США уже больше двадцати лет проводит военные операции в киберпространстве вне военного конфликта. Стоит ли удивляться, что другие игроки берут пример с основоположников и перенимают лучшие практики?
Генерал Пол Накасоне, руководящий одновременно Агентством Национальной Безопасности США и Киберкомандованием Министерства обороны той же страны, написал (в соавторстве) пространную статью про «конкуренцию в киберпространстве». В ней он описывает путь, который прошли американские кибервоенные – от защиты электронных сетей до «проактивной стратегии». Основные тезисы Накасоне таковы:
- раньше наши действия сводились к тому, чтобы защищать сети;
- Россия, Китай, Иран и ИГИЛ (запрещена в России) ведут вне военного конфликта боевые действия против наших компьютерных сетей;
- теперь мы поменяли подход и выбрали проактивную стратегию, в рамках которой мы можем выявлять планируемые вторжения в наши сети.
Методы, которыми эта «проактивная стратегия» пользуется «за пределами государственных сетей США» не раскрываются.
От изложенного в статье у неподготовленного читателя может создаться впечатление, что русские и китайские хакеры (активно применяется знакомый нарратив: русские – вмешиваются в демократию, китайцы – крадут информацию) испокон веку нападали на американские сети, а американцы сидели сложа руки, уповая на то, что такого не может происходить в мирное время. И даже собрав достаточно прецедентов не сразу начали защищаться: сначала потребовалось решение Конгресса, потом выработка стратегии, потом создание киберкомандования…
Чтобы показать, насколько серьёзно мистер Накасоне лукавит, давайте вернёмся в 2015 год. На конференции SAS российская антивирусная компания «Лаборатория Касперского» представляет доклад о самой продвинутой и организованной хакерской группе из всех, которые когда-либо выявлялись. Изученные «Касперским» инструменты этой хакерской группы отличались необычной реализацией криптографических функций, благодаря которым группа получила название Equation group.
Исследовав, по мере возможностей, инфраструктуру командных серверов Equation, специалисты «Касперского» обратили внимание на даты регистрации доменов, ведущих на эти сервера. Там был и 2001 год, и даже 1996. Судя по количеству зарегистрированных в разные годы доменов, в середине девяностых начались серьёзные научно-исследовательские работы в области кибероружия, а в 2001 году группа Equation начала активные действия, взламывая частные и государственные системы.
Спустя год после доклада «Касперского» хакерской группе, которая назвала себя Shadow Brokers, удалось похитить и опубликовать полный набор используемых Equation инструментов. Их названия оказались знакомы специалистам по кибербезопасности. Все они были в каталоге инструментов АНБ, который за несколько лет до того опубликовал беглый сотрудник АНБ Эдвард Сноуден. В целом исследование Касперского и последующие утечки позволили аттрибутировать Equation с подразделением АНБ, которое тогда называлось Tailored Access Operation, а теперь – Computer Networks Operations.
Инструменты и тактики, применяемые Equation, поражают воображение специалистов: в своём кибероружии они использовали уязвимости, которые стали известны киберсексообществу только спустя годы. Для разработки инструментов использовались недокументированные возможности программ и оборудования, известные только производителям. Похоже, что ряд уязвимостей был сознательно заложен производителями по требованию американских государственных организаций. В докладе Касперского оценивался масштаб деятельности группы: 2 тысячи заражений в месяц, а сами кибероперации были направлены против тридцати стран.
Упоминает Накасоне в своей статье и «фабрики троллей для дезинформации» Напомним, о чём речь, цитатами из технического задания:
«Каждая фальшивая интернет-персона должна иметь убедительную предысторию, историю и вспомогательные детали […] До пятидесяти контролёров должны иметь возможность управлять виртуальными личностями без страха быть обнаруженными изощрённым противником».
Что мы цитируем? Нет, это не похищенные отважными борцами за свободу документы «ольгинских троллей». Это тендер 2011 года, организованный центральным командованием вооружённых сил США и выигранный компанией Ntrepid, которая, судя по всему, была создана специально под этот тендер.
Ряд российских экспертов, в том числе и автор этих строк, полагает, что неоднократно сталкивались с виртуальными личностями, действующими по этому контракту. Если вы читали в начале-середине 2010-х «Живой журнал», вы должны вспомнить: в комментарии к некоторым записям регулярно набегали пользователи с однотипными аватарками агента Смита из «Матрицы» и текстами словно по одной методичке.
В конце концов, пресловутая «коренная крымчанка, дочь офицера», вольно или невольно засветившая свой американский IP-адрес, стала фольклорным персонажем, олицетворяющим именно американскую интернет-пропаганду.
Таким образом, возглавляемое Полом Накасоне ведомство уже больше двадцати лет занимается тем, на что он сетует в своей статье: проводит военные операции в киберпространстве вне военного конфликта. Стоит ли удивляться, что другие игроки берут пример с основоположников и перенимают лучшие практики?
Что же до рассказов генерала о былой неготовности США отражать атаки на свои военные и государственные системы (при своём назначении в 2018 году Накасоне образно называл их «кибермальчиком для битья» для российских и китайских хакеров), остаётся только развести руками: на развязанную вами же кибервойну надо приходить подготовленными.