Седьмого марта на сайте Wikileaks появилась серия утечек под названием Year Zero, которая, по словам администраторов проекта, является лишь первой частью более обширного массива документов Vault 7 («Убежище 7»). Утверждается, что все эти материалы представляет собой «базу знаний» ЦРУ о программах по взлому электронных платформ и устройств, интернет-сервисов, перехвату содержимого онлайн-коммуникаций и осуществлению целевых операций в киберпространстве. Всего опубликован 8761 документ, в том числе 7818 веб-страниц и 943 приложенных файла. В сумме они представляют собой структурированную библиотеку электронных документов с описанием слабых мест в программном обеспечении (ПО), а также средств эксплуатации таких уязвимостей.
Как все устроено
Утечка является одной из крупнейших в истории ЦРУ и спецслужб вообще, и по объему раскрытых документов сразу же превзошла серию разоблачений АНБ, начатую Эдвардом Сноуденом летом 2013 года. До этого достоянием общественности становились лишь отдельные кибероперации ЦРУ. В их числе разработка средств кибершпионажа и саботажа для замедления ядерной программы Ирана с 2005 по начало 2010-х гг. (включая печально известный компьютерный червь Stuxnet, внедрение которого в автоматизированные системы управления на производственном комплексе в г. Натанз в 2009–2010 гг. вывело из строя каскад центрифуг для обогащения урана). Кроме того, по данным Wikileaks в 2012 г. ЦРУ вело агентурную и электронную слежку за лидерами президентской кампании во Франции. Наличие у ЦРУ киберсредств для целевых операций и программ их применения – не новость, однако их масштаб до публикаций Vault 7 никто не представлял.
При этом перед нами лишь вершина айсберга – опубликована только первая часть имеющегося у Wikileaks архива, охватывающего документы за 2013–2016 годы. Утверждается, что «база знаний» составляет лишь около 1% от общего объема информации по программам создания киберсредств ЦРУ, которыми уже располагают активисты.
Wikileaks не будет публиковать файлы и документы, содержащие компьютерный код разработанного ЦРУ вредоносного ПО, чтобы они не попали в руки спецслужб и компьютерных преступников по всему миру. В этом смысле и перед ЦРУ, и перед Wikileaks сейчас стоит общая задача – предотвратить расползание средств из киберарсенала ЦРУ по международному рынку компьютерной преступности.
Впрочем, значительная часть «базы знаний» содержит не готовые образцы вредоносного ПО или детальное описание уязвимостей, а скорее концепции, черновые наброски подходов к преодолению защиты и построению векторов атаки на те или иные ИТ-продукты и решения. Вообще модель организации данных о киберарсенале ЦРУ любопытна: она представляет собой электронные вики-документы и приложения, которые могут редактировать и комментировать зарегистрированные пользователи системы.
Сообщество пользователей превышает 5 тыс. человек и включает в себя штатных сотрудников ЦРУ и представителей компаний-подрядчиков (по некоторым оценкам, 10–12 структур), работающих с ЦРУ по проектам развития киберсредств. Движок базы знаний основан на ПО Confluence, разработанном частной компанией Atlassian. По мере обновления данных по тем или иным проектам формируются разные версии соответствующих вики-страниц – в общей сложности 1136 предыдущих версий отдельных страниц.
Все это похоже скорее на базу знаний какой-нибудь ИТ-корпорации, чем на архив спецслужбы. Причем не только по формату, но и по стилю коммуникации, который напоминает общение в хакерском сообществе и частных компаниях. Комментаторы используют мемы, зачастую позволяют себе неформальную лексику, описывая грубые ошибки в коде систем, которые удалось взломать, и так далее. Для обмена идеями с 2009 г. организован внутренний формат «Симпозиума по сетевым технологиям, инжинирингу, исследованиям и развитию» с иронической аббревиатурой NERDS (от англ. nerd – компьютерный фрик, «задрот»). Названия техник атак и проектов по разработке вредоносного ПО отсылают к популярным персонажам компьютерных игр и кинематографа.
