В полночь 17 декабря 2016 года почти во всей украинской столице Киеве погас свет.
Вышла из строя трансформаторная станция, которая питает электричеством высокого напряжения большие районы. Возглавляющий компанию-оператора объединенной энергосистемы страны «Укрэнерго» Всеволод Ковальчук объяснил на своей страничке в Facebook, что станция подверглась «внешней атаке», которая длилась примерно 30 минут.
По словам экспертов из области кибербезопасности, это был очередной маневр России, которая все более агрессивно и открыто пытается раздвинуть границы современной войны, используя всевозможные средства, начиная с компромата на оппонентов и кончая хакерскими атаками по обесточиванию целых городов.
«Русские используют кибероружие, как хлеб с маслом по утрам. Это важнейший, основополагающий компонент в их глобальной стратегии гибридной войны. Они постоянно расширяют границы и совершенствуют способы применения кибероружия, — рассказал бывший сотрудник американской военной разведки и Министерства внутренней безопасности Малкольм Нэнс (Malcolm Nance), специализирующийся на вопросах борьбы с терроризмом. — Украина — это лишь один из многих полигонов».
Мир сегодня вступает в новую эпоху кибервойны, и русские хакеры стали пиратами этих неисследованных морей. Почти каждая неделя приносит свежие новости о кибератаках, поскольку Россия проверяет многие страны мира на уязвимость. Она совершает хакерские взломы почты высокопоставленных членов Демократической партии, обезображивает веб-сайты политических кандидатов в странах Восточной Европы. Россию сегодня называют автором самых наглых кибератак последних лет. В некоторых случаях эти атаки являются шпионскими акциями, направленными на сбор разведывательной информации в максимальных объемах. Иногда Россия пытается проводить психологические операции, пытаясь узнать геополитические цели вероятного противника. На этой неделе Министерство юстиции объявило, что взлом Yahoo в 2014 году, в результаты которого было вскрыто более 500 миллионов почтовых ящиков, — это в действительности дело рук российской Федеральной службы безопасности (ФСБ), чьи агенты сотрудничают с киберпреступниками. Как заявили в Минюсте, это был один из крупнейших взломов электронной почты в истории, нацеленный против почтовых аккаунтов небольшой группы журналистов, диссидентов и американских правительственных чиновников.
Долгие годы высшее военное командование самых разных стран мира заявляет, что кибервойна — это просто современная форма ведения военных действий. Продвигаясь вперед, Россия проверяет пределы терпения других стран и подает пример остальным государствам, показывая, чего можно добиться, имея военный бюджет в десять раз меньше американского.
Погрузившая Киев в темноту кибератака произошла почти ровно через год после первой известной атаки на электрические сети. В ходе той кибератаки, которую многие приписывают финансируемым российским государством хакерам, в Ивано-Франковской области Украины были обесточены десятки подстанций, и почти четверть миллиона человек лишилась электричества. Эксперты по кибербезопасности давно уже предполагали, что такие атаки возможны, но им казалось, что вряд ли какое-то государство решится на столь вопиющий акт кибернападения, опасаясь возмездия. Сейчас те же самые эксперты изучают атаки последних 12 месяцев, и им становится предельно ясно, что Россия добивается своих ключевых стратегических целей при помощи хакеров и борется со своими врагами по всему миру совершенно безнаказанно.
Причастность России к самым наглым кибератакам на США, в результате которых была взломана электронная почта высокопоставленных членов Демократической партии, привела к тому, что Вашингтон ввел несущественные санкции против российских официальных представителей и выдворил 35 российских дипломатов (правда, Соединенные Штаты утверждают, что были и другие, скрытые меры возмездия). «Мы вступаем в новую эпоху, когда у некоторых стран появляются значительные возможности», — заявил в сентябре 2016 года на ежегодном саммите G20 в Китае президент Барак Обама, незадолго до этого отдавший распоряжение своим спецслужбам проверить факты иностранного вмешательства в американские выборы. Обама добавил, что он говорил с Китаем и с Россией об установлении правил ведения кибервойны. «Наша цель состоит не в том, чтобы повторить в киберпространстве цикл эскалации, какую мы наблюдали в прошлом в ходе гонки вооружений», — заявил он.
