Глава 1 Экспериментальные работы
Глава 1
Экспериментальные работы
Месяц отражался в медленных водах Евфрата, на берегах которого вот уже пять тысячелетий сражаются народы. Стояла ночь 6 сентября 2007 года, и у Евфрата вот-вот должна была произойти атака нового типа — та, что началась в киберпространстве. На восточном берегу реки, в ста двадцати километрах на юг от турецкой границы, косые тени разрезали песчаные стены высохшего русла реки. Большое строящееся здание тускло светилось.
Шестью часами ранее из него вышли многочисленные рабочие из Северной Кореи, дисциплинированно выстроившись в очереди, чтобы сесть в автобусы и отправиться в общежитие. Для стройплощадки это место выглядело слишком темным и незащищенным, как будто подрядчик опасался привлечь внимание. Вдруг маленькие звездочки, горевшие над стройплощадкой, вспыхнули и залили пространство бело-голубым светом, стало ярче, чем днем. Это длилось не больше минуты, хотя нескольким сирийцам и корейцам, оставшимся на стройке, показалось, что прошла вечность. Сверкнула слепящая вспышка, затем прокатилась оглушающая звуковая волна, и все превратилось в развалины. Если бы люди не лишились на время слуха из-за взрыва, они, припавшие к земле, услышали бы отдаленный звук реактивных двигателей военных самолетов. Если бы они могли видеть сквозь пламя, уничтожавшее стройку, то заметили бы высоко в небе, над сигнальными ракетами, которые все еще спускались на маленьких парашютах, они заметили бы, как несколько истребителей F-15 Eagles и F-16 Falcons повернули на север и полетели по направлению к Турции. А кто-то мог бы даже разглядеть сине-белые звезды Давида на крыльях самолетов военно-воздушных сил Израиля, полностью уничтоживших плод многолетней секретной работы.
Почти столь же необычным, как и этот налет, стало дальнейшее политическое безмолвие. Управление по связям с общественностью израильского правительства молчало. Что еще более странно, Сирия, которая подверглась бомбардировке, не сделала никаких заявлений. Постепенно история начала просачиваться в американские и британские СМИ. Израиль нанес удар по комплексу в Восточной Сирии, который строила Северная Корея. Здание было связано с производством оружия массового поражения, утверждали СМИ, ссылаясь на неназванные источники. Израильские цензоры позволили своим газетам процитировать сообщения американских средств массовой информации, но запретили писать собственные комментарии. Это, утверждали они, вопрос национальной безопасности. Позднее правительство Сирии, под напором сообщений СМИ, признало факт нападения и даже заявило протест. Сирийский президент Ассад стал утверждать, что разрушено было пустое здание. Любопытно, что только Северная Корея присоединилась к Дамаску, выражая возмущение этим внезапным нападением. Пресса несколько расходилась во мнениях, что и почему произошло, но по большей части журналисты цитировали заявление израильских правительственных источников о том, что здание являлось северокорейским заводом по производству ядерного оружия.
Если так и было, значит, Северная Корея нарушила соглашение с Соединенными Штатами и другими крупными державами о прекращении продажи секретов производства ядерного оружия. Что еще хуже, это означает, что Сирия, ведущая переговоры с Израилем через посредника (Турцию), пытается тайно завладеть ядерным оружием — совершить то, от чего отказался даже Саддам Хусейн еще до вторжения США в Ирак.
Вскоре, однако, самопровозглашенные эксперты поставили под сомнение историю «Сирия создавала ядер-ную бомбу».
В западной прессе появились фотографии, сделанные с разведывательного спутника. Эксперты отметили, что стройплощадка накануне бомбардировки довольно плохо охранялась. Некоторые утверждали, что здание было недостаточно высоким, чтобы в нем поместился северокорейский ядерный реактор. Другие указывали на отсутствие какой бы то ни было ядерной инфраструктуры в Сирии. Стали возникать альтернативные теории. Возможно, здание имело отношение к сирийской ракетной программе. Возможно, Израиль ошибся и сооружение было безобидным производственным объектом вроде «фабрики по производству детского питания» (как утверждал Саддам Хусейн в 1990 году) или предполагаемого завода по производству аспирина в Судане, тоже разрушенного американцами в 1998 году. Или, может быть, говорили некоторые комментаторы, Сирия вообще не была целью нападения. Возможно, Израиль посылал Ирану сигнал о том, что еврейское государство способно успешно наносить внезапные удары с воздуха, что подобное может случиться и с иранскими ядерными установками, если Тегеран не свернет ядерную программу.
В прессе цитировались неназванные источники, заявлявшие о разной степени причастности американцев к нападению: американцы обнаружили место на фотографии со спутника; американцы не заметили место, но его нашли израильтяне на снимке, который им вручила американская разведка; американцы помогли составить план бомбардировки, возможно, убедив турецких военных смотреть в другую сторону, пока израильские самолеты летели над Турцией, чтобы неожиданно атаковать Сирию с севера. Американцы—или это были израильтяне? — проникли на стройплощадку до бомбардировки, чтобы убедиться в присутствии северных корейцев или подтвердить ядерное назначение объекта. Президент Джордж Буш, нехарактерно молчаливый, категорически отказался отвечать на вопрос репортера об израильской атаке.
