• 0
    Cart

ПУБЛИКАЦИИ

17.11.2017

Удалось ли американцам проникнуть в системы командования Кремля, как обещал нам Байден? История с хакерами как хроники войны нового типа

Прошёл год с начала американской истерии по поводу того, что, якобы, российские хакеры, действующие по прямому приказу из Кремля, кардинальным образом изменили ход выборов американского президента, приведя к власти пророссийски настроенного Трампа.
Сейчас уже очевидно, что президент Трамп ни разу не пророссийский, но пока он у власти, эта песня будет звучать вечно – из уст его политических оппонентов, контролирующих американские СМИ.
Давайте вспомним, чем же грозили заокеанские «друзья» в самый разгар хакерского скандала.
«США проникли в энергосистему России, телекоммуникационные сети и системы командования Кремля с тем, чтобы сделать их уязвимыми для секретного американского кибероружия», заявили NBC.
Во время интервью вице-премьер Джо Байден поделился в прямом эфире военным секретом:
«Мы посылаем Путину сигналы. У нас есть возможность сделать это. И он узнает обо всем в то время, которое выберем мы. И при тех обстоятельствах, когда эффект будет наибольшим. И это будет пропорциональный ответ на вмешательство в процесс выборов президента».
«Для будущих кибератак США имплантировали вредоносное программное обеспечения в сеть России», сообщили The New York Times, добавив: «за время президентства Барака Обама было накоплено немалое количество кибероружия мирового класса, на которое были потрачены миллиарды долларов. Это оружие — своеобразный цифровой эквивалент упреждающего удара. Данное кибервооружение было создано для будущих киберконфликтов и опекается военными ведомствами США в российских сетях».
Про что же такое говорил Байден? Некое таинственное супер-кибероружие за миллиарды долларов... Мы уже вторглись в ваши сети – трепещите!
Прозвучало, как сказочка-страшилка, если бы не одно «но»: Байден языком непрофессионала поведал про две довольно обыденные и вполне реальные вещи – так называемые «уязвимости нулевого дня» (англ. zero day vulnerability) и APT-атаки.
Последний термин происходит от английского «advanced persistent threats», то есть «продвинутые долговременные угрозы».


Уязвимость нулевого дня – что это и почему так дорого стоит?

Что такое уязвимость нулевого дня? Всё просто. Когда хакеры находят у популярной операционной системы, например, у Windows 10, или у широко используемой прикладной программы, вроде Adobe Actobat Reader, какую-нибудь совершенно новую, ещё никому неизвестную уязвимость, которая позволит злоумышленнику проникнуть через эту уязвимость на компьютер жертвы, то хакеры не спешат сообщать про эту уязвимость всему миру или же незамедлительно использовать её для проникновения куда-нибудь, потому что стоит им начать пользоваться уязвимостью, как о ней станет известно разработчикам, и они быстро её ликвидируют, выпустив обновление, её устраняющее.
Вместо этого хакеры делают специальную прикладную программу («эксплойт»), которая позволяет удобным образом использовать эту никому, кроме них, неизвестную уязвимость, и выставляют этот «эксплойт» на продажу на своих тайных хакерских ресурсах. Цена зависит от общей «дырявости» программы, в которой найдена уязвимость, а также от распространённости этой программы в мире, и может доходить до нескольких сотен тысяч долларов...
Естественно, такие уязвимости не могут оставаться в тайне вечно – со временем их находят другие энтузиасты, или кто-то из хакеров сливает их на сторону, или сами создатели программного обеспечения (ПО) их устраняют, так что уязвимость становится неактуальна.
Поэтому, чтобы постоянно иметь солидный набор могучего кибероружия, от которого у врагов гарантированно нет защиты, нужно регулярно тратить огромную кучу денег. Миллиарды, о которых говорит Байден, тратятся, в том числе, вот на это – на закупку свежих уязвимостей у хакеров.

APT-атака – произведение искусства или артиллерийский обстрел?

Теперь поговорим про то, что американские спецслужбы проникли во все наши компьютерные сети, в том числе системы командования Кремля. Байден несомненно намекал на «долговременное целевое проникновение» – это один из вариантов расшифровки аббревиатуры «APT».
Такой вид проникновения стал настоящим бичом для служб безопасности по всему миру. В отличие от незамысловатых массовых и неприцельных кибератак хакеров-любителей, которые стараются брать не качеством, а количеством, технические средства защиты в случае APT-атаки, как правило, малоэффективны, потому что зловредное атакующее ПО пишется в единственном экземпляре под конкретную компьютерную систему организации-жертвы. Антивирусы его не распознают, потому что оно уникальное, тем более, что в распространении вредоносного ПО внутри периметра информационной безопасности чаще всего участвует «инсайдер», то есть, грубо говоря, предатель из своих.
Противостоять АРТ может комплексный аудит, то есть всесторонняя профессиональная проверка компьютерных сетей, а также создание фальшивых сред («песочниц») – приманок для злоумышленников, в которые залезет вражеская атака, приняв их за настоящую систему. Так можно изучить поведение противника и выиграть время.
Организатор APT-атаки – противник, обладающий современным уровнем знаний и значительными ресурсами, одновременно реализующих сразу несколько векторов нападения. Эти цели обычно включают установление и расширение своего присутствия внутри информационной инфраструктуры целевой организации для осуществления намерений извлечения информации и срыва выполняемых ею задач, либо для того, чтобы занять скрытную позицию, позволяющую осуществить эти намерения в будущем.
APT-атака добивается своих целей неоднократно в течение длительного времени. Она адаптируется к усилиям защищающихся оказать сопротивление и имеет установку сохранить высокий уровень проникновения в целевой инфраструктуре, требуемый для молниеносного осуществления вредоносных намерений в нужный момент – по первому требованию заказчиков АРТ-атаки.
Таким образом, APT превосходит обычные киберугрозы, так как ориентируется на взлом конкретной цели и готовится на основании информации о ней, собираемой в течение длительного времени. APT-атака осуществляет взлом целевой инфраструктуры посредством эксплуатации программных уязвимостей и методов «социальной инженерии» (в том числе путём агентурной работы).
АPT-атака представляет серьезную угрозу информационной безопасности любой организации из-за сложности обнаружения и тяжести последствий. В среднем, обнаружение атаки происходит спустя 200 дней после ее начала. И даже после установления факта присутствия APT в своей сети, организации не всегда способны избавиться от угрозы или хотя бы минимизировать ее влияние. Это приводит к долгому простою в работе, вызванному попытками восстановить контроль, а так же расследовать инцидент. Материальные потери от крупных атак в среднем по миру составляют полмиллиона долларов.
Впервые APT-атаки были применены для нападения на инфраструктуру военных и промышленных объектов, причём весьма успешно – спецслужбы США и Израиля смогли саботировать ядерную программу Ирана (с помощью компьютерных червей StuxNet и Flame, обнаруженных в 2010 и 2012 годах соответственно) и работу нефтяных промыслов Арабских Эмиратов и Катара (с помощью червя Shamoon, обнаруженного в 2012). Перед тем, как эти вторжения были обнаружены, противник скрытно действовал в компьютерных сетях своих жертв в течение нескольких лет.