Один сотрудник американской разведки, ныне занимающийся кибероперациями, сказал: «Дело — вовсе не в том, что русские делают нечто такое, что недоступно другим. Нельзя сказать, что американцы не обладают техническими навыками для проведения атак такого типа. Просто российские хакеры готовы действовать таким образом, готовы экспериментировать и проводить атаки, от которых другие страны напрочь отказываются». Этот сотрудник попросил не называть его имя в связи с деликатностью обсуждаемого вопроса. «Это наглые и опрометчивые действия. Они проверяют свои возможности и оттачивают свое мастерство. Иногда они делают это очень и очень неряшливо, а иногда чрезвычайно умно и хитро», — отметил он.
Эксперты по вопросам кибербезопасности в целом сходятся во мнении, что самыми продвинутыми и современными возможностями в области кибервойны обладают Соединенные Штаты, Китай и Россия. Нэнс, который недавно написал книгу The Plot to Hack America (Хакерский заговор против Америки), где анализируется предполагаемое вмешательство России в выборы 2016 года, сравнил американские кибероперации с высокоточным оружием, которое делается вручную, неоднократно проверяется, потом производится в нескольких экземплярах и лишь после этого применяется на практике. Так, Соединенные Штаты нанесли удар по иранским центрифугам при помощи вируса Stuxnet, который мог быть изготовлен совместно с Израилем. При этом они не стали атаковать финансовые институты и объекты инфраструктуры, так как это негативно отразилось бы на простых гражданах Ирана. Китай, который в определенном смысле ведет себя в киберпространстве столь же бесцеремонно и агрессивно, как Россия, пока проводит кибероперации для получения экономических выгод, занимается кибершпионажем в отношении корпораций и собирает разведывательные данные, как и большинство других стран.
«Россия применяет кибероружие для достижения геополитических целей, — сказал Нэнс. — И это приносит свои результаты».
Проведенные в декабре 2015 года атаки в Ивано-Франковской области на западе Украины привели к отключению электроэнергии в ряде районов, которое длилось шесть часов. Киевская кибератака в декабре 2016 года погрузила город в темноту на 75 минут. Неизвестно, привели ли эти атаки к гибели и травмам среди населения, однако эксперты по кибербезопасности и государственные ведомства самых разных стран мира до сих пор анализируют произошедшее.
Кибератаки на систему электроснабжения страны вызывают наибольший страх среди населения, а также панику у законодателей. Больницы могут внезапно остаться без электричества, и там перестанут работать аппараты искусственного дыхания и кувезы для выхаживания недоношенных детей. В темноту могут погрузиться аэродромы, и летчикам станет крайне сложно сажать самолеты. Крупные города способны оказаться в кромешной тьме. Таковы апокалиптические сценарии, которые пишут эксперты по кибербезопасности на тот случай, если когда-нибудь по источникам электроснабжения какой-нибудь страны будет нанесен скоординированный киберудар.
«Соединенные Штаты напуганы такой возможностью», — сказал Роберт Ли (Robert M. Lee), в прошлом занимавшийся кибероперациями в ВВС США, а затем учредивший фирму по кибербезопасности Dragos Security, которая специализируется на защите важнейших объектов инфраструктуры. Ли входил в состав рабочей группы, которая расследовала атаку на украинскую сеть электроснабжения в 2015 году и составила соответствующий отчет. Многие просто не понимают, каковы могут быть последствия от атаки на электроэнергетическую систему и к каким результатам это может привести. Существует колоссальная разница между тем, что об атаках на системы электроснабжения думает Вашингтон, и тем, что можно с ней сделать в реальности», — объяснил Ли.
Даже самая изощренная атака может привести к отключению электричества максимум на 30-60 минут, говорят эксперты по кибербезопасности. Но многие учреждения и организации, такие как больницы и аэропорты, имеют запасные генераторы и планы действий в чрезвычайных обстоятельствах на случай отключения электроэнергии.
