Кибервойна: тонкая грань от слежки до атаки

По оценкам специалистов, годовой оборот рынка разведывательных технологий на текущий момент составляет около $5 млрд. Развитие технологий слежения перешло на новый качественный уровень в связи с широким распространением компьютеров, ноутбуков, планшетов, смартфонов, bимеющих выход в Интернет. 23 Июль 2015, 14:36
Cначала всех людей сблизила телефония, а затем — информационные сети. Всемирная Паутина задумывалась как средство обмена информацией, как «безбарьерная среда» общения. Однако со временем в Интернете сформировались своеобразные центры сосредоточения отдельных сервисов, такие как поисковые системы и социальные сети, аккумулирующие личные данные пользователей по всему миру, что дало такие возможности по ведению разведывательной деятельности, о которых раньше невозможно было и мечтать. Особую опасность представляет здесь то обстоятельство, что слежка начинает принимать не единичный, а массовый характер. Вдобавок ко всему страны, отстающие в развитии информационных технологий, вынуждены пользоваться средствами, поставляемыми из-за рубежа, и, таким образом, становятся уязвимыми для широкого спектра аппаратных и программных «закладок», ставя под удар свою информационную независимость и конфиденциальность.
A global investigation into the international trade in surveillance technologies.
Международная правозащитная неправительственная организация Privacy International со штаб-квартирой в Великобритании, занимающаяся мониторингом соблюдения права на неприкосновенность личной жизни в разных странах мира, в рамках своего проекта “Big Brother Inc.“, возглавляемого Эриком Кингом (Eric King), проводит исследование международной торговли разведывательными технологиями и решениями на их основе.

В частности, ведется перечень правительственных организаций и отдельных компаний, заинтересованных в таких технологиях. Информация о них черпается из списков участников регулярно проводимых несколько раз в год международных конференций под названием “ISS World” (“Intelligence Support Systems for Lawful Interception, Criminal Investigations and Intelligence Gathering”).
На них встречаются потенциальные покупатели и разработчики СОРМ (систем технических средств для обеспечения функций оперативно-рoзыскных мероприятий). На бумаге основная сфера применения СОРМ — законодательно санкционированный правительственными структурами перехват информации в киберпространстве и содействие в расследовании преступлений. Однако по факту имеется много случаев использования технологий СОРМ в сомнительных целях, в том числе для кибершпионажа. Наиболее известные компании, в разное время «засветившиеся» в громких скандалах, будут рассмотрены ниже.

*  *  *

Германским журналом Der Spiegel был опубликован каталог, датированный 2008 г. и содержащий описание аппаратных средств, с помощью которых Агентство национальной безопасности США способно осуществлять слежку за владельцами сотовых телефонов и пользователями персональных компьютеров, которые используют антивирусные пакеты программ, в том числе закрывающие разного рода внешние уязвимости. В каталоге представлены как «традиционные» шпионские решения вроде ложной базовой сотовой станции для перехвата телефонных переговоров и устройств внедрения пакетов в сети Wi-Fi, так и миниатюрные цифровые «жучки». Наиболее интересные образцы такой шпионской продукции приведены во врезках ниже.


Краткая характеристика решений

В последние годы отмечается тенденция к тому, что арсеналы средств для негласного получения информации перестали быть вотчиной исключительно спецслужб. Если ранее такие разработки носили закрытый характер, то в настоящее время существует достаточно большое количество частных компаний, предлагающих специализированные устройства и программно-технические комплексы СОРМ.
За последние четыре года сотрудники Privacy International под видом потенциальных покупателей побывали на закрытых торговых выставках “ISS World” в ОАЭ, Чехии, Бразилии, США, Малайзии, Франции и Великобритании и собрали некоторое количество рекламных буклетов различных систем и технологий слежения.
27 July 2015

Seminar #1  Online Social Media and Internet Investigations
Seminar #2 Practitioners Guide to Internet Investigations
Seminar #3 
Understanding ISS Technologies and Products Deployed in Telecommunications Networks and Monitoring Centers for Law Enforcement and Intelligence Analysts
Эти материалы наравне с документами, представленными организациями WikiLeaks и Omega Research Foundation, использовались для составления «Индекса индустрии наблюдения» (Surveillance Industry Index, SII), представляющего собой структурированную базу данных, доступную в Интернете. Исходными данными выступили в общей сложности 1203 брошюры с коммерческими предложениями от 338 британских, израильских, немецких, французских и американских фирм, предлагавших покупателям 97 различных технологий.
 