Единственное, в чем сходились почти все обозреватели, так это факт, что произошло нечто странное. В апреле 2008 года ЦРУ предприняло необычный шаг — представило и опубликовало видеозапись того, что происходило в здании накануне бомбардировки. Фильм практически не оставлял сомнений в том, что это была северокорейская ядерная установка. Обсуждение этой истории закончилось. Мало внимания привлек и опубликованный семь месяцев спустя доклад Международного агентства по атомной энергетики (МАГАТЭ). Они послали на место происшествия инспекторов. Те обнаружили вовсе не разбомбленные руины и не новое строительство в полном разгаре. Вместо этого международные эксперты увидели аккуратно вспаханную и разрыхленную землю без каких-либо признаков развалин и строительных материалов. Место превратилось в пустырь на окраине города Финикса и казалось совершенно безобидным. Разочарованные инспекторы сделали несколько фотографий, наполнили пластиковые мешочки образцами почвы, а затем покинули берега Евфрата и отправились на берега Дуная в штаб-квартиру на острове близ Вены. Там в Лабораториях и были проведены исследования.
МАГАТЭ, не сумев привлечь особого внимания, объявило, что образцы почвы содержат необычные «рукотворные» радиоактивные материалы. Для немногочисленных заинтересованных лиц, которые отслеживали загадочную сирийскую историю, это стало окончательным выводом, подтверждающим добросовестную работу израильской разведки.
Как ни трудно в это поверить, но Сирия обвела всех вокруг пальца и начала производство ядерного оружия, а северокорейский режим помогал ей. Теперь пора было подвергнуть переоценке замыслы и Дамаска, и Пхеньяна. Но за всей этой тайной, однако же, стояла другая интрига. Сирия потратила миллиарды долларов на систему противовоздушной обороны. В ту сентябрьскую ночь сирийские военные внимательно следили за радарами. Чуть ранее Израиль внезапно разместил на Голанских высотах свои войска, приведя их в полную боевую готовность. С этой позиции на оккупированной сирийской территории израильские солдаты могли увидеть центр Дамаска в бинокли. Сирийские вооруженные силы ожидали сигнала тревоги. Однако ничего необычного на экранах радаров не наблюдалось. Полночь приближалась, а небо над Сирией казалось мирным и почти пустым. Но на самом деле со стороны Турции в сирийское воздушное пространство вторгся строй истребителей Ф-15 и Ф-16. Эти самолеты, спроектированные еще в 1970-х, сложно не заметить. Их корпуса из стали и титана, острые ребра и углы, бомбы и ракеты, свисающие с крыльев, должны были расцветить сирийские радары, как рождественскую елку на Рокфеллер-плаза в декабре. Но этого не произошло.
На следующее утро сирийцы медленно, с неохотой, мучительно пришли к выводу, что накануне ночью Израиль «завладел» дорогущей сетью сирийской противовоздушной обороны. Экраны радаров показывали то, что им приказывали военно-воздушные силы Израиля, — пустоту. Картинка, которую видели сирийцы, не имела никакого отношения к действительности, а в это время израильские самолеты с востока проникли в воздушное пространство Сирии. Сирийские ракеты противовоздушной обороны не запускались потому, что не видели целей. Сирийские истребители ПВО не могли взлететь, поскольку системы российского производства управляются с земли, а сирийские наземные управляющие устройства цели не видели.
Ближе к вечеру зазвонили телефоны в российском Министерстве обороны. Почему это российская система ПВО ослепла? Сирия хотела бы знать ответ. Москва пообещала тотчас же выслать экспертов и техников. Возможно, проблема в эксплуатации или ошибке пользователя, все будет незамедлительно исправлено. Российскому военно-промышленному комплексу не нужна такая дурная слава. Тем более Иран уже почти купил у Москвы новую систему радаров и противовоздушных ракет. Это был шок для командиров противовоздушной обороны и в Тегеране, и в Дамаске.
Кибервоины всего мира, однако, не удивились. Так в информационную эпоху и должна вестись война — кибервойна. Когда в этой книге мы используем термин «кибервойна», он означает действия по проникновению одного государства в компьютеры или сеть другого государства с целью нанесения повреждений или разрушения. Когда Израиль атаковал Сирию, его войска использовали свет и электрические импульсы не для того, чтобы резать, как лазером, или глушить, как «Тазером», но чтобы передавать нули и единицы и контролировать все, что видят сирийские радары ПВО. Вместо того чтобы взрывать радары противовоздушной обороны и лишаться элемента неожиданности, израильтяне сделали так, чтобы враг даже не привел в действие систему защиты.
Израильтяне спланировали и провели кибератаку безупречно. Как они сделали это, можно лишь догадываться.
Существует по меньшей мере три возможных объяснения того, как они взломали сеть сирийцев.
Во-первых, как утверждали некоторые СМИ, израильской атаке мог предшествовать вылет беспилотного летательного аппарата (БПЛА), намеренно запущенного в луч сирийского радара ПВО. По сути своей, принцип работы радаров остался тем же, что и семьдесят лет назад, во времена битвы за Англию. Радиолокационная станция посылает направленный радиолуч. Бели луч во что-либо упирается, он отражается и возвращается обратно к радиоприемному устройству. Затем процессор рассчитывает, где находился объект, когда в него попал радиолуч, на какой высоте он летел, с какой скоростью двигался и даже какого он был размера. Главное здесь в том, что радар позволяет электронному лучу вернуться обратно в компьютерную систему наземного базирования. Радар — это дверь в компьютер, открытая, чтобы получать обратно сигналы, отправленные для обнаружения объектов в небе. Сирийская система ПВО могла не заметить израильский беспилотный летательный аппарат, поскольку он покрыт материалом, поглощающим или отклоняющим радиолокационные лучи. Однако БПЛА, в свою очередь, мог обнаружить луч радара, идущий к нему от земли, и использовать ту же самую радиочастоту, чтобы передать пакеты информации в компьютер радара, а оттуда в сеть сирийской системы противовоздушной обороны. Эти пакеты нарушили нормальную работу системы, но также дали ей команду не замечать, что не все в порядке. Возможно, они просто повторяли данные, полученные системой до атаки. Таким образом, хотя радиолокационный луч мог обнаружить вторгшиеся самолеты, отраженный сигнал не был зарегистрирован компьютерами сирийской системы ПВО. Небо казалось пустым, хотя на самом деле его заполонили израильские истребители. Американские СМИ писали, что у США имеется подобная система под кодовым названием Senior Suter.