По словам сотрудников американских спецслужб, Россия знала, какое психологическое воздействие на руководство США и стран Европы окажет даже кратковременное отключение электроэнергии на Украине. Им хорошо известно, что их страны тоже уязвимы для таких атак. Сотрудники спецслужб, согласившиеся анонимно побеседовать с репортерами BuzzFeed News на тему атак против Украины в 2015 и 2016 годах, в один голос говорили о том, что в ситуации произошел «коренной перелом». «Прежде всего, эффект здесь психологический, — сказали они. — Не то чтобы США были не в состоянии защититься от этого. Просто на наш взгляд, иностранное государство, способное отключить систему электроснабжения хотя бы на 10 минут, кардинально меняет ситуацию. Вот почему мы анализируем произошедшее на Украине и пытаемся сделать из этого выводы».
В ходе кибератак 2015 года на Украине несколько подстанций были отключены одновременно, сказал Ли.
«Около 70 подстанций были отключены от единой системы электроснабжения. Все атаки, за исключением одной, были осуществлены при помощи вредоносной программы», — заявил Ли, который в своем отчете изложил действия хакеров по отключению силовых подстанций. На всех подстанциях, за исключением одной, хакеры использовали в качестве точки входа выборочный фишинг (электронные сообщения совершенно безобидного вида, в которых содержатся вредоносные ссылки или программы). По словам киберисследователей, российские хакеры отдают предпочтение именно такому методу. Он же использовался при проникновении в почту высокопоставленных демократов в США. На Украине хакеры при помощи такого фишинга обманным путем вынудили операторов подстанций загрузить в свои системы вирус под названием BlackEnergy3.
Но на последней подстанции произошло самое интересное и самое пугающее.
Украинские официальные лица и эксперты по кибербезопасности отказываются называть эту подстанцию, но там хакеры решили испытать намного более сложный метод. Они создали зеркальное изображение системы SCADA (автоматизированная система диспетчерского управления), которая используется для контроля и управления оборудованием на таких объектах, как электростанции. Создав идеальную копию системы подстанции, они начали рассылать команды, которые система воспринимала как собственные.
«Создание собственной среды SCADA — это сложный процесс, требующий немало времени и усилий, — сказал Ли. — Мы подчеркиваем это, когда ведем разговоры с высшим руководством различных стран. Мы говорим, что это проверка. Нет никакой оперативной необходимости проделывать такой огромный объем работ в разведывательных целях. Зачем создавать копию только одной станции?» Похоже, хакеры испытывали этот тип кибератаки, сигнализирующей о том, что у них достаточно технических знаний и опыта для создания копии всей системы SCADA. Но они проводили на Украине кибершпионаж, чтобы составить детальный план одной станции. «С точки зрения кибербезопасности, одна-единственная атака такого рода на систему промышленного управления напугала людей гораздо больше, чем все вышедшие из строя подстанции».
Год спустя кибератака была осуществлена в Киеве. Все говорит о том, что это аналогичный тип кибернападения на систему SCADA.
«Определенно, это более высокий уровень, не распределительная, а передающая подстанция, — сказал Ли. — Нас в США больше всего тревожат именно такие атаки на передающие подстанции».
Член комитета по иностранным делам украинской Рады Игорь Гузь рассказал BuzzFeed News, что у него нет никаких сомнений в причастности России к последним атакам на систему энергоснабжения. Россия давно уже вмешивается в дела Украины, то отключая поставки газа, то вводя войска на Крымский полуостров. По словам Гузя, эти атаки будут длиться все время, «пока у России будет возможность для осуществления такого вмешательства».
После киевской атаки прошло три месяца, и эксперты по кибербезопасности успели изучить использовавшиеся при ее проведении методы. По словам Ли, есть очень мало способов защиты от противника, нашедшего время и приложившего достаточно усилий для создания полной копии всей системы. Это идеальный тип атаки для такой страны, как Россия, поскольку затраты вычислительных ресурсов здесь очень небольшие. Требуется только время для изучения цели и для создания ее копии. А результат при этом достигается максимальный.
«Лучшее, что здесь можно сделать, это быстро включить резервные мощности, — говорит Ли. — Электросетевой комплекс это одна из самых сложных систем, созданных человечеством. Атаки на нее помогают оттачивать навыки…. Вашингтон и Белый дом определенно услышали тот сигнал, который был подан, когда отключились системы электроснабжения».
В этом году один сотрудник кибернетической разведки принимал участие в обычном заседании по обмену разведывательной информацией с европейскими законодателями, когда дело приняло весьма неожиданный оборот. Помощница одного из депутатов отвела его в сторону в коридоре.