COTTONMOUTH-I — аппаратный «жучок», встраиваемый в коннектор обычного USB-кабеля, способен внедрять шпионское ПО, передающее данные на специальный сервер, а также перехватывать их из беспроводной сети.
Применительно к программно-техническим комплексам их условно можно разделить по методам, которые обусловливают точки перехвата данных:
  • так называемые центры слежения (мониторинга) — системы, которые работают и устанавливаются на уровне провайдера проводной или мобильной связи;
  • инструменты точечного (целевого) воздействия.
Центры слежения осуществляют мониторинг всего проходящего через них трафика, что позволяет перехватывать потоки текстовой информации (в том числе передаваемой по протоколу HTTPS — расширению HTTP, поддерживающему шифрование по криптографическому протоколу SSL или TLS и используемому для защищенных соединений с различными сайтами), а также VoIP-телефонии. Такой подход позволяет наиболее точно фиксировать активность пользователей социальных сетей, многие из которых, по соображениям приватности, ограничивают доступ к своей личной информации и разрешают просмотр только определенному кругу лиц.
Перехват всех передаваемых данных делает ненужной процедуру узнавания паролей доступа (хотя они, естественно, тоже легко перехватываются) и необходимость взламывать аккаунт пользователя, чтобы просмотреть его переписку. Кроме перехвата имеется возможность внедрять шпионские программы на компьютер произвольно выбранного пользователя. Например, алгоритм программы центра слежения определяет, что пользователь нажимает на ссылку типа «скачать», и если по ссылке находится исполняемый файл, то запускается механизм инфицирования, который присоединяет к этому файлу «полезную нагрузку» — компьютерный вирус. Другой метод — заражение при установке обновлений, заключающееся в отправке определенным приложениям, для которых часто выходят апдейты (iTunes, Winamp, Adobe Flash, Firefox, Chrome, Open Office и др.), подложных ответов с серверов при поиске обновлений. При этом вместо обновлений закачивается «троян».

COTTONMOUTH-II — аппаратная «закладка», замаскированная под USB-коннектор и предназначенная для установки в любой прибор, использующий такой тип разъема. Умеет устанавливать контроль над компьютером, получая команды из беспроводных сетей, а также обновлять собственное программное обеспечение с выходом новых патчей.
Центры слежения могут представлять собой типовые дата-центры с соответствующим сетевым оборудованием, куда перенаправляются все данные провайдера, или разрабатываются «под ключ» на основе спецификаций применяемого провайдером оборудования, в которое устанавливаются дополнительные специализированные программно-аппаратные компоненты.
С точки зрения сотрудников антивирусных компаний инструменты точечного воздействия ничем не отличаются от вредоносного программного обеспечения.
По сути, в таких СОРМ используются абсолютно идентичные таким известным троянским программам, как Zeus, Zero Access, Carberp, приемы разработки, принципы построения и способы распространения. Такие системы, как правило, структурно состоят из центра управления (сервер) и агента (клиент) со следующими типовыми функциями:
  • захват снимков экрана;
  • отправка произвольных файлов оператору;
  • перехват паролей от сервисов электронной почты, социальных сетей, месенджеров (ICQ, Jabber), средств VоIP-телефонии (Skype);
  • сбор данных о посещаемых ресурсах сети Интернет;
  • сбор информации о контактах с мобильных телефонов, подключаемых к компьютеру;
  • запись аудио- и видеоинформации (при наличии подключенных веб-камеры и микрофона).
Установка шпионских программ охватывает не только компьютеры, но и обширный спектр мобильных устройств и смартфонов платформ iOS, Android, Blackberry, Windows Phone, Symbian и др., открывая широкие возможности для определения местоположения объектов слежки путем получения данных от встроенных навигаторов или ближайших вышек сотовой связи.
Для распространения мобильного агента, как правило, используется электронная почта. В простейшем случае отслеживаемому отправляется исполняемый файл (готовый к запуску или запакованный архиваторами). Почти на всех публичных серверах электронной почты такие действия запрещены, поэтому более продвинутый и вызывающий меньше подозрений метод — внедрение бинарного файла в документы форматов Microsoft Office (.doc, .docx, .xls, .xlsx) или Adobe Reader (.pdf). Вместо электронной почты в последнее время часто применяется рассылка через сервис Skype.
Заражение мобильных устройств может происходить и в два этапа: сначала заражается стационарный компьютер, а потом происходит инфицирование подключаемых к нему смартфонов и планшетов.

