Рост числа кибератак, осуществляемых противниками, представляет собой вызов для администрации Байдена, которая стремится предотвратить вторжения в компьютерные системы правительственных агентств и крупных компаний.
Вашингтон — В тот момент, когда администрация Байдена планировала начать принимать ответные меры против России, осуществившей крупномасштабную хакерскую атаку на системы американских правительственных агентств и корпораций в конце прошлого года, она столкнулась с новой кибератакой, которая поставила перед ней вопрос: должна ли она нанести ответный удар против другого крупного соперника — Китая?
Эти два ответа, взятые вместе, определят то, какую форму президент Байден придаст реакции его администрации на обостряющийся киберконфликт и сможет ли он найти более эффективный способ наказать противников, которые регулярно используют уязвимые места в компьютерных системах правительства и корпораций, чтобы шпионить, красть информацию и потенциально наносить ущерб жизненно важным элементам национальной инфраструктуры.
Первый масштабный шаг в этом направлении ожидается уже в ближайшие три недели, о чем сообщили чиновники, знакомые с ситуацией. В частности, планируется провести серию скрытых действий, направленных против российских сетей, о которых станет известно президенту Владимиру Путину, российской разведке и вооруженным силам, но не остальному миру.
По словам источников, эти действия будут сопровождаться определенными экономическими санкциями — хотя у администрации осталось довольно мало возможностей ввести по-настоящему эффективные экономические санкции. Кроме того, президент Байден намерен подписать исполнительный указ для усиления защиты компьютерных систем федерального правительства после хакерской атаки России, которая оставалась незамеченной в течение нескольких месяцев, пока ее не обнаружила одна частная компания.
За последние несколько дней этот вопрос приобрел особую актуальность в Белом доме, Пентагоне и разведывательных агентствах после того, как стало известно о масштабной атаке на системы электронной почты компании Microsoft, которыми пользуются предприятия малого бизнеса, местные органы управления и даже ключевые подрядчики вооруженных сил.
Представители Microsoft сообщили, что за этой хакерской атакой стоит китайская группа хакеров, пользующаяся поддержкой китайского правительства. Компания поспешила выпустить обновление, чтобы пользователи ее программного обеспечения могли устранить уязвимость.
Таким образом, началась гонка между теми, кто отвечает за устранение уязвимостей систем, и огромным количеством новых взломщиков — включая множество других групп китайских хакеров, — которые на этой неделе начали использовать этот же эксплойт.
Правительство США не стало выступать с публичными заявлениями касательно того, кто именно стоит за этой хакерской атакой, но в Белом доме и в кампусе Microsoft в Редмонде, штат Вашингтон, многие опасаются, что шпионаж и кража информации могут стать лишь прелюдией к гораздо более вредоносным действиям, таким как изменение данных или полное их удаление.
Белый дом подчеркнул серьезность ситуации в своем заявлении в воскресенье, 7 марта.
«Белый дом предпринимает целый ряд мер для оценки масштабов воздействия и устранения возможного ущерба» от хакерской атаки на системы Microsoft, говорится в заявлении. Сообщается, что за принятие ответных мер отвечает Энн Нюбергер (Anne Neuberger), бывшая высокопоставленная чиновница Агентства национальной безопасности, которая первой заняла недавно созданную должность — должность заместителя советника по национальной безопасности по вопросам кибербезопасности и перспективных технологий.
В этом заявлении Белого дома говорится, что чиновники аппарата национальной безопасности работали все выходные, чтобы разобраться с этой хакерской атакой, и что «это активная угроза, которая все еще набирает обороты, поэтому мы призываем операторов отнестись к ней очень серьезно».
Советник Байдена по вопросам национальной безопасности Джейк Салливан (Jake Sullivan), написал в четверг в твиттере, что Белый дом «пристально следит» за сообщениями о том, что уязвимости в Microsoft Exchange используются для «потенциальных проникновений в системы американских аналитических центров и предприятий оборонно-промышленного комплекса».