«Она включила свой телефон и показала фишинговые послания, которые кто-то в последнее время начал отправлять ее начальнику», — рассказал этот сотрудник, пожелавший сохранить анонимность — как свою, так и пострадавших депутатов.
«Он не хотел поднимать этот вопрос прямо на заседании, потому что ему было неловко. Он кликнул эту чертову штуку и не знал, что делать, — сказал этот сотрудник. — Мне было очень жаль этого парня, и я сказал его помощнице, что такое может случиться с кем угодно».
Затем помощница попросила эксперта написать ей серию протоколов и худших сценариев, чтобы запаниковавший депутат успокоился.
«Худший сценарий — это если вы через пару месяцев прочтете свою электронную почту на WikiLeaks», — неутешительно сказал этот сотрудник разведки, напомнив помощнице про тысячи посланий, украденных у высокопоставленных демократов. — Худший сценарий — это то, что произошло в США».
Одной из первых известных стран из числа подвергшихся кибератакам была Эстония. В 2007 году на ее веб-сайты было осуществлена скоординированная DDoS-атака. Бывший президент Эстонии Тоомас Хендрик Ильвес (Toomas Hendrik Ilves) с тех пор документирует и изучает российскую тактику ведения кибервойн. На этой неделе он давал показания в юридическом подкомитете американского сената по вопросам преступности и терроризма, и предупредил о тех инструментах, которые Россия использует для подрыва демократий.
Россия более десяти лет вкладывала средства в развитие кибернетических возможностей своей армии. В прошлом году независимый российский сайт новостей Meduza рассказал о системе, в рамках которой высшее политическое руководство России выполняет задачу по вербовке хакеров и шантажирует преступников, заставляя их действовать по его указке. В прошлом месяце министр обороны России Сергей Шойгу рассказал российским законодателям, что российская кибернетическая армия ведет пропагандистскую войну, и что «это будет гораздо более эффективный инструмент, чем все то, что мы использовали раньше в целях контрпропаганды».
В ближайшие месяцы во Франции и в Германии состоятся всеобщие выборы, а на этой неделе Нидерланды проголосовали за либеральную партию. Позднее в этом году состоятся важные выборы в ряде стран Восточной Европы. Все они публично заявили, что обеспокоены российским вмешательством в процесс голосования.
«Произошедшее в США стало для европейцев проверкой реального положения вещей. Мы раньше не следили за происходящим, а потом было уже слишком поздно», — сказал Штефан Майстер (Stefan Meister) из Германского совета по международным отношениям (German Council on Foreign Relations). Хотя такие страны Восточной Европы как Украина и Грузия давно уже жалуются на российские посягательства, Западная Европа полагала, что у нее есть иммунитет от хакерских взломов, кибершпионажа и кампаний дезинформации, которые приписывают России. «Германия и Франция, они с запозданием начали воспринимать это всерьез. Только после того, что произошло в Америке, они стали понимать, что их системы тоже слабо защищены».
Такое вмешательство осуществляется по определенной схеме. Самый распространенный способ — это кампании дезинформации, в рамках которых интернет-деятели и издания, работающие на российское государство, распространяют в интернете истории с политическим подтекстом и задачами. В прошлом году в Германии широкое распространение получила история о 13-летней девочке Лизе Ф. из семьи российских иммигрантов. Она исчезла на 30 часов, после чего объявилась с рассказом о том, как ее похитили и изнасиловали «арабы». Позже она созналась, что это была ложь, однако это не помешало пророссийским сайтам провести исступленную кампанию с обвинениями в адрес канцлера Германии Ангелы Меркель, которая проводит политику открытых дверей по отношению к беженцам. Именно ее обвинили в зверском нападении на Лизу Ф.
«Все это не требует больших затрат и усилий, — сказал Майстер, считающий, что всерьез вмешательством в дела других стран (методами кибернетических и традиционных войн) Россия занялась после выборов 2012 года, когда Путина переизбрали на президентский пост. — Россия понимала, что влиять на направленность информации столь же важно, как вести классическую гонку вооружений…Различные элементы своих кибератак она объединила с WikiLeaks, с иностранными СМИ. Ты берешь что-то и начинаешь распространять дезинформацию, а также используешь в этих целях социальные сети, чтобы тебя услышала самая широкая аудитория. Россия использует против нас структуру нашего демократического общества, нашу жизнь в онлайне».
