В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
В доктрине представлены пять основных направлений, определяющих интересы России в информационной сфере, перечислены 10 новых (по состоянию на 2016 г.) информационных угроз для России как мощного игрока на международной киберарене и в сети Интернет, заданы цели и направления обеспечения информационной безопасности на ближайшие 10 лет. Примерно в это же время, судя по индексу популярности отечественных поисковых систем, в Интернете резко возрос интерес к модным, но непонятным на тот момент в России терминам с приставкой "кибер-" (от английского Cyber): кибербезопасность, киберспорт, киберпространство, киберорганизм, киберпреступление, кибермошенничество и т.д. Только ленивый маркетолог или неопытный сейл не включал в свою универсальную презентацию 1–2 слайда на тему современных киберугроз и, о чудо, имеющихся только у него в наличии решений класса "серебряная пуля", позволяющих раз и навсегда решить вопрос с кибератаками на целевые системы.
По материалам выступлений на профильных мероприятиях экспертов компании Check Point может сложиться впечатление, что кибератаки с использованием современного кибероружия происходят с завидной регулярностью. Примером может служить перечень наиболее резонансных кибератак в отношении объектов защиты разного уровня, разной природы и локации, реализованных злоумышленниками в 2017 г.
Январь 2017 г. – утечка более 27 тыс. единиц данных в Princeton University из-за уязвимостей в MongoDB. Апрель 2017 г. – компрометация мобильного приложения компании New York Posts и рассылка от ее имени недостоверных новостей и сообщений об угрозах. Август 2017 г. – массивная DDоS-атака на системы в центральном офисе Национальной почты Украины с целью остановки основных бизнес-процессов. Сентябрь 2017 г. – шокирующее сообщение о компрометации базы данных, содержащей информацию о 143 млн клиентов компании EQUIFAX, в т. ч. злоумышленниками были скомпрометированы номера полисов социального и медицинского страхования и реквизиты банковских платежных карт жителей США. И этот список громких киберпреступлений можно продолжать еще долго.
Но действительно ли при их реализации использовалось современное кибероружие? Или это серия несвязных событий, которая иллюстрирует наличие реальных угроз и актуальность проблематики борьбы с кибератаками? Для понимания данного вопроса рассмотрим еще один пример.
22 июня 2017 г. в нейтральных водах Черного моря ВМФ США проводились учения отдельных подразделений по координации действий. В процессе выполнения упражнений технические офицеры на нескольких десятках кораблей зафиксировали внезапный сбой системы GPS-навигации, о чем незамедлительно проинформировали штаб учений в США. В отчете сообщалось, что один из кораблей ВМС США, судя по системе GPS-навигации, очутился на суше: в 32 км от моря, в Геленджике, на территории Российской Федерации. Такие же странности были зафиксированы еще тремя десятками кораблей различного класса, находящимися в непосредственной близости от берегов РФ. Поведение системы навигации было признано непонятным, а учения временно (до выяснения причин и устранения последствий) были приостановлены, но вскоре продолжены. Первое сообщение в СМИ с громким заголовком "Запад шокирован новостью о том, что Россия провела испытания новейшего кибероружия над кораблями США в Черном море" появилось только в августе 2017 г., спустя полтора месяца после инцидента. Иностранные авторы статьи сделали акцент на том, что российские вооруженные силы успешно испытали неизвестное ранее кибероружие, действие которого не дает противнику отслеживать курс кораблей, путает GPS-навигаторы и сообщает недостоверную информацию о находящихся вблизи судах и подводных лодках. "…
Теперь пилотам НАТО надо быть очень осторожными в полетах, так как их GPS могут привести самолеты совсем в другое место для выполнения боевых или учебных задач. Также внимательными стоит быть и при пусках ракет, ведь при наведении системы GPS-навигации тоже используются…" При этом никаких отчетов или экспертных заключений о результатах расследования в публикациях не приводится, но сделанный журналистами громкий вывод об использовании Россией новейшего кибероружия сам по себе дает пищу для размышления.
Два различных примера, два подхода к реализации кибератак, два уровня киберугрозы. Но действительно ли оба примера "про кибероружие"? И что вообще такое это самое пресловутое "кибероружие": очередная "утка" в СМИ, чья-то PR-компания на технической неграмотности обывателей, маркетинговая акция очередного вендора по повышению продаж современных защитных систем? А может, кибероружие – это уже неактуальная новость из "вчерашней газеты", о которой все и всем известно? Или абстрактная плагиативная сущность, случайно или намеренно перекочевавшая со страниц фантастических книг и сценариев к фильмам? Для начала спросим об этом у самого осведомленного, независимого и не сгибаемого под гнетом блокировок источника – поисковой системы Google.
