Anonymous. По данным из отчета, опубликованного группой ученых в 2017 году, в год совершается около десяти миллионов DDoS-атак, что соответствует невероятной цифре в тридцать тысяч ежедневно[299]. Большинство ведущих компаний, работающих в сфере кибербезопасности, наблюдают увеличение их мощности. И мишенями становятся не только игровые бизнесы вроде Minecraft: теперь под удар может попасть любая компания, которая ведет масштабную и высокомаржинальную торговлю через интернет, – а их доля в мировой экономике сегодня велика и становится все больше.
Инструменты, отшлифованные группой Anonymous в ходе знаменитых протестов, теперь перешли к киберпреступникам, которые используют их для наживы, и это существенным образом сказывается на инфраструктуре интернета. Но организованные хакерские банды атакуют не только различные онлайн-сервисы. Как мы увидим в следующей главе, теперь они угрожают и национальным энергосистемам.
Глава 8Тушите свет
Вконце 2017 года сотрудники нескольких крупных британских энергетических компаний получили электронное письмо от соискателя работы с впечатляющим резюме. В нем заявлялось, что за спиной у кандидата «более 30 лет работы в сфере производства промышленного оборудования», и указывалась его текущая позиция: «Старший инженер-машиностроитель и инженер вентиляционных систем на атомной электростанции».
Отправитель утверждал, что участвует в выводе из эксплуатации шотландской атомной электростанции Дунрей, одной из старейших в Великобритании. Станция пребывала в процессе ликвидации, и соискатель в подробностях описывал свою работу над этим проектом, правильно используя технический жаргон.
Прочитав предыдущие главы этой книги, вы уже не удивитесь тому, что резюме было фальшивкой, зараженной вирусом. Это письмо стало одним из элементов прекрасно продуманной хакерской кампании, нацеленной на предприятия британского энергетического сектора, включая все атомные электростанции. Жертвами этой атаки стали не менее четырех крупных фирм. По данным следствия, преступники не только украли конфиденциальную информацию о британской энергетической отрасли, но и подошли еще на шаг ближе к тому, чтобы частично обрушить британскую энергосистему.
Вероятно, атака на британскую энергетическую сеть была неизбежной. За минувшие годы киберпреступники узнали, что с помощью их инструментов можно выводить из строя электростанции и погружать целые города во тьму. Компьютерный хакинг вошел в стадию, которую ученые называют кинетической войной: цифровые инструменты использовались для того, чтобы портить и уничтожать критически важную инфраструктуру, и основной удар приходился на энергетический сектор. Считается, что начало этой кибербитве положил мощный американский залп, нацеленный на подрыв атомных разработок одного из старейших противников США – Ирана.
В июне 2010 года Сергей Уласень был за городом на свадьбе у друга, но то и дело отлучался, чтобы поговорить по телефону:
Все остальные гости, естественно, веселились, танцевали и пили без удержу, и только я сидел с телефоном в руке, оказывая срочную техническую – и психологическую – поддержку какому-то чуваку в районе Тегерана.
Мимо ходили нарядные девушки с бокалами игристого в руках… и все спрашивали, почему я вообще объясняю какие-то странные вещи на странном языке, сидя на свадьбе в лесу[300].
«Чуваком в районе Тегерана» был клиент Уласеня, и новости, которые он сообщил двадцативосьмилетнему технарю, заставили свадебное торжество отойти на второй план: это была информация о компьютерном вирусе, и она становилась тем интереснее – и тем тревожнее, – чем глубже Уласень погружался в проблему.
Уласень работал в белорусской антивирусной компании «ВирусБлокАда». Скорее всего, вы о ней никогда не слышали – она гораздо скромнее таких мировых антивирусных гигантов, как Norton, McAfee и Kaspersky (где Уласень работает сейчас). Но именно периферийное положение «ВирусБлокАды» по иронии судьбы и поместило компанию в центр грандиозной истории о кибербезопасности. Дело в том, что «ВирусБлокАда» работала с клиентами из Ирана. Многие из крупных международных игроков не поставляют программы в эту страну, что отчасти объясняется действующими санкциями[301]. Впрочем, даже в отсутствие ограничений большинство компаний предпочло бы все равно не связываться с тегеранским режимом, чтобы не идти на сопряженный с этим риск.