Компании и их продукты

Hacking Team (Италия)

We provide effective, easy-to-use offensive technology to the worldwide law enforcement and intelligence communities.
Hacking Team — разработчик системы удаленного контроля Remote Control System (RCS). Клиентская часть обнаруживается антивирусным программным обеспечением под названиями DaVinci, Crisis, Morcat, Korablin. По функционалу RCS аналогична FinSpy: перехват звонков системы Skype, электронных писем, паролей от электронных почтовых ящиков, данных систем мгновенного обмена сообщениями (ICQ), запись аудио и видео информации.
Прайс лист компании Hacking Team
Клиентская часть RCS способна функционировать в среде операционных систем семейства Windows (версии XP, Vista, Seven) и MacOS (версии Snow Leopard, Lion).  Отмечено применение RCS в отношении группы независимых журналистов из Марокко, освещавших события в ходе «Арабской весны». При распространении продуктов Hacking Team применяются способы использования уязвимостей (эксплойтов) французской компании Vupen. Эта компания специализируется на поиске «дыр» в популярном программном обеспечении и на продаже готовых эксплойтов правительствам разных стран. Например, одному правозащитнику из ОАЭ агент RCS пытался внедрить через ссылку на файл veryimportant.doc, ссылку на который прислали через сервис электронной почты. Внутрь veryimportant.doc был внедрен эксплойт, запускавший на выполнение код-«шпион» RCS. 
9 июля 2015 года более 40 gb секретной информации с серверов компании утекли в сеть открыв огромный пласт совершенно секретной  информации всем пользователям. 
Cкриншот переписки компании с  ФБР 
Большинство документов доступно на сайте wikileaks.org
FinFisher

После отставки президента Египта Хосни Мубарака были найдены документы, указывающие на то, что компания FinFisher продала за €287 тыс. пятимесячную лицензию на использование комплекса слежения собственной разработки FinSpy. Компания Gamma International факт продажи лицензии отрицает.
В состав комплекса входят управляющий сервер и клиентская часть, предназначенная для сбора информации с компьютеров пользователей. Клиентская часть FinSpy обладает функционалом перехвата телефонных звонков в системе Skype, записи аудио- и видеоинформации и кражи паролей электронной почты. Существуют клиентские части, способные функционировать на смартфонах.
Одним из способов установки FinSpy на компьютеры является распространение через электронную почту. Пользователю присылается сообщение со ссылкой на сайт операторов FinSpy. При открытии ссылки предлагается обновить его программное обеспечение (например, Flash Player). На самом деле вместо обновления будет установлен агент FinSpy. Данный способ распространения был отмечен летом 2012 года в отношении оппозиционно настроенных активистов волнений в Бахрейне. 
Кроме того, Gamma International в сотрудничестве со швейцарской компанией Dreamlab пыталась продать свои продукты туркменским властям. Dreamlab отвечала за разработку и поддержку программно-аппаратного комплекса iProxy, который предоставлял возможность выделять из общего потока данных трафик отдельного пользователя и модифицировать его таким образом, чтобы пользователю производилась скрытая установка FinSpy — например, при обновлении браузера. Dreamlab рассчитывала на получение заказа на общую сумму около 875 тыс. швейцарских франков (порядка $970 тыс.), в эту стоимость кроме собственно программных модулей входили: анализ сетевой инфраструктуры, поставка серверного оборудования, развертывание системы и обучение персонала.
CROSSBEAM — стандартный GSM-модуль, изготовленный из нескольких базовых модулей ANT и предназначенный для установки в различную вычислительную технику. Способен принимать, записывать, сжимать и передавать голосовые данные через сотовые сети на специальные серверы для дальнейшей обработки.

