Глава 33 Моя цифровая оборона
Как и в каждой войне, в киберконфликтах важна не только атака, но и оборона. До последнего времени российское государство практически не вело речи о необходимости оборонять государственные сайты и критическую инфраструктуру — атомные электростанции, военные заводы, системы снабжения и прочие объекты, успешные атаки на которые могут вызвать экологическую или финансовую катастрофу и привести к человеческим жертвам. В последние годы отношение изменилось, вероятнее всего, из-за постоянных новостей о хакерских проникновениях на жизненно важные объекты (например [251] на американскую АЭС), развития кибершпионажа и роста киберугроз со стороны террористических организаций.
«Думаю, документ о неприменении кибероружия скоро подпишут, — сказал мне один из сотрудников компании, связанной с защитой государственной критической инфраструктуры. — Но только после того, как произойдет какая-нибудь по-настоящему большая катастрофа». Правда, вирус NotPetya поразил компьютеры по всему миру уже после этого разговора — а никакой международной инициативы в области кибероружия так и не появилось.
Мой собеседник, занимающийся информационной безопасностью критической инфраструктуры, говорит, что на стратегически важных российских объектах часто находят «лишнее». «Обсуждаем с людьми оттуда, что у них проблема, но они не признают, что у них что-то может пойти не так. Говорят: ну это просто вирус с целью кражи денег, — рассказывает он. — Но ведь он оказался в закрытой инфраструктуре! И им повезло, что вирус с таким функционалом. А если бы у него была другая задача?»
Правоохранители и аффилированные с ними компании время от времени рассказывают о кибератаках на российское государство — видимо, сильно реже, чем они реально происходят. Например, в 2013 году против России было применено кибероружие Sputnik (узнать об этом можно из исследования [252] научно-производственного объединения «Эшелон», которое занимается сертификацией иностранного программного оборудования для Министерства обороны). Программа занималась кибершпионажем — собирала информацию о деятельности военных ведомств, институтов, дипломатических организаций, используя уязвимости «нулевого дня» в приложениях Word, Excel и Outlook для Windows. Отследить, куда стекались украденные сведения, не удалось: пункт назначения скрывала цепочка прокси-серверов. Сотрудники «Эшелона» поясняли, что украденные сведения могли быть интересны геополитическим врагам России, и заключали: «Кибервойны как форма проявления межгосударственного противостояния вошли в активную фазу».
В июле 2016 года ФСБ сообщила [253] об обнаружении троянов в информационной инфраструктуре правительственных, научных и оборонных учреждений страны (всего около двух десятков предприятий). Ведомство указывало, что атака была тщательно спланирована и осуществлялась на высоком профессиональном уровне. Под каждое предприятие писался [254] свой эксплойт, жертв заражали с помощью фишинга. После заражения программа подгружала необходимые модули, которые позволяли дистанционно включать вебкамеры и микрофоны, перехватывать сетевой трафик, сохранять данные о том, что пользователи набирали на клавиатуре. В парламентском комитете по безопасности тогда заявили [255], что подобный кибершпионаж «выгоден прежде всего американцам».
С помощью фишинга китайские прогосударственные хакеры годами атакуют [256] российские военные ведомства. «Данная группа работает еще с 2008 года. — указывали в отчете специалисты Positive Technologies. — С почтового ящика действующего офицера Минобороны России, к которому получили доступ хакеры, отправлялась рассылка с вредоносным вложением». В письмах говорилось о «компенсации военнослужащим за аренду жилья» и «повышении зарплаты военнослужащим». После заражения хакеры могли следить за зараженными компьютерами, скачивать с них информацию, делать скриншоты экрана, активировать микрофон и веб-камеру. Такие взломы могут не только привести к утечке секретных документов, но и дать хакерам доступ к критической инфраструктуре, что, в свою очередь, может быть использовано и для серьезных провокаций, и для начала кибервойны.