Если вопрос о кибероружии задает пользователь поисковой системы, физически расположенный/подключенный к Всемирной паутине с территории Российской Федерации (внутри RU-сегмента, согласно официальным данным регистратора), поисковик выдает более 100 тыс. результатов, которые прямо или косвенно связаны с ответом на заданный вопрос.
Большинство ссылок – на материалы исследователей или технически подкованных авторов и журналистов, освещающих геополитические события в мире: "США наращивает киберсилы", "Как АНБ контролирует свое кибероружие?", "Кибероружие – страшнее атомной бомбы", "Использование кибероружия и риск Армагеддона в киберпространстве", "Кибероружие: пятое измерение современной войны", "Кибероружие страшнее ядерного", "Кибероружие США протестировано на Украине" и пр. Прочесть все материалы на тему кибероружия, появившиеся в последние несколько лет в Рунете, физически невозможно. Но бросается в глаза тот факт, что формального определения этому термину до настоящего времени не дано, публикации официальных органов и регуляторов по данной проблематике крайне скупы и однообразны, а комментарии по применению различных инструментов, классифицированных Западом как кибероружие России, вообще отсутствуют.
100 тыс. – много это или мало? Об этом можно судить только в сравнении с отчетом того же поисковика, но сделанного по запросу за пределами Рунета, к примеру с территории и адресного пространства США. В этом нам сможет помочь VPN-сервис и/или сеть TOR. Такой же запрос к Google вне российского сегмента выдает более 137 тыс. иностранных публикаций и ссылок, большинство из которых – комментарии официальных лиц и публикации официального уполномоченного в США органа United States Cyber Command. Но встречаются и ссылки на статьи и блоки экспертов. Russia’s Cyber Weapons hit Ukraine, Russians stole NSA Cyber Weapons, Russia has developed a new cyber-weapons that …, U.S. Cyber Weapons used against Iran and North Korea, NATO just added Cyber Weapons to its armoury, 21st Century warfare with cyber Weapons, Cyberwarfare by Russia – Интернет-посты с подобными заголовками публикуются за пределами Рунета в противовес отечественным суждениям о природе и сущности современного кибероружия.
Во многих из них фигурирует аббревиатура U.S.C.C. Созданная в 2010 г. по указу президента США Барака Обамы организация U.S. Cyber Command (U.S.C.C., USCYBER-COM) призвана обеспечить кибербезопасность цифровой инфраструктуры Америки, годом ранее названной Обамой "стратегическим национальным активом" и "основным объектом защиты от кибератак". USCYBERCOM, вследствие глубокого понимания правительством США проблематики и поддержки глобального обеспечения кибербезопасности, очень быстро получила финансирование и за 1–2 года смогла развиться как в области превентивной защиты, так и в области анализа стратегии и инструментов проведения кибератак со стороны групп злоумышленников на объекты, территориально расположенные в США. На рубеже 2011–2012 гг. руководство USCYBERCOM публично заявило о регулярных попытках применения более чем 140 странами по всему миру (в т.ч. Россией, Китаем, Германией, Великобританией, Индией, Ираном, Северной Кореей и пр.) в отношении объектов на территории США новейшего кибероружия и о готовности киберподразделений USCYBERCOM "практически в одиночку" дать адекватный отпор. Это косвенно совпадает с озвученной ранее Э. Сноуденом неформально функционирующей в профильных организациях в США концепцией превентивной кибербезопасности.
Подтвердить или опровергнуть наличие в российских вооруженных силах структуры, полностью аналогичной американской USCYBERCOM, по состоянию на 2018 г. сложно. При этом в штатном расписании всех действующих организаций-регуляторов прямо или косвенно присутствуют подразделения, в чьи функциональные обязанности входит противодействие актуальным кибератакам: МВД – БСТМ, Управление К; ФСБ – 8-й центр; ЦБ – ФинЦЕРТ и др. Но даже на фоне явного понимания и поддержки со стороны исполнительной власти вопрос формализации и стандартизации в области кибербезопасности и кибероружия в настоящее время в России не закрыт. В открытых источниках представлено множество псевдооригинальных определений кибероружия, но ни одно из них не является официально принятым. Приведем три из них:
Все определения схожи по следующим формальным чертам: наличие деструктивной цели (нанесение ущерба), фактическое присутствие противника и разрушительный характер воздействия. Но в таком виде определение кибероружия, с точностью до общности, совпадает с модным в настоящее время на российском рынке продуктов кибербезопасности маркетинговым термином "целевая атака" или "средство для проведения целевой атаки". В чем разница? Или это одно и то же, поданное/проданное различной аудитории под разным соусом?
