышел из отрасли. Он организовал другую – iSight, которая стала крупнейшей частным агентством контрразведки в мире. Их офис в Киеве зарегистрировал в 2015 году новую атаку, перед которой не устоял полностью обновлённый Windows. Двери в систему открыла очередная уязвимость нулевого дня. Открытие присланного документа PowerPoint приводило к загрузке трояна, написанного при помощи уже давно известной библиотеки BlackEnergy. В принципе, ничего нового. Но в этот раз троян пытался связаться с сервером управления, который оказался незащищённым. Там удалось обнаружить список команд, написанных по-русски транслитерацией. Этот навороченный шпионский инструмент позволял снимать содержимое экрана, записывать нажатия клавиш и копировать файлы. После загрузки образца на VirusTotal обнаружилось, что похожим атакам подверглась польская нефтегазовая компания, саммит по Украине, состоявшийся в Уэльсе, встреча НАТО в Словакии и украинская железная дорога.

Софт, разработанный в недрах отдела 74455 ГРУ, был замечен в сборе данных известной скады Cimpliciti от General Electric, используемой в системах автоматизации по всему миру. Диверсант мог исполнить произвольный код на компьютере жертвы, после чего стереть свои следы. GE оказалась не единственной фирмой, чей софт привлёк внимание русских. Они были в компании Siemens и Advantech. Железо этих фирм понатыкано всюду – в больницах, электростанциях, шахтах, компрессорных... И снова, как только был опубликован отчёт от Министерства внутренней безопасности США, активность диверсионной группы упала до нуля. Ну а потом были атакованы компьютеры StarLightMedia и других телерадиокомпаний на Украине. Злоумышленники активировали вредоносное ПО по частям, намереваясь стереть содержимое систем во время оглашения результатов выборов.

Прошёл ещё месяц – и в Ивано-Франковской области выключили свет. Оператор Прикарпатьеоблэнерго мог лишь наблюдать, как курсор, ходящий сам собой, выключает один за другим рубильники на схеме энергоснабжения. Он слушался кого-то, но не операторскую мышь. Попытка перелогиниться сделала ещё хуже: злоумышленник успел изменить операторский пароль. Оказались отключены три десятка подстанций. А также линия аварийной связи и резервное энергоснабжение. По прошествии шести часов диверсант вернул всё на место. Нелишне напомнить, что активность русских была зарегистрирована до того и в американских сетях. Таким образом Путин (куда ж без него) дал понять, что не стоит заниматься промышленными диверсиями в РФ. Ответка будет обеспечена.

Вскрытие и публичное осуждение операции «Аврора» не умерили пыл Китая. Новым атакам подверглись RSA Security, Локхид и многие другие интересные для КНР компании. Конечно, Китай заблокировал Google в ответ. И не на пару лет, как предполагал Брин. КНР углубила цифровое наблюдение и цензуру не только в пределах страны, но и за её пределами. Они стремились охватить всю диаспору.

В конце концов, именно Гуглю пришлось делать робкие попытки сближения. 750 миллионов интернет-пользователей – слишком жирный кусок рынка, чтобы им пренебрегать. Они перенесли штаб-квартиру и стали делать новый движок для поисковика с фильтрацией под кодовым названием Dragonfly. Однако дело шло не так гладко, здесь уже, наверное, стала играть роль большая политика. В 2019 году разработка была прекращена.

После «Авроры» американские айтишники озаботились кибербезопасностью. Появилась двухфакторная авторизация. Служба безопасности Гугля стала насчитывать 600 специалистов. Ну и стали платить хакерам за уязвимости нормальные деньги. Конечно, со спецслужбами было тяжело тягаться. Расценки за обнаруженные баги Гугля дошли до тридцати, потом до шестидесяти тысяч, которые предлагались за эксплойт на одной из хакерской конференций. В то же время хакерская команда Vupen не захотела делиться информацией. Более того, став Zerodium, они опубликовали свои расценки: 80 тысяч за уязвимость Chrome, 100 тысяч за дыру в Андроиде, полмиллиона за айфон… К 2020 году счёт пошёл уже за миллионы. Пришлось и Гуглю подтягиваться, предлагая до полутора миллионов за особо ценные дыры. Подтянулись и другие компании, например Facebook.

