Кибервойна. Эпизод №… Сдерживание

Логотип компании
Кибервойна. Эпизод №… Сдерживание
Кибервойна — не фантастика. Она уже идет .Основой «сдерживания» времен холодной войны было ядерное оружие.
Деньги – единственное, что вы уважаете.
Деньги – ваша единственная святыня.
В деньгах ваша единственная слава.
Деньгами измерен ваш гуманизм.
В деньгах вся ваша жизнь.
В деньгах вся ваша честь.
В деньгах вся ваша сущность.
Деньги для вас все.
Поэтому атака на ваши финансовые центры будет продолжаться [1]. 
Izz ad-Din al-Qassam Cyber Fighters



DDoS-кибератака на крупнейшие американские банки в сентябре–октябре этого года, организованная, по мнению национального политбомонда, Ираном, вызвала незамедлительную военно-политическую реакцию США. Глава сенатской комиссии по внутренней безопасности Д. Либерман мгновенно и очень уверенно определил ее иранское происхождение [2], после чего скрылся от комментариев на праздновании Йом- Киппур [3] . Министр обороны США Л. Панетта 11.10.12 в выступлении перед бизнес-элитой страны подтвердил его оценку и обрисовал новую грозную военную стратегию супердержавы в киберпространстве, основанную на принципах сдерживания и превентивного удара. Само его выступление выглядело акцией устрашения Ирана.

История о сдерживании

Кибервойна — не фантастика. Она уже идет [4] .Основой «сдерживания» времен холодной войны было ядерное оружие. В середине семидесятых обычные вооруженные силы НАТО в Европе могли противостоять советским «танковым ордам» не более двух недель, и единственным спасением сил блока от разгрома в случае нападения русских было нанесение первыми тактических ядерных ударов по наступающим войскам. Понимание последствий применения оружия массового поражения, пусть даже и на территории Восточной Германии, Чехословакии и Польши, а не противостоящих супердержав, а также возможности перерастания конфликта такого уровня в неограниченный ядерный, помогло удержать мир от еще одной большой европейской войны. В сознании американцев отложилось: историческое «сдерживание» — путь к победе в холодной войне, ее символ, знамя с девизами «Deterrence» и «First Strike». Его победная логика предполагала нанесение первого ядерного удара слабой стороной. Поэтому к концу 80-х годов прошлого века, в связи с выравниванием потенциалов обычных вооружений противостоящих военных группировок в Европе, для США и НАТО в нем отпала необходимость. В России 2000-х, неспособной защитить конвенциональными вооруженными силами национальную территорию и суверенитет, этот стратегический принцип, напротив, пришлось привнести в военную доктрину.

Киберсдержанность

Мы будем бороться за мир так, что не останется камня на камне.
Советский фольклор
Объявление сдерживания в киберпространстве военной стратегией супердержавы, располагающей исключительной кибермощью, в том числе военной, сосредоточенной в уникальном киберкомандовании ВС США, USCyberCom, выглядит довольно странно с содержательной точки зрения, ибо историческое сдерживание происходило от недостаточности сил. Обращение к этому лозунгу, по-видимому, обусловлено источаемым им благостным миролюбием и напоминанием о былых победах американской военной политики.

Собственно, основы киберобороны были сформулированы еще в подписанной в мае прошлого года Б. Обамой «Международной стратегии в киберпространстве» [5], предусматривающей политическое (dissuasion) и военное (deterrence) сдерживание. Новым в упомянутом выступлении Л. Панетты является принцип превентивного удара, который, по его мнению, должен наноситься по решению президента страны, в частности, при возникновении реальной угрозы серьезного физического поражения ударом из киберпространства. В последние годы, как заявил глава военного ведомства, созданы возможности идентификации источников угроз такого рода национальными техническими средствами, что и обеспечивает реалистичность декларируемого подхода.