Второй вариант — возможно, российская программа, управляющая сирийской ПВО, была «подправлена» израильскими агентами. На каком-то этапе — в российском компьютерном центре или на сирийском военном объекте — кто-то, работающий на Израиль или его союзников, мог специально подготовить «черный ход» в машинном коде, состоящем из миллионов строк, которые управляют действием программы противовоздушной обороны. Ловушка (или «троянский конь») — это всего лишь несколько строк машинного кода, ничем на вид не отличающихся от прочей абракадабры, которую представляют собой инструкции для работы системы или приложения. (Тесты, проведенные Агентством национальной безопасности, показали, что даже самые опытные эксперты, просматривая миллионы символьных строк, могут не заметить ошибку, добавленную в программу.) Ловушка могла содержать инструкцию о том, как реагировать на события в определенных обстоятельствах. К примеру, если радар принимает определенный сигнал, он не должен показывать цели в небе на протяжении указанного периода времени, скажем, трех последующих часов. Таким образом, от израильского беспилотного летательного аппарата требовалось всего лишь послать маленький сигнал. Ловушка могла оказаться скрытой точкой электронного доступа, которая позволяет подсоединиться к сети ПВО, пройти систему контроля, брандмауэр, дешифровщик и завладеть управлением сети, получив все права и привилегии администратора.
Суть третьего варианта в том, что израильский агент мог найти оптоволоконный кабель сирийской системы ПВО и подсоединиться к линии (это сложнее сделать, чем сказать, но все же выполнимо). Израильский агент мог передать по кабелю команду, которая открыла бы для него «черный ход». Конечно, сложно представить израильского агента, передвигающегося ползком по территории Сирии, чтобы найти и разрезать оптоволоконный кабель, но ничего невероятного в этом нет. Уже не первое десятилетие высказываются предположения о том, что Израиль занимается подготовкой шпионов. Оптоволоконные кабели системы сирийской ПВО тянутся через всю страну. Преимущество такого метода внедрения в сеть противника очевидно — не нужно ставить успех операции в зависимость от сигнала захвата, передаваемого в сеть от беспилотного летательного аппарата. Более того, агент, работающий на месте, мог, например, установить прямое соединение со штабом израильских военно-воздушных сил. Используя методы связи с малой вероятностью перехвата, израильский агент мог прямо из центра Дамаска по скрытому каналу передавать сообщения через спутник, не опасаясь, что кто-нибудь в Сирии его обнаружит.
Любой из методов обмана сирийской ПВО мог быть позаимствован у Соединенных Штатов. Израильские друзья всего лишь использовали несколько методов из программ, над которыми мы работаем более двух десятилетий. В 1990 году, когда Соединенные Штаты первый раз готовились к войне с Ираком, американские кибервоины и коммандос из спецподразделений собрались, чтобы обсудить, как уничтожить иракскую систему противоракетной обороны до того, как самолеты США и союзников полетят к Багдаду. Как объяснил мне герой «Бури в пустыне» генерал Норм Шварцкопф, «у этих кобр была безумная идея» проникнуть в Ирак до того, как прогремит первый выстрел, и запустить программу, которая приведет к необратимой поломке всех компьютеров, объединенных в сеть по всей стране.
Шварцкопф счел такой план слишком рискованным и ненадежным. Он был невысокого мнения об американских коммандос и боялся, что они попадут в плен еще до начала войны. Более того, Шварцкопф опасался, что иракцы смогут восстановить компьютеры и начнут сбивать самолеты, которые он планировал в первый день воздушной войны направить в атаку. «Если вы хотите доказать мне, что их радары и ракеты не работают, взорвите их. Тогда они точно выйдут из строя. Затем начинайте атаку и бомбите цели». Таким образом, большая часть бомбовых ударов американцев и союзников была нанесена не по штаб-квартире в Багдаде и дивизиям иракских вооруженных сил, а по радарам и ракетам системы противовоздушной обороны. Некоторые американские самолеты оказались сбиты, некоторые пилоты погибли, а некоторые попали в плен.
Когда 13 лет спустя США во второй раз начали войну с Ираком, еще накануне вторжения первых американских истребителей иракские военные знали, что их закрытая секретная надежная военная сеть рассекречена. Американцы предоставили им эту информацию.