И Microsoft, конечно. Разоблачения Сноудена серьёзно ухудшили имидж компании, которую стали подозревать в обеспечении прямого доступа спецслужб к своим серверам (этого, по их словам, никогда не было). Немецкие клиенты стали сравнивать Prism с практиками Штази и потянулись на выход. Настала пора действовать быстро, и вот уже Балмер стал платить шестизначные суммы за эксплойты. Со временем появился централизованный брокер уязвимостей HackerOne, который платил хакерам от имени своих многочисленных клиентов, в круг которых вошёл даже Пентагон. Военным тоже не понравилось бы, если бы кто-то хакнул систему данных с датчиков F-15, например. Программа вознаграждений американского оборонного ведомства потянула уже на 34 миллиона. Неплохо для начала.

Эдвард Сноуден рассказал всему миру о цифровом шпионаже АНБ и GCHQ посредством доступа к подводным кабелям связи и интернет-свичам. Но это были цветочки. Ягодками стал взлом внутренних центров данных Google и Yahoo посредством доступа к линиям связи между ними. Данные-то в них были не зашифрованы! В результате обнародования этой атаки посредника под кодовым названием Muscular работники Гугля, три предыдущих года потратившие на киберзащиту своих клиентов от китайцев, узнали, как их поимело собственное правительство. В результате ещё полгода пришлось потратить на шифрование внутренних коммуникаций. К этому добавился проект Zero: снизить количество критических уязвимостей до нуля. Производители софта стали нанимать хакеров, чтобы те находили и публиковали уязвимости. За несколько лет те нашли аж шестьсот критических багов, и не только в одном лишь софте: ошибки не пощадили и процессора Интел. Жизнь у продавцов эксплойтов стала тяжелее.

Шифровать свои устройства стал и Apple. Если раньше копы могли привезти им смартфон преступника на взлом, то теперь им стали говорить, что не могут этого сделать при всём желании. ФБР это очень не понравилось. И когда им понадобилось разблокировать телефон одного из сторонников ИГИЛ организовавших массовое убийство в Сан-Бернардино, они подали на яблочников в суд. Те не сдались, но телефон таки был взломан. Некий неназванный хакер продал ФБР эксплойт за 1,3 миллиона долларов. Настойчивые попытки автора докопаться до того, кто это был, оказались безуспешны. Человек сделал себе состояние и отправился в многолетние странствия по живописным местам.

Доступ через эксплойты работает железно, пусть даже разработчик против. Даже подняв порядок сумм, американцам не удалось зациклить весь рынок на себя. Способных айтишников хватает в мире. Например, в Аргентине. Тамошние хакеры разработали программу для «тестирования безопасности» компьютерных систем уже в прошлом тысячелетии. Два десятка лет спустя у них не осталось техники, которую бы они не могли хакнуть. Включая машины для голосования. Они не занимаются торговлей эксплойтами – так спокойней. Но вот молодое поколение не против. Николь спросила у одного из аргентинцев, будут ли иметь в качестве покупателей только лишь хорошие западные правительства. На что получила такой ответ:

Хорошие западные правительства?!

---------------------------------------------

Ну а что она хотела? Её ещё на свете не было, когда Штаты встали на сторону Британии во время Фолклендской войны. Зачем заморачиваться такими древними вещами накануне командировки. Зато теперь она знает, что аргентинцы янки не любят. Хоть и не знает, почему.

Хакеры пересекают границы не только в одном направлении. Ещё один бывший АНБшник Дэвид Эвенден погнался за длинным долларом и уехал в Эмираты. Тамошняя фирма CyberPoint занималась примерно тем же, что и VRL, про которую я рассказывал. Но клиентура её была уже не только из США. Эмиратские клиенты хотели пошпионить за террористами и прочими нехорошими людьми. Они подозревали, что братья-мусульмане спонсируются Катаром. Как бы проверить это? Дэвид сказал боссам, что без того, чтобы ломануть катарские сети, сделать это проблематично. «Давай!» – сказали боссы. Он залез, и там им понравилось. Пусть не удалось найти подтверждения ни главного подозрения о спонсорстве, ни подкупа Катаром ФИФА. Зато удалось на славу пошпионить за королевским семейством, неугодными журналистами с Запада, функционерами ФИФА. И за Мишель Обамой во время её ближневосточного вояжа в 2015 году. Чего уж там мелочиться. Уже тогда Эвендену подобный перебор стал не по душе. А когда ему с коллегами стали рекомендовать перейти из CyberPoint (которая всё же являлась партнёром Госдепа США) в новую контору под названием Dark Matter, он понял, что переходит черту, из-за которой придётся когда-нибудь целиться в соотечественников. Дэвид не согласился и вернулся в Штаты. Там он стукнул на Dark Matter (куда перешла половина его бывших коллег) в ФБР.

