Тотальный шпионаж и кибервойна, или Как АНБ хочет завоевать мир с помощью вирусов

 ВЛАДИМИР БРЮКОВ, независимый аналитик

Тотальный шпионаж и кибервойна,
или Как АНБ хочет завоевать мир с помощью вирусов

Человечество, пережившее две мировые войны, похоже, сегодня оказалось на грани начала третьей – кибернетической, хоть и не cтоль кровопролитной, но тоже весьма разрушительной

Атака на Иран

В условиях растущей автоматизации и интернетизации современного общества атака уже в совсем недалеком будущем может начаться не с выстрелов или залпов артиллерийских орудий, а с внезапной и незаметной атаки с помощью кибероружия, способного быстро и эффективно уничтожить цель. А затем… просто удалить себя, оставив неприятеля в неведении не только по поводу причины произошедшего ЧП, но и авторства страны-агрессора.

Причем ряд признаков надвигающего глобального кибернетического противоборства уже сегодня нетрудно заметить. Во-первых, уже сформировался союз стран в виде разведывательного альянса «Пять глаз» с участием США, Великобритании, Канады, Австралии и Новой Зеландии, который последние пять лет не только активно занимается сбором информации, но и наносит киберудары по своим противникам. К этому сообществу следует добавить Израиль – эта страна хотя в альянс и не входит, но с американцами тесно сотрудничает.

Во-вторых, появилась и первая страна-жертва, пострадавшая от разрушительных кибератак. Как и следовало ожидать, о первом акте киберагрессии мировая общественность узнала не от ее инициаторов, а из очень краткого сообщения на сайте WikiLeaks от 17 июля 2009 года: «Две недели назад источник, связанный с ядерной программой Ирана, конфиденциально сообщил WikiLeaks о серьезной аварии в Нетензе, являющейся главным иранским центром по обогащению урана. …WikiLeaks обычно не сообщает о таком инциденте без дополнительного подтверждения, но, по данным иранских СМИ и британской радиовещательной корпорации BBC, глава иранской Организации по атомной энергии Голям Реза Агазаде ушел в отставку при весьма загадочных обстоятельствах... Согласно сообщениям СМИ, в отставку он подал еще 20 дней назад» [1].

Подготовка к кибератаке на иранский центр по обогащению урана в Нетензе началась еще в 2006 году, когда выяснилось, что многие союзники США не готовы к согласованным санкциям против Ирана. Тогда заместитель председателя Объединенного комитета начальников штабов генерал Джеймс Картрайт представил президенту Дж. Бушу-младшему компьютерную программу, которую можно было использовать в качестве наступательного кибероружия. При этом перед АНБ тогдашней президентской администрацией была поставлена цель получить доступ к промышленным контроллерам завода в Нетензе, но для этого требовался программный код, способный инфицировать компьютеры этого предприятия, не имеющие связи с Интернетом. Для нанесения эффективного киберудара код нужно было ввести в специализированные компьютеры, управлявшие центрифугами. Операция проводилась совместно с радиоэлектронной разведкой Израиля, собравшей довольно подробную информацию о работе центра в Нетензе [2].

С первых месяцев пребывания в своей должности президент Обама тайно приказал усилить кибератаки на компьютерные системы, управляющие на иранских заводах процессом обогащения урана, тем самым впервые значительно расширив использование в США этого вида оружия. На это решение не повлиял даже тот факт, что из-за программной ошибки вирус вышел за пределы иранского центра в Нетензе и начал распространяться по миру. В результате эксперты по ИТ-безопасности приступили к исследованию обнаруженного ими «боевого червя», созданного в США и Израиле, которому было дано имя Stuxnet [2].

По мнению эксперта натовского киберцентра в Эстонии Кеннета Гирса, высказанному на одной из конференций о безопасности, успех атаки Stuxnet зависел исключительно от контактов с нужными с людьми и… от элементарных USB-накопителей. «Можно заплатить кому-то, кто запустит трояна в закрытую систему или подменит флешку, которая предназначалась только для внутреннего пользования. Достаточно вставить в стандартный USB-разъем компьютера инфицированную флешку, и Stuxnet тут же автоматически перескакивает на операционную систему, и никакие антивирусные программы и прочие меры защиты ей не помеха», – полагает г-н Гирс [3].