А был ли мальчик?

Теперь, когда с терминологической частью всё более-менее понятно, остаётся вопрос – а был ли мальчик? Имело ли место успешное проникновение в системы командования Кремля?
Моё мнение – проникновение, несомненно, было. У американцев для этого есть все возможности.
Например, собственное Кибернетическое командование (англ. United States Cyber Command), созданное для ведения проактивной (то есть на опережение) полномасштабной кибервойны мирового масштаба. Это официальные цели, между прочим. Сама организация военная, с соответствующим колоссальным бюджетом, профессиональным и многочисленным персоналом.
Большинство компьютерного и сетевого оборудования разработано и производится США или их сателлитами. Большинство новейших технологий в IT-сфере также под контролем американцев.
Эдвард Сноуден обнародовал обширный каталог «закладок» и «жучков» американского производства. Он же опубликовал данные о проникновении американских спецслужб в азиатские компьютерные корпорации (к примеру, в Huawei), с целью установки таких же закладок в производимое ими оборудование.
Таким образом, всё оборудование, что произведено не в России – потенциально содержит программные и аппаратные закладки, работающие либо на американцев, либо на китайцев. Выявить эти закладки – крайне трудное и дорогостоящее занятие, потому что прячут их очень хорошо – так, чтобы не нашли.
Наше собственное компьютерное производство (процессоры «Эльбрус» и «Байкал») стабильно отстаёт на пять лет, что не особо критично. Можно сказать: «Молодцы!» Критично то, что кроме процессоров нашей стране жизненно важно наладить производство всего остального – оперативной памяти, материнских плат, жестких дисков и прочей периферии, чтобы обеспечить безопасными компьютерами хотя бы оборонные учреждения. Со своими операционными системами у нас всё более-менее нормально – они есть и активно используются на объектах, работающих с государственной тайной.
А пока мы используем импортное компьютерное оборудование и импортное программное обеспечение, наличие в наших сетях скрытных вражеских модулей – неизбежность.

Все карты на стол – почему?

Главная интрига в том, почему же Байден заявил об этом открыто. Скрытное проникновение в оборонные сети Российской федерации – оно потому и скрытное, что мы о нём знать не должны.
И если нам об этом заявляют открыто, то я вижу два варианта:
1) Успешное проникновение было, но на тот момент оно уже не было секретом для российских спецслужб – с проникновением активно боролись, так что держать его в тайне уже смысла не было, а вот побряцать невидимым кибероружием, чтобы приободрить своих и позлить чужих – такое стремление чисто психологически вполне понятно. Однако сразу замечу, что устранение присутствия вражеского кода в собственных компьютерных системах – дело долгое, затратное, технически сложное и крайне неблагодарное. Как я писал выше, противник всегда активно пытается сохранить своё присутствие в заражённой системе, и выжечь его оттуда – весьма и весьма нетривиальная задача, даже если знаешь, что он там точно есть;
2) Проникновение не было настолько успешным, как того бы хотелось американскому истеблишменту. Толи гранаты у русских оказались не той системы, то ли лежали они далеко от двери. В общем, попробовали и не получилось… Но припугнуть-то надо! Пусть Кремль думает, что не всё нашёл. Пусть тратят деньги и силы, отыскивая несуществующие закладки и зловредные программные модули, раз за разом перетряхивая свои системы. Держать противника в состоянии перманентной паранойи, пожалуй, самый эффективный метод информационной войны, где кибероружие – лишь одно из частных средств воздействия.

Выводы

Что можно резюмировать? А следующее: «бороться и искать, найти и не сдаваться!» Создавать собственные компьютерные производства, развивать собственные IT-технологии, в том числе – проактивные, то есть наступательные. Чтобы уже мы, если нужно будет, смогли с чистой совестью заявить, что проникли и контролируем системы командования Пентагона – те самые, которые проникли и контролируют системы командования Кремля. Вот такая им от нас «ответочка»!

Сергей Сизарев

АКЦЕНТЫ, АНАЛИТИКА, ПЕРЕДОВИЦА

Нашли опечатку или ошибку на сайте? Выделите её и нажмите одновременно клавиши «Ctrl» и «Enter».