Сейчас, чтобы защитить свое общение в интернете, российские чиновники используют [257] закрытую государственную сеть RSNet. У каждого сотрудника есть защищенная рабочая почта, на которую можно зайти только с определенного IP и с определенного компьютера, но далеко не все соблюдают необходимые предписания, особенно если речь идет о высших эшелонах власти. Постепенно государство начинает задумываться и о защите телефонных разговоров: один из НИИ, работающих на российские спецслужбы, в 2017 году выпустил [258] «криптотелефон», позволяющий шифровать звонки.
***
Российский аналог американского Агентства национальной безопасности, ФАПСИ, появился [259] в начале 1990-х. Ведомство было создано на основе 8-го управления КГБ СССР отвечавшего в том числе за правительственную связь и засекречивание информации в интересах высших органов власти (именно там работал и играл с друзьями в шахматы Михаил Масленников; см. главу 28). Один из руководителей ФАПСИ Владимир Маркоменко во время выступления в Госдуме в 1996 году говорил [260], что «спецслужбы США постоянно предпринимают усилия по добыче сведений об информационно-телекоммуникационных комплексах других стран, в том числе и России», и прямо указывал, что в российских госорганах спустя рукава относятся к информационной безопасности.
Маркоменко считал, в мире давно идет «информационная война» и Россия не может оставаться от нее в стороне. «Боевые действия» в этой войне чиновник представлял себе так: «подавление инфраструктуры систем обороны противника, его информационных и телекоммуникационных систем», «перехват информации», «взлом информационных ресурсов противника», «борьба за общественное мнение путем распространения по информационным каналам противника и глобальным сетям дезинформации или тенденциозной информации для воздействия на оценки, намерения и ориентацию населения и лиц, принимающих решения». Фактически все его предсказания сбылись.
Оценить эффективность работы ФАПСИ трудно. Сотрудник ведомства рассказывал [261], что, работая администратором в компьютерном клубе, зарабатывал в два раза больше — но пошел служить государству, чтобы получить «ксиву» и «некоторую свободу действий»: «Можно помаленьку ломать, на небольшие проделки глаза, естественно, закрываются». ФАПСИ расформировали в 2003 году; часть подразделений перешли в состав ФСБ, другие — в ФСО.
***
Специалисты по информационной безопасности годами предупреждали, что хакеры смогут найти способ нанести настоящий физический урон критически важным объектам. В 2009 году это случилось, когда против Ирана применили Stuxnet, кибероружие, разработанное специально для того, чтобы помешать ядерной программе исламской республики. Как писал [262] журналист The New York Times Дэвид Сэнгер, целью создания Stuxnet было мирное решение возможной проблемы: США опасались, что Израиль начнет бомбардировки Ирана и его ядерных объектов.
Источники указывали [263], что Stuxnet создали спецслужбы сразу нескольких государств: ЦРУ АНБ и кибернетическое командование США, Центр правительственной связи Великобритании, спец-подразделение радиоэлектронной разведки израильского МОССАДа. Чтобы осуществить свои планы, спецслужбы сначала атаковали [264] пять иранских компаний, связанных с заводом по обогащению урана. После этого Stuxnet попал на флеш-накопители сотрудников и они, сами того не зная, заразили защищенную сеть завода, не подключенную к интернету. Когда Stuxnet, спроектированный специально под систему управления предприятиями, связанными с ядерной энергетикой, попал в систему завода по обогащению урана в Натанзе, он уничтожил более четверти всех его центрифуг, докачав к программному обеспечению дополнительный вредоносный код, который изменил поведение устройств.
Центрифуги приводились в движение электромотором и вращались со скоростью 1000 оборотов в секунду. Stuxnet увеличивал эту скорость до 1400 оборотов, а потом резко сбрасывал — в результате центрифуги разрушались. При этом инженеры завода, находящиеся в соседнем помещении, видели на своих экранах, что все процессы в норме. Они долгое время не понимали, в чем причина аварий; некоторых из них уволили, подозревая в нарушении правил эксплуатации.