И действительно, «слабым звеном» оказался человеческий фактор – Stuxnet был занесен в систему посредством обычного USB-накопителя, который по неосторожности вставил в рабочую станцию нерадивый сотрудник. Примечательно, что после заявлений министра разведки Ирана Гейдара Мослехи о задержании «ядерных шпионов» (ими оказались совершенно непричастные к этому российские техники) руководство Siemens признало, что вирус занесли сотрудники компании, подчеркнув непреднамеренный характер заражения. Следует отметить, что Stuxnet поражает лишь конкретный тип контроллеров Siemens, а именно SIMATIC S7, который, по сведениям МАГАТЭ, используется лишь Ираном [3].

Судя по данным СМИ, Stuxnet примечателен тем, что использовал не одну, а четыре 0-day-уязвимости операционных систем семейства Windows, из которых только две были известны экспертам по ИТ-безопасности, но очень мало. Кроме того, вирус использовал еще и пятую, известную, но очень серьезную уязвимость в службе удаленного вызова процедур Windows (RPC), которую уже использовал червь Conficker. Вирус был подписан краденой цифровой подписью. Вредоносный код размером в половину мегабайта писала команда настоящих профессионалов на ассемблере, С и С++. При этом вирус не занимается рассылкой спама, не форматирует диск и даже не крадет банковские данные, а атакует индустриальные системы контроля и управления, использующие софт Simatic WinCC [4].Целью кибернападения было заставить изменить скорость движения ротора центрифуги, которая сначала поднималась до 1410 герц, потом снижалась до 2 герц и вновь поднималась до нормальной – 1064 герц [5]. В результате столь резких перепадов в скорости вращения центрифуги выходили из строя.

Впрочем, как полагают эксперты, если целью было быстро уничтожить все центрифуги, то ее Stuxnet не достиг. Но если целью было уничтожить ограниченное число центрифуг и замедлить прогресс Ирана в деле обогащения урана, то ее можно считать, хотя бы временно, достигнутой [6].

Статистические данные, опубликованные Федерацией американских ученых (the Federation of American Scientists) показывают, что число работающих центрифуг в Нетензе сократилось с 4700 до 3900 единиц в первой половине 2009 года, и, по всей видимости, вирус мог уничтожить до 1000 центрифуг в период между ноябрем 2009-го и концом января 2010-го [7].

Бывший сотрудник Агентства национальной безопасности (АНБ) Эдвард Сноуден в интервью немецкому еженедельнику «Шпигель» 9 июля прошлого года подтвердил факт сотрудничества США и Израиля в разработке «боевого червя» Stuxnet, заметив, что он был создан для атаки ядерной программы Ирана [8].

Слежка во вселенском масштабе

Обнародованные Сноуденом документы также свидетельствуют о том, что АНБ планирует заразить миллионы компьютеров по всему миру вредоносным софтом. Об этом недавно написали американские авторы Райан Галлахер (Ryan Gallagher) и Гленн Гринвальд (Glenn Greenwald), которым беглый сотрудник АНБ передал всю позаимствованную им у агентства секретную документацию [9].

Как пишут эти авторы, АНБ начало быстро расширять свои хакерские возможности еще лет десять назад. Согласно внутренней секретной информации агентство еще в 2004 году создало небольшую хакерскую сеть, способную взломать и вести слежку в масштабе 100-150 компьютеров. Но в течение следующих шести–восьми лет TAO (Tailored Access Operations) – элитное подразделение АНБ, занимающееся операциями специального доступа, – сумело набрать новых хакеров и разработать новые инструменты для взлома. В результате этого количество атакуемых вирусами-шпионами компьютеров увеличилось до десятка тысяч.

Для того чтобы проникнуть в зарубежные компьютерные сети, на которые не было доступа с помощью других средств, АНБ решило выйти за пределы традиционной радиоэлектронной слежки (SIGINT), заключающейся в перехвате сигналов, посылаемых по каналам связи. Вместо этого оно стремилось расширить «активные» методы слежки, используя тактику прямого внедрения вредоносного ПО в компьютеры и сетевые устройства.