Тех, кто продавал 0days не только госагентствам, хватало и в самих Штатах. Взять хотя бы Адриеля Дезотеля. В 2002 году он нашёл теперь уже широко известный баг в драйвере HP. Вместо того, чтобы сказать спасибо, эта компания подала на него в суд. И была вынуждена в конце концов приносить свои извинения. Дезотеля стали узнавать. В тот же год ему позвонил неизвестный и поинтересовался новыми дырами. Как раз его компаньон по компании Netragard делал эксплойт под MP3, позволявший перехват управления. Не успел он до конца объяснить, как таинственный собеседник сказал: «Беру. Сколько?» Дезотель заломил в шутку неслыханную цену – 16 тысяч. Через неделю по почте пришёл чек на эту сумму. В итоге Netragard стал, помимо тестировщика безопасности (они пытались проникнуть в систему клиента), ещё и торговцем уязвимостями. Он удваивал цену за каждый новый баг, пока не упёрся в 90 тысяч долларов. Клиент был солидный: трёхбуквенные агентства (ЦРУ, ФБР, АНБ…) и подобная публика. Все из Штатов. Короче, вряд ли бы они злоупотребляли его товаром. Но вот покупал он эйсплойты со всего мира. А чтобы у продавца не было соблазна сбагрить ещё куда-нибудь налево, предлагал эксклюзивную покупку по тройной цене. Правда, гарантий эксклюзивности не было. Пришлось полагаться на своё чутьё. У одного русского он взял баг за 50 тысяч, а по второму разу что-то внутри подсказало, больше с ним не связываться. Бизнес шёл по накатанной: переговоры с хакерами и регулярная оплата клиентуры. Эксплойт мог стоить пару десятков тысяч (рутер или флешка), немного подороже для браузера или офисного приложения, и несколько сот тысяч в случае почтового сервера или операционной системы. Работа на заказ могла принести до миллиона.

В 2013 году мировой рынок уязвимостей оценивался уже пятью миллиардами долларов. Помимо США, на нём присутствовали Израиль, Британия, Россия, Индия, Бразилия… Труднее было найти страну, которая бы не покупала. Через пару лет ломанули базу одного из итальянских клиентов Дезотеля – Hacking Team. Эти друзья оказались не столь уж щепетильны касательно выбора своей клиентуры, в которую вошли, помимо Пентагона, и Эмираты, и российские спецслужбы, и (о ужас!) Республика Беларусь. Когда стало ясно, что его эксплойтами фальсифицировались выборы в Южной Корее и держалась под колпаком оппозиция в Эквадоре, Дезотель понял, что пора закрывать лавочку. Что он и сделал.

Конечно, у него были менее щепетильные конкуренты. Например, израильская NSO, специализировавшаяся на смартфонах. Они могли влезть в любой – и в древнюю нокию, и в Blackberry, и в Андроид, и, конечно, в айфончик. Хак конечного устройства особенно привлекателен, потому что предоставляет доступ к ещё не зашифрованным данным. Вообще, шифрование представляет проблему для спецслужб. Если заставить производителя делать закладки (старый добрый дедовский способ), то их может обнаружить ещё кто-то другой. А тут такая возможность. Их продукт под именем Pegasus был полноценным шпионом, собирающим звуки и видео даже при выключенном смартфоне, при этом не сжирая понапрасну питание (отключался до тех пор, пока не вошли в вайфай). Проблем с клиентурой не было: Европа, Ближний Восток, Латинская Америка… Были связаны они и с Hacking Team. Но, в отличие от итальянцев, они могли заразить целевое устройство без необходимости побудить клиента сходить по ссылочке. 0day, надо полагать. Во всяком случае, чтоб внедрить Pegasus на айфон, использовались сразу три уязвимости от Эппл.