Не нужно обладать большим ехидством, чтобы заметить, что вряд ли эти возможности лучше, чем имевшиеся у разведки США по определению наличия оружия массового поражения в Ираке или по установлению местонахождения Бен Ладена с точностью до страны пребывания десять лет назад.

Создается новый, фактически бесконтрольный, триггер агрессии взамен «подвешенной» Конгрессом формулы резолюции № 568, определяющей «красную линию» развязывания войны против Ирана, по достижении им непонятно как определенной способности к созданию ядерного оружия [6] . В этой связи чрезвычайно настораживают заявления Б. Нетаньяху, определяющие «дедлайн» агрессии против Ирана весной – началом лета 2013 г. [7], ибо спровоцировать войну кибератакой до крайности просто.

Удары по Ирану

Авиаудар Израиля, уничтоживший сирийский ядерный реактор в 2007г, стал возможен только в результате того, что система ПВО Сирии была «хакнута». Авторство кибератаки приписывают генерал-майору Бен Исраэли. Полагают, что использовалась американская программа  подавления ПВО Suter производства BAE Systems. 

Срыв иранской ядерной программы, продолжающей вызывать беспокойство не только у Израиля и США, но и у почти всего остального мира, был главной целью инициированной в 2006 г. президентом Д. Бушем программы направленных против Ирана операций в киберпространстве Olympic Games. Получившая бурное развитие в президентство Б. Обамы, она породила целый ряд известных ныне в мире образцов кибервооружений.

Stuxnet [8], сорвавший программу по обогащению урана. Его применение было обнаружено в 2009 г. [9], и то лишь благодаря ошибке (?) израильских программистов, включивших в его функционал «дикое», нетаргетированное интернет-распространение.

Flame. Вирус–шпион широкого профиля, предназначенный для сбора данных об иранской ядерной программе. По оценкам Washington Post, продукт совместной разработки АНБ [10]  и ЦРУ США во взаимодействии с израильскими спецслужбами, применявшийся на протяжении последних пяти лет [11]  совместно со Stuxnet в рамках программы Olimpic Games.

Duqu. Вирус-шпион, ориентированный на сбор данных о системах управления реального времени (SCADA), потенциально способный в некоторых сборках на поражение компьютерных систем. Отмечено боевое применение с сентября 2011 г., предположительно — для информационной поддержки боевого кибероружия класса Stuxnet.

Wiper. Боевой вирус, уничтожающий информацию на зараженных компьютерах. Вывел из строя информационную систему министерства нефтяной промышленности Ирана и ряда крупных компаний страны, включая National Iranian Oil Processing and Distribution Company, National Iranian Gas Company, Iranian Offshore Oil Company, Pars Oil and Gas, вынудив их на время полностью уйти из Интернета и сократить операции, за исключением интернет-независимых экспортных. Модуль Flame стандартно уничтожил следы его деятельности на зараженном компьютере.

Gauss. Вирус-разведчик, предназначенный для изощренного шпионажа и кражи данных в банковской системе Ливана, через которую могли проводиться финансовые операции Сирии и Ирана. Применялся с сентября прошлого года [12]. Цели: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank, Credit Libanais, а также пользователи Citibank и PayPal в регионе. Действовал в период с сентября 2011 г. по июль 2012 г. После его выявления и идентификации «Лабораторией Касперского» (ЛК) в июне 2012 г. в июле управляющие серверы прекратили работу. Объем ущерба неизвестен.

SP, SPE, IP. Применение выявленных в нынешнем октябре ЛК образцов точечного кибероружия SP, SPE (miniFlame) и IP [13], используемого в комплекте с Gauss и Flame, явно указывает на необходимость и существование оперативного центра боевого управления, руководящего киберсражением и реализующего сложные тактические сценарии использования средств поражения. Географически он может находиться где угодно и, вероятно, является совместным американо-израильским органом.