В опубликованных Сноуденом документах агентство описывает такие методы, как «более агрессивный подход к радиоэлектронной слежке SIGINT», и говорит о том, что задачей его спецподразделения TAO является резкое расширение масштабов таких операций. Вместе с тем АНБ признает, что управление масштабной сетью внедренных вирусов-шпионов является слишком сложной задачей для человека. «Одной из самых серьезных проблем для активных SIGINT-атак является их масштаб. Человек не в состоянии управлять масштабной сетью внедренных вирусов-шпионов, поскольку люди, как правило, действуют в рамках своей собственной среды, не принимая во внимание общую ситуацию», – говорится в сверхсекретном документе АНБ 2009 года [9].

Эту проблему агентство решило с помощью системы TURBINE, реализованной в рамках деятельности его спецподразделения TAO. Как это сообщается в документах, обнародованных Сноуденом, TURBINE представляет собой совокупность интеллектуальных средств контроля и управления за крупномасштабной эксплуатацией сетью внедренных вирусов-шпионов. Таким образом, система TURBINE была создана с целью облегчить использование вредоносного ПО для хакеров АНБ.

Как сказано в одном из документов, подготовленных дирекцией АНБ, данная система позволяет избавить ее пользователя от необходимости знать или заботиться о деталях, связанных с проводимой им операцией: «Например, пользователь может запросить все детали о приложении Х, но ему не нужно знать, как и где это приложение хранит файлы, записи в реестре и прочие данные» [9].

На практике это означает, что TURBINE автоматизировала многие важные процессы, которые ранее приходилось выполнять вручную, в том числе заниматься конфигурацией внедряемых шпионов-вирусов и постановкой задач, связанных со сбором разведывательных данных из зараженных систем. Причем сама по себе процедура автоматизации этих процессов имела не только технический характер, но и была чем-то большим. Этот шаг представлял собой серьезный сдвиг в деятельности АНБ, позволяющий ей значительно расширить границы электронной слежки. О его последствиях подробно рассказывается в одном недатированном сверхсекретном документе АНБ, в котором описано, как за счет системы TURBINE агентство планирует увеличить количество шпионского софта с нескольких сотен до потенциально возможных миллионов копий. Причем в шпионском ПО имелись как программы CNE (Computer Network Exploitation), внедряемые в компьютеры и сети в целях сбора информации, так и программы CNA (Computer Network Attack), предназначенные для атаки, нанесения ущерба либо разрушения их.

Обнародованные секретные данные позволяют сделать вывод, что внедрение системы TURBINE дало свои результаты. Данная система стала функционировать примерно с июля 2010 года, постепенно занимая все более важное место в хакерских операциях АНБ. Согласно обнародованным Сноуденом данным, АНБ уже удалось внедрить примерно 85 000-100 000 копий вредоносного софта в компьютерах и сетях по всему миру.

Следует заметить, что система TURBINE работает с ведома и поддержки ряда других стран, часть которых принимала участие в распространении вредоносных программ. Специальная маркировка на рассекреченных Эдвардом Сноуденом документах показывает, что они предназначались не только для США, но и для Великобритании, Канады, Новой Зеландии и Австралии, которые входят в альянс «Пять глаз» [9].

Изощренные способы обхода защиты

АНБ имеет разнообразный арсенал вредоносных инструментов, высокоинтеллектуальных и настраиваемых для различных целей. Одна шпионская программа под кодовым названием UNITEDRAKE может быть использована с различными «плагинами», позволяющими агентству получить полный контроль над зараженным компьютером.

Например, внедряемый плагин по имени CAPTIVATED-AUDIENCE используется, чтобы взять под контроль микрофон компьютера и записывать разговоры, происходящие рядом с устройством. Другой плагин GUMFISH может секретно взять под контроль веб-камеру компьютера и делать фотографии. FOGGYBOTTOM записывает журнал посещений используемого интернет-браузера, а также собирает информацию о его логинах, паролях, доступе на веб-сайты и учетные записи электронной почты. Плагин GROK используется для перехвата вводимых с клавиатуры символов. А плагин SALVAGERABBIT извлекает данные из USB-флеш-накопителей, подключаемых к пораженному компьютеру [9].