Как раз перед началом войны тысячи иракских офицеров получили электронные письма, разосланные почтовой системой Министерства обороны Ирака. Хотя их текст никогда не публиковался, несколько надежных источников в достаточной степени раскрывают суть их содержания, чтобы предположить, что мог прочесть, скажем, бригадный генерал иракской армии, под командованием которого находится бронетанковая часть неподалеку от Басры:
Командование центральной военной группировки США доводит до вагиего сведения, что мы можем отдать приказ о вторжении в Ирак в любой момент. Если мы это сделаем, войска, противостоящие нам, будут уничтожены, как это произошло несколько лет назад. Мы не хотим вредить ни вам, ни вашим солдатам. Наша цель — низвергнуть режим Саддама и его сыновей. Если вы хотите остаться невредимыми, выстройте танки и бронемашины рядами и покиньте их. Уходите, вам и вашим войскам лучше разойтись по домам. Вы и другие иракские офицеры будете восстановлены в должностях после свержение режима Саддама.
Неудивительно, что многие иракские офицеры последовали рекомендациям, которые были разосланы по внутренней иракской сети. Как обнаружили американцы, многие подразделения аккуратно выстроили танки за пределами баз, тем самым позволив американским самолетам аккуратно их взорвать. Некоторые иракские военачальники распустили свои подразделения за несколько часов до начала войны. Люди переоделись в гражданскую одежду и ушли домой или, по крайней мере, попытались так поступить.
Хотя администрация Буша и выразила готовность внедриться в иракскую сеть, чтобы провести психологическую подготовку до начала традиционных военных действий, она, по всей видимости, не пошла на взлом банковской сети Ирака и других стран, чтобы лишить Саддама Хусейна доступа к деньгам. Такие возможности действительно существуют, но юристы опасаются, что другие страны воспримут покушение на банковские счета как нарушение международного закона и сочтут опасным прецедентом. Юрисконсульты также боятся непредусмотренных последствий, в частности того, что американские хакеры ограбят не те счета или разрушат всю систему финансовых институтов.
Вторая война между США и Ираком, как и нападение Израиля на Сирию, продемонстрировала два преимущества кибервойны. Во-первых, кибервойна облегчает традиционные наступательные военные действия, выводя из строя систему обороны врага. Во-вторых, кибервойна позволяет деморализовать врага с помощью пропаганды, рассылки информации по электронной почте и через другие интернет-ресурсы вместо устаревшей практики сбрасывания листовок. (Вспомните тысячи листовок с текстом на арабском языке и рисунками, которые сбрасывались с самолетов над иракскими войсками в 1991 году, — это были подробные инструкции о том, как капитулировать. Эти листовки несли с собой тысячи иракских солдат, когда сдавались.)
* * *
Налет на сирийскую ядерную установку и киберактивность США накануне вторжения в Ирак — вот примеры использования хакеров как вспомогательного инструмента традиционной наступательной войны. Однако использование киберпространства в политических, дипломатических и военных целях не обязательно должно сопровождаться бомбардировками и танковыми сражениями. Представить, как будет выглядеть автономная кибервойна, помог, как ни странно, небольшой ганзейский город с населением в 400 тысяч человек, расположенный на берегах Балтийского моря, — Таллинн. Советский Союз распался, и многие его республики отмежевались от Москвы и СССР. Эстония была вынуждена войти в состав Советского Союза, после того как Красная Армия освободила Балтийские республики от нацистов во время Великой Отечественной войны, как называют Вторую мировую в России.
Красная Армия или, по крайней мере, коммунистическая партия Советского Союза не желали, чтобы эстонцы, так же как и остальные народы Восточной Европы, забыли жертвы, принесенные во имя их освобождения. Поэтому в Таллине, как и в большинстве столиц восточноевропейских стран, воздвигались огромные памятники солдатам Красной Армии. Чаще всего эти бронзовые солдаты устанавливались на могилах красноармейцев. Я на такой монумент впервые наткнулся, почти в буквальном смысле слова, в Вене в 1974 году. Когда я спросил охранявших его полицейских, почему нейтральная Австрия поместила изваяние гигантского солдата едва ли не в самом центре столицы, они ответили, что после войны этого потребовал Советский Союз, заручившись также обещанием Австрии никогда его не убирать. На самом деле этот памятник защищен конвенцией, которую вместе с Советским Союзом подписали США и Австрия, когда советские войска выводились из Австрии в 1950 году. В 1970-х жители Вены называли эту бронзовую громадину «единственным русским солдатом, который не насиловал наших женщин». Очевидно, эти статуи так же важны для русских, как для многих американских ветеранов, их семей и потомков священны заокеанские могилы соотечественников, погибших во время Второй мировой войны. Гигантские бронзовые монументы имеют важный смысл и для освобожденных, правда, смысл этот совершенно иной. Памятники и захороненные под ними тела красноармейцев служили символическими громоотводами. А в Таллинне такое сооружение привлекло кибермолнию.
Напряжение между этническими русскими, проживающими в Эстонии, и коренным населением страны стало расти с тех пор, как на исходе холодной войны страна объявила о своей независимости. Большинство эстонцев стремились избавиться от любых напоминаний о тех 50 годах, когда Эстония вынужденно входила в состав СССР. В феврале 2007 года законодатели выдвинули инициативу «Об устранении запрещенных строений», согласно которой необходимо было разрушить все, что связано с оккупацией, включая бронзового солдата. Эстонцев возмущал тот факт, что с приходом Красной Армии были осквернены могилы их собственных ветеранов.