После атаки Stuxnet продолжил распространяться в других странах: в 2010 году он заразил около 100 тысяч компьютеров по всему миру, в том числе проник в систему одной из российских атомных станций. Как и иранские заводы, АЭС не подключены к интернету, и заражение одной из станций могло свидетельствовать о серьезных проблемах с их безопасностью.
С тех пор появились новые виды кибероружия, действующие похожими способами. Так, в 2016 году эксперты компании ESET сообщили о появлении программы Industroyer, цель которой — вмешиваться в критические процессы в системах управления энергокомпаний: с ее помощью хакеры могли управлять выключателями на подстанциях. «Способность Industroyer влиять на работу промышленного оборудования делает ее наиболее опасной угрозой со времен Stuxnet», — заявляли в компании. Эксперты предполагают, что Industroyer могла быть причиной сбоя электроснабжения в Киеве в декабре 2016 года. Тогда свет пропал в четырех районах города.
23 июня 2017 года газета The Washington Post рассказала [265], что Барак Обама, когда еще был президентом США, поручил Агентству национальной безопасности разработать кибероружие против России в качестве ответа на предположительное вмешательство в американские выборы. Спецоперация предполагала внедрение в российскую электронную инфраструктуру «имплантов», которые в нужный момент смогут вывести ее из строя; журналисты назвали их «цифровым аналогом бомб». Америка не первый год использует эту технологию: бывший директор АНБ и ЦРУ Майкл Хайден говорил [266], что США установили в 2010-х «импланты» на десятки тысяч компьютеров по всему миру, «которые можно использовать, когда будет необходимо».
***
Еще в конце 1990-х чеченские террористы атаковали [267] российские государственные ресурсы и СМИ. 13 декабря 1999 года они взломали главную страницу новостного агентства ИТАР-ТАСС; через пару месяцев — разместили на главной странице РБК текст с угрозами в адрес россиян и исполняющего обязанности президента Владимира Путина.
Почти двадцать лет спустя кибератаки продолжают оставаться одним из направлений деятельности радикальных группировок, но теперь речь идет о более серьезных угрозах, чем просто взлом сайта в интернете. «Россия из-за участия в военных операциях на Ближнем Востоке сильно раздражает террористов, — заявил на конференции по безопасности 30 июня 2017 года Илья Сачков из компании Group-IB, занимающейся информационной безопасностью. — Мы, к сожалению, уже в этом году столкнемся с успешной атакой на критически важную инфраструктуру» (примерно во время его рассказа происходила крупнейшая хакерская атака в истории, распространение вируса NotPetya, — подробнее о ней в главе 35).
Через год после того, как лидер «Исламского государства» провозгласил создание «халифата» на территории Сирии и Ирака, внешняя пропаганда группировки сильно изменилась: вместо постов и видео, в которых новобранцев агитировали воевать на стороне ИС начали появляться материалы с призывами помочь в строительстве нового государства, которому требовались врачи, учителя, журналисты, программисты. Примерно в это же время в ИГ появилось хакерское подразделение — ISIS Hacking Division264 [268] или «Киберхалифат». Его организовал переехавший из британского Бирмингема хакер Трик (TriCk).
У Трика к тому времени был большой опыт: свой первый взлом он совершил [269] в 11 лет, чтобы отомстить сопернику по онлайн-игре, а в 15 собрал хакерскую группировку Team Poison. Целью ее было не зарабатывание денег, но сопротивление: Трик считал необходимым бороться за права палестинцев и жителей Кашмира — и в рамках этой борьбы вместе с товарищами атаковал произраильские и американские медиа и соцсети, например, размещая собственные лозунги и предупреждения на главных страницах идеологически враждебных сайтов.