Шпионские вирусы позволяют АНБ обходить используемые в Интернете инструменты защиты, необходимые для сохранения анонимности пользователей, а также вскрывать рассылаемые по всей сети зашифрованные письма. Внедренный шпионский софт дает агентству неограниченный доступ к взломанному компьютеру, и информация о содержании письма становится известна еще до его шифровки. Неясно, сколько вредоносного ПО ежегодно внедряется в компьютерные сети, и какие модификации вирусов-шпионов сегодня наиболее активно используются АНБ по всему миру.

У АНБ были также вирусы, специально предназначенные для заражения крупных сетевых маршрутизаторов, используемых интернет-провайдерами за рубежом. Благодаря этому агентство получало секретный доступ и могло отслеживать интернет-трафик и журнал посещений пользователя, а также перехватывать его сообщения.

Как показывают обнародованные секретные данные, далеко не все вирусы использовались для сбора информации. Иногда АНБ ставило перед собой цель не организации слежки, а реализации атаки на компьютерную сеть пользователя. Например, программа QUANTUMSKY, разработанная еще в 2004 году, предназначалась для блокировки атакуемого компьютера от доступа на определенные сайты. Другая программа QUANTUMCOPPER, впервые протестированная в 2008-м, блокирует загрузки файлов у атакованного компьютера. Согласно обнародованным Сноуденом данным, из девяти вредоносных программ, разработанных АНБ, шесть были предназначены для слежки, две – для атаки и только одна использовалась в целях защиты сети правительства США.

Согласно секретному документу от 2012 года АНБ могло распространять свое вредоносное ПО путем рассылок спама. После того как пользователь открывал это письмо, его компьютерная сеть заражалась в течение восьми секунд.

Правда, поскольку интернет-пользователи стали опасаться открывать подозрительные письма от неизвестных им лиц, АНБ стала применять новые технологии взлома. В частности, одну из таких технологий называют «атака посредника». Ее суть заключается в том, что секретно подключившийся к каналу связи криптоаналитик способен читать и видоизменять сообщения, которыми обмениваются корреспонденты.

В свою очередь, еще одна новая технология взлома называется «атака человека со стороны». С этой целью АНБ следит за интернет-трафиком пользователя до тех пор, пока он не входит на сайт, который доступен ее атаке. В этот момент установленные на зараженном сайте сенсоры дают сигнал системе TURBINE, которая в долю секунды нацеливается на IP-адрес компьютера жертвы. В результате чего происходил скрытый взлом компьютера, с жесткого диска которого извлекалась вся имевшаяся там информация. Для более эффективного использования «атаки человека со стороны» АНБ даже пришлось создать ложный сервер Facebook.

Чтобы внедрить некоторые из своих шпионских программ, АНБ использует уязвимости в системе безопасности в таких популярных интернет-браузерах, как Mozilla Firefox и Internet Explorer. Хакеры агентства также используют слабые места в безопасности сетевых маршрутизаторов и в популярных плагинах, таких как Flash и Java, для доставки вредоносного кода в предназначенные для взлома компьютеры.

Внедряемые вирусы в состоянии обойти антивирусные программы, причем АНБ приняла меры по сохранению секретности используемой технологии. Например, внедряемая вирусная программа VALIDATOR, которая использует внедрения вирусов и загрузки данных с зараженного компьютера, может самоуничтожиться после истечения установленного периода времени.

Во многих случаях брандмауэры и другие средства защиты, по всей видимости, не представляют большого препятствия для АНБ. «Если пользователь намеченного к взлому компьютера вынужден будет посетить нас (то есть зараженный сайт – прим. Б.В.) с помощью определенного типа веб-браузера, то мы с ним скорее всего справимся, единственный только вопрос: как?» – хвастается один из хакеров в опубликованном секретном документе.