Москва с недовольством заметила, что демонтаж бронзового солдата бесчестит героически погибших советских воинов, включая тех, кто похоронен под ним. Стремясь избежать инцидента, эстонский президент наложил вето на закон. Но давление общества, требовавшего демонтировать памятник, росло, а решимость русской этнической группы защищать, а эстонской — уничтожить монумент принимала все более воинственный характер. Вслед за промозглой балтийской зимой пришла весна, и политические страсти выплеснулись на улицы. В ночь на 27 апреля 2007 года, теперь называемую «бронзовой», у памятника произошло столкновение радикально настроенных представителей обеих этнических групп с полицией. Власти быстро вмешались и перенесли статую на новое охраняемое место на военном кладбище. Однако разногласия на этом не утихли, перенос памятника вызвал возмущенно-патриотический отклик московских СМИ и Думы — российской законодательной власти.
Именно тогда конфликт переместился в киберпространство. Эстония, как ни странно, является одной из самых «интернетизированных» стран мира и вместе с Южной Кореей существенно обгоняет Соединенные Штаты по широте использования Интернета в повседневной жизни. Такие достижения создают отличную мишень для кибератаки. После «бронзовой» ночи на серверы, поддерживающие самые популярные в Эстонии веб-страницы, обрушилась масса запросов, и в результате перегрузки некоторые из них вышли из строя. Другие были так заняты входящими пингами, что, по сути, оказались недоступными. Жители Эстонии не могли посещать веб-сайты газет, пользоваться услугами государственных электронных служб и банков.
Эстония столкнулась с DDoS-атакой. Как правило, DDoS-атака является незначительной помехой, а вовсе не главным кибероружием. По сути, это предварительно запрограммированный поток интернет-трафика, выводящий из строя или блокирующий сеть. Атака является распределенной в том смысле, что тысячи, даже сотни тысяч компьютеров включаются в процесс рассылки электронных запросов на несколько интернет-адресов. Атакованные компьютеры образуют ботнет (от (RO)BOT + NET(WORK), роботизированная сеть) зомби-компьютеров под дистанционным управлением. Атакованный зомби-компьютер выполняет инструкции, загруженные в него без ведома владельца. На самом деле хозяева компьютеров могут даже не знать, что их компьютеры превратились в зомби и участвуют в DDoS-атаке. Пользователь в лучшем случае замечает, что его ноутбук работает чуть медленнее, а страницы открываются чуть дольше, чем обычно, и это единственный признак. Все злонамеренные действия происходят внутри, никак не отражаясь на экране монитора. Ваш компьютер прямо сейчас может быть частью ботнета.
Обычно все происходит так: за недели или месяцы до того, как ботнет переходит в наступление, пользователь заходит на некую совершенно безобидную на вид страницу, и с этой страницы загружается программа, превращающая компьютер в зомби. Или открывает электронное письмо своего знакомого, которое внедряет в компьютер программу зомбирования. Антивирусы или брандмауэр могут поймать и заблокировать заразу, но хакеры постоянно находят новые способы обойти защиту.
Иногда зомби-компьютер спокойно ждет команды. Иной раз он начинает искать другие компьютеры для атаки. Когда один компьютер заражает другие, а те делают то же самое, — работает так называемый вирус «червь», и заражение переходит с одного компьютера на тысячи и миллионы. Всего лишь за час инфекция может распространиться по всему миру.
Эстонская DDoS-атака стала самой крупной в истории. Заработало несколько разных ботнетов, и каждый охватывал десятки тысяч зараженных компьютеров. Сначала эстонцы подумали, что вывод из строя нескольких вебстраниц — дело рук раздраженных и возмущенных русских. Но затем ботнеты начали атаковать интернет-адреса, не известные большинству людей. Это были не общедоступные веб-страницы, а адреса серверов, управляющих телефонной сетью, системой верификации кредитных карт, каталогами интернет-ресурсов. Потоки запросов на эстонские сайты стали поступать с более чем миллиона компьютеров. Hansapank, крупнейший банк в стране, не устоял. На всей территории нарушились торговля и связь, но атака не прекращалась.
Раньше один сайт мог подвергаться DDoS-атаке в течение нескольких дней. На этот раз все было иначе. Сотни важнейших сайтов страны подвергались атакам неделя за неделей и не могли вернуться в исходное состояние, предшествовавшее сбою. В то время как эксперты по компьютерной безопасности со всей Европы и Северной Америки устремились в Таллинн, Эстония обратилась в НАТО. Команда реагирования на инциденты попыталась принять контрмеры, которые в прошлом позволяли эффективно справляться с меньшими DDoS-атаками. Зомби легко адаптировались, возможно, перепрограммированные главными компьютерами. Атака продолжалась… С помощью специальной аппаратуры эксперты по кибербезопасности проследили за атакующими пингами и смогли поймать момент, когда зараженные машины «звонят домой» на главные компьютеры. Маршрут этих сообщений удалось проследить вплоть до управляющих компьютеров, а иногда и дальше, до управляющих устройств более высокого уровня. Эстония утверждала, что управляющие машины располагаются в России и что в программном коде использовалась кириллица.
Российское руководство с негодованием отвергло свою причастность к кибератаке на Эстонию. Кроме того, оно ответило отказом на официальный дипломатический запрос о содействии в отслеживании взломщиков, хотя по существующему двустороннему соглашению Москва должна была оказывать помощь. Проинформированные о том, что следы ведут в Россию, правительственные чиновники предположили, что, вероятно, российские патриоты, разгневанные поступком Эстонии, взяли дело в собственные руки. Возможно, так и было.