Представители Wikileaks утверждают, что утечка произошла как раз из-за действий инсайдера – зарегистрированного пользователя «базы знаний», который может быть как штатным сотрудником ЦРУ, так и представителем компании-подрядчика. Примечательно, что за последние годы крупнейшие утечки данных о программах развития киберсредств американских спецслужб, прежде всего АНБ, происходили именно через частных подрядчиков. Два наиболее громких эпизода – разоблачения Эдварда Сноудена и действия Гарольда Мартина III, скопировавшего огромный архив документов и кода «кибероружия» АНБ в 2016 году. Оба на момент утечек были сотрудниками Booz Allen Hamilton, известного подрядчика Минобороны и спецслужб США.
В новом сливе содержатся данные о виртуальной и физической инфраструктуре ЦРУ, применяемой для организации и координации перехвата данных в Сети и других форматах разведдеятельности с использованием информационных технологий. Например, европейский «филиал» Центра киберразведки, действующий на площадке американского консульства во Франкфурте-на-Майне, выполняет роль базы для координации киберопераций ЦРУ в Европе, Африке и на Ближнем Востоке. Кроме того, опубликованные материалы содержат информацию и о внутренней организационной схеме ЦРУ, которая включает разветвленную структуру технических подразделений, специализирующихся на разработке средств эксплуатации уязвимостей по отдельным направлениям платформ и ИТ-продуктов. Эта информация позволяет по-новому взглянуть на подход ЦРУ к электронной слежке и целевым операциям, а также оценить их место среди приоритетов ведомства. Работа ЦРУ по развитию собственного киберпотенциала сконцентрирована в рамках одного из пяти управлений – Управления цифровых инноваций (Directorate of Digital Innovation). Его внутренняя организация пока известна лишь частично, но ключевой его структурой является Центр кибернетической разведки (Center of Cyber Intelligence), в компетенцию которого, очевидно, и входило развитие опубликованной «базы знаний» по киберсредствам и разработка последних. Деятельность Центра киберразведки разбита на три ключевых направления: Группа компьютерных операций (Computer Operations Group, COG), Группа физического доступа (Physical Access Group, PAG) и Группа инженерно-технических разработок (Engineering Development Group, EDG). Именно инженерно-техническая группа занималась разработкой, тестированием и сопровождением ПО, содержащегося в опубликованных Wikileaks материалах. Об остальных двух группах и их деятельности из опубликованных документов известно немного.
Наконец, конкретные направления и ниши разработки ПО распределялись между двумя подгруппами и их девятью отделами в составе Группы инженерно-технических разработок. Так, отдел мобильных устройств (Mobile Devices Branch, MDB) собирал уязвимости и разрабатывал средства их эксплуатации (эксплойты) для смартфонов, в основном фокусируясь на уязвимостях мобильных операционных систем (iOS, Android). Отдел автоматизированных программных имплантов (Automated Implant Branch, AIB) создавал ПО, позволяющее использовать уязвимости в десктопных продуктах – например, персональных компьютерах и ноутбуках с операционной системой (ОС) Windows, а также устройств линейки MacBook от Apple. В свою очередь, отдел сетевых устройств (Network Devices Branch, NDB) отвечал за разработку техник и средств сетевых атак на веб-серверы и иную инфраструктуру Интернета. Отдел встраиваемых систем (Embedded Devices Branch, EDB) готовил средства эксплуатации уязвимостей в ПО различных «умных» устройств. Например, EDB работал над взломом «умных» телевизоров Samsung F8000 и концепцией эксплуатации уязвимостей в ПО «умного» транспорта.
Столь разветвленная структура и специализация подразделений Центра киберразведки говорит о том, что в ЦРУ выстроена полноценная система «разделения труда», которая обеспечена техническими, финансовыми и человеческими ресурсами для того, чтобы одновременно развивать киберсредства, направленные на большинство продуктов для конечных пользователей. В этом одно из коренных отличий программ ЦРУ от частных хакерских групп, включая группировки – источники постоянной повышенной угрозы (Advance persistent threats, APTs): частные игроки, даже самые продвинутые и опасные, из-за ресурсных ограничений сфокусированы на одной или нескольких смежных целях.
