Холодная Кибервойна - CCW (Cold Cyber War)

Если смотреть на киберпространство глазами военных как на пятое, наряду с сушей, морем, воздухом и космосом, пространство боевых действий, то ни одна нация не может заявить об обладании или контроле над ним, независимо от того, какое обычное оружие имеется в ее арсенале. 17 Сентябрь 2016, 05:47
Военные США берут под контроль кибербезопасность крупнейших национальных корпораций, а в России о кибербезопасности от Министерства обороны и государственных органов мы практически ничего не слышым. В отечественных СМИ очень редко идет речь о военном кибероружии, а если и упоминается то чаще отстраненно, рассматриваясь в разрезе кибератак на отечественные информационные ресурсы и базы данных, в тоже самое время о кибер оружии России на Западе ходят легенды...

По итогам деятельности органов ФСБ за 2011 год про кибербезопасность не было сказано ни слова

Ежегодно президент России Владимир Путин выступает на заседании коллегии Федеральной службы безопасности.  Всего четыре года назад, в 2012 году,  выступая на заседании коллегии Федеральной службы безопасности, посвящённом итогам деятельности органов ФСБ за 2011 год про кибербезопасность не было сказано ни слова. Прошел еще один год и все кардинально изменилось. 

Если сравнить выступления президента с 2013 по 2016 год, основанные на отчетах ФСБ, то мы увидим колоссальный  рост киберперступлений против информационных ресурсов России. 

В 2013 году в своей речи президент лишь частично упомянул кибербезопасность:  "Уже в ближайшее время нужно сформировать единую систему обнаружения, предупреждения и отражения компьютерных атак на информационные ресурсы России. Нужно решить такую задачу максимально оперативно, в короткие сроки." 

В 2014 году по результатам деятельности за 2013 год, кибербезопасность выглядела уже как явная угроза: было обнаружено и пресечено более 9 миллионов,  «целенаправленных воздействий» на сайты и информационные системы органов государственной власти Российской Федерации. 

В марте 2015 года подводились итоги 2014 года. Это был сложный год для всех силовых структур и для кибербезопасности в частности. Такого количества атак на государственные структуры еще никогда не было. Количество кибератак на официальные сайты и информационные системы составило около 74 миллионов.
26 февраля 2016 года, Владимир Путин принял участие в заседании коллегии Федеральной службы безопасности, посвящённом итогам оперативно-служебной деятельности органов ФСБ в 2015 году и приоритетным задачам на 2016 год.
Владимир Путин на заседании коллегии Федеральной службы безопасности. 26 февраля 2016 года. 
"....Только за прошедший год зафиксировано более 24 миллионов кибератак на официальные сайты и информационные системы органов власти России. Пресечено функционирование более 1,6 тысячи интернет-ресурсов, деятельность которых наносила ущерб безопасности нашей страны, в том числе террористической и экстремистской направленности ...."
Анализируя данные выступления можно отметить явную тенденцию роста киберугроз. Также важно отметить и количественное увеличение киберопераций в период активного информационного  противостояния с  Украиной в 2014 году, когда уровень кибератак на информационные ресурсы России достиг небывалого показателя в 75 миллионов кибератак, превысив показатель предыдущего года более чем в восемь раз. 


Лучшая защита - нападение

Одно из самых интересных обвинений в применении кибер-оружия Россией произошло в декабре 2015 года. 

22 ноября 2015 года в 00.25 произошло отключение электроэнергии, поступающей на территорию Крымского Федерального округа России со стороны Украины, началась "энергоблокада" Крыма.
Взорванные опоры ЛЭП
Активными участниками энергоблокады Крыма наравне с "Правым сектором" были лидеры Меджлиса крымско-татарского народа. В частности, Мустафа Джемилев первым выдвинул идею энергетической блокады Крыма, а затем сообщил о координации действий по блокаде лично с президентом Порошенко. А Рефат Чубаров заявил, что энергетическая блокада Крыма теперь "заставит рассматривать вопрос о деоккупации полуострова на высшем международном уровне" путем включения его в круг вопросов Контактной группы по урегулированию ситуации на востоке Украины. Активисты на месте подрыва блокировали доступ ремонтным бригадам "Укрэнерго" к поврежденной опоре, а затем потребовали, чтобы были переразны провода в отремонтированной ЛЭП.

