«Око» агентства национальной безопасности США охватывает практически весь мир. Фото Reuters
В интервью британской Times президент Эстонии Тоомас Хендрик Ильвес рассуждал о возможности российского кибернападения на Эстонию, Латвию или Литву. Как заявил президент Ильвес журналистам Times, страны НАТО должны быть готовы не только к обычному военному или ядерному нападению, но и к удару по своим компьютерным сетям. «Если вы таким образом «поджарите» электростанции, чем это отличается от ракетного удара?» – рассуждает Ильвес. Парализовать с помощью кибератаки целую страну очень трудно, но тем не менее возможно, утверждает эстонский президент, и он недалек от истины.
Кибертерроризм на новом уровне
Конечно, с позиций Москвы именно России следует ожидать вирусной атаки из-за границы. Не так давно бывший программист АНБ США Эдвард Сноуден поделился очередной порцией информации о современном положении вещей в области кибертерроризма. По его словам, в настоящее время наиболее уязвимой мишенью для шпионских организаций являются ИТ-сотрудники – именно через них шпионы пытаются получить доступ к ключевым элементам инфраструктуры Интернета и базам данных. Сноуден заявил, что кибершпионы пытаются получить доступ к ключевым элементам инфраструктуры Интернета и базам данных при помощи слежки за ИТ-специалистами.
Несомненно, организация нападения на инфраструктурные объекты, к которым относится энергосистема, позволяет мгновенно резко понизить уровень обороноспособности любой страны. Но подобное нападение требует тщательной подготовки, и вербовка ИТ-сотрудников может представлять собой только один из вариантов такой атаки. Главным же элементом в этом случае всегда является компьютерный вирус. Понятно, что вирусы бывают разные – одни должны нарушить функционирование системы и привести ее к аварии, а другие получить данные этой системы. Наверное, сначала надо понять, как работает система, и выявить ее уязвимые места.
Regin как многоплановое шпионское решение
На сегодня наиболее известным и подходящим для организации подобных атак является «троянец» «Реджин» (англ. Regin). Данные Википедии говорят о том, что это компьютерный «червь», поражающий компьютеры под управлением операционной системы Microsoft Windows, обнаруженный Лабораторией Касперского и Symantec в ноябре 2014 года. По оценке представителей Лаборатории Касперского, первые сообщения об этом вирусе появились весной 2012 года, а самые ранние выявленные экземпляры датируются 2003 годом (само название Regin впервые появилось на антивирусном онлайн-сервисе VirusTotal 9 марта 2011 года). На конец 2014 года среди компьютеров, зараженных вирусом Regin, по данным Symantec, 28% находились в России, 24% – в Саудовской Аравии, по 9% – в Мексике и Ирландии и по 5% в Индии, Афганистане, Иране, Бельгии, Австрии и Пакистане, основными мишенями программы были телекоммуникационные компании. Согласно статистике Symantec 28% жертв Regin – телекоммуникационные компании и интернет-провайдеры, 48% – частные лица и малый бизнес, но также от вируса уже пострадали компании из гостиничной индустрии, правительственные учреждения, научно-исследовательские институты, энергетические, финансовые компании и частные лица. Лаборатория Касперского уточняет, что среди частных лиц этот «троянец» особенно интересовался теми, кто занимается математическими или криптографическими исследованиями. По данным британской Financiel Times, всего пока определили у данного вируса 27 целей в 14 странах мира.
Эксперты по компьютерной безопасности сравнивают Regin с вирусом Stuxnet по уровню сложности и ресурсоемкости разработки, в связи с чем высказываются мнения, что вирус мог быть создан на государственном уровне (Symantec прямо говорит о западной спецслужбе) в качестве многоцелевого инструмента сбора данных. Также и другая фирма по компьютерной безопасности – F-Secure отмечает схожесть программы Regin с программами Stuxnet и Flame.
Лаборатория Касперского в своем отчете о вирусе приводит статистику timestamps (отметок о том, в какое время обновлялся код вируса во время разработки), на основании которой можно сделать вывод, что авторы «троянца» работают полный день в офисе, даже с обеденным перерывом.
Regin представляет собой вирус-«троянец», использующий модульный подход, который позволяет ему загрузить функции, необходимые для учета индивидуальных особенностей заражаемого компьютера или сети. Структура вируса рассчитана на постоянное, долговременное целевое наблюдение за многочисленными объектами.
В любом «троянском коне» главное – начинка. Фото Денниса Джарвиса |
Regin не хранит данные в файловой системе зараженного компьютера, вместо этого он имеет свою собственную зашифрованную виртуальную файловую систему (EVFS), которая выглядит как единый файл. В качестве метода шифрования EVFS использует вариант блочного шифра RC5. Regin осуществляет коммуникации через Интернет с использованием ICMP/Ping, команд, встраиваемых в HTTP, cookie и протоколов TCP и UDP, превращая заражаемую сеть в ботнет. Sysmantec и Лаборатория Касперского определяют эту программу как Backdoor. Regin. 9 марта 2011 года компания Microsoft добавила соответствующие записи в свою «Энциклопедию компьютерных вирусов» (англ. Microsoft Malware Encyclopedia). Позже было добавлено еще два варианта – Regin.B и Regin.C. Microsoft предлагает назвать 64-битные варианты Regin Prax.A и Prax.B.
