Кибервойн@. Пятый театр военных действий - читать онлайн книгу. Автор: Шейн Харрис cтр.№ 39

Однако, как отметил Фик в своем интервью вскоре после назначения, состоявшегося в 2012 г., время огромных военных расходов, начавшееся после терактов 11 сентября, подходило к концу. США сворачивали свое военное присутствие в Ираке и Афганистане. Приближался период строгой экономии, а в конгрессе все чаще были слышны призывы к сбалансированному бюджету и снижению государственных расходов. «Оборонный бюджет окажется под давлением, впрочем, так и должно быть, – говорил Фик. – Во многих случаях избыточность и неумеренность в расходах последнего десятилетия не могут продолжаться долго, такое положение совершенно нежизнеспособно». Однако он добавил: «Я думаю, что некоторые направления будут расти и дальше».

Этот рост наблюдается в частном секторе. Двое знакомых с Фиком людей рассказали, что компания Google стала одним из крупнейших покупателей пакетов уязвимостей нулевого дня, распространяемых компанией Endgame. Если бы Google нанесла ответный удар по тем, кто пытался похитить ее интеллектуальную собственность, это было бы нарушением закона. Однако Google была одной из самых заметных и, несомненно, самых влиятельных компаний, которые настоятельно призывали конгресс и Администрацию президента Обамы осудить Китай за кибершпионаж и предпринять дипломатические шаги, если страна сама не может обуздать своих хакеров. Google начала делиться с АНБ информацией об атаках на свои сети, после того как компания стала объектом масштабной шпионской операции Китая, результатом которой стало похищение интеллектуальной собственности.

Роуланд был не единственным сотрудником Endgame, который заявлял, что у компаний должно быть право защищаться в тех случаях, когда государство не может или не хочет обеспечить помощь. Партнер одного из ключевых инвесторов Endgame выступил в защиту этой идеи после публикации хакерами из группы Anonymous презентации компании, в которой рассказывалось, как ее клиенты могут использовать кластеры, состоящие из зараженных компьютеров – так называемые ботнеты, – для атак на сайты или похищения паролей и другой конфиденциальной информации. «Если вы считаете, что в будущем войны будут вестись в киберпространстве, разве вам не хотелось бы иметь в своем распоряжении киберармию? – сказал член совета директоров Endgame Тед Шлейн корреспонденту Reuters.

Большинство частных компаний, работающих в области кибербезопасности, прилагают максимум усилий, чтобы подчеркнуть тот факт, что они не проводят «ответных взломов», то есть не влезают в компьютер взломщика, поскольку в США это незаконно. Однако компании следят за взломщиками, которые забрались в их клиентские сети. Один из известных игроков в этом бизнесе, CrowdStrike, завлекает шпионов с помощью хост-ловушек. Компания может заманивать хакеров в фальшивые клиентские сети, которые на самом деле представляют собой стерильную зону, закрытую для любых рабочих и важных клиентских компьютеров. Смысл заключается в том, чтобы выиграть время для наблюдения за взломщиками и определить, что их интересует прежде всего: ищут ли они, например, технические схемы и чертежи или хотят узнать детали ведущихся переговоров. После этого нужно заставить хакеров показать, какими инструментами и методами они пользуются для кражи информации. Компания может защитить свои фиктивные документы с помощью особенно сложного пароля в надежде, что хакер воспользуется новым способом взлома. Как только клиент понял, каким инструментарием располагает взломщик, CrowdStrike сможет предсказать, каким образом грабитель попытается влезть в другие системы в будущем. Если клиент хочет выбить взломщика из колеи, перехитрить его, он может внедрить недостоверную или вводящую в заблуждение информацию в те свои документы, которые хакер примет за описание бизнес-стратегии или за планы по выпуску новой продукции.

CrowdStrike также анализирует системы жертв взломщика, чтобы понять, какие именно технологические отрасли или виды технологий его интересуют. Затем компания составляет досье. В некоторых случаях хакеру даже дают имя. Больше года аналитики CrowdStrike отслеживали действия одного противника, которого назвали Anchor Panda, шпионившего за компаниями, связанными с созданием спутников, аэрокосмической отраслью и оборонными контрактами, а также интересовавшегося программами космических исследований иностранных государств. Вооруженные специфической информацией о том, что из себя представляет хакер и какие методы взлома он использует, каков его почерк, клиенты CrowdStrike теоретически могут предпринимать целенаправленные защитные действия. Можно провести аналогию с рассылкой по всем полицейским участкам ориентировки на беглеца, в которой приведено точное описание его внешности и манеры поведения. Это будет намного эффективнее, чем просто призывать граждан быть осторожнее и внимательнее к подозрительным людям.

Эта деятельность очень напоминает работу правоохранительных органов. И это неудивительно, поскольку двое руководителей CrowdStrike – бывшие агенты ФБР. Шон Генри, генеральный директор CrowdStrike Services, подразделения компании, которое выслеживает и идентифицирует взломщиков, отслужил в бюро 24 года. Он уволился из ФБР в 2012 г., будучи старшим офицером, который отвечал за все международные киберпрограммы и расследования. Кстати, бывший заместитель директора киберподразделения ФБР теперь работает в компании главным консультантом. По словам Генри, CrowdStrike отличается от других компаний по кибербезопасности тем, что «когда мы реагируем на происшествие, мы по-настоящему охотимся за противником». Он говорит, что компания применяет методы компьютерной криминалистики и обратной разработки вредоносного ПО, чтобы понять тактику хакеров, методы их работы и мотивацию. Он осторожно обходит стороной все вопросы, связанные с вторжением в компьютеры противников компании, – агент ФБР в прошлом, он сам годами преследовал людей за нарушение антихакерских законов. Однако слово «охотимся» указывает на более агрессивную форму анализа, которую допускает компания, в отличие от других фирм, работающих в этой области. CrowdStrike устанавливает специальную аппаратуру в сетях своих клиентов и привлекает добровольцев для сбора большего объема информации о методах взломах, как только случается хакерская атака, вместо того, чтобы собирать улики уже после завершения атаки. Компания использует полученные данные, чтобы определить принадлежность хакера к определенной группе или стране. Это одна из самых сложных проблем киберкриминалистики, поскольку опытные хакеры, как правило, стараются скрыть свое физическое местоположение, используя для проведения атак зараженные компьютеры, находящиеся в других странах. CrowdStrike обещает сообщать своим клиентам не только о том, как они были атакованы, на также о том, кем и зачем. В первую очередь компания концентрирует свое внимание на шпионах и хакерах, работающих на другие государства, в том числе Иран, Китай и Россию. (Аналитики из группы «стратегической разведки» читают на трех языках: китайском, фарси и русском.) В своих маркетинговых материалах CrowdStrike многократно повторяет, что использует методы сбора разведданных для идентификации взломщиков и передает информацию о них своим клиентам.

Данная методика тоже взята из арсенала ФБР. Бюро устраивало облавы на хакеров, самые известные из которых были членами группы Anonymous, следя за тем, как они воруют данные у компаний и частных лиц. Эта информация становилась основанием для уголовного преследования. Однако CrowdStrike и ее клиенты не всегда доводят дело до суда. И именно в этой бизнес-модели компании кроется агрессивность.