Автору удалось поговорить с представителями NSO после того, как им больше не удавалось оставаться в тени. Пегасуса обнаружили на 67 серверах, которые собирали данные с четырёх сотен телефонов. Большинство клиентов (хотя далеко не все) было из Эмиратов и Мексики. Мексиканцы, как видно, имели дорогую лицензию. Были атакованы смартфоны у антикоррупционных активистов, сторонников налога на шипучие напитки и других критиков тогдашнего президента Пенйи Ньето. Разоблачительные статьи Николь в «Нью-Йорк Таймс» заставили признать его, что государство пользовалось продуктами NSO. Зато не следило за критиками и активистами. Хе-хе. А зачем тогда было покупать?

Крёстным отцом американской цифровой разведки автор называет Джеймса Гослера. Начав обычным компьютерщиком, этот человек продолжил свою карьеру выявлением критических уязвимостей в ядерном арсенале США. Столкнувшись с непрестанным усложнением микропроцессорных устройств, он сделал неизбежный вывод: больше нельзя быть уверенным в том, что они неуязвимы. Свою мысль он проиллюстрировал двумя экспериментами. В рамках первого он сделал две закладки в одно небольшое приложение и предложил коллегам обнаружить их. Одна закладка была простой, другая – «новаторским техническим достижением». После месяцев работы коллеги сдались, не обнаружив ничего. Во втором эксперименте закладчиком был другой человек, а Гослер с коллегами искали. Гослеру удалось, коллегам – нет.

Если такое получилось провернуть с приложением, исходник которого содержит всего 3 тысячи строк, что уж говорить о более сложных. Линукс начался с 176 тысяч, а в 2011 году весил уже 15 миллионов строк. Или о самолёте F-35 с его 8 миллионами строк? Больше кода – больше источников для ошибок и закладок. Гослеру удалось убедить в этом Роберта Морриса-старшего (младший написал первый в мире вирус, попортив нервы папане, который работал на АНБ). И вот уже Агентство Национальной Безопасности наняло Гослера в качестве «приходящего учёного». Уязвлённым проектом Gunman американским шпионам настало время поднимать квалификацию.

На новом рабочем месте Гослер не покладал рук, убеждая начальство действовать проактивно в быстрорастущем цифровом сегменте экономики. Через пару лет он вернулся к прежнему работодателю Sandia, где занялся взломом и закладками в оборудование потенциальных противников Соединённых Штатов. Деньги от нового заказчика потекли рекой. В этом свете не стоит удивляться скандалу со швейцарской Cripto AG, поставившей в Иран и другие страны на экспорт шифровальное оборудование, допускавшее лёгкий взлом американцами. Спецслужбы создали тогда целую классификацию потенциальных противников, начиная с ламеров категории I и заканчивая категорией VI, в которую входили страны, способные на цифровой саботаж массового характера: Китай, Россия, США.

Холодная война кончилась. Но появились новые враги, как то исламские фундаменталисты. Других «новых» автор не перечислила. Но упомянула Россию, Китай, Северную Корею, Кубу, Иран и Ирак. Короче, будем шпионить дальше с прежним рвением. Задача была наладить непрерывный сбор данных из буквально всех доступных и недоступных источников. Первыми занималось АНБ, вторыми ЦРУ. Туда и устроился Гослер в 1995 году. Интернет предоставил прекрасную возможность для выяснения необходимых деталей для шантажа личностей, представлявших интерес. А со временем и необходимость в таких личностях уменьшилась: данные стало возможно украсть без их посредничества. Хорошо продуманные вкладки обеспечивали выполнение задач, требовавших ранее долгих лет кропотливой работы. Число их превышало сотню, а география включала в себя всех старых-новых врагов.

Вся эта суперпрограмма не помогла предотвратить теракты 9/11. И, главное, данные-то были! На них просто не обратили внимания. Американцы стали закручивать гайки. Был принят Патриотический акт и расширен Акт о негласном наблюдении. Слежка усилилась. Телефонные компании стали сообщать данные о звонках спецслужбам. Прослушивали всех подряд, даже немецких канцлеров. Но от прослушки – лишь один шаг до саботажа. Эксплойты для того и другого – одни и те же.