Шпионаж за сисадминами

По информации Сноудена, описанные выше технологии слежки использовались как против подозреваемых в терроризме, так и против лиц, рассматриваемых АНБ в качестве экстремистов. Однако мандат на взлом, выданный хакерам агентства, не ограничивался только теми, кто представлял угрозу безопасности США.

В одном секретном служебном сообщении для внутреннего пользования один из руководителей АНБ описывает использование вредоносного ПО для атаки на компьютеры системных администраторов, работающих в зарубежных телефонных компаниях и у провайдеров интернет-услуг. Путем взлома компьютера сисадмина агентство может получить скрытый доступ к обширной информации о клиентах, имеющейся у этой компании. Таким образом, охота на компьютеры сисадминов облегчала для АНБ организацию электронной слежки, например, за правительственными чиновниками [9].

Подобная тактика использовалась и руководством Government Communications Headquarters (GCHQ), британской спецслужбой, выполняющей такие же задачи, как и АНБ. По информации немецкой газеты «Шпигель», опубликованной в сентябре прошлого года, сотрудники GCHQ взломали компьютеры, принадлежащие сетевым инженерам Belgacom – бельгийской телекоммуникационной компании. Взлом под кодовым названием «Операция социалист» имел своей целью мониторинг звонков, поступающих с мобильных телефонов, подключенных к сети Belgacom. Опубликованные секретные данные говорят о том, что благодаря этой операции британская спецслужба имела доступ к сети Belgacom по меньшей мере с 2010 года.

АНБ ищет новые жертвы, за которыми устанавливается наблюдение, с помощью специальных фильтров, отслеживающих информацию, циркулирующую в интернет-кабелях. При этом фильтрация информации согласно опубликованным секретным документам производится с учетом таких данных, как адреса электронной почты, IP-адреса, и уникальных куки (небольших фрагментов данных, отправленных веб-сервером и хранимых на компьютере пользователя), содержащих имя пользователя или другую идентифицирующую информацию, которая посылается пользователю такими сайтами, как Google, Facebook, Hotmail, Yahoo и Twitter.

Другую информацию АНБ может получить из рекламных куки Google, отслеживающих привычки, уникальные ключи шифрования и идентификаторы компьютера, отправляемые по Интернету во время перезагрузки компьютера или обновления операционной системы Windows.

Следовательно, сегодня практически любой пользователь Интернета, живущий в том или ином конце мира, с той или иной вероятностью рискует стать объектом слежки для АНБ. Причем защититься от назойливого интереса этой разведслужбы довольно трудно, поскольку она обладает широким набором инструментов для обхода даже самых стойких средств защиты. Более того, в условиях глобализации кибершпионажа в зону риска попадают даже среднестатистические интернет-пользователи, до которых у АНБ раньше просто не доходили руки…

1. Serious nuclear accident may lay behind Iranian nuke chief's mystery resignation на сайте http://wikileaks.org/wiki/Serious_nuclear_accident_may_lay_behind_Iranian_nuke_chief%27s_mystery_resignation.
2. The New York Times, Sanger, David. Obama Order Sped Up Wave of Cyberattacks Against Iran (1 June 2012).
3. Stuxnet: война 2.0 от 12 октября 2010 г. на сайте http://habrahabr.ru/post/105964.
4. Федеральная Служба Опасности. Про вирус Stuxnet от 18 сентября 2010 года на сайте http://malaya-zemlya.livejournal.com/584125.html.
5. Eric Chien. Stuxnet: A Breakthrough. Symantec. Retrieved 14 November 2010.
6. Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant? Institute for Science and International Security. 22 December 2010. Retrieved 27 December 2010.
7. IAEA Report on Iran. Institute for Science and International Security. 16 November 2010. Retrieved 1 January 2011.
8. Snowden confirms NSA created Stuxnet with Israeli aid на сайте http://rt.com/news/snowden-nsa-interview-surveillance-831.
9. How the NSA Plans to Infect «Millions» of Computers with Malware. By Ryan Gallagher and Glenn Greenwald 12 Mar 2014 на сайте https://firstlook.org/theintercept/article/2014/03/12/nsa-plans-infect-millions-computers-malware.

Комментарии могут оставлять только зарегистрированные пользователи