В балканской стране Черногории зазвучали утверждения о том, что российское вмешательство приобрело гораздо более открытый характер. Во время парламентских выборов в ноябре прошлого года действующий руководитель едва не проиграл пророссийской коалиции на фоне заявлений о том, что Россия не только направляла деньги кандидатам от оппозиции, но и создавала средства массовой информации специально для продвижения оппозиционных кандидатов. А когда действующий премьер-министр Мило Дуканович победил на выборах, высшее руководство страны заговорило о том, что Россия планировала заговор с целью его свержения, действуя под прикрытием антиправительственных протестов. Их участники должны были взять штурмом канцелярию премьера, а подставные полицейские начали бы их арестовывать и убивать. Специальный прокурор Черногории по борьбе с организованной преступностью подтвердил, что в розыск объявлены два россиянина, которых называют ключевыми организаторами заговора.
«Похоже, что Россия сегодня действует методом проб и ошибок, разрабатывая систему. Она испытывает свои методы на Украине, в Грузии, в других странах, — сказал Майстер. — Издержки у нее минимальные. Эти кибератаки обходятся очень дешево, а доказать факт их проведения чрезвычайно трудно».
Он добавил, что Россия просто приняла на вооружение то, чем издавна пользуются другие, но применительно к новым условиям сегодняшнего мира интернета.
«Это война XXI века. Сейчас этим занимаются и США, и страны Европы. Но Россия действует намного агрессивнее. Она использует кибероружие для нападения на более крупные и богатые страны. Это вполне разумно, — сказал Майстер. — Многие другие страны извлекут из этого нужные уроки».
В прошлом месяце аналитики из сферы кибербезопасности заметили нечто странное в зловредных программах, при помощи которых осуществляются попытки кибератак на польские финансовые институты. В кодах вредоносных программ было несколько русских слов, хотя когда их читали носители русского языка, они казались бессмыслицей.
«В некоторых случаях неточный перевод полностью меняет значение слов. Это убедительно говорит о том, что организаторы данной атаки не являются носителями русского языка, а использование русских слов похоже на операцию под чужим флагом», — написали специалисты по кибербезопасности из фирмы BAE Systems. Они считают, что вредоносную программу распространяют не российские киберпреступники, а группа под названием Lazarus. Это активные хакеры, связанные с Северной Кореей. Считается, что именно они осуществили в 2014 году атаку на Sony Pictures, а в 2016 году совершили киберограбление Центрального банка Бангладеш на 81 миллион долларов.
Устанавливать авторство хакерских атак — то есть, определять, какая страна или группа хакеров их провела — с каждым годом становится все сложнее. Хакеры специально оставляют ложные наводки, но это лишь вершина айсберга. Специалисты по кибербезопасности говорят, что Россия использует и многие другие тактические приемы, скажем, придумывает публичных деятелей, которые берут на себя ответственность за кибератаки и помогают распространять информацию о них. Когда впервые были обнародованы электронные письма высокопоставленных членов Демократической партии, в интернете появился некто назвавшийся Guccifer2.0. Это был явный намек на хорошо известного румынского хакера Guccifer. В своей электронной переписке с журналистами Guccifer2.0 утверждал, что он — активист хакерского движения и румын по происхождению. Правда, на поверку эти утверждения оказались ложными (эксперты по кибербезопасности говорят, что грамматические ошибки и особенности синтаксиса убедительно указывают на то, что автор данного аккаунта — русский). Его первоначальные утверждения породили подозрения о роли России в хакерской атаке.
Россия пользуется услугами киберпреступников, что убедительно показал опубликованный на этой неделе обвинительный акт Министерства юстиции. Это говорит о том, что грань между работающими на государство хакерами и пытающимися обогатиться киберпреступниками — очень тонкая. Согласно заявлению Министерства юстиции, два российских агента ФСБ завербовали двух хорошо известных хакеров, и те помогли им взломать Yahoo и получить доступ к 500 миллионам почтовых ящиков. Для экспертов в области права и для правительственных чиновников, пытающихся приписать авторство кибератак государству, использование киберпреступников стало дополнительной сложностью.