Другое отличие – в том, что государственные игроки никуда не спешат. Киберразведка ЦРУ выстраивалась долгие годы и будет работать еще дольше; спецслужба может позволить себе годами следить за разработками производителей и ждать, пока те допустят ошибки и создадут новые уязвимости в своих продуктах, – в отличие от частных группировок, действующих в рамках конкретных проектов, ограниченных ресурсами и сроками.
Ресурсная база ЦРУ в части программ киберразведки пока неизвестна, но из организационной схемы ведомства ясно, что это направление стало одним из его приоритетов. А общий объем ресурсов ЦРУ весьма значителен. В 2014 г. усилиями Сноудена были рассекречены данные о бюджете и количестве сотрудников ЦРУ: в 2013 г. финансирование ведомства превышало 4,8 млрд долларов, а персонал – 21 тыс. человек. Если исходить из того, что «базу знаний» по программам киберразведки используют более 5 тыс. человек, то на разработку киберсредств может быть направлено до четверти всех ресурсов. Это ставит ЦРУ в один ряд с АНБ и Киберкомандованием и делает претендентом на статус оператора крупнейшей в мире программы разработки государственного киберарсенала.
Что это значит
Любые обобщения в отношении нынешней утечки и программ развития киберсредств ЦРУ следует считать промежуточными и неполными, пока не опубликованы все имеющиеся у Wikileaks данные. С этой оговоркой уместно обозначить несколько моментов.
Первое. Систематическая и развернутая в индустриальном масштабе деятельность ЦРУ по развитию собственного киберарсенала создает серьезную угрозу как для пользователей, так и для поставщиков продукции и решений на ИТ-рынке. Прежде всего речь идет о продукции для конечных пользователей. Наиболее тревожной ситуация выглядит для ОС, как для настольных, так и для мобильных устройств. ЦРУ обладает эффективными средствами атак на мобильные устройства абсолютного большинства пользователей в мире. При этом возможность комбинации множества техник и эксплойтов затрудняет защиту от таких атак. «Отставание» ЦРУ от работы вендоров по закрытию уязвимостей и обновлению ОС и прошивок их устройств не снимает проблему: судя по всему, передовые разработки спецслужбы за последние пару лет просто не попали в массив данных утечки. Сложившаяся ситуация ставит перед крупнейшими вендорами ОС, а также самих мобильных и десктопных устройств (Apple, Google, Microsoft, Samsung и др.) задачу по выработке консолидированной стратегии повышения уровня защиты и разработки новых решений и стандартов для нейтрализации угрозы со стороны государственных программ электронной разведки.
Второе. ИТ-отрасль США за исключением узкого круга специализированных подрядчиков не вовлечена в те или иные формы сотрудничества с ЦРУ. В документах Vault 7 нет данных о взаимодействии ИТ-вендоров и разработчиков с разведслужбой. Речь идет лишь о том, что ЦРУ методично и целенаправленно собирало информацию о слабых местах в продукции различных компаний и разрабатывало средства использования этих уязвимостей – самостоятельно и при содействии других спецслужб и подрядчиков. В этом смысле нынешний сюжет несколько отличается от истории с АНБ. Во-первых, после разоблачений Сноудена в 2013 г. на крупнейшие американские ИТ-корпорации и их сервисы (Yahoo, Google, Facebook, YouTube, Skype, Apple) пали подозрения в сотрудничестве с АНБ в рамках глобальной программы Prism, позволявшей перехватывать колоссальные объемы данных за счет прямого доступа к корпоративным серверам. Отраслевые гиганты отрицали сотрудничество с АНБ, однако установить истину в этой ситуации вряд ли удастся. Во-вторых, в рамках программы Bullrun, нацеленной на компрометацию средств криптографической защиты данных, АНБ подкупала и принуждала разработчиков таких средств внедрять в свои решения для массового рынка бэкдоры (backdoor – в данном случае программные средства, позволяющие получать доступ к зашифрованным коммуникациям, в том числе системам передачи ключей шифрования). То есть в той или иной степени частный ИТ-сектор Соединенных Штатов оказался вовлечен во взаимодействие с АНБ – в ситуации с ЦРУ таких фактов пока не наблюдается.