DDoS. На столь внушительном фоне DDoS-атака на госорганы Ирана, частично парализовавшая их работу в начале октября [14], выглядит почти что безделицей и, вероятно, предназначалась для демонстрации силы в ответ на атаки американских банков и израильских учреждений.
Принадлежность Stuxnet и Flame к американо-израильской совместной разработке не вызывает сомнений в экспертном сообществе, определение «национальности» всех прочих помянутых орудий войны основывается на конструктивных признаках и особенностях их применения. Полагаясь на технологический анализ ЛК, я бы всю перечисленную совокупность софтверного оружия отнес к американской и израильской разработке, вероятно, не всегда совместной. Никем не опровергнутый тезис NYT об участии Великобритании в операции по применению Stuxnet также, полагаю, дозрел до достоверности.

Ответные удары

Иранские кибератаки на США, во всяком случае, в их нынешних масштабах, подобны стрельбе в тигра из травматического пистолета с легко предсказуемыми последствиями.

Sentinel. Руководитель Google Эрик Шмидт в интервью, данном CNN в конце прошлого года, очень высоко оценил технологическую одаренность персов [15]. Примерно в ту пору они ее убедительно продемонстрировали, проведя уникальную кибероперацию по перехвату управления и мягкой посадке на территории Ирана стартовавшего с афганской авиабазы Шинданд беспилотного американского самолета–разведчика Lockheed Martin RQ-170 Sentinel [16]. Родной сигнал управления, шедший от американского оператора, вероятно, из Кандагара, был подавлен средствами радиоэлектронной борьбы Ирана, а посадка в нужном персам районе удалась благодаря обману самолетной системы ориентирования GPS. Вследствие неидеального совпадения рельефа фактического и виртуального места приземления при посадке были повреждены шасси беспилотника. Изготовленный по технологии Stealth крылатый шпион достался военным экспертам целеньким. О сложности операции говорит тот факт, что в этом октябре аналогичная попытка Израиля «хакнуть» на своей территории разведывательный беспилотник, принадлежащий Хезболла [17], закончилась неудачей и, по необходимости, ракетными ударами на уничтожение . Впрочем, заверения иранских духовных вождей о способности воспроизвести американские технологии, заложенные в RQ170, спустя несколько месяцев после его захвата выглядят все же шапкозакидательством.

Shamoon. Этим кибероружием был нанесен удар по нефтяным компаниям Aramco (Саудовская Аравия) и Rasgas (Катар). Операция была пышно именована «Карающий меч правосудия» (Cutting Sword of Justice). В ходе ее в Aramco за две последние недели августа было выведено из строя 30 тыс. компьютеров (три четверти их общего числа). По оценке ЛК, технологически операция оказалась довольно слабо проработанной. Исполнительный модуль был сформирован на основе драйвера RawDisk компании EldoS Corporation [18]. Включение в код программы строчки \Shamoon\ArabianGulf\wiper\release\wiper.pdb продемонстрировало ее ответный характер и претензию на сходство с оригиналом, но не улучшило качества. Почти симметричный ответ на американо-израильский удар, выполненный Wiper.

Ababil. Последняя на конец октября масштабная отчетливо заметная акция Ирана — длившаяся пять недель операция Ababil, заключавшаяся в проведении серии DDoS-атак на крупнейшие американские банки с интенсивностью до 65 Гбит/сек [19]. Жертвой пятой недели стал международный банк HSBC. На шестую, судя по всему, кибернаступление захлебнулось из-за отсутствия заранее зарезервированных мощностей (зомбированных серверов, ботнетов), потенциал его был утрачен и, в связи с празднованием Курбан-байрама (Eid al-Adha, мусульманский праздник жертвоприношения), боевые действия были приостановлены [20]. В экспертном сообществе высказывались различные мнения об организаторе нападения на банковскую систему. Для меня, например, решающими признаками идентификации атакующей стороны в данном случае являются признаваемый большинством аналитиков государственный уровень технологической организованности и следование логике войны — нефть за нефть, банк за банк, а не цитированные ранее умозаключения американского сенатора. Не столь важно, находится ли физически оперативный центр боевого управления кибероперациями в тайных бункерах Хезболла в Бейруте, как утверждают некоторые источники [21], или где-либо еще, главное — кто, кем/чем и как через него руководит.