Amesys, подразделение Bull SA ( Франция)

Штаб квартира компании
Журналисты Wall Street Journal в одном из оставленных сторонниками Каддафи центров интернет-мониторинга в Триполи (Ливия) обнаружили факты использования системы Eagle компании Amesys. Система мониторинга Eagle способна автоматически добывать адреса электронной почты, телефонные номера и фотографии, осуществлять поиск по дате, времени, ключевым словам и геолокации.
Руководство пользователя.pdf
Ливийским властям было предложено приобрести Eagle еще в 2006 году. Контракт на поставку стоимостью €26,5 млн был подписан в декабре 2007-го. Разработка системы длилась около двух лет и завершилась вводом в эксплуатацию в начале 2010 года. Документы, размещенные в ноябре 2011-го на ресурсе WikiLeaks, показали, что перехваченные системой почтовые сообщения использовались для слежки за диссидентами и оппозиционерами не только внутри страны, но и за ее пределами, в частности в Великобритании.
Список документов, доступных на  WikiLeaks
AREA SPA (Италия) 

В ноябре 2011 года стало известно, что сотрудники этой компании по заказу правительства Сирии установили систему мониторинга Asfador стоимостью €13 млн, способную перехватывать все сообщения электронной почты, циркулирующей в телекоммуникационных сетях страны.
Moreover, the total focus on the LI sector and on a specific type of customer – Lawful Enforcement Agencies (LEA) – provides AREA with in-depth knowledge about the demanding requirements of the market..
Спустя месяц после выявления этого факта ЕС запретил экспорт в Сирию технологий СОРМ и их обслуживание. Система была развернута на основе договора с сирийской телекоммуникационной компанией STE (Syrian Telecommunications Establishment), являющейся основным оператором стационарной связи в Сирии. В разработке системы принимали участие компании: NetApp (netapp.com, США) — разработчик программного обеспечения хранения и анализа информации; Qosmos (qosmos.com, Франция) — зонды анализа и перехвата потоков данных; Utimaco (utimaco.com, Германия), подразделение Sophos — поставщик решений для связи зондов с цент­рами обработки данных Area SpA. Следует отметить, что власти США запретили своим компаниям сотрудничать с Сирией: с 2004 года в эту страну можно поставлять только продовольствие и медикаменты, однако программное обеспечение NetApp американского производства беспрепятственно было продано через посредника в лице Area SpA.
The U.S. government may need to determine if the shipment of U.S.-based NetApp's computers to Syria may have violated U.S. sanctions, says Hal Eren a former lawyer for the Treasury Department's Office..

Trovicor  (Германия)

trovicor - solution provider for intelligence systems
Компания была уличена в поставке центров мониторинга в Иран в 2009 году, когда еще являлась дочерней компанией Nokia Siemens Networks. Когда история о сделке появилась в прессе, Nokia Siemens Networks избавилась от Trovicor, но та под управлением нового владельца, Perusa Partners Fund, продолжила поставки технологии, позволяющей шпионить за гражданами. В Бахрейне Trovicor помогла развернуть «мониторинговый центр», использующийся для отслеживания электронной почты, SMS и звонков активистов антиправительственных организаций, несмотря на многочисленные свидетельства о нарушениях прав человека властями этой страны. Trovicor также поставляла технологии бывшему президенту Туниса Бен Али (Zine el-Abidine Ben Ali). Комплексы слежения Trovicor позволяют перехватывать телефонные звонки, e-mail, SMS и звонки через Skype. Некоторые продукты могут незаметно для пользователя активировать веб-камеру ноутбука или микрофон в мобильном телефоне. Они могут использовать программы распознавания голосов и определять местоположение людей с помощью мобильного телефона. Система мониторинга может сканировать трафик по ключевым словам или распознавать голоса, а затем передавать данные оператору. 
 
