Первая сетевая. Кибервойна: без фронта, но с разрушениями

Мир вступил в эпоху кибернетических войн. По мнению министра обороны США Леона Панетты, не исключен «электронный Перл-Харбор».  Спецподразделения для боевых действий в сетевом пространстве уже существуют во многих странах мира. 

Так, США создали U.S. Cyber Command еще в 2010 году, при этом активные разработки «атакующего» кибероружия начались в президентство Буша. В 2011-м появился примечательный документ «Глобальная стратегия развития киберпространства», предусматривающий применение вполне реальной военной силы в ответ на «виртуальные» атаки.

Израиль объявил о создании аналогичных подразделений только в августе прошлого года, однако речь, очевидно, идет лишь о расширении и легализации уже существующей системы. В январе о создании первого образца кибероружия объявила Япония. Германия будет способна на государственном уровне осуществлять хакерские атаки к концу текущего года.

В России и Китае подобные структуры засекречены, однако следы их деятельности появляются давно и регулярно. Кроме того, о киберугрозе говорят и на вполне официальном уровне. Так, в 2009-м замначальника Генерального штаба Ноговицын предсказал начало полноценных кибервойн в ближайшие 2-3 года (и был абсолютно прав). В начале 2012 года на сайте Минобороны РФ появился документ «Концептуальные взгляды на деятельность Вооруженных Сил Российской Федерации в информационном пространстве». По сути, в нем описываются общие принципы поведения России в ходе возможной кибервойны. При этом, как и американская «Глобальная стратегия развития киберпространства», он предусматривает возможность силового ответа на кибернетические атаки.

Итак, что такое кибервойна? В «наступательном» смысле – это пропаганда, шпионаж (взлом страниц и серверов для доступа к закрытой информации) и саботаж (атаки с целью блокирования работы сайтов и компьютерных систем; дезинформация, то есть замена данных во «вражеских» системах; вмешательство в работу контролируемого компьютерами оборудования с целью его вывода из строя).

Разумеется, параллельно со средствами нападения на государственном уровне разрабатываются и средства защиты от хакерских атак.

Рассмотрим эти направления подробнее – и начнем с обороны.

Уже сейчас, когда подрывная деятельность в Интернете носит в основном характер свободной частной инициативы, ее масштабы заставляют насторожиться. Потери от действий киберпреступников оцениваются в $1 трлн. Каждый день появляется около 55 тыс. образцов вредоносного ПО. При этом полностью нейтрализовать угрозу не позволяют даже очень внушительные ресурсы – так, только с апреля по июнь 2011 года жертвами хакерских атак стали такие технологические колоссы, как Google, Sony, Citigroup и Lockheed Martin. Между тем, возможности крупного государства по созданию вредоносного ПО несопоставимы с возможностями «самодеятельных» хакеров.

Эта угроза вполне осознается, и в США на нее реагируют по нескольким направлениям. Во-первых, государство все больше вовлекается в сферу обеспечения безопасности обычных сетей. Минобороны США предоставляет данные разведки в области киберугроз военным подрядчиками и их провайдерам – предполагается, что эта практика будет распространена на всю промышленную базу Штатов. Во-вторых, ведется разработка сверхзащищенных военных операционных систем.

Перейдем от обороны к нападению – и начнем с пропаганды. Интернет вообще и социальные сети в частности уверенно оттесняют телевидение с ключевых позиций. Это прекрасно осознают теоретики и практики кибервойны – так, Центральное командование США (Centcom) закупило специальное программное обеспечение для ведения секретной блогерской деятельности на зарубежных сайтах. Под контролем одного военного будет находиться до десяти виртуальных личностей с подробно проработанными биографиями и замаскированными IP-адресами.

Саботаж тоже применяется довольно активно — атаки, блокирующие работу сайтов и компьютерных систем, стали обыденностью, и госструктуры достаточно широко пользуются этой тактикой. Скажем, джихадистские сайты существуют только потому, что вызывают нездоровый интерес у спецслужб, черпающих там немало полезной информации.

Так, в марте на две недели перестали функционировать джихадистский форум «Шумух аль-ислам» и еще четыре подобных сайта. Затем их работа восстановилась – но в ходе этой локальной кибервойны испанская полиция смогла вычислить и поймать Мурада Хусейна Аль-Малки, за которым охотилась более года. Аль-Малки («Библиотекарь») занимался администрированием и архивированием джихадистских вебсайтов. Операция стала возможна потому, что американцы взломали пароли ключевых исламистских форумов.