Team Poison нападала на сайты НАТО, Министерства обороны Великобритании, аккаунт Марка Цукерберга в фейсбуке. В 2012 году после взлома [270] почты помощника бывшего премьер-министра Великобритании Тони Блэра Трика нашли и арестовали — хакером оказался Джунейд Хуссейн, сын пакистанских эмигрантов. Проведя полгода в английской тюрьме, он уехал в столицу ИГ Ракку, где взял себе имя Абу Хуссейн аль-Британи и стал главным хакером группировки.
В этом качестве он продолжал делать то, что умел лучше всего, — взламывал американские сайты и соцсети. Например [271], в январе 2015 года Хуссейн разместил в твиттере американского центрального военного командования пост «Солдаты США, мы идем, берегитесь». Хакер раскрывал личности и адреса американских военных в США, призывая сторонников найти их и убить. Летом 2015 года Трик раскрыл личности двух активистов, борющихся с пропагандой ИГ в интернете; их казнили. В начале августа 2015-го 21-летний Хуссейн оказался на третьем месте в списке [272] Пентагона на уничтожение — после лидера «халифата» Абу-Бакра Аль-Багдади и палача ИГ] называвшего себя Джихадистом Джоном.
Через несколько дней после этого агент под прикрытием связался с хакером в защищенном мессенджере Surespot (Трик публиковал свои контакты в твиттере, чтобы с ним могли переписываться единомышленники). Во время разговора он скинул Хуссейну ссылку на страницу, с которой в телефон хакера загрузился вирус. После этого его смогли отследить — и дрон сбросил на Хуссейна бомбу. Агентом под прикрытием оказался хакер ShmOOp, после смерти Трика он написал [273]: «Я, блядь, виновен, мне жаль, я играл в игру, в которую не должен был [играть]».[274] Он утверждал [275], что помог спецслужбам из-за того, что те угрожали его семье, и говорил, что его обманули. «Я помог вам его УБИТЬ. Как вы думаете, удается мне теперь поспать ночью? — писал ShmOOp. — Он был террористом и животным, но я чувствую, что меня предали».
Несмотря на смерть Хуссейна, специалисты по информбезопасности вскоре стали замечать на подпольных форумах по всему миру рост интереса террористических группировок к хакерским атакам, в особенности на критическую инфраструктуру. Об этом рассказывает собеседник, исследующий площадки общения хакеров; эту информацию подтверждает [276] один из отчетов Group-IB. Сотрудник российских спецслужб рассказывал мне, что пользователи, выходящие с сирийских IR предлагают специалистам по кибербезопасности работу и интересуются методами ведения кибервойны. Сообщения на форумах они пишут в основном через Google Translate. Кроме того, террористов интересуют способы проникнуть в системы оборонных предприятий, чтобы украсть секретные разработки. Как рассказывал The New York Times Magazine, уже многие годы различные группировки ищут [277] красную ртуть — выдуманную военную разработку CCCR которую якобы можно использовать для создания оружия массового поражения.
«Если игиловцы на самом деле поймут, где покупать уязвимости нулевого дня, то начнут происходить не самые хорошие события», — говорит специалист по безопасности критической инфраструктуры. «Человечество борется с терроризмом с XIX века, — объясняет специалист по информационной безопасности Илья Сачков. — Наука о защите киберпространства появилась более-менее около 20 лет назад, но серьезно с терроризмом в интернете мы никогда не встречались. Только с точечными атаками — как на Украине».
***
Успех Stuxnet в борьбе с иранской ядерной программой не остался незамеченным в России. В январе 2013 года Владимир Путин поручил [278] ФСБ создать государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Идея заключалась в том, чтобы «накрыть» все государственные информационные ресурсы колпаком единой системы с постоянным мониторингом всего периметра — отслеживать всю входящую информацию из интернета. К этой системе решили подключить все ресурсы и объекты критической инфраструктуры, чтобы они обменивались информацией об атаках с главным центром — он должен был определять, как устроена атака, и направлять рекомендации о безопасности другим участникам ГосСОПКА.