По последним данным компания помогает организовать современную систему наблюдения правительству Пакистана. 

Nice Systems Ltd. (Израиль)

Компания основана в 1986 году под названием Neptune Intelligence Computer Engineering (NICE) семью бывшими сослуживцами Армии обороны Израиля, в том числе выходцами из «Подразделения 8200» (израильской службы войсковой радиоэлектронной разведки).
NICE Systems is the worldwide leading provider of software solutions enabling organizations to improve customer experience, ensure compliance, fight financial crime, and safeguard people and assets. Captures and analyzes structured and unstructured data.
Изначально компания концентрировалась на разработке решений для обеспечения безопасности и нужд оборонной промышленности, а впоследствии переориентировалась на гражданские программные комплексы в основном для колл-центров, рынка бизнес-аналитики и оказания финансовых услуг. Основные продукты: Nice Track Target 360 и Nice Track Horizon Insight, предназначенные для перехвата, сбора и анализа больших объемов телекоммуникационных данных, включая голосовые потоки и сетевой трафик.
Из документов Hacking Team  стало известно, что продукты  компании Nice предлагались для поставки в вооруженные силы Бразилии.
Скриншот переписки: https://wikileaks.org/hackingteam/emails/emailid/6982

 
SURLYSPAWN — микропередатчик, предназначенный для совместной работы с «радаром» (приемником данных, собираемых оффлайн-«жучками», передающими их по требованию «радара»). Может внедряться в USB- и PS/2-клавиатуры для записи печатаемых на ней текстов. Заявленная стоимость такого «жучка» — всего $30. 

Программа Quantum Агентства национальной безопасности США

Информация о возможностях шпионских программно-аппаратных комплексов была бы неполной без упоминания о программе АНБ под названием Quantum. Обнародованные о ней документы с грифом Top Secret датируются 2007 годом, однако даже на то время возможности системы впечатляют.
Любой пользователь при работе в сети Интернет имеет в своем трафике уникальные последовательности (селекторы), позволяющие однозначно выделить его среди других пользователей. Например, при доступе в свой аккаунт на сайте Facebook сервер отправляет брау­зеру пользователя строку cookie с идентификатором сессии. По этой информации в дальнейшем можно отслеживать трафик пользователя. Для выбора цели доступны селекторы (по состоянию на 2007 г.) следующих видов: статический IP-адрес (уникальный идентификатор, который имеют многие продвинутые «сетяне»), “yahoo”, “facebook”, “hotmail”, “linkedin”, “mail.ru”, “rambler”, “yandex”, “msn”, “qq”, “alibaba”, “facebook”, “twitter”, “youtube”, “gmail” (в документах 2011 года присутствует также Skype).
Селекторы конкретного человека заносятся в базу данных, интерфейс взаимодействия с которой называется MARINA. После выбора селекторов из общего потока данных выделяются данные, которые какой-либо сервер отправляет браузеру пользователя (например, поисковая выдача Google), и в нее вставляется код, приводящий к скрытой установке на ПЭВМ троянской программы VALIDATOR.
Загрузите ts-nsa-quantum-tasking-techniques-for-the-r-t-analyst.pdf

Данный «троян» содержит только базовые функции — скачать и отправить файл, запустить исполняемый файл, получить системную информацию — и предназначен для проверки возможности дальнейшей скрытной работы. Далее в компьютер внедряется специально сформированный (учитывающий, в частности, установленную версию антивируса) для данной ПЭВМ «троян» OLYMPUS (позже — UNITEDRAKE) с продвинутым функционалом.

