Так кончится этот мир (5)⁠⁠

Продолжаем знакомиться с книгой Николь Перлрот "Говорят, так кончится этот мир. Настоящая история".

Коротко для ЛЛ: середина десяты годов вошла в историю новыми масштабными кибератаками. Главные действующие лица: Иран, Штаты, Северная Корея, Россия. А вот с китайцами Обама договорился. Как оказалось, ненадолго.

После стакснета прошло немного времени, прежде чем остальной мир стал огрызаться на американские диверсии. 15 августа 2012 года кибератаке подверглись компьютеры нефтяной компании Saudi Aramco. Вирус, получивший название Shamoon, заразил 30 тысяч компьютеров, стирая данные и оставляя на их месте фотографию горящего звёздно-полосатого флага. Николь, вслед за американским руководством, обвиняет Иран. Вообще, удивительно, как легко ей удаётся аттрибутировать атаки. Нашли русский комментарий в коде – это явно проделки России. Ещё она любит на московское или пекинское время кибератак ссылаться.

В атаке на редакцию «Нью-Йорк Таймс» она обвиняет китайцев, и не просто каких попало, а подразделение 61398 Народно-освободительной армии. Которые напали также на Кока-Колу, RSA, Локхид и так далее. Американцы даже приговорили пятерых из того отдела. Конечно, Китай их и не подумает выдать.

Интернет-атаки не прошли мимо американских банков: Bank of America, JP Morgan, Citigroup... Здесь отличился снова Иран своими DoS-атаками. Для своих целей иранские хакеры превратили в «зомби» многочисленные компьютеры дата-центров со всего мира. Ещё была атака на промышленный объект. Николь пишет, что они хотели атаковать внушительную ГЭС в штате Орегон:

Arthur R. Bowman Dam

А попали на небольшой ручей в штате Нью-Йорк:

Bowman Avenue Dam

Американцы встали на уши и чуть ли не разбудили президента среди ночи. В этой связи у меня скорее претензии к ним, нежели к иранским хакерам. Можно перепутать плотины по названиям. Но нельзя перепутать системы управления несравнимых по величине объектов.

Не пощадили иранские хакеры и компьютерных систем казино Sands в Лас-Вегасе и других городах. Так они отомстили их владельцу Шелдону Адельсону за предложение совершить ядерный удар по Ирану. На этот раз они не только насовали картинок с фотками Адельсона в компании с Нетаньяху, но и слили в Сеть личные данные работников фирмы. Примерно в это же время китайцы похитили личные данные двадцати миллионов американцев в Управлении кадровой службы США. А северные корейцы вывели из строя 70% компьютеров Sony Pictures. Эта атака очень напоминала иранские. Кибердиверсанты учились друг у друга. Грязное бельё кинокомпании, называвшей Анджелину Джоли «минимально талантливой испорченной паршивкой» и платившей неадекватные зарплаты, оказалось вывешенным на обозрение общественности. Ответкой от американцев стало отключение Северной Корее от интернета на один день.

В 2015 году Обама заключил две сделки, которые позволили снизить градус накала в кибервойнах. Соглашение по иранской ядерной программе изменило область применения хакерских навыков Ирана. Они меньше стали заниматься диверсиями, больше – шпионажем. Также Обама договорился с Китаем о «прекращении огня» в цифровой сфере. Раздражённые китайской активностью американцы стали угрожать санкциями, хотя АНБ начало шпионить первым и не собиралось прекращать свою деятельность. 25 сентября во время визита Си в Вашингтон была объявлена договорённость не заниматься воровством интеллектуальной собственности. И не атаковать критическую инфраструктуру друг друга в мирное время. Почти немедленно китайские кибератаки снизились примерно на 90%. Потом в президентский офис вошёл Трамп с его торговыми войнами. Кибератаки возобновились. Но на этот раз они были более скрытыми и более изощрёнными.

Повышенное внимание иностранных агентов к американской критической инфраструктуре, а именно электросетям, было зарегистрировано уже в 2012 году. Главным подозреваемым была Россия. В том же году российский министр связи призвал к подписанию международного договора, который бы запретил кибервойны. Но зачем было Вашингтону связывать себя какими-то обязательствами в области, где он – впереди планеты всей? Ну и получайте – в течении полутора лет русские залезли в более, чем тысячу фирм. Они вламывались в компьютеры инженеров, заражали веб-серверы и занимались фишингом паролей и кодов доступа. В 2014 году им удалось встроить свои трояны в обновления для промышленного софта для управления плотинами ГЭС, трубопроводов, АЭС и электросетей. Это вам уже не китайский шпионаж. АНБ стало расследовать случаи, указав в конце концов пальцем на русскую разведку. После публикации результатов расследования частными экспертами CrowdStrike, FireEye и Symantec атаки резко прекратились.

Продав компанию iDefence, наш старый знакомый Уоттерс не вышел из отрасли. Он организовал другую – iSight, которая стала крупнейшей частным агентством контрразведки в мире. Их офис в Киеве зарегистрировал в 2015 году новую атаку, перед которой не устоял полностью обновлённый Windows. Двери в систему открыла очередная уязвимость нулевого дня. Открытие присланного документа PowerPoint приводило к загрузке трояна, написанного при помощи уже давно известной библиотеки BlackEnergy. В принципе, ничего нового. Но в этот раз троян пытался связаться с сервером управления, который оказался незащищённым. Там удалось обнаружить список команд, написанных по-русски транслитерацией. Этот навороченный шпионский инструмент позволял снимать содержимое экрана, записывать нажатия клавиш и копировать файлы. После загрузки образца на VirusTotal обнаружилось, что похожим атакам подверглась польская нефтегазовая компания, саммит по Украине, состоявшийся в Уэльсе, встреча НАТО в Словакии и украинская железная дорога.

Софт, разработанный в недрах отдела 74455 ГРУ, был замечен в сборе данных известной скады Cimpliciti от General Electric, используемой в системах автоматизации по всему миру. Диверсант мог исполнить произвольный код на компьютере жертвы, после чего стереть свои следы. GE оказалась не единственной фирмой, чей софт привлёк внимание русских. Они были в компании Siemens и Advantech. Железо этих фирм понатыкано всюду – в больницах, электростанциях, шахтах, компрессорных... И снова, как только был опубликован отчёт от Министерства внутренней безопасности США, активность диверсионной группы упала до нуля. Ну а потом были атакованы компьютеры StarLightMedia и других телерадиокомпаний на Украине. Злоумышленники активировали вредоносное ПО по частям, намереваясь стереть содержимое систем во время оглашения результатов выборов.

Прошёл ещё месяц – и в Ивано-Франковской области выключили свет. Оператор Прикарпатьеоблэнерго мог лишь наблюдать, как курсор, ходящий сам собой, выключает один за другим рубильники на схеме энергоснабжения. Он слушался кого-то, но не операторскую мышь. Попытка перелогиниться сделала ещё хуже: злоумышленник успел изменить операторский пароль. Оказались отключены три десятка подстанций. А также линия аварийной связи и резервное энергоснабжение. По прошествии шести часов диверсант вернул всё на место. Нелишне напомнить, что активность русских была зарегистрирована до того и в американских сетях. Таким образом Путин (куда ж без него) дал понять, что не стоит заниматься промышленными диверсиями в РФ. Ответка будет обеспечена.