Концепцию системы утверждали два года. В 2015 году ФСБ опубликовала [279] выписку из нее. Там указывалось, что ГосСОПКА будет разделена на центры реагирования в разных регионах и ведомствах и что при ФСБ создается Национальный координационный центр по компьютерным инцидентам (Gov-CERT), который займется обороной критической инфраструктуры. Возглавил Gov-CERT сотрудник ФСБ Алексей Новиков; по его словам, к ноябрю 2016-го к системе были подключены десять госорганов, ведомственные центры реагирования уже запустили Центробанк и «Ростех» [280].
Новиков объяснял [281], что сейчас спецслужбы выстраивают обмен информацией об инцидентах между госорганами. По его словам, в системе будет предусмотрен специальный режим, в котором сообщение об инциденте можно будет отправить в центр вместе с «запросом на оказание содействия». Такие сообщения будут иметь высший приоритет, дежурная смена Национального координационного центра по компьютерным инцидентам их сразу увидит и начнет действовать: например, привлечет провайдеров к фильтрации вредоносного трафика или попытается прекратить функционирование бот-сетей. Чиновник утверждает, что еще в 2014 году во время Олимпиады в Сочи ФСБ удалось вывести из строя несколько центров управления бот-сетями.
Кроме того, ФСБ требует, чтобы госслужащие внимательнее относились к электронным письмам. «Одна из госкорпораций получила несколько [подозрительных] писем, сотрудники службы безопасности переслали их нам на исследование, — рассказывал Новиков на Уральском форуме по информационной безопасности в феврале 2017 года. — Мы провели экспресс-анализ и обнаружили известное семейство [вирусов]. Мы смогли установить, откуда были отправлены письма. Оказалось, что они ушли еще на 10 объектов, но мы смогли предотвратить атаку».
В декабре 2016 года премьер Дмитрий Медведев внес в Госдуму законопроект о безопасности критической информационной инфраструктуры, который обязывает все объекты обмениваться данными с ГосСОПКА. Документ не только предполагает создание специального реестра для компьютерных систем, использующихся на критически важных объектах, но и предусматривает новую уголовную статью за атаки на критическую информационную инфраструктуру. Максимальное наказание по ней — 10 лет тюрьмы, причем получить его могут не только хакеры, но и те госслужащие, из-за попустительства которых произошла утечка или атака.
По мнению ФСБ, курировавшей законопроект, если быстро не предпринять шаги по защите инфраструктуры, террористы и иностранные спецслужбы будут угрожать стабильности страны: Россия «поставлена в прямую зависимость от безопасности функционирования информационно-телекоммуникационных сетей и информационных систем». «При развитии событий по наихудшему сценарию компьютерная атака способна полностью парализовать критическую информационную инфраструктуру государства и вызвать социальную, финансовую и (или) экологическую катастрофу», — говорилось [282] в пояснительной записке ФСБ к законопроекту. В качестве примеров возможных сценариев атак в документе упоминались Stuxnet и «паралич работы нескольких крупных финансовых учреждений Южной Кореи в марте 2013 года».
От ФСБ законопроект и критическую безопасность инфраструктуры курирует заместитель директора ведомства Дмитрий Шальков. В январе 2017-го он заявил, что за прошлый год из-за рубежа российские информационные ресурсы атаковали 70 миллионов раз (Владимир Путин называл [283] эту же цифру, говоря о 2015 годе). «Российская инфраструктура постоянно подвергается хакерским атакам. В ноябре 2016 года совершалась массированная атака на финансовый сектор страны. Объектами стали Сбербанк, „Альфабанк", „Банк Москвы" и другие. Атаки были нейтрализованы специалистами по информационной безопасности ФСБ. Количество атак на официальные ресурсы России неуклонно растет», — объяснял [284] Шальков, представляя законопроект в Госдуме.