Но «ВирусБлокАда» в их число не входила. Антивирусное программное обеспечение, разработанное в этой компании, было установлено на компьютеры нескольких иранских фирм, и одна из них связалась с Уласенем, когда стала жертвой атаки. Сначала казалось, что атака не причиняет существенного вреда, хотя и действует людям на нервы. Заражая устройство, вирус вызывал появление печально знаменитого «синего экрана смерти»: операционная система Microsoft Windows зависала, показывала на синем экране (отсюда и название) сообщение об ошибке и требовала перезагрузить компьютер, чтобы попытаться устранить проблему. Но при ближайшем рассмотрении Уласень стал замечать тревожные звоночки. Для начала вирус не щадил даже совершенно новые, недавно установленные версии Windows. Это значит, что он, в отличие от множества других, не использовал одну из установленных впоследствии программ (например, Microsoft Word или Flash Player), а заражал саму операционную систему, лежащую в основе всего. Более того, вирус обнаружил неизвестную ранее уязвимость в самой последней, обновленной версии Windows (в то время как более ранние вирусы, включая Wanna Cry, успешнее работали с более старыми системами, на которые не были установлены обновления).
Уласень столкнулся с редкой и очень востребованной вещью – «уязвимостью нулевого дня». Так на хакерском сленге называется неизвестная ранее уязвимость в программном обеспечении. «Нулевым» день ее обнаружения считается потому, что, как только о ней узнают компании, законно работающие в сфере обеспечения кибербезопасности, начинается обратный отсчет к тому моменту, когда ошибка будет исправлена, а хакеры лишатся возможности ее эксплуатировать. Но, пока отсчет не начат, жертвы остаются беззащитными – и хакеры пользуются моментом.
Обнаружить уязвимость нулевого дня нелегко, поскольку исследователи кибербезопасности – от злонамеренных до великодушных – постоянно ищут в программах слабые места. Заметить то, что не заметил никто другой, довольно сложно. И это сулит огромные прибыли. Такие уязвимости весьма востребованы у людей, которые хотят заполучить их и использовать раньше всех остальных, и существуют брокерские компании, покупающие сведения о новых уязвимостях у исследователей. Одна из них – Zerodium. Она предлагает за новые уязвимости от двух тысяч до двух миллионов долларов. Она утверждает, что работает исключительно честно и использует свои исследования, чтобы помогать клиентам из государственного сектора[302]. И ее миллионные вознаграждения – не пустые обещания. В сентябре 2017 года на сайте компании появилось объявление о награде в один миллион долларов тому, кто сможет найти неизвестную ранее уязвимость в браузере Tor, используемом для доступа к сайтам дарквеба. В разделе с часто задаваемыми вопросами на сайте Zerodium это объяснялось так:
Хотя сеть и браузер Tor – великолепные проекты, позволяющие законопослушным пользователям повышать уровень своей конфиденциальности и безопасности в интернете, во многих случаях сеть и браузер Tor используются злоумышленниками для осуществления таких действий, как торговля наркотиками и эксплуатация несовершеннолетних. Мы предлагаем эту особую награду за выявление в Tor уязвимостей нулевого дня, чтобы содействовать нашим клиентам из государственного сектора в борьбе с преступностью и делать мир лучше и безопаснее для всех[303].
Возможно, компания получила желаемое. Через год после публикации этого объявления в Twitter Zerodium появилось предостережение о том, что в старой версии Tor выявлена «серьезная уязвимость»[304]. В сообщении, однако, не указывалось, был ли этот баг обнаружен в рамках объявленной охоты. (Генеральный директор Zerodium Чауки Бекрар указывает, что живет в Вашингтоне. Он отказался дать интервью для этой книги, сославшись на «конфиденциальный и секретный» характер работы его компании.)
Тем временем Сергей Уласень изучал вирус в своей лаборатории в Минске. Очевидно, кто-то либо потратил немало времени на его создание, либо заплатил кому-то другому огромные деньги, чтобы проникнуть в Windows неизвестным прежде способом. (Уласень тогда еще не знал, что в итоге в вирусе окажется задействована не одна, а целых четыре уязвимости нулевого дня – и это, как сказал один из ведущих исследователей кибербезопасности, «незаурядно и уникально».)[305]
Уласень и его команда не сдавались:
Мы с коллегами из антивирусной лаборатории принялись внимательнее изучать этот вирус. У нас кипели жаркие споры – мы даже не стеснялись в выражениях, ведь в таких случаях стандартных подходов не существует и учились мы прямо на ходу.
Мы продолжали работать: обсуждали варианты, рисовали схемы, разрабатывали различные идеи. С каждым следующим шагом нам становилось все более дурно – мы начинали понимать, с чем имеем дело[306].
Уласень и его коллеги хотели выяснить не только как вирус повлиял на свою первую жертву, но и как он распространяется. Как мы уже узнали из этой книги, главное для злоумышленников – заставить людей активировать вредоносные программы, для чего их часто вынуждают переходить по ссылкам и скачивать прикрепленные файлы.