«Холодная кибервойна» и горячие последствия

Не утихает скандал, связанный с обвинениями со стороны ЦРУ и ФБР в том, что русские хакеры вмешались в избирательный процесс в США. В то время как недавно опубликованный отчёт о предполагаемой операции активно критикуют за качество исполнения и многочисленные изъяны в доказательной базе, консенсус в целом сложился: да, хакеры взламывали серверы Демократической партии США, и да, скорее всего, атаки были инспирированы или проводились в интересах России.

В то время как США не в первый раз обвиняют – причём вполне официально - иностранные государства в поддержке хакерской деятельности, столь прямолинейные обвинения во вмешательстве в политические процессы с помощью кибератак звучит впервые. И хотя за этим совершенно не обязательно должно последовать что-либо более серьёзное, нежели очередной набор санкции против отдельных лиц и организаций, снова встаёт вопрос о применении информационных технологий в целях недружественного воздействия со стороны одних государств на другие. И встаёт, возможно, ещё острее, чем после печальной памяти Stuxnet.

Ящик Пандоры открыт

Появившиеся в 2010 году новости о Stuxnet - "боевом" вирусе, предназначенном для саботажа иранского ядерного предприятия, - произвели колоссальный эффект. Stuxnet стал первым известным примером, когда компьютерный код использовался в качестве оружия, причём в самом буквальном смысле. Эксперты по безопасности тогда хором заявили: открыт ящик Пандоры.

В 2012 году несколько чиновников американского правительства на условиях анонимности заявили (материал The Washington Post и материал NY Times), что Stuxnet разрабатывался американскими и израильскими спецслужбами с целью торможения ядерной программы Ирана, которую в Израиле - и в США тоже - небезосновательно считали и считают источником серьёзной угрозы. В принципе, Stuxnet вообще не должен был заражать системы за пределами Ближневосточного региона (а на деле этого червя ловили аж в Беларуси). Обнаружить его удалось как раз лишь потому, что из-за ошибки в коде он «расползся» за пределы зоны предполагаемой операции.

Но именно потому, что это случилось, ящик Пандоры действительно оказался открыт. Сразу же стало очевидно, что использовать компьютерный код в качестве оружия будут все, кто сможет себе это позволить.

На фото - первая страница материала The Washington Post (доступен по бесплатной подписке)

"Нулевые дни"

В прошлом, 2016 году режиссёр Алекс Гибни выпустил большой документальный фильм "Zero Days" ("Нулевые дни"), целиком и полностью посвящённый истории вокруг Stuxnet. Ему удалось разговорить представителей американских спецслужб – ЦРУ и АНБ (правда, текст от их имени читает нанятая актриса), которые признали, что Stuxnet - совместная разработка США и Израиля; что о его существовании никто не должен был узнать и что распространение червя по всему миру - результат ошибки израильских программистов.

В принципе, как показано выше, всё это уже было "секретом Полишинеля", хотя официальные представители спецслужб и властей США упрямо отказываются признавать это на официальном уровне и по сей день.

Но в фильме прозвучали и куда более значимые заявления. Во-первых, открыто, хотя и полуофициально, было сказано, что у США есть кибероружие, и что его применение санкционирует лично глава государства.

До сих пор это правило касалось только ядерного оружия.

В фильме также убедительно показано, что едва Stuxnet разлетелся по свету, все нации и экономики, которые могли себе это позволить, поспешили обзавестись «наступательными средствами» в киберпространстве.

Иначе говоря, кибервойска теперь есть у всех более-менее развитых экономик и, скажем так, мотивированных режимов.

Третьим значимым заявлением из числа прозвучавших в фильме, было то, что Stuxnet представлял собой лишь частный эпизод куда более масштабной операции под кодовым названием Nitro Zeus.

В рамках этой операции предполагалось полностью парализовать гражданскую и военную инфраструктуру Ирана в случае, если это государство начнёт-таки военные действия против союзников США в регионе.

Цитата из фильма: «Мы потратили на это сотни миллионов, может быть миллиарды. Мы были внутри, ждали, наблюдали. Были готовы нарушать работу этих систем, приводить их в негодность, уничтожать с помощью кибератак. По сравнению с этим Stuxnet был «операцией на задворках». Nitro Zeus представлял собой план ведения полномасштабной кибервойны без возможности определить источник атак».

Иными словами, представители АНБ в фильме признали, что кибервойска США заложили под иранские информационные системы и критическую инфраструктуру мощный «информационный фугас» с дистанционным управлением.

Но Stuxnet, по большому счёту, был провалом

Интересно, что в фильме даётся сугубо негативная оценка результатам операции Northern Lights (а именно так официально называлась операция против завода в Натанце). Вирус смог вывести из строя примерно одну пятую центрифуг для обогащения урана – ущерб, который оказался быстро возмещён. На развитии ядерной программы Ирана Stuxnet сказался незначительно. Иран согласился притормозить свою программу только в 2016 году после длительных многосторонних переговоров. Поставленную задачу Stuxnet не решил, а его утечка привела, как уже сказано, к появлению наступательных средств у многих других стран, наций и даже крупных общественных и религиозных групп, в том числе, не славящихся миролюбием.