Кибератака на Израиль. В отместку за сентябрьскую DDoS-атаку на Иран в начале октября была проведена ответная кибератака на Израиль, о которой рассказал в одном из своих выступлений премьер министр Б. Нетаньяху [22] . Вероятно, он имел в виду атаку вирусом, издевательски именованным в честь начальника ГШ Израиля Б. Ганца - Benny Gantz-55 [23], вынудившую ввести запрет на использование «флешек» и дисков в полиции страны.

Силы кибервойн

Развивая наш потенциал в киберпространстве, мы повышаем обороноспособность государства Израиль. В киберпространстве размер страны не имеет существенного значения, но крайне важен ее научный потенциал и в этом благословение Израиля .
Б. Нетаньяху [24]
Свидетельством гонки кибервооружений и подготовки войн является развертывание кибервоенных организаций в составе вооруженных сил ряда стран. Их задачи не ограничиваются, как в эпоху холодной войны, шпионажем и радиоэлектронной борьбой, а предусматривают оборону собственного киберпространства и, в дополнение к разведке и мониторингу вероятного противника, разработку и применение наступательного и оборонительного кибероружия, выводящего из строя объекты как виртуального, так и реального мира. В выступлении Л. Панетты выражены опасения по поводу возможного «кибер–Пёрл-Харбора», который может случиться в результате кибератаки, скажем, на объекты энергетической или транспортной инфраструктуры, если своевременно не принять необходимых мер противодействия, включая нанесение упреждающего удара по противнику.

USCyberCom. В США киберкомандование было создано три года назад, его секретный бюджет может быть оценен по былому бюджету АНБ, превышавшему десяток миллиардов долларов, а в сочетании с бюджетом Министерства внутренней безопасности DHS, выделенным на эти цели... Ну, очень много.

Israel. National cyber headquarters. Стремящийся стать глобальной силой в киберпространстве, состоять в пятерке ведущих в кибервоенном отношении держав мира, Израиль в этом году сформировал собственное киберкомандование на основе войсковой части 8200 военной разведки Aman [25] с бюджетом примерно в $150 млн, что, вероятно, несколько более одного процента американского.

Iran. Cyber Hezbollah. В два раза меньший бюджет подчиняющегося Айятолле созданного в этом году в составе Корпуса стражей исламской революции иранского киберкомандования не должен никого вводить в заблуждение. К кибервоенной деятельности привлечены идеологизированные организации, такие как «Кибер партия Аллаха » [26] («кибер–Хезболла»!) и хакер-партизанская киберармия Ирана, способные объединить тысячи талантливых людей и без больших финансовых вливаний.

Деньги важны в киберпространстве, особенно при создании масштабных систем непрерывной разведки и мониторинга целевых систем вероятного противника, однако решающим ресурсом кибервойн, и это понимает не только израильский премьер, являются все же мозги, научно- технические таланты.

Кибервойны идут скрытно, наносимый ими ущерб не всегда столь внятен, как в случае со Stuxnet, разрушавшим центрифуги обогатительного завода в Натанзе, или DDoS-атак на банки и правительственные учреждения. Новости с фронта крайне редко и невнятно попадают на первые страницы новостных изданий и в прайм-тайм теле- и радиовещания. Обоснованное определение принадлежности сражающихся сил и используемых кибервооружений — сложная задача. Воюющие стороны информационно активны в повествованиях о совершенных на них нападениях и более чем скромны по поводу наносимых ими ударов. Кибератака может спровоцировать полномасштабную войну, а ее угроза при определенных обстоятельствах может послужить поводом превентивного удара США. Таким стал мир, в котором мы живем.