Для «активной обороны» был создан хакерский отдел в TAO – секретном подразделении АНБ– ROC (Remote Operations Center). Число вкладок стало исчисляться десятками, сотнями тысяч. Возможности АНБ в нулевых годах заметно превосходили разоблачения Сноудена. Бывший работник TAO говорил:

Изначально они нацелили нас на каналы террористов, затем на операционные системы. Потом мы занялись браузерами и сторонними приложениями. В конце концов произошёл большой сдвиг, и мы взялись за металл с эксплойтами на уровне ядра.

Хакеры из ROC даже придумали подходящий лого:

Кибершпионаж встал на поток. Одни специалисты искали дыры и мастерили эксплойты, другие делали боевую начинку, третьи занимались агентурой для внедрения, четвёртые паразитировали на иностранной разведке. Цифровизация первого десятилетия существенно расширила возможности. Google раскрыл спецслужбам интересы каждого, Facebook побудил людей активно сообщать о себе, а смартфоны добавили геолокацию и всё прочее. Приложение Where ist my node, стало слать в АНБ сообщения при перемещениях клиента в пределах сети покрытия.

Любимое занятие за хорошие деньги – что ещё душа хакера пожелает? Только результатом были чьи-то смерти. В один прекрасный день сотрудникам представили десяток фотографий террористов, уничтоженных благодаря их эксплойтам. По идее это должно было переполнить гордостью. И всё же осадок остался. Слежка за своими гражданами была, конечно, запрещена (хоть кое-кто не гнушался пошпионить за бывшей). Вернее, разрешена лишь по решению суда. Этот суд вполне покладист: в 2012 году он одобрил 1749 из 1789 заявок.

Цифровая хватка американских спецслужб была всепроникающей. Приложение Genie влезало не только в чужие сети, но практически в любой значимый рутер, свич, файрвол или шифровальное устройство и насчитывало в 2015 году 85 тысяч вкладок, четверть из которых приходилась уже не на традиционных русских, китайцев или северных корейцев. Вкладки делались не только в родное американское оборудование, но и в широко распространённые устройства Huawei, например. Уже давно АНБ внедрилась в их штаб-квартиру в Шеньжене и выкрала исходные коды для конструирования вкладок.

Всепроникающий шпионаж – это, в принципе, ничего нового. Но, как сказано выше, от него до саботажа – один шаг. И этот шаг был сделан. В 2007 году в свете наращивания Ираном своей ядерной программы у Штатов было две опции. Первым вариантом была военная операция, на которой настаивал Израиль. Мало того, что это бы отправило нефтяные цены в космос, так ведь ещё опасность мировой войны. Дипломатическими способами предотвратить разработку тоже не удалось.

Директор АНБ Александер предложил Бушу-младшему третий вариант: компьютерная диверсия. Материала о цели было достаточно. Слабым звеном был признан вал центрифуги по сепарации изотопов. Он должен быть тонким, но прочным, чтобы выдержать тысячу оборотов в секунду. Разгонишь слишком быстро – разорвёшь центрифугу, резко затормозишь – вырвешь из креплений. Запустив червя в систему управления процессом, можно было незаметно разрушить существенную долю центрифуг и замедлить ядерный проект Ирана, принудив его начать переговоры.

Так началась Операция «Олимпийские игры». Разработанный американскими и израильскими специалистами жирный червь размером в половину мегабайта распространялся при помощи семи эксплойтов. Первый 0day (.LNK) использовал дыру в коде, вызываемом для отображения иконки вставленной флешки. Вирус перехватывал управление и влезал в компьютер без единого нажатия клавиши. Но, конечно, рассчитывать на то, что флешку воткнут сразу в компьютер, с которого управляются центрифуги, было бы наивно. Червь был рассчитан на долгий путь по сетям с преодолением воздушного зазора: ответственные системы, как правило, изолируются от прочих компьютерных сетей по соображениям безопасности. Для распространения в пределах сети использовался ещё один 0day (спулер печати), который хоть на момент обнаружения вируса уже таковым не был, но исправлен тоже не был. Ещё один эксплойт был давно известен, но обновление иранские инженеры, похоже, не накатили. Для того, чтобы вызвать доверие операционной системы, Stuxnet (да, это был он) пользовался двумя украденными сертификатами тайваньских фирм Jmicron и Realtek, работающих в одном и том же технологическом парке.

Так и бродил Stuxnet от компьютера к компьютеру, оставляя экземпляры по пути распространения. Целью его был компьютер, с которого программируется управление технологическим процессом. Компьютер с установленным на нём Step7. На самом деле одного «степа» для управления процессом мало, нужна ещё SCADA, про которую автор не написала. Она, как и степ, была от Сименса, и называется WinCC. А вместе весь пакет носит название PCS7.