С 2010 года в лексикон экспертов по кибербезопасности плотно вошли термины «кибершпионаж» и APT (Advanced Persistent Threat – продвинутая, устойчивая угроза). «Лаборатория Касперского» даже создала целый атлас. И хотя он относительно давно не обновлялся, там и так уже весь экран забит. Всё это – реально существующие, активные или свёрнутые в недавнем прошлом, кибершпионские кампании и целевые атаки.

И хотя возможности атрибуции (то есть, определение источника) всегда очень ограничены, можно с уверенностью констатировать, что как минимум некоторые из этих APT должны были появиться при поддержке различных государств или очень крупного бизнеса.

Можно смело констатировать, что мире идёт тихая, или, как выразился журналист Financial Times Сэм Джонс в своей статье, холодная кибервойна, в которую вовлечено великое множество сторон.

Может ли эта кибервойна приобрести «горячий» характер? К сожалению, исключать подобного нельзя. Более того, уже известен ряд инцидентов, помимо Stuxnet, когда хакерские атаки приводили к физическим последствиям.

Материальный ущерб

Это, например, атака 2014 года на немецкий сталеплавильный завод, начавшаяся со спиэр-фишингового письма, а закончившаяся – серьёзнейшим физическим ущербом для всего комплекса: злоумышленники вывели из строя промышленные контроллеры.

Это также атаки в декабре 2015 года, направленные на электрораспределительные станции украинских компаний «Киевоблэнерго» и «Прикарпатьеоблэнерго», в результате которых без электричества остались 80 тысяч пользователей - и это не только частные квартиры и офисы, но и больницы и роддома.

В начале 2016 года стало известно об инциденте с водоочистным комплексом на территории США, когда хакерам удалось поменять настройки, повысив – к счастью, ненадолго - количество химических веществ, использовавшихся для обработки воды.

И пусть пока подтверждённых инцидентов не много, эксперты давно твердят: промышленная безопасность во всём мире хромает на все четыре ноги.

- Сегодня все желающие могут воспользоваться, например, поисковиком Shodan и с его помощью найти промышленные контроллеры, «открытые всем ветрам», то есть подключённые напрямую к интернету, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». – Далеко не все эти контроллеры надёжно защищены от киберугроз. Вездесущие ошибки в программном обеспечении, слабые настройки безопасности, отсутствие надлежащих барьеров между офисными и промышленными сетями, всё это создаёт серьёзные риски для бесперебойной работы комплексов, от которых могут зависеть жизни и здоровье множества людей, не говоря уж об экономических последствиях. Успешная кибератака на крупный энергоузел может, при удачном стечении обстоятельств, и не привести к человеческим жертвам, но в экономическом плане – иметь последствия небольшого урагана или наводнения. А что случится, если произойдёт успешная кибератака на транспортную инфраструктуру мегаполиса размером с Москву, Лондон или Нью-Йорк? Даже если допустить, что обойдётся без жертв, хаос, многомиллиардный ущерб и долгоиграющие последствия гарантированы.

Информационный фугас

Вернёмся напоследок к «Нулевым дням» и утверждению, что иранская инфраструктура могла быть выведена из строя вся разом с помощью кибератак. Возникает логичный вопрос, а какие ещё страны могли быть объектами подобных операций? В фильме этот вопрос напрямую не задаётся, но, похоже, подразумевается, особенно если учесть признания, что собственная инфраструктура США тоже очень уязвима для кибератак.

С момента выявления Stuxnet прошло семь лет. У всех развитых экономик есть свои кибервойска, - этого никто не торопится признавать, но здравый смысл подсказывает, что так и есть. И что есть высокая вероятность, что условные противоборствующие стороны уже успели заложить такие же «киберфугасы» с дистанционным управлением друг под друга - на случай возникновения неразрешимых противоречий.

Хуже всего, пожалуй, то, что на сегодняшний день не существует никаких официальных международных договорённостей, которые бы регулировали применение или распространения кибероружия. Поскольку официально его как бы и не существует. Нет никаких дополнений к Женевским соглашениям, которые запрещали бы целенаправленные атаки на гражданскую инфраструктуру; не существует никаких договоров о нераспространении – деструктивные зловреды в теории могут быть созданы и использоваться кем угодно, а атрибуция – это всегда проблема. Профессионалы либо не оставляют следов вовсе, либо делают всё, чтобы направить расследование по ложному следу.

- В определённый момент времени международные договорённости могут появиться, - считает Дмитрий Гвоздев. – Но их появлению, скорее всего, будут предшествовать катастрофические события, и вряд ли кто-то, находясь в здравом уме, захочет, чтобы они действительно произошли. Достаточно представить себе последствия успешной кибератаки на атомную электростанцию. Лучше пусть это остаётся чем-то сугубо гипотетическим. Остаётся надеяться, что разумный подход всё-таки возобладает, и соответствующие договорённости появятся до того, как использование кибероружия приведёт к массовым жертвам.

Юрий Ильин

Tweet