Примеры можно приводить долго. Скажем, на Западе подозревают, что за кибератакой на Эстонию в 2007-м стоит не свободная частная инициатива, а государство. Напомним, что после сноса Бронзового солдата в Эстонии на несколько недель были парализованы правительственная переписка и онлайновые банковские операции, атаки подверглись информационные сети СМИ, частных предприятий и университетов.

В 2008-м во время Пятидневной войны были заблокированы сайты президента Грузии и министерства обороны. На сайте МИДГрузии вместо главной страницы появился набор фотографий с изображением Саакашвили в образе Гитлера.

Начавшиеся после выборов в Госдуму протесты в мае вылились и в длительное киберпротивостояние между активистами оппозиции и Кремлем. 4 мая российское крыло известной транснациональной хакерской группы Anonymous пообещало отключить сайты правительства и премьер-министра. Однако на практике эффективность атаки на правительственные сайты оказалась почти нулевой, а наиболее успешный хакер был отловлен в начале июня и угодил под уголовное преследование.

Зато 6 мая, в день «Марша миллионов», в оффлайн ушли сайты телеканала «Дождь», Slon.ru, «Коммерсантъ» и газеты «Большой город». DDoS-атаке подвергся и сайт «Эха Москвы», но «Эхо» устояло. «Боевые действия» продолжились 9 мая, когда хакеры пытались блокировать работу президентского сайта kremlin.ru. Одновременно атаке подвергся американский сервис трансляции потокового вещания Ustream.tv., точнее – канал независимого журналиста ReggaMortis1, который вел трансляцию акций оппозиции. UStream «лег» на девять часов – ибо атака была массированной, и что самое примечательное, коалиционной. В ней было задействовано 25 тысяч серверов, расположенных в России, Казахстане и Иране.

Обратимся теперь к кибершпионажу и наиболее жестким формам киберсаботажа – с выведением из строя контролируемого компьютерами оборудования. Две этих тактики практически неотделимы друг от друга.

Первый случай киберсаботажа с серьезными последствиями в «реальном» мире датируется 2000-м годом. Тогда уволенный оператор австралийской станции водоочистки при помощи украденного ПО и системы радиоуправления смог вмешаться в ее работу. В итоге тысячи тонн сточных вод были сброшены в реку, что породило локальную экологическую катастрофу.

Несколько лет спустя чем-то подобным занялись гораздо более серьезные люди. В сентябре 2010 года компьютерный вирус Stuxnet атаковал ядерные объекты Ирана. Программа должна была искать центрифуги Siemens P-1, используемые для обогащения урана. Захватив контроль над управляющим компьютером, вирус отдавал команды либо на резкую раскрутку центрифуг, либо на столь же резкое торможение – в итоге они просто ломались. Атака задержала ядерную программу Ирана минимум на полгода («оптимистически» – до двух лет). При этом Stuxnet успешно ускользнул от внимания иранцев, списавших все на механические проблемы оборудования. Однако идеального оружия не бывает. Из-за ошибки программистов вирус вышел за пределы Ирана и начал распространяться по миру. В итоге программа попала в руки специалистов по кибербезопасности.

Всплыли занимательные подробности. Stuxnet, судя по имеющимся данным, разрабатывался в США по крайней мере с 2007-2008 годов в рамках программы «Олимпийские игры» в тесном контакте со специалистами армии Израиля. Полигоном для испытания вируса стал израильский ядерный центр в Димоне. При этом «Олимпийские игры» не ограничились созданием Stuxnet – деятельность «боевой» программы обеспечивалась набором шпионских. Так, во многом подобный Stuxnet шпионский вирус Duqu был обнаружен на компьютерах производителей систем управления производственными процессами – напомним, именно вторжение в такую систему обеспечило разрушение иранских центрифуг. Наконец, произошла серия инцидентов с вредоносной программой Wiper/Viper, выполнявшей классические функции компьютерного червя – она стирала данные на компьютерах министерства нефти Ирана.

В мае 2012 года Лаборатория Касперского объявила, что обнаружен еще один экземпляр – огромный и очень сложный вирус Flame, предназначенный для кражи офисных документов, файлов PDF и чертежей AutoCAD. Очевидно, что основной целью Flame было хищение технической документации – в том числе для обеспечения необходимой информацией боевых вирусов. Естественно, основной мишенью вируса оказался Иран – на него пришлась половина случаев. При этом Лаборатория Касперского обнаружила явное сходство между элементами Flame и ранними версиями Stuxnet.

Иными словами, первые «залпы» кибервойн уже прогремели – в них пока нет жертв, но уже есть разрушения.

Автор: Евгений Пожидаев, РОСБАЛТ

You may also like...