Это открытие было сделано в тот момент, когда команда Байдена по вопросам национальной безопасности, возглавляемая Салливаном и Нюбергер, объявила своим важнейшим приоритетом усилия по сдерживанию кибератак — будь то атаки, направленные на кражу данных, изменение данных или на полное отключение сетей. Для президента, который пообещал, что хакерская атака России не сойдет ей с рук, действия администрации в ближайшие несколько недель станут проверкой его способности продемонстрировать силу в зачастую невидимой, но чрезвычайно важной борьбе между крупными державами в киберпространстве.
Сочетание введенных правительством санкций и действий частных компаний — это наиболее вероятная комбинация, которая заставит Россию начать «широкие стратегические дискуссии», как сказал Салливан в интервью в четверг, 4 марта, еще до того, как прояснились масштабы китайской хакерской атаки.
«Я действительно считаю, что ряд мер, которые русские поймут, но которые, возможно, останутся незамеченными остальным миром, скорее всего, являются самыми эффективными шагами для того, чтобы ясно дать понять, что Соединенные Штаты считают приемлемым и неприемлемым и что мы готовы предпринять в ответ», — добавил он.
С первых дней работы новой администрации Салливан занимался подготовкой почвы для осуществления подобных ответных мер. В том указе, который он выпустил 20 января и который требует, чтобы военные консультировались с Белым домом, прежде чем наносить удары с беспилотников за пределами зон боевых действий, содержится отдельный пункт с инструкциями на случай проведения масштабных киберопераций, способных повлечь за собой обострение конфликта.
Однако этот указ оставил в силе все еще секретный документ, подписанный президентом Дональдом Трампом в августе 2018 года, который дает Киберкомандованию США более широкие полномочия по сравнению с теми, которые были у него в период работы администрации Обамы, — полномочия по осуществлению регулярных столкновений в киберпространстве зачастую без непосредственных приказов президента.
Согласно новому указу, Киберкомандование должно будет ставить Белый дом в известность о проведении масштабных операций, а Совет национальной безопасности получает право проверять и вносить изменения в планы этих операций, о чем сообщили чиновники, знакомые с ситуацией. Предстоящая операция против России и любые потенциальные ответные меры против Китая, скорее всего, попадут в категорию именно таких операций.
Американские чиновники продолжают выяснять масштабы китайской хакерской атаки и нанесенного ей ущерба, однако с каждым днем становится все яснее, что она является более обширной и потенциально более вредоносной, чем полагали вначале.
«Это безумно гигантская хакерская атака», — написал Кристофер Кребс, бывший директор Агентства по кибербезопасности и защите инфраструктуры, в твиттере в пятницу, 5 марта.
Согласно первоначальным оценкам, эта хакерская атака затронула около 30 тысяч систем, основном систем компаний и государственных агентств, которые используют программное обеспечение Microsoft и управляют системами электронной почты своими силами.
Однако масштабы вторжения и точный список жертв пока до конца неизвестны. Хотя китайцы провели чрезвычайно масштабную атаку, вполне возможно, они хотели собрать данные только по очень узкой группе целей, в которых они больше всего заинтересованы.
Нет никаких сомнений, что масштабы этой хакерской атаки заставили американских чиновников задуматься над тем, стоит ли им принять ответные меры и против Китая. В результате они могут оказаться в таком положении, в котором им придется вступить в потенциально опасный конфликт с двумя странами, которые также являются крупнейшими противниками Соединенных Штатов, к тому же имеющими в своем распоряжении ядерное оружие.
За последние несколько дней стало ясно, что та хакерская атака, которую Microsoft приписывает Пекину, несет в себе те же вызовы, что и атака на системы компании SolarWinds, которую провели россияне, — хотя мишени и методы существенно различаются.
Как и россияне, китайские хакеры начали свою кампанию против Microsoft с компьютерных серверов — облачных сервисов, — которые они арендовали под чужими именами в Соединенных Штатах. Обе страны знают, что американский закон запрещает разведывательным агентствам следить за системами, находящимися в Соединенных Штатах, и хакеры воспользовались этой лазейкой.
