Первая сетевая война

Мир вступил в эпоху кибернетических войн. По мнению министра обороны США Леона Панетты, не исключен "электронный Перл-Харбор".


Спецподразделения для боевых действий в сетевом пространстве уже существуют во многих странах мира. Так, США создали U.S. Cyber Command еще в 2010 году, при этом активные разработки "атакующего" кибероружия начались в президентство Буша. В 2011-м появился примечательный документ "Глобальная стратегия развития киберпространства", предусматривающий применение вполне реальной военной силы в ответ на "виртуальные" атаки. Израиль объявил о создании аналогичных подразделений только в августе прошлого года, однако речь, очевидно, идет лишь о расширении и легализации уже существующей системы. В январе о создании первого образца кибероружия объявила Япония. Германия будет способна на государственном уровне осуществлять хакерские атаки к концу текущего года.


В России и Китае подобные структуры засекречены, однако следы их деятельности появляются давно и регулярно. Кроме того, о киберугрозе говорят и на вполне официальном уровне. Так, в 2009-м замначальника Генерального штаба Ноговицын предсказал начало полноценных кибервойн в ближайшие 2-3 года (и был абсолютно прав). В начале 2012 года на сайте Минобороны РФ появился документ "Концептуальные взгляды на деятельность Вооруженных Сил Российской Федерации в информационном пространстве". По сути, в нем описываются общие принципы поведения России в ходе возможной кибервойны. При этом, как и американская "Глобальная стратегия развития киберпространства", он предусматривает возможность силового ответа на кибернетические атаки.

Итак, что такое кибервойна? В "наступательном" смысле – это пропаганда, шпионаж (взлом страниц и серверов для доступа к закрытой информации) и саботаж (атаки с целью блокирования работы сайтов и компьютерных систем; дезинформация, то есть замена данных во "вражеских" системах; вмешательство в работу контролируемого компьютерами оборудования с целью его вывода из строя).

Разумеется, параллельно со средствами нападения на государственном уровне разрабатываются и средства защиты от хакерских атак.

Рассмотрим эти направления подробнее – и начнем с обороны.

Уже сейчас, когда подрывная деятельность в Интернете носит в основном характер свободной частной инициативы, ее масштабы заставляют насторожиться. Потери от действий киберпреступников оцениваются в $1 трлн. Каждый день появляется около 55 тыс. образцов вредоносного ПО. При этом полностью нейтрализовать угрозу не позволяют даже очень внушительные ресурсы – так, только с апреля по июнь 2011 года жертвами хакерских атак стали такие технологические колоссы, как Google, Sony, Citigroup и Lockheed Martin. Между тем, возможности крупного государства по созданию вредоносного ПО несопоставимы с возможностями "самодеятельных" хакеров.

Эта угроза вполне осознается, и в США на нее реагируют по нескольким направлениям. Во-первых, государство все больше вовлекается в сферу обеспечения безопасности обычных сетей. Минобороны США предоставляет данные разведки в области киберугроз военным подрядчиками и их провайдерам – предполагается, что эта практика будет распространена на всю промышленную базу Штатов. Во-вторых, ведется разработка сверхзащищенных военных операционных систем.

Перейдем от обороны к нападению – и начнем с пропаганды. Интернет вообще и социальные сети в частности уверенно оттесняют телевидение с ключевых позиций. Это прекрасно осознают теоретики и практики кибервойны – так, Центральное командование США (Centcom) закупило специальное программное обеспечение для ведения секретной блогерской деятельности на зарубежных сайтах. Под контролем одного военного будет находиться до десяти виртуальных личностей с подробно проработанными биографиями и замаскированными IP-адресами.

Саботаж тоже применяется довольно активно — атаки, блокирующие работу сайтов и компьютерных систем, стали обыденностью, и госструктуры достаточно широко пользуются этой тактикой. Скажем, джихадистские сайты существуют только потому, что вызывают нездоровый интерес у спецслужб, черпающих там немало полезной информации. Так, в марте на две недели перестали функционировать джихадистский форум "Шумух аль-ислам" и еще четыре подобных сайта. Затем их работа восстановилась – но в ходе этой локальной кибервойны испанская полиция смогла вычислить и поймать Мурада Хусейна Аль-Малки, за которым охотилась более года. Аль-Малки ("Библиотекарь") занимался администрированием и архивированием джихадистских вебсайтов. Операция стала возможна потому, что американцы взломали пароли ключевых исламистских форумов.