Третье. Несмотря на масштаб и технологическую изощренность, киберарсенал ЦРУ не является инструментом массового неизбирательного перехвата и сбора данных (bulk data interception). Раскрытые программы ЦРУ – это «глобальный инструментарий для точечных целевых операций». В части киберопераций перед ведомством никогда не стояла задача массового сбора данных – не в смысле фактического объема добываемых сведений, а в смысле избирательности применения способов их сбора и постановки задач. Здесь снова нужно подчеркнуть, что несмотря на активное развитие средств дистанционной электронной разведки (SIGINT), основной парадигмой деятельности ЦРУ по-прежнему остаются целевые агентурные операции (HUMINT). В соответствии с требованиями времени киберарсенал служит высокотехнологичным приложением к ним – но не наоборот, по крайней мере пока.
Избирательность операций и сбора данных – ключевое отличие между ЦРУ и АНБ. Грубо говоря, в рамках раскрытых Сноуденом программ АНБ стремилось создать инструментарий, позволяющий перехватывать обмен данными в рамках если не всего Интернета, то каких-то его существенных сегментов. Именно поэтому проекты АНБ предполагали не только сбор данных с устройств конечных пользователей, но и прежде всего доступ к инфраструктурным узлам, где концентрируются огромные потоки интернет-трафика и других данных: серверы, облачные хранилища и дата-центры крупнейших интернет-компаний, крупнейшие узлы телекоммуникационной инфраструктуры, включая даже магистральные волоконно-оптические линии связи. В эту же логику укладывается и работа по компрометации ключевых средств шифрования трафика в Сети программой Bullrun. В такой парадигме операции против конкретных лиц и систем – второстепенная задача. Более того, логика работы с большими данными (big data) подобного масштаба может предполагать в корне иной алгоритм организации задач: сначала осуществляется перехват «сырых» данных, и уже по итогам его аналитической обработки идентифицируются конкретные цели и объекты операций.
Лучшим примером подхода ЦРУ к кибероперациям можно считать Stuxnet: под узкую специфическую задачу с нуля были созданы высокоизбирательные средства. Не случайно в базе знаний ЦРУ отсутствуют проекты по взлому инфраструктуры, на которой концентрируются большие объемы данных. Большинство проектов ЦРУ сконцентрировано на устройствах и системах, с которыми взаимодействуют конечные пользователи. Также существенные ресурсы направлены на разработку способов взлома устройств, изолированных от Сети (air-gapped), в том числе использующих устаревшие внешние носители (CD/DVD). Это идеально соответствует целям ЦРУ в том же Иране: научно-исследовательские учреждения и правительственные объекты со строгим режимом безопасности, ученые, работающие с секретными данными, и проч. В рамках такой парадигмы неизбирательный сбор больших данных из сети по принципу «делаем, потому что можем» неактуален. Поэтому рядовому пользователю не стоит бояться, что его устройство взломает ЦРУ. Правда, если это случилось, значит пользователь – объект целевой операции, и тогда у него проблемы.
Четвертое. Нынешние утечки подтверждают, что военные (Киберкомандование и АНБ) – далеко не единственные в США государственные игроки в области разработки комплексного киберарсенала для проактивных операций. Членами американского разведывательного сообщества являются 16 правительственных структур: восемь гражданских и восемь военных. К первым относятся информационно-аналитическое управление Министерства внутренней безопасности, информационное управление Госдепартамента, управление разведки и безопасности в ядерной сфере Министерства энергетики, управление разведки и борьбы с терроризмом Минфина, ФБР в структуре Минюста. Остальные восемь членов – различные структуры Минобороны, включая АНБ и Киберкомандование.