Regin представляет собой один из самых экстраординарных вредоносных программ, сказала представитель Symantec Орла Кокс. По ее словам, работа над вирусом, вероятно, велась несколько месяцев или лет. Для сбора информации вирус начали использовать не позднее 2008 года. Как именно Regin попадал в компьютерные сети компаний Symantec, пока не установила. После проникновения в сети Regin взламывал электронную почту и похищал данные телефонных разговоров по мобильным устройствам. При этом в случае, если специалистам удавалось засечь вирус, Regin мог почти полностью исчезнуть, сказала Кокс. В Symantec не исключили, что вирус может использоваться западными спецслужбами. «Его возможности и уровень ресурсов, стоящих за Regin, указывает, что он является одним из основных инструментов кибершпионажа, используемых государством», – заявили в компании. В свою очередь, источник газеты Financial Times в одной из западных спецслужб заявил, что говорить о происхождении и цели Regin сложно. По его словам, то, что вирус использовался в конкретном государстве, не позволяет исключить версию о том, что он был разработан именно в этой стране. По данным германского агентства dpa, Лаборатория Касперского полагает с большой долей уверенности, что мощный вирус-«троянец» Regin, обнаруженный в конце декабря на компьютере сотрудницы европейского отдела ведомства федерального канцлера Германии, был создан в Агентстве национальной безопасности США (АНБ). К такому выводу специалисты российской компании пришли после изучения другой шпионской программы – Qwerty, также разработанной американской спецслужбой. Значимые данные обоих вирусов оказались фактически идентичными. Копирование, полагают эксперты, вряд ли возможно, поскольку программа обладает весьма сложной архитектурой. Отсюда следует, что оба вируса были созданы одним разработчиком либо их создатели тесно сотрудничали, отмечает немецкая медиакомпания n-tv.
Проблема доступа к информационным и другим видам компьютерных сетей решается многоуровневыми способами. Не так давно войска Воздушно-космической обороны РФ обнаружили на орбите группировку спутников радиотехнической разведки, образованную для слежки за Россией. Об этом в интервью телеканалу «Звезда» сообщил командующий войсками Космического командования войск ВКО генерал Олег Майданович. По его словам, «совсем недавно специалистами Главного центра разведки космической обстановки была вскрыта вновь созданная группировка космических аппаратов радиотехнической разведки. Она создана для того, чтобы осуществить радиотехническую разведку средств, находящихся на территории Российской Федерации».
По информации немецкого журнала Spiegel, правительство Германии намерено предложить парламенту страны принять соответствующий закон, касающийся контроля за телефонными и компьютерными сетями, чтобы легально слушать все телефонные переговоры и читать мейлы. Дело в том, отмечает журнал, что практика немецких спецслужб, касающаяся перехвата информации с помощью технических средств, все чаще подвергается критике из-за отсутствия для этого правовой основы. Напротив, как федеральная разведывательная служба, так и ведомство федерального канцлера считают, что немецкие законы не могут быть действительными, например, для иностранцев, данные на которых добываются с помощью спутников из космоса в так называемом свободном от действия законов пространстве.
О масштабности тайных операций по проникновению в информационные сети дает представление подборка, приведенная в апрельском издании немецкой газеты Zeit со ссылкой на разоблачения перебежчика из АНБ Сноудена.
Газета пишет, что документация Сноудена разоблачает мировую шпионскую сеть. Она показывает, что американская АНБ, британский центр правительственной связи (GHCQ) и их партнерские службы (Канада, Австралия и Новая Зеландия) намерены контролировать любые коммуникационные формы связи. Они образуют «пятерку» (Five Eyes). С ними работают такие страны, как Германия, Швеция, Франция, Бельгия, Япония и Южная Корея, которые обмениваются информацией с «пятеркой». Известно, что АНБ прослушивает телефонные разговоры 122 руководителей правительств различных стран мира, включая Ангелу Меркель и, возможно, весь берлинский правительственный квартал. Нельзя исключать, пишет газета, что прослушивается даже вся Германия. Известно, что немецкая БНД (федеральная разведывательная служба) и американская АНБ вместе с пока неизвестной телекоммуникационной фирмой кооперируются в рамках проекта WHARPDRIVE, представляющего собой часть контрольной программы RAMPART-A, в рамках которой контролируются важнейшие кабельные сети, чтобы получать и анализировать мейлы, телефонные переговоры, чаты и другие коммуникационные службы миллионов людей.
Для понимания уровня работы против России важна приведенная в газете информация, что все вычислительные центры и целые коммуникационные сети прежде всего в России и Саудовской Аравии, а также в Мексике, Ирландии, Индии, Афганистане, Иране, Бельгии, Австрии, Пакистане, Германии и Бельгии контролируются вирусом Regin. Исследовательские центры ядерной сферы, финансовые институты, телекоммуникационные, энергетические, нанотехнологические фирмы и воздушные перевозчики контролируются шпионскими компьютерными программами.
Какой из этой информации можно сделать вывод? Если исходить из военной терминологии, то проводимая АНБ тотальная слежка представляет собой первую фазу сбора информации об уязвимых точках противника. А на следующей фазе «войны в киберпространстве» внедренные в коммуникационные сети противника «троянские кони» и «черви» действительно смогут «поджарить» электростанцию или разогнать ядерный реактор до стадии неконтролируемой цепной реакции.