P.S. В тексте для «Банковского обозрения » [27] я использовал фразу из размещенной на сайте New York Times заметки Cyberwarfare: «No cyberwar has ever been declared, but cyberwarfare has become a fact of life» — мол, кибервойна не объявлена, но уже идет. Афористичненько выглядит. На момент подготовки этой статьи фраза исчезла с сайта и не гуглится. Пришлось найти цитату, говорящую ровно то же и на ту же дату, от менее модерируемого источника — вашингтонского радио NPR. Ее я и включил в этот текст. Ход кибервойны и связанные с ней риски для обычных людей и бизнеса старательно прячутся и преуменьшаются. Надеюсь, все же не до уровня 9/11.

Ссылки:

[1] Mrt. Izz ad-Din al-Qassam Cyber Fighters. The fourth week. Operation Ababil.
[2] Sen Lieberman: Iran is behind bank cyber attacks // Cyberwarzone. 26.09.12.
[3] Йом-Киппу?р (???? ?????????, «Судный день») — в иудаизме самый важный из праздников, день поста, покаяния и отпущения грехов.
[4] Neal Conan. Cyberattacks Escalate Around The Globe // National Public Radio. 16.10.12.
[5] International Strategy for Cyberspace. The White House. May, 2011.
[6] Dennis Kucinich. NDAA Authorizes War Against Iran // The Huffington Post. 17.05.12.
[7] Rick Gladstone, David E.Sanger. Nod to Obama by Netanyahu in Warning to Iran on Bomb. NYT. 27.09.12.
[8] А. Куприянов. Киберопасный мир // IT-Manager. 2010. № 11.
[9] А. Куприянов Stuxnet. Жизнь и творчество // IT-Manager. 2011. № 2.
[10] Агентство национальной безопасности (АНБ) США является органом криптологической разведки МО США, основой киберкомандования USCyberCom.
[11] E. Nakashima, G. Miller, J. Tate. U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say // Washington Post. 19.06.12.
[12] Fahmida Y. Rashid. Gauss: Nation-state cyber-surveillance meets banking Trojan. 09.08.12
[13] miniFlame, он же SPE: «Элвис и его друзья». Securelist. 15.10.12.
[14] Jay Pfoutz. Cyberwar continues, Attacks on Iran infrastructure slows Internet access. 04.10.12.
[16] А. Куприянов. «Взломанные «мозги» ЦРУ на службе Ирану» // АиФ. 19.12.2011.
[17] Did Israel Hack Unmanned Helicopter that Entered their Airspace» // CYBER ARMS – Computer Security. 07.10.12
[18] E. Maevski. About utter incompetence of malware «analysts» and journalists. 17.08.12.
[19] A. Gonsalves. Bank attackers more sophisticated than typical hacktivists, expert says. // CSOonline's Malware/Cybercrime. 28.09.12.
[20] The 6th Week, Operation Ababil. Izz ad-Din al-Qassam Cyber Fighters Group. 23.10.12.
[21] Iran’s global cyber war-room is secretly hosted by Hizballah in Beirut. // Debkafile. 21.10.12.
{22] Netanyahu: Israel under cyber attack from Iran // Xinhua. 15.10.12.
[23] Israel Moves To Block Trojan Computer Attack // Orange News. 27.10.12.
[24] Prime Minister Benjamin Netanyahu's Speech at the Institute for the National Security Studies' Conference on Security Challenges. 29.05.12.
[25] Директорат военной разведки (??? ?????????, Agaf HaModi'in — «Секция разведки», сокр. Aman) — центральный орган военной разведки израильских сил обороны.
[26] Iran Gears Up for A Cyber Attack // IsraelDefense.  03.10.11 
[27] А. Куприянов. Почему атакуют американские банки // Банковское обозрение. 19.10.12.



Опубликовано 27.11.2012

Похожие статьи