Но даже если верить в теорию российских патриотов, без ответа остается вопрос, почему российское правительство не попыталось пресечь незаконную деятельность таких «комитетов бдительности». Никто ни на минуту не сомневался в том, что у преемников КГБ была возможность найти и заблокировать компьютеры виновных. Те, кто ближе знаком с современной Россией, предполагали, что дело не только в пассивности российских правоохранительных служб, закрывающих глаза на хулиганство националистически настроенной молодежи. Большинство опытных российских хакеров, за исключением тех, кто фактически работает на государство, в той или иной степени сотрудничают с организованной преступностью. Организованной преступности позволено процветать благодаря непризнаваемой связи со службами безопасности. В действительности различие между криминальной сетью и службами безопасности, которые контролируют большинство российских министерств и органов местного самоуправления, весьма размыто. Многие эксперты по России полагают, что некоторые высшие государственные должностные лица не препятствуют организованной преступности, получая свой «кусок пирога», или, как в случае с Эстонией, компенсацию за помощь в грязных делах. Помните слова дона Карлеоне из «Крестного отца»: «Когда-нибудь… а возможно, этот день и не наступит. — я попрошу тебя оказать мне услугу».
После «бронзовой» ночи российские службы безопасности дали команду отечественным СМИ разжечь патриотические чувства против Эстонии. Несложно представить, что они попросили преступные группировки привлечь хакеров, возможно, даже снабдив их некоторой ценной информацией. Имеет ли российская госбезопасность отношение к кибератаке в Эстонии? Возможно, стоит переформулировать вопрос. Они предложили провести атаку, способствовали ей, отказались расследовать дело и наказать виновных? Но, в конце концов, так ли это различие важно, если вы гражданин Эстонии, который не может снять свои деньги с карты банка Hansapank?
После этой кибератаки НАТО приняло решение создать центр киберзащиты. Он открылся в 2008 году в нескольких километрах от того места, где когда-то стоял бронзовый солдат, — теперь там растут молодые деревья. Увы, натовский центр в Таллинне мало помог, когда другая бывшая советская республика-сателлит, Грузия, и матушка-Россия схлестнулись в борьбе за небольшие спорные территории.
Грузия простирается вдоль побережья Черного моря, к югу от России. Более века эти страны пребывали в определенно непростых отношениях. Территория Грузии чуть меньше Южной Калифорнии, в стране проживает около четырех миллионов человек. В силу ее расположения и размера в Москве было принято считать, что страна входит в «сферу влияния» Кремля. Когда Российская империя после Октябрьской революции начала распадаться на части, грузины попытались отделиться и в 1918 году провозгласили независимость, пока русские воевали друг с другом. Но как только гражданская война в России прекратилась, победоносная Красная Армия вторглась в Грузию, установила марионеточное правительство и сделала ее частью Союза Советских Социалистических Республик. Советский режим сохранялся в стране вплоть до 1991 года, когда, воспользовавшись тем, что российское правительство опять погрязло в хаосе, Грузия объявила независимость.
Два года спустя Грузия утратила контроль над двумя территориями—Южной Осетией и Абхазией. Поддерживаемое Москвой местное русское население сумело одержать победу над разрозненной грузинской армией и изгнало большую часть грузинского населения. Затем были выбраны «независимые» правительства. Несмотря на то что эти регионы всем остальным миром считались частью Грузии, они рассчитывали на финансирование и защиту со стороны России. В июле 2008 года южноосетинские повстанцы (или российские агенты, в зависимости от того, какой версии событий вы придерживаетесь) спровоцировали конфликт с Грузией, начав ракетную атаку на несколько грузинских сел.
Грузинская армия, как и следовало ожидать, ответила на ракетный удар по своей территории бомбардировкой столицы Южной Осетии. Впоследствии 7 августа Грузия оккупировала регион. Не удивленные таким поворотом событий, российские войска на следующий день ввели свои подразделения, быстро изгнав из Южной Осетии грузинскую армию. В тот же момент, когда российские войска выдвинулись на позиции, подключились и кибервоины. Их целью было не дать жителям Грузии узнать, что происходит, поэтому они атаковали сайты грузинских СМИ и правительства. Доступ Грузии к сайтам CNN и ВВС был также заблокирован.
В реальном мире Россия также бомбардировала Грузию и захватила небольшую часть грузинской территории, до этого не считавшуюся спорной, якобы для создания буферной зоны. Пока грузинская армия отступала из Осетии, повстанческие группировки в Абхазии решили воспользоваться ситуацией и с незначительной помощью российских покровителей выставили всех грузин. Российские войска в качестве дополнительного буфера прихватили еще один участок грузинской территории. Спустя пять дней бои практически прекратились. Президент Франции Николя Саркози выступил посредником в подписании мирного договора, в соответствии с которым Россия обязалась немедленно вывести войска и покинуть спорные территории, как только международные миротворческие силы прибудут для обеспечения безопасности. Эти силы так и не прибыли, и за несколько недель Россия признала Южную Осетию и Абхазию независимыми государствами. Независимые государства сразу пригласили своих российских покровителей остаться.