Кроме того, американская ситуация служит индикатором международных тенденций развития госпрограмм электронной разведки. Наличие средств для киберопераций и тайного сбора данных в Сети становится не только приоритетной задачей государственного уровня, но и ключевым активом в смысле удержания и расширения аппаратных полномочий и борьбы за бюджет на уровне отдельных силовых ведомств, подчас конкурирующих друг с другом. В более широком смысле утечка из ЦРУ подводит черту под очевидным фактом состоявшейся вепонизации киберпространства. Государства по всему миру применяют проактивные киберсредства в постоянном и необходимом режиме, зачастую не делая принципиальных различий между целями на своей территории и за рубежом. В этих условиях наивно полагать, что спецслужбы России, Китая, Израиля, Евросоюза и любой другой страны не развивают собственные средства тайного сбора данных и программы киберопераций.
Пятое. ЦРУ, как и АНБ ранее, не удалось сломать ключевой элемент системы безопасности и доверия в Сети – современные стандарты криптографической защиты информации. Причем ЦРУ, в отличие от их военных коллег, и не особо пыталось – среди ставших известными направлений деятельности ведомства работа по компрометации протоколов и реализации ключевых стандартов шифрования не представлена. Теоретически самая страшная угроза, обнаруженная в проектах ЦРУ, – разработка средств взлома криптографической защиты в реализациях ключевых протоколов и стандартов (AES, RSA, TLS/SSL) и разрушение существующих экосистем безопасности как крупнейших ИТ-вендоров, так и Интернета в целом. Но исходя из уже раскрытой Wikileaks части данных, ЦРУ даже не ставило перед собой в явном виде такую задачу. Для пользователя, чье устройство стало целью атаки, разница в том, была ли при этом взломана защита используемых им сервисов или нет, может быть неочевидна. На самом деле она принципиальна: даже самые отработанные и передовые методы атак с эксплуатацией уязвимостей ПО требуют доставки вредоносного ПО на устройство. Для этого приходится выстраивать некую более или менее специфическую, а во многих случаях и индивидуальную схему, чтобы обеспечить применение эксплойта на том или ином конкретном устройстве. Например, спровоцировать пользователя перейти на зараженный интернет-ресурс или запустить скачанный из Сети или пришедший по электронной почте файл. Для поддержания эффективности подобных техник необходимо разрабатывать массивную и громоздкую линейку эксплойтов и постоянно пополнять базу уязвимостей под конкретные версии ОС и программных прошивок, новых версий и модификаций ПО для всех семейств и серий устройств и сервисов, которые рассматриваются в качестве потенциальных целей. Именно этим и занимается ЦРУ, судя по данным из Vault 7.
Реальное преодоление криптографической защиты ключевых протоколов и алгоритмов шифрования, используемых в современных сервисах и продуктах, открыло бы перед ЦРУ куда более широкие возможности. Строго говоря, у ведомства отпала бы необходимость разрабатывать, поддерживать и обновлять весь тот огромный поток вредоносного ПО, который представлен в его «базе знаний». Имея возможность гарантированного взлома криптографической защиты в реализациях, например, AES, ЦРУ могло бы разместить средства перехвата интернет-трафика в сетях связи и просто расшифровывать почти любые потоки данных, передаваемые пользователями тех же мессенджеров, не утруждая себя задачей доставки эксплойтов и средств удаленного контроля на то или иное конкретное устройство. Подобные возможности пыталось проработать АНБ в упомянутой программе Bullrun еще с начала 2000-х гг. в рамках добровольно-принудительного сотрудничества с разработчиками средств защиты информации. Кроме того, в АНБ работали над поиском фундаментальных решений, позволяющих взламывать шифрование таких протоколов, как TLS/SSL, HTTPS, SSH. Успех на втором направлении означал бы фактическое разрушение экосистемы доверия, на основе которой и функционирует Интернет. Но этот ключевой рубеж, судя по данным из Vault 7, пока не взяли ни АНБ, ни ЦРУ.