В первом чтении его приняли [285] 27 января 2017 года — однако второе чтение многократно откладывалось. 23 июня глава ФСБ Александр Бортников попросил [286] депутатов ускорить принятие законопроектов о критической инфраструктуре; через две недели, 7 июля 2017, документ прошел второе чтение, а вместе с ним приняли [287] поправку к закону о гостайне — к таким сведениям добавились меры обеспечения безопасности критической информационной инфраструктуры и ее защищенности от кибератак. Через несколько дней закон подписал Владимир Путин.
В феврале 2019 года российские власти решили изолировать российский сегмент интернета и фильтровать весь входящий интернет-трафик. Теперь при необходимости власти смогут отключить весь «внешний интернет», то есть все сайты, находящиеся не на российских серверах. Технический директор «Роскомсвободы», организации, которая следит за соблюдением свободы слова в сети, считает [288], что этот шаг — еще одна часть стратегии, с помощью которой власть пытается обезопасить себя от протестов: их участники обычно координируют действия именно через интернет.
***
Средства для защиты критической инфраструктуры выпускают многие коммерческие компании: Positive Technologies, «Лаборатория Касперского», Group-IB283 [289]. Одна из них, «Информзащита», много лет работает с государством: например, она занималась обеспечением безопасности транспорта во время Олимпиады в Сочи. Журнал Forbes сообщал [290], что «Информзащита» за пять лет заключила четыре с половиной сотни контрактов с госзаказчиками на общую сумму в пять миллиардов рублей.
Основатели «Информзащиты» — выходцы из Генерального штаба и военных НИИ (в том числе из «Кванта»), В конце 1990-х они начали устанавливать свои системы защиты в российской Центральной избирательной комиссии и Центробанке; в 2000-х — выпустили средство защиты сетей и шифровки данных «Континент», которое используется [291] многими государственными органами. Тогда же в «Информзащите» появился отдел «пентестеров» — перед тем как продать свои программы заказчику, компания тестировала устойчивость его систем.
С «Информзащитой» среди прочих работала [292] Алиса Шевченко — на ее компанию «ЦОР Security» Минфин США в декабре 2016 года наложил санкции за вмешательство в президентские выборы.
В своем инстаграме Шевченко называла [293] себя «еще одной миленькой девочкой-хакером». Знакомый Шевченко описал ее как одну из самых способных «пентестеров» России, которая может взломать почти любую систему. По его словам, Шевченко очень много работает, а все свободное время проводит за чтением специальной литературы. На ее сайте указано, что девушка «чаще всего работает над уязвимостями и эксплойтами». Весной 2014 года на ежегодном форуме российских хакеров Positive Hack Days она с легкостью взломала систему управления инфраструктурой города-полигона; его защиту она назвала «тривиальной».
Шевченко начинала [294] свою карьеру, работая вирусным аналитиком в «Лаборатории Касперского»; после этого она организовала собственную компанию Esage, которая специализировалась на анализе киберзащиты различных организаций. Заказы компания получала от интегратора «ДиалогНаука», который обслуживал контракты Федеральной службы охраны и Минобороны. Позже Esage, переименованная в «Цифровое оружие и защита», начала заниматься тестами на проникновение, используя для этого фишинговые письма и вредоносные сайты (то есть те же методы, что и те, кто взламывал американских политиков и международных спортивных чиновников).
Работали с Шевченко около десяти человек — их всех девушка нашла на хакерских форумах. Вместе, как указывал [295] Forbes, они занимались разработкой инструментария для взломов. Власти США считают [296], что компания Шевченко предоставляла свои исследования и разработки ГРУ. «Проснулась от тонны запросов о каком-то списке, о котором никогда не слышала, — написала Шевченко на следующий день после объявления Минфина США в твиттере. — Кажется, не выйдет сегодня покодить…» Знакомый Шевченко сказал мне, что она уехала из России; сайт [297] ее компании перестал открываться.