Для американского большинства, за исключением кандидата в президенты Джона Маккейна, который старался представить происшедшее кризисом национальной безопасности Америки, события в Грузии казались далекими и маловажными. Как только американцы убедили себя в том, что новостные репортажи о вторжении в Грузию не означают, что российские войска или генерал Шерман снова наступают на Атланту,[4] они просто перестали обращать на них внимание. Но истинное значение этого события, помимо того что оно продемонстрировало отношение российских лидеров к своей бывшей территории, заключается в демонстрации их отношении к использованию кибератак. Прежде чем война вспыхнула в реальности, грузинские правительственные сайты подверглись нападению. На начальных этапах была организована стандартная DDoS-атака на официальные сайты грузинского руководства и веб-сервер президентского сайта. Чтобы вывести его из строя, на него добавили картинки, сравнивавшие грузинского лидера Михаила Саакашвили с Адольфом Гитлером. Поначалу это казалось банальной, даже детской выходкой. Затем, по мере того, как разворачивались военные действия на земле, кибератаки стали более интенсивными и изощренными.
Доступ Грузии в Интернет осуществляется через Россию и Турцию. Большая часть маршрутизаторов в России и Турции, через которые проходит грузинский трафик, подверглась таким массированным атакам, что исходящий поток блокировался. В результате жители Грузии не могли пользоваться внешними новостными или информационными ресурсами и отправлять электронную почту за пределы страны.
Грузины попытались защитить свое киберпространство и воспрепятствовать DDoS-атакам обходными маневрами. Русские отвечали на каждый их ход. Грузия пыталась заблокировать трафик, идущий из России, — русские изменили маршрут, и атаки приняли вид пакетов из Китая. Кроме располагавшегося в Москве головного компьютера, управляющего всеми ботнетами, использовались серверы Канады, Турции и Эстонии.
Грузия перенесла веб-страницу президента на калифорнийский сервер. Русские создали несколько клонов президентского сайта и перенаправили трафик туда.
Грузинские банки выключили свои серверы и решили переждать атаку, рассудив, что лучше временная приостановка банковского обслуживания в оперативном режиме, чем риск хищения важнейших данных или повреждения внутренних систем. Русские, не способные добраться до грузинских банков, стали рассылать со своих ботнетов огромные потоки информации в международную банковскую систему, симулируя кибератаки из Грузии. Атаки вызвали автоматическую ответную реакцию большинства иностранных банков, и связь с грузинским банковским сектором прекратилась. Без доступа к европейским банковским системам грузинские банки оказались парализоваными. Вышла из строя система кредитных карт, а вслед за ней и система мобильной связи.
Кульминационной стала DDoS-атака шести ботнетов, которые использовали компьютеры ничего не подозревавших интернет-пользователей и волонтеров, загрузивших программу для взлома с нескольких антигрузинских веб-сайтов. После установки такой программы доброволец вступал в кибервойну, просто нажав кнопку Start Flood.
Как и в случае с Эстонией, российское правительство заявило, что кибератаки были реакцией населения, неподконтрольного Кремлю. Однако группа западных IT-специалистов пришла к выводу, что веб-сайты, использованные для запуска атак, были связаны с российскими разведывательными службами. Уровень скоординированности, продемонстрированный в атаках, и финансовая поддержка позволяют предположить, что здесь замешаны не обычные пользователи, движимые патриотическим порывом. Даже если верить российскому правительству (например, заявлению о том, что кибершторм, обрушившийся на Грузию, как и в прошлый раз на Эстонию, не был делом государственных служб), очевидно, что правительство не предприняло никаких попыток прекратить эту акцию. В конце концов, огромная советская разведывательная служба — КГБ — до сих пор живет и здравствует, хотя называется по-другому и имеет несколько иную структуру. На самом деле могущество КГБ лишь возросло за время правления Владимира Путина. Любая сколько-нибудь масштабная киберактивность в России, будь ее источником правительство, криминальные круги или обычные граждане, возможна лишь с одобрения службы госбезопасности и ее боссов в Кремле.
Если все было так, как мы предполагаем, то российское правительство, по сути, попросило добровольцев наказать Эстонию с помощью кибератак, а затем воспользовалось тем же методом в дополнение к классическим военным действиям в Грузии. Но эти действия не характеризуют реальные возможности российских вооруженных сил и разведслужбы в случае реальной атаки в киберпространстве. Русские, в сущности, продемонстрировали некоторую сдержанность в использовании кибероружия против Эстонии и Грузии. Возможно, они приберегают лучшие средства на случай экстренной необходимости, для конфликтов с участием НАТО и США.
Долгие годы руководители разведслужбы США полагали, что использовать кибероружие, даже в таких скоромных масштабах, как в случаях с Эстонией и Грузией, способны Россия, Китай, Израиль и, разумеется, Соединенные Штаты. Но летом 2009 года в числе этих стран совершенно неожиданно оказалась еще одна. Все произошло в последний понедельник мая 2009 года. Вечером, в начале восьмого, на подъездной дороге к аэропорту Даллеса (штат Вирджиния) постепенно рассасывалась пробка. В располагавшемся неподалеку офисе Геологической службы США зафиксировали землетрясение амплитудой 4,7 балла, которое произошло в Азии. Специалисты начали рассчитывать положение его эпицентра. Оказалось, что он находится в северной части Корейского полуострова, в 70 километрах от города Кимчхэк. Подобное событие было зафиксировано в октябре 2006 года в том же месте. Как позже выяснилось, оба случая были вызваны ядерны-ми испытаниями.