Нашёлся компьютер с S7-проектом – хорошо. В его файлы данных проект откладывал свою копию. При открытии проекта инженером ещё один эксплойт активировал её. Если этот проект не имел отношения к иранским центрифугам, то вирус просто распространялся дальше. А если таки имел – онс встраивался в сетевой обмен контроллера с компьютерами сети, а также грузился в сам контроллер. Из которого он то разгонял центрифугу до предела, то замедлял её до двух оборотов в секунду. Разгоны-торможения следовали с интервалом в пару-тройку недель. Так незаметнее. Тем более, что оператору вирус подсовывал данные, как будто скорость вращения не менялась.

К концу 2008 года тот самый контроллер был заражён. Буш и Александер были довольны, как и партнёры из Израиля. На смену Бушу пришёл Обама. Он с готовностью принял эстафетную палочку и стал наращивать усилия. Когда стало известно о выходе одного из каскадов из-под контроля, он позвонил Бушу и сказал, что оно работает. МАГАТЭ сделала вывод о постепенном снижении ввода в эксплуатацию новых мощностей, начиная с середины 2009 года. К началу 2010 года из строя было выведено 2 тысячи центрифуг.

Всё шло хорошо, пока вирус в результате ошибки не вырвался на свободу и не заразил десятки тысяч компьютеров в Иране и других странах. Обама приказал ускорить программу, однако обнаружение и декодирование вируса стало делом времени. 17 июня 2010 эра стакснета стала клониться к закату.

Среди «препараторов» Stuxnet был немецкий эксперт Ральф Лангнер, который заметил, что вирус не заражает всё подряд, а ищет строго определённый проект. Что за проект? Ну, если его нашли в Иране, то это, похоже, связано с ядерной программой. В программном коде, который грузился в контроллер, попалось сравнение с 164. Именно столько было центрифуг в каскаде. Лангнер стал просматривать хронику посещения иранского лидера Ахмадинежада и в одном кадре нашёл структуру каскада центрифуг. В теле вируса нашёлся массивчик с точно такой же структурой. Бинго! Сомнений больше быть не могло.

Каскад центрифуг в теле Stuxnet

Лангнер тогда же стал предупреждать о том, что потенциальных целей для подобного оружия больше на Западе, чем где-нибудь ещё. И он же прямо ответил на вопрос об авторстве вируса: да, Израиль, но он был не один. Он был в партнёрстве с мировой кибер-сверхдержавой – США.

После этого американские спецслужбы не стали концентрироваться на безопасности устройств в своей стране, а работали по принципу «лучшая защита – это нападение». Имеющиеся средства позволяли отследить любого человека, любой датчик в мире. Новый робот под кодовым названием Turbine стал управлять обширным многотысячным аппаратом вкладок. Работали они по системе NOBUS (nobody but us – никто, кроме нас). Это значило, что легко находимые уязвимости сообщались разработчикам, чтобы те их закрывали. Однако к 2012 году стало ясно, что NOBUS не работает. После разоблачения Сноудена свои разработчики стали толпами покидать АНБ, и Агентство всё больше стало закупать эксплойты со стороны. Например в VRL – Vulnerability Research Lab. Эту малоизвестную компанию организовали пятеро лучших хакеров, покинувших АНБ. Куда лучше иметь жирный навар с контрактов, чем сидеть пусть на хорошей, но зарплате. Они не только сами искали уязвимости, но и скупали их у других хакеров. А также тестировали 0days и делали надёжные эксплойты. И при этом не испытывали угрызений совести, контактируя с иностранными партнёрами. Ведь сбывали свою продукцию они исключительно госклиентам.

Правда вот незадача: своими усилиями они только разогнали прибыльную и нерегулируемую гонку вооружений. В которую после Stuxnet включились уже все подряд, и союзники, и противники.

---------------------------------

Патриотичненько. Кибердиверсия глобального масштаба сделана силами добра, но вот зло может сделать то же самое. О ужас.