Начиная с этого момента все данные пользователя, включая контакты, переписку, звонки, становятся доступными операторам АНБ. Таким способом можно внедрить «троян» практически любому пользователю, который использует соответствующие публичные интернет-сервисы. Оператор АНБ может просто взять e-mail-адрес с визитки интересующего лица, внести его в систему MARINA и через некоторое время получить доступ к его компьютеру или смартфону. К сожалению, один из ключевых вопросов, а именно где конкретно осуществляется перехват данных, в документах не раскрывается. Судя по всему, в европейском сегменте Интернета за это отвечает Центр правительственной связи (GCHQ) Великобритании.
При помощи системы Quantum были скомпрометированы ПЭВМ сотрудников национальной телекоммуникационной компании Бельгии Belgacom и получены реквизиты доступа к сетевой инфраструктуре, что позволило АНБ в сотрудничестве с GCHQ в течение примерно двух лет осуществлять перехват международных переговоров клиентов Belgacom.
На слайде презентации АНБ от 2012 года можно увидеть пути получения информации со всего мира, в том числе с помощью CNE (Computer Network Exploitation — метод получения информации из закрытых компьютерных сетей посредством заражения отдельных ПЭВМ). К 2012 году был получен несанкционированный доступ к более 50 тысячам компьютеров по всему миру, в том числе и в России.
 
RAGEMASTER — аппаратная закладка, монтируемая под оболочкой VGA-кабеля (передающего изображение от системного блока к монитору). Данные могут быть перехвачены одним из «радаров», предлагаемых в рассекреченном каталоге.

Заключение

На рынке программных решений для осуществления оперативно-розыскных мероприятий существует достаточно много фирм, предлагающих технологии двойного назначения. Под прикрытием аббревиатуры СОРМ на продажу выставляются троянские и шпионские программы, а также средства для их скрытой установки. Интересно, что большинство фактов использования таких СОРМ в сомнительных целях касаются стран, неугодных по политическим соображениям высшему руководству Соединенных Штатов.
С 2006 года международная правозащитная организация «Репортеры без границ» (“Reporters Without Borders”) публикует отчеты под броским названием «Враги Интернета» (в том числе на русском языке). В 2013 году в качестве «стран-врагов» были названы: Бахрейн, Вьетнам, Иран, Китай и Сирия. Перечислены и пять европейских организаций, которые поставляли специализированное ПО для слежки за интернет-пользователями: Gamma, Trovicor, Hacking Team, Amesys и Blue Coat (американский поставщик средств ограничения доступа к заданным сайтам для Ирана, Сирии и Судана). Из года в год в список неугодных стран попадают Россия, Беларусь, Иран, Сирия, Северная Корея, Вьетнам, Китай, Куба, но «Репортеры без границ» упорно избегают какого-либо упоминания о противоправных действиях в США или в дружественных им странах.
В этом можно усмотреть некую систему: сначала в страны Ближнего Востока поставляются средства перехвата, на которых американские фирмы зарабатывают деньги через компании-посредники, а потом в этих странах происходят народные волнения, несмотря на контроль СОРМ. Кроме того, появляется возможность дискредитации правительства тех стран, где развернуты центры мониторинга, в связи с нарушениями прав человека, тотальным контролем со стороны властей и преследованием диссидентов. Вдобавок ко всему, под предлогом использования облачных технологий (когда данные хранятся на большом количестве удаленных серверов, объединенных в единый вычислительный комплекс) результаты работы цент­ров мониторинга могут храниться за пределами страны, на провайдере которой развернута система перехвата данных, что позволяет использовать эти данные компанией-поставщиком в своих интересах. Не следует забывать и о возможных встроенных скрытых механизмах обеспечения несанкционированного доступа.
С другой стороны, возможно, такими документами европейские производители шпионского оборудования просто пытаются сделать себе рекламу. Ответ на этот вопрос знает лишь узкий круг заинтересованных лиц.