Примеры можно приводить долго. Скажем, на Западе подозревают, что за кибератакой на Эстонию в 2007-м стоит не свободная частная инициатива, а государство. Напомним, что после сноса Бронзового солдата в Эстонии на несколько недель были парализованы правительственная переписка и онлайновые банковские операции, атаки подверглись информационные сети СМИ, частных предприятий и университетов.

В 2008-м во время Пятидневной войны были заблокированы сайты президента Грузии и министерства обороны. На сайте МИДГрузии вместо главной страницы появился набор фотографий с изображением Саакашвили в образе Гитлера.

Начавшиеся после выборов в Госдуму протесты в мае вылились и в длительное киберпротивостояние между активистами оппозиции и Кремлем. 4 мая российское крыло известной транснациональной хакерской группы Anonymous пообещало отключить сайты правительства и премьер-министра. Однако на практике эффективность атаки на правительственные сайты оказалась почти нулевой, а наиболее успешный хакер был отловлен в начале июня и угодил под уголовное преследование.

Зато 6 мая, в день "Марша миллионов", в оффлайн ушли сайты телеканала "Дождь", Slon.ru, "Коммерсантъ" и газеты "Большой город". DDoS-атаке подвергся и сайт "Эха Москвы", но "Эхо" устояло. "Боевые действия" продолжились 9 мая, когда хакеры пытались блокировать работу президентского сайта kremlin.ru. Одновременно атаке подвергся американский сервис трансляции потокового вещания Ustream.tv., точнее – канал независимого журналиста ReggaMortis1, который вел трансляцию акций оппозиции. UStream "лег" на девять часов – ибо атака была массированной, и что самое примечательное, коалиционной. В ней было задействовано 25 тысяч серверов, расположенных в России, Казахстане и Иране.

Обратимся теперь к кибершпионажу и наиболее жестким формам киберсаботажа – с выведением из строя контролируемого компьютерами оборудования. Две этих тактики практически неотделимы друг от друга.

Первый случай киберсаботажа с серьезными последствиями в "реальном" мире датируется 2000-м годом. Тогда уволенный оператор австралийской станции водоочистки при помощи украденного ПО и системы радиоуправления смог вмешаться в ее работу. В итоге тысячи тонн сточных вод были сброшены в реку, что породило локальную экологическую катастрофу.

Несколько лет спустя чем-то подобным занялись гораздо более серьезные люди. В сентябре 2010 года компьютерный вирус Stuxnet атаковал ядерные объекты Ирана. Программа должна была искать центрифуги Siemens P-1, используемые для обогащения урана. Захватив контроль над управляющим компьютером, вирус отдавал команды либо на резкую раскрутку центрифуг, либо на столь же резкое торможение – в итоге они просто ломались. Атака задержала ядерную программу Ирана минимум на полгода ("оптимистически" – до двух лет). При этом Stuxnet успешно ускользнул от внимания иранцев, списавших все на механические проблемы оборудования. Однако идеального оружия не бывает. Из-за ошибки программистов вирус вышел за пределы Ирана и начал распространяться по миру. В итоге программа попала в руки специалистов по кибербезопасности.

Всплыли занимательные подробности. Stuxnet, судя по имеющимся данным, разрабатывался в США по крайней мере с 2007-2008 годов в рамках программы "Олимпийские игры" в тесном контакте со специалистами армии Израиля. Полигоном для испытания вируса стал израильский ядерный центр в Димоне. При этом "Олимпийские игры" не ограничились созданием Stuxnet – деятельность "боевой" программы обеспечивалась набором шпионских. Так, во многом подобный Stuxnet шпионский вирус Duqu был обнаружен на компьютерах производителей систем управления производственными процессами – напомним, именно вторжение в такую систему обеспечило разрушение иранских центрифуг. Наконец, произошла серия инцидентов с вредоносной программой Wiper/Viper, выполнявшей классические функции компьютерного червя – она стирала данные на компьютерах министерства нефти Ирана.

В мае 2012 года Лаборатория Касперского объявила, что обнаружен еще один экземпляр – огромный и очень сложный вирус Flame, предназначенный для кражи офисных документов, файлов PDF и чертежей AutoCAD. Очевидно, что основной целью Flame было хищение технической документации – в том числе для обеспечения необходимой информацией боевых вирусов. Естественно, основной мишенью вируса оказался Иран – на него пришлась половина случаев. При этом Лаборатория Касперского обнаружила явное сходство между элементами Flame и ранними версиями Stuxnet.

Иными словами, первые "залпы" кибервойн уже прогремели – в них пока нет жертв, но уже есть разрушения. Старинное искусство пропаганды, шпионажа и саботажа выходит на принципиально новый уровень. ООН по обыкновению предостерегает от глобальной кибервойны – но ее по обыкновению никто не послушает.