«Китайские хакеры, очевидно, потратили некоторое время, чтобы изучить правовую подоплеку, и выяснили, что, если они будут действовать изнутри США, лучшие федеральные охотники за угрозами окажутся вне игры», — сказал Том Берт (Tom Burt), который руководит расследованием хакерской атаки в компании Microsoft.
Именно поэтому в случае с атакой на системы SolarWinds и атакой китайских хакеров американские разведывательные агентства, очевидно, упускали из виду свидетельства того, что происходило, пока их не заметила частная компания, которая и подняла тревогу.
В настоящее время в Белом доме ведутся споры по поводу того, как нужно реагировать. Салливан был советником Байдена по вопросам национальной безопасности, когда тот ее был вице-президентом США — и когда администрация Обамы пыталась разработать план ответных мер на целую серию хакерских атак.
Среди тех атак была попытка китайцев украсть 22,5 миллиона записей о допуске к секретной информации из систем Управления кадрами в 2014 году, а также хакерская кампания России, направленная против американских президентских выборов 2016 года.
В своей переписке и беседах за последние четыре года Салливан ясно давал понять, что, с его точки зрения, традиционные санкции не могут повысить издержки для таких стран, как Россия и Китай, в достаточной мере, чтобы заставить их начать переговоры по разработке новых правил поведения в киберпространстве.
Однако правительственные чиновники зачастую боятся, что слишком сильная реакция может привести к эскалации.
Это вызывает особенно серьезные опасения в случае с атаками России и Китая, которые, несомненно, успели создать «черные ходы» во взломанных ими американских системах, чтобы при необходимости использовать их в гораздо более разрушительных целях.
Американские чиновники публично заявляют, что, согласно уже имеющимся данным, цель российских хакеров, взломавших системы SolarWinds, заключалась просто в краже данных. Однако несколько высокопоставленных чиновников сообщили, что, с их точки зрения, масштабы и стоимость этой операции указывают на то, что у русских вполне могли быть более обширные цели.
«Я поражен тем, сколько подобных атак подрывают доверие к нашим системам, — сказал Берт, — на фоне попыток заставить общественность перестать доверять нашей избирательной инфраструктуре, которая является ключевым компонентом нашей демократии».
В 2016 году российские хакеры взломали системы национального комитета Демократической партии и системы регистрации избирателей нескольких штатов, попросту угадав или получив пароли. Однако в своей атаке на системы SolarWinds они использовали более сложный метод, поместив вредоносный код в выпущенное компанией программное обновление, что позволило им проникнуть примерно в 18 тысяч систем, использующих ПО SolarWinds. В результате российские хакеры получили доступ ко всем этим системам, и для этого им даже не потребовались пароли.
Подобным же образом четыре года назад подавляющее большинство хакерских атак, проводившихся по приказу китайского правительства, проводились методом адресного фишинга. Однако последние пару лет китайские отряды хакеров объединялись в новую единую стратегическую силу, сродни Киберкомандованию США. Самые важные хакерские операции проводятся Министерством государственной безопасности — ведущим разведывательным агентством Китая, на которое работает обширная сеть подрядчиков.
Пекин также начал накапливать так называемые эксплойты нулевого дня — уязвимости, о которых создателям программного обеспечения пока ничего не известно и для которых пока нет «заплаток».
В августе 2019 года эксперты в области кибербезопасности впервые получили данные о том, как эти эксплойты нулевого дня могут быть использованы: эксперты по безопасности в Project Zero компании Google и в компании Volexity (которая обнаружила атаку на Microsoft) выяснили, что китайские хакеры использовали уязвимости в программном обеспечении, чтобы шпионить за всеми теми, кто посещал сайт для уйгуров — представителей этнического меньшинства, которые подвергаются гонениям со стороны китайских властей.
В течение двух лет все, кто заходил на эти сайты, невольно скачивали на свои смартфоны китайские коды, позволяющие китайским властям отслеживать их коммуникации.
В ходе атаки китайцев на серверы Microsoft они использовали эксплойты нулевого дня в ПО электронной почты. В пятницу эксперты в области кибербезопасности сообщили, что эта хакерская атака затронула около 30 тысяч организаций. Однако уже есть свидетельства того, что жертв может оказаться намного больше.