История стакснета в изложении Николь сильно приукрашена. По-настоящему 0day был всего один, а не семь. Тот самый, который позволял соскочить вирусу на компьютер при втыкании флешки. Остальные дыры были уже известны, но «благоразумно» не закрыты Майкрософтом аж до осени 2010 года. Более того, Windows XP SP2, под которой работал иранский PCS7, вообще не пропатчили. Его просто изъяли из саппорта (перестали выпускать обновления) менее, чем через месяц после обнаружения вируса. А под SP3 та версия PCS7, что у иранцев, вряд ли работала. Ведь он вышел в апреле 2008 года, когда в Иране уже крутились тысячи центрифуг. Короче, фирма Гейтса вполне могла быть в деле.

Интересным образом была организовано распространение вируса через воздушный зазор. Он залезал не только на флешку под видом .LNK-файла, но и заражал S7- и WinCC-проекты. Как результат, сервис-работники Сименс цепляли его себе на ноутбук, заражали хранящиеся на нём проекты клиентов, попадая потом и на их компьютеры. При этом они скакали между WinCC и S7, залезая даже в zip-архивы. Захотел поднять чистый проект из бэкапа – не тут-то было! Хитро, хитро…

Ещё вирус создавал peer-to-peer-сеть из своих экземпляров, скачивая по ней обновления. Конец работы в нём был закодирован не то серединой 2012 года, не то 01.01.2011. Писали его работники старой гвардии, признававшие лишь чистый Си. Кстати, потом появились вирусы-продолжения (которые автор называет предшественниками), содержащие оригинальные куски кода: Duqu, Flame. Но в контроллеры они уже не лезли, а занимались обыкновенным шпионажем в том же Иране.

С заслуженным препаратором стакснета Лангнером я знаком лично. Никакой он не компьютерщик, по образованию психолог. Всю работу по декодирования кода контроллера сделали парни его фирмы. А начальник фланировал потом на американской сцене в выглаженном костюмчике и стращал потом полмира грядущим нападением диверсантов, осознавшим разрушительный потенциал взлома промышленных контроллеров. Сейчас он признаёт, что ошибался на этот счёт. Но надо отдать ему должное: он на самом деле нашёл железобетонное доказательство направленности вируса на иранскую атомную программу. Весь остальной код анализировали специалисты из Symantec, Kaspersky и других фирм. Очень интересные статьи в режиме реального времени печатал Александр Гостев.

Сегодня Лангнер рассказывает несколько иную историю. В его изложении Stuxnet имел две кардинально различающиеся версии. Первая версия, которая ходила при Буше-младшем, разрушала центрифуги не циклами разгона-торможения, а повышением давления внутри центрифуги. Благо, высокая степень автоматизации установки это позволяла. При этом урановый газ десублимировался в твёрдую фазу и разрушал аппарат, который, напомню, вращается с частотой в районе 1000 rps. Именно для этой версии было реализовано «кино» для оператора (и для системы управления), которые не должны мешать проведению диверсии. С этой целью хакнули даже локальные «показометры» давления. Сам вирус не ползал по сети, а распространялся с заражёнными ноутбуками и флешками. Обама решил ускорить и усилить процесс. Вот тогда и появились разгоны-торможения, многочисленные 0days и обновления по сети. Но оператора уже было не обмануть: разогнанная центрифуга свистит с другой частотой, а замедленная вообще не свистит. Сам же разгон-торможение тоже хорошо слышен. Вы можете посмотреть демку самого Лангнера:

Скрывать было в таких условиях нечего, и вторая версия превратилась в демонстрацию эффективности кибероружия всему миру. В самом деле, не вынесешь же флешку на военный парад.

Николь утверждает, что «оно сработало», то есть цель была достигнута. Но даже если верить её цифрам, разрушено оказалось не более четверти центрифуг, многие из которых удавалось быстро починить. Согласно другим источникам, из строя была выведена лишь каждая десятая центрифуга. В 2010 году иранская ядерная программа продолжала успешно развиваться, и в последующие годы они увеличили количество центрифуг ещё в несколько раз. В 2011 году американцы стали навешивать новые санкции на Иран, которого по словам автора стремились принудить к переговорам «Олимпийскими играми». Лишь в 2015 году была заключена ядерная сделка сроком на десять лет, из которой досрочно вышел Трамп, а не иранцы. Я думаю, американцы делают хорошую мину при плохой игре. Stuxnet мало того, что не прозвёл желаемый эффект, но и оказался обнаружен и известен всему миру.