Разница между инструментом для проведения целевой атаки и кибероружием – в количестве ресурсов, необходимых для подготовки и проведения атаки. В случае с целевой атакой важным аспектом является стоимость проведения. Она существенно превышает затраты на массовые атаки, совершаемые хакерами начального уровня для повышения собственной квалификации, но в любом случае имеет некоторый лимит. Бесконечно вкладываться деньгами, временем, опытом и знаниями в целевую атаку, прибыль от которой не покроет затрат на ее проведение, способны далеко не многие злоумышленники (не берем в расчет совершение преступления по религиозным или социальным соображениям, так называеый хактевизм).
При этом в случае с разработкой кибероружия самым важным является результат. Средства (ресурсы для его достижения) для заказчика и исполнителей не столь важны. Любыми способами получить желаемый инструмент и реализовать задуманный сценарий – это, по словам Э. Сноудена, основное стремление разработчиков кибероружия по всему миру. На рис. 1 приведена модель, демонстрирующая на известных типах сетевых атак место атаки в координатах стоимости ресурсов и масштаба воздействия и фактическую разницу между целевыми атаками и кибероружием.
Согласно статистике лабораторий по расследованию компьютерных преступлений и опубликованным на закрытых форумах материалам отдельных экспертов, привлекаемых для расследований кибератак, чаще всего разработчиками вредоносного ПО и архитекторами кибероружия выступают молодые (до 30 лет) специалисты с профильным техническим образованием, оказавшиеся в сложной жизненной ситуации, получившие дополнительную мотивацию (различной природы) к сотрудничеству от представителей проправительственных организаций. По сути своей завербованные талантливые программисты, исследователи уязвимостей, вирусные аналитики и хакеры-любители составляют основной костяк иностранных виртуальных сообществ, больше известных как кибервойска.
Не вдаваясь в доподлинно неизвестные подробности, аспекты и причины работы киберспециалистов на правительства иностранных государств, у российских экспертов по информационной безопасности вызывает отдельное уважение (в профессиональном плане) качество и объем работы, проделанный иностранными кибервойсками в минимальные сроки.
7 сентября 2017 г. портал WikiLeaks опубликовал четыре секретных и 37 смежных документов различного уровня секретности из проекта Protego, реализованного спецподразделениями ЦРУ в 2014–2015 гг.
Проект Protego – это не типовой проект ЦРУ по разработке внедоносных компонентов. Он предполагал совместную с компанией Raytheon разработку ПО для управления крылатыми ракетами с PIC-микроконтроллерной архитектурой.
В документации по проекту Protego указано, что целевой системой могут быть оснащены самолеты ВВС США Pratt & Whotney (PWA), которые в период боевых вылетов несут на борту ракеты класса "воздух – воздух" и "воздух – земля". В украденной из ЦРУ документации содержится подробное описание архитектуры выбранного решения и способов обхода подсистемы шифрования и аутентификации. В документах под заголовками System HW Description, Build Procedure или Message Format содержится подробное описание работы логических компонентов решения. Появление данной информации в открытом доступе, при условии, что проект Protego завершен, а целевая система успешно внедрена и эксплуатируется в ВВС США и ряда стран партнеров, является примером разглашения технологических секретов производства, сопоставимым с применением в отношении США информационного и кибероружия.
31 августа 2017 г. портал WikiLeaks разместил в открытом доступа материалы по проекту Angelfire, выполненному ранее по заказу ЦРУ некой субподрядной ИТ-компанией в США. Суть проекта заключалась в разработке 5-компонентной программы-импланта для ОС линейки Microsoft Windows.
Результатом успешной реализации проекта Angelfire стала разработка гибкого фреймворка, который достаточно легко можно загрузить на целевую систему с использованием уязвимостей нулевого дня и применять в дальнейшем в качестве платформы для выполнения других совместимых программ-закладок, нацеленных как на сбор конфиденциальной информации в процессе работы пользователя, так и на саботаж основных процессов посредством шифрования критичных файлов на файловой системе или в операционной памяти.
Благодаря эксплуатации неизвестных ранее для Windows-платформы уязвимостей, связанных с утечками памяти и работой с загрузочным сектором файловой системы, вредоносные компоненты Angelfire не определялись средствами защиты и не оставляли видимых следов своего пребывания на целевой станции. Спектр применения подобных фреймворков огромен. Логика и архитектура, использованная субподрядчиком ЦРУ для реализации данного типа кибероружия, с успехом применялась создателями вредоносного программного обеспечения, использованного в ходе кибератак на финансовые организации в России в 2015–2018 гг.
24 августа 2017 г. на Wiki-Leaks появилась информация о еще одном проекте ЦРУ под названием ExpressLane. В опубликованных документах содержатся отчеты ЦРУ о проведении операций с использованием новейшего кибероружия в отношении служб связи (в т. ч. на территории США). В список целей проекта среди прочего входят Агентство национальной безопасности (NSA), департамент внутренней безопасности (DHS) и Федеральное бюро расследований (ФБР) США.