Скрыть свою личность в сети становится все проще и проще, говорят эксперты по кибербезопасности. А когда используемый во вредоносной программе код попадает на открытый рынок, хакеры и государства по всему миру могут свободно купить его и использовать в собственных целях.
Возьмем для примера вирус Stuxnet, который был разработан в США для нанесения ущерба иранской программе по созданию ядерного оружия в рамках кибератаки, считающейся одной из самых сложных за всю историю. Отдельные детали кода, составляющего Stuxnet, всплывали в кибератаках, проводившихся в самых разных странах от Азии до Латинской Америки. Считается также, что Иран использовал отдельные части вируса Stuxnet для создания вируса Shamoon, при помощи которого Тегеран в 2012 году заразил 30 тысяч компьютеров саудовско-американской нефтяной компании ARAMCO.
«Когда появляются такие инструменты, они распространяются среди желающих осуществить атаки. Те, кто планирует хакерские атаки, берут эти вирусы, модифицируют их, а затем используют», — рассказал бывший контрразведчик Эрик О'Нил (Eric O'Neill), служивший в ФБР, а ныне работающий в фирме кибербезопасности Carbon Black. На прошлой неделе он дал интервью BuzzFeed News после того, как WikiLeaks опубликовала новую партию документов в количестве 8 760 штук, где подробно рассказывается о вредоносных программах и кодах, применяемых ЦРУ для взлома самых разных устройств от телефонов и ноутбуков до телевизоров нового поколения.
Эти документы показывают, что даже у ЦРУ есть привычка перепрофилировать коды. В ряде документов говорится о том, как подразделение ЦРУ под названием UMBRAGE перерабатывает обрывки кодов, разрабатываемых другими группами, пытаясь таким образом сэкономить себе время.
«Все заимствуют у всех. Отличие России — в том, что она делает это более агрессивно. Она подает пример того, как делать это малыми средствами, добиваясь при этом большого результата», — отметил Майстер, добавивший, что некоторые небольшие страны Латинской Америки, Африки и Азии вполне могут скопировать действия России при проведении собственных киберопераций.
С ним согласен экс-президент Эстонии Ильвес. По его словам, Россия «очень агрессивна во всем».
«Они поступают асимметрично. Мы не можем сделать с ними то, что они делают с нами. Такова особенность всех авторитарных режимов. Либеральные демократии со свободной прессой, со свободными и честными выборами находятся в невыгодном асимметричном положении, потому что против них можно осуществлять вмешательство, используя их инструменты, такие как демократическая свобода слова», — сказал Ильвес.
Хакерскую атаку на НКДП, авторство которой американские спецслужбы приписывают России, могут повторить десятки стран по всему миру, о чем говорит бывший ответственный за политику кибербезопасности в администрации Обамы Роберт Нейк (Robert K. Knake).
«Россия показала схему своей игры. То, что она сделала, довольно просто, и это в состоянии сделать примерно 60 стран мира. Нужно ннанести удар по третьей стороне, украсть документы и материалы электронной переписки, а потом выборочно опубликовать их, поставив эту третью сторону в невыгодное положение, — заявил Нейк, выступая в программе BBC Today. — Это не очень тонкое и изощренное вмешательство. Кроме того, это нарушение национального суверенитета и норм обычного права».
Как отмечает Майстер, в кибервойне преимущества зачастую получают маленькие страны, особенно те, где нет открытых и демократических СМИ. «В закрытом авторитарном государстве добиться большого эффекта трудно. Но если такое авторитарное государство — это вы, у вас в распоряжении имеются киберинструменты для осуществления атак на более крупные общества, которые высоко ценят интернет-выступления и дебаты», — сказал Майстер.
Россия, добавил он, учит мир тому, что у ее армии есть свои ограничения и недостатки, однако она посредством кибервойны может посеять панику и внушить страх. «Они нас напугали. Именно это они хотели показать. Сейчас с каждой новой атакой кто-то сразу говорит, что это Россия, — сказал Майстер. — Это своеобразная форма победы».
Шира Френкель (Sheera Frenkel) — корреспондент BuzzFeed News, специализирующаяся на кибербезопасности. Ранее она работала в Израиле, Египте, Иордании и других странах Ближнего Востока.