Шестое. На основе уже раскрытых данных можно сказать, что ЦРУ уступает АНБ в степени продвинутости и технологическому уровню разработок. Раскрытый арсенал ЦРУ не содержит ни принципиально новых техник атак, ни по-настоящему прорывных образцов вредоносного кода. В свое время (2005–2010 гг.) разведслужба, предположительно вместе с Киберкомандованием США и израильским МОССАДом, создала целое семейство уникальных, не имевших аналогов программ для кибершпионажа и киберсаботажа на Ближнем Востоке (тот же Stuxnet, а также Flame, DuQu, Gauss и проч.). Концепции и сам код этого вредоносного ПО вызвали мощное эхо в киберпреступности и среди околоправительственных хакерских группировок, неоднократно подвергались переработке, модернизации, использовались и до сих пор используются самыми разными акторами. Ничего подобного по уровню в нынешней базе знаний пока найти не удалось. Кроме того, в документах утечки нет описания инструментов, которые бы в полной мере подпадали под условное понятие «кибероружия»: например, средств эксплуатации уязвимостей в АСУ ТП критически важных объектов и стратегических оборонных инфраструктур.
Седьмое. Нынешние утечки могут стать катализатором давно назревших изменений по крайней мере в двух областях.
Одна из них – согласование и внедрение стандартов и механизмов безопасности там, где они по различным причинам отсутствуют. Например, речь идет об Интернете вещей, устройства которого сегодня активно используются для организации беспрецедентно масштабных сетевых атак, которые уже угрожают устойчивости ключевых сервисов Интернета, включая глобальную DNS. Еще одна область, где стандартизация безопасности серьезно отстает от развития самой технологии – «умный» транспорт, который как раз попал в прицел ЦРУ. Наконец, изменения необходимы и в таких областях, как внедрение обязательного шифрования данных на нижних уровнях сетей производственных объектов (уровень обмена данными между АСУ ТП). Угроза со стороны государственных спецслужб может стать стимулом к ускоренной разработке и внедрению углубленных стандартов и принципов безопасности.
Вторая область, в которой остро необходим прогресс – выработка международного режима ответственного поведения в киберпространстве, в том числе в части разумного ограничения государственных киберопераций. С учетом последних событий надежд на то, что этот вопрос решат между собой сами государства, мало. Принимаемые на международных площадках доклады и меры доверия пока по большей части остаются декларациями о намерениях, а бюджеты программ спецслужб на создание военизированного киберпотенциала на многие порядки превышают расходы на продвижение дипломатических инициатив по регулированию поведения в киберпространстве. Ситуацию может изменить альянс глобальных ИТ-вендоров и инженерного сообщества, чьим бизнес-интересам и принципам деятельности напрямую угрожают государственные программы киберопераций. Именно эти игроки в состоянии сформулировать нормы и стандарты, которые сами смогут выполнять, будучи глобальными разработчиками и провайдерами технологий и инфраструктуры. В этом смысле российские, китайские и американские вендоры, разработчики и сетевые инженеры могут оказаться в одной лодке, даже пока их правительства скованы взаимным недоверием и гонкой цифровых вооружений. Частных игроков объединяют интересы бизнеса, а с сетевыми инженерами их сближает необходимость поддержания единства и открытости Интернета, без которой невозможно существование глобального ИТ-рынка. Дополнительную поддержку им могут оказать проекты гражданского активизма, включая Wikileaks. Последний вскоре после публикации Year Zero уже пошел на сотрудничество с частными компаниями, чья продукция стала мишенью киберинструментов ЦРУ, предложив передать им данные вредоносного кода программ спецслужбы для скорейшего закрытия уязвимостей в их продуктах. Возможно, конструкция «ИТ-компании – инженеры – гражданские активисты» сможет ответить на вызов вепонизации киберпространства оперативнее, чем правительства – или по крайней мере заставит последние ускорить работу в этом направлении.
Данная статья представляет собой выдержки из работы, подготовленной по заказу Совета по внешней и оборонной политике. Полный текст можно прочитать – http://www.globalaffairs.ru/global-processes/TcRU-vezde-i-vsyudu-18633