Суть проекта ExpressLane заключалась в скрытом использовании накопленных в системе биометрической идентификации и аутентификации данных. Скрытность процесса обеспечивалась маскировкой работы компонентов ExpressLane под стандартные программы заставки и системы обновления Windows-платформы и запускались в скрытом от пользователя режиме Web-камеры и системы биометрической аутентификации на мобильных устройствах с целью сбора и анализа информации о пользователе.
Схожие подходы и алгоритмы использовались американскими военными в 2011 г. для скрытого выявления среди пользователей Windows-систем пособников пакистанский террористических организаций по всему миру.
Данный проект был признан одним из самым высокоэффективных примеров применения кибероружия. Примерно с этого времени, в 2011–2012 гг., широкое распространение в среде пользователей мобильных устройств и ноутбуков в России получили шторки-наклейки на объективы Web-камер, гарантирующие невозможность скрытого видеонаблюдения с использованием программ-закладок, разработанных по схемам ExpressLane.
Похожий на приведенный в третьем кейсе проект ЦРУ под названием Dumbo был рассекречен все тем же порталом Wiki-Leaks в начале августа 2017 г. Dumbo – это программа-закладка, попав в операционную систему линейки Windows, она позволяет скрытно удаленно идентифицировать и управлять Web-камерами и микрофонами, подключенными к целевой системе как локально, так и по протоколам Bluetooth и Wi-Fi. Компоненты Dumbo могут работать под непосредственным управлением оператора в удаленном режиме и позволяют манипулировать записями сигналов, проходящих через скомпрометированные устройства. Это особенно актуально в том случае, если на целевой системе происходит регулярная обработка аудио- и видеосигналов, содержащих чувствительную информацию.
Подобное кибероружие может применяться для манипуляции информацией, подготовленной к автоматической публикации в Интернете или на цифровых каналах общественного телевидения.
После ознакомления с данным материалом читателю должно стать более понятным определение кибероружия, варианты и примеры его применения, а также его место в линейке инструментов для проведения кибератак в современном цифровом мире. Но представленные выше примеры являются всего лишь вершиной информационного айсберга, основная часть которого всегда скрыта под толщей секретности.
Порталы, подобные WikiLeaks, позволяют специалистам по информационной безопасности и кибераналитикам ознакомиться с материалами, которые ранее считались недоступными. Однако с таким же успехом эти материалы попадают в руки вирусописателей и киберпреступников. Как они применяют полученные знания на практике и как защитить себя от их злонамеренного воздействия, об этом и о многом другом предлагаю поговорить в следующей части серии статей, посвященной тематике кибероружия.
Специфика содержания термина "кибероружие" отсылает нас в область международного гуманитарного права. Но, как правильно обратил внимание автор, формальное определение термина на уровне международных соглашений отсутствует. Однако это не говорит о том, что вопросу не уделяется должного внимания.
Профессор МГЮА В.А. Батырь1 определяет кибероружие как "технические и программные средства поражения (устройства, программные коды), созданные государственными структурами, которые конструктивно предназначены для воздействия на программируемые системы, эксплуатацию уязвимостей в системах передачи и обработки информации или программотехнических системах с целью уничтожения людей, нейтрализации технических средств либо разрушения объектов инфраструктуры противника"2. Это определение видится наиболее удачным, так как во многом соответствует объективной действительности. Похожей позиции придерживается ведущии эксперт Центра военно-политических исследовании МГИМО В.В. Каберник в своей статье "Проблемы классификации кибероружия"3, но определения не приводит.
Профессор университета Хопкинса Thomas Rid4 и профессор Королевского колледжа Лондона Peter McBurney5 определяют кибероружие как a computer code that is used, or designed to be used, with the aim of threatening or causing physical, functional, or mental harm to structures, systems, or living beings6. Отличие заключается в том, что определение ограничено лишь программным кодом.
Формирование норм международного права – крайне длительная процедура. Позиции, предложенные экспертами в их научных работах, являются ее началом, фундаментальной отправной точкой, где в значительном объеме прорабатывается предметная область. В дальнейшем сформированная позиция предлагается для всеобщего рассмотрения. Однако такие факторы, как внешнеполитическая обстановка, способны оказывать значительное влияние и на предмет предложений, и на сроки принятия решений. Ярким примером является фактическая приостановка рассмотрения в рамках ООН7 предложенной Российской Федерацией еще в 2011 г. концепции конвенции ООН "Об обеспечении международной информационной безопасности"8. Этот проект в какой-то мере противопоставлен действующей Конвенции Совета Европы о киберпреступности9, которая активно поддерживается США.
Предметная область достаточно сложна, и на текущий момент ни формальные определения, ни фактические разработки и применение кибероружия никак не регламентированы международными соглашениями, что справедливо вызывает обоснованные опасения.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2018