После многолетних переговоров с США, Китаем и Россией правительство Северной Кореи, странное и закрытое, решило манкировать международным давлением и провести ядерные испытания во второй раз. Первую попытку, предпринятую тремя годами ранее, некоторые западные наблюдатели охарактеризовали как «частичное фиаско». На протяжении нескольких часов после второго взрыва Сьюзен И. Райс, представитель США в ООН, не отходила от телефона в номере нью-йоркской гостиницы «Waldorf Towers». Она совещалась с Белым домом и Госдепартаментом, а затем стала обзванивать представителей других стран, в первую очередь Японии и Южной Кореи. Южная Корея, в лице генерального секретаря Пан Ги Муна, возглавляющего ООН, согласилась на экстренное совещание Совета безопасности. Итогом этого спонтанного собрания стало международное осуждение и очередные санкции. Полтора десятилетия попыток предотвратить развитие ядерного потенциала Северной Кореи дипломатическими средствами не дали результата. Почему?
Некоторые эксперты объясняли, что у нищего Севера нет других рычагов для получения льготных займов, бесплатной еды и дешевого топлива. Пхеньяну приходилось снова и снова продавать обещание не развивать далее ядерный потенциал страны. Другие указывали на слухи о нездоровье загадочного «Великого руководителя» Ким Чен Ира, лидера Корейской Народно-Демократической Республики. Умевшие гадать по чайным листьям верили: «Великий руководитель» знал о том, что дни его сочтены, и выбрал своим преемником третьего сына, двадцатипятилетнего Ким Чжон Ына. Чтобы не дать Соединенным Штатам или Южной Корее воспользоваться этим переходным периодом, заявляли аналитики, Северная Корея решила побряцать оружием, хотя бы атомным, чтобы напугать, привлечь внимание, дать понять, какие ужасы могут случиться, а затем пойти на переговоры и, в конечном счете, пополнить казну.
Если расчет был на то, что США и другие страны после взрыва поспешат «завалить» Северную Корею пшеницей и нефтью, он не оправдался. Руководство США, выразив неодобрение и объявив о размещении ракет на Гавайях, уже в июне вновь сосредоточилось на реформе здравоохранения, Афганистане и бичевании собственной разведки. Кто-то из американских чиновников открыто заявил, что США собирается провести «Кибершторм» — учения с целью проверки уровня защиты компьютерных сетей. В учениях 2009 года планировали принять участие Япония, Южная Корея и другие страны. Северокорейские СМИ быстро отреагировали, назвав планируемые учения прикрытием для вторжения в их страну. Такого рода параноидальные умозаключения очень характерны для северокорейского режима. Никто в Вашингтоне не обратил на них особого внимания.
После 4 июля чиновники разъехались из Вашингтона в отпуска на пляжи Восточного побережья. Туристы устремились в National Mall,[5] где многотысячные толпы наблюдали красные всполохи фейерверка, традиционно устраиваемого на День независимости. На противоположной стороне земного шара ракеты также запускались не впустую. Американский спутник обнаружил пуск ракет из Северной Кореи, а в вычислительном центре в Колорадо быстро определили, что ракеты были малой дальности и их цель находилась в море. Затем произошел второй запуск. Затем еще и еще. Семь северокорейских ракет ознаменовали День независимости США. Было это требованием помощи или демонстрацией силы, но все происходившее казалось вызовом. И этим все не закончилось. Действия переместились в киберпространство.
Накануне праздника 4 июля северокорейские спецслужбы разослали кодированное сообщение на 40 тысяч компьютеров, объединенных в ботнет. В сообщении содержался простой набор команд, в соответствии с которыми компьютеры начинали посылать запросы на ряд американских и южнокорейских правительственных и коммерческих веб-сайтов. Каждый инфицированный компьютер при включении присоединялся к атаке. Пользователь компыотера-зомби мог разве что обратить внимание, что процессор работает медленнее, а интернет-запросы выполняются несколько дольше обычного, и больше ничего. Да, это была еще одна DDoS-атака зомби, объединенных в ботнет. В какой-то момент во время праздника в американском правительстве заметили, что сойты dhs.gov и state.gov стали временно недоступны. Если бы кто-нибудь захотел проверить уровень террористической угрозы перед тем, как отправиться полюбоваться фейерверком, сделать это на сайте Министерства внутренней безопасности было невозможно.
Каждый зомби-компьютер направил множество запросов на эти сайты и атаковал систему, нарушая нормальное обслуживание пользователей.
На американские веб-сайты обрушивался миллион запросов в секунду. Сайты Министерства финансов, Секретной службы (Secret Service), Федеральной комиссии по торговле и Министерства транспорта в период с 4 по 9 июля на какое-то время выходили из строя. NASDAQ, Нью-Йоркская товарная и Нью-Йоркская фондовая биржи подверглись атаке, как и «Вашингтон пост». Однако DDoS-атака на Белый дом провалилась. Первой DDoS-атаки на Белый дом удалось избежать, поскольку мы с компанией Akamai организовали трафик так, что запросы пользователей направлялись на один из 20 тысяч серверов, разбросанных по всему миру. Атака 2009 года коснулась лишь компьютеров, расположенных рядом с источником. Поэтому проблемы возникли лишь на сайтах Белого дома, размещенных в Азии. Ник Шапиро, представитель Белого дома, без особого энтузиазма извинился перед азиатскими пользователями, которые не могли попасть на сайт Белого дома. Затем пришли вторая и третья волны атаки.
9 июля 30–60 тысяч компьютеров, зараженных различными разновидностями вируса, атаковали сайты правительства Южной Кореи, корейские банки и службы компьютерной безопасности. Очевидно, взломщики были убеждены, что атаки на американские сайты бессмысленны, после того как правительство и крупнейшие корпорации начали сотрудничество с интернет-провайдерами, чтобы отфильтровывать запросы взломщиков.