В это время в Крыму был введен режим чрезвычайной ситуации и графики аварийных отключений электричества, а число отключенных потребителей составило 1,6 млн человек.

В первые дни после повреждения ЛЭП российская сторона надеялась на восстановление энергоснабжения Крыма из Украины, но киевская власть кивала на активистов, которые якобы не хотели подчиняться.
Запуск 3 декабря первой нитки энергомоста в Крым стал первым холодным душем для официального Киева. 
Второй ответ на попустительство украинскими властями действий националистов был более серьезным.  
Инфографика атак "пророссийской" группировки "Песчаный червь" (Sandworm Team) на международные объекты 
Так, 23 декабря 2015 года, когда шестичасовое отключение электроэнергии на Западной Украине затронуло 80 000 потребителей - американские эксперты сразу возложили вину на пророссийскую группировку "Песчаный червь" (Sandworm Team).
Michael Assante is currently the SANS lead for Industrial Control System (ICS) and Supervisory Control and Data Acquisition (SCADA) security and co-founder of NexDefense an Atlanta-based ICS security company. He served as Vice President and Chief Security Officer of the North American Electric Reliability (NERC) Corporation, where he oversaw industry-wide implementation of cyber security standards across the continent. Prior to joining NERC, Mr. Assante held a number of high-level positions at Idaho National Labs and served as Vice President and Chief Security Officer for American Electric Power.

Во всем мире ходят легенды о возможностях российского кибероружия, Пентагон, приводит в качестве доказательств его наличия конгрессу, множество сомнительных примеров не имеющих точного подтверждения.

Согласно анализу SANS ICS, это был первый подтвержденный случай кибератаки на электростанцию, который привел к перебоям в ее работе. Хакеры тщательно спланировали и скоординировали многоуровневую кибератаку, сумев одновременно лишить украинских диспетчеров доступа к системам управления и блокируя телефонные звонки потребителей, пробовавших сообщить о неполадках.

Отключение электричества было результатом "прямого вторжения противника, а не только работы вредоносных программ", подчеркивается в опубликованном отчете. 


Кибероружие Агенства Национальной Безопасности США в руках России

В 20-х числах 2016 года ранее неизвестная хакерская группировка Shadow Brokers заявила о взломе другой группировки Equation Group, которая якобы создавала «кибероружие» для американских властей, приложив в качестве доказательства архив с данными, по мнению специалистов по кибербезопасности, действительно имеющий отношение к Агентству нацбезопасности США (АНБ). Ключ от архива с информацией выставили на аукцион. Платить предлагают биткоинами. Ключ отдадут тому, кто больше заплатит, остальным деньги не вернут. «Рискуйте», — пишут в своём обращении на ломаном английском хакеры. Если они получат больше 1 млн биткоинов (это около $500 млн), то они выложат часть информации в открытый доступ.
К сообщению хакеры приложили немного путанный манифест, где они критикуют некие «богатые элиты».
Элиты создают законы, чтобы защитить себя и друзей, чтобы лгать и [делать плохо] другим людям. Элиты нарушают законы, обычные люди идут в тюрьмы, их жизни разрушаются, семьи разрушаются, но не [семьи и жизни] Элит. <...> А потом Элиты борются за президентский пост. <...> Мы хотим убедиться, что Богатые Элиты осознают опасность кибероружия, это сообщение, наш аукцион представляет [угрозу] для их богатства и контроля. Дайте нам обратиться к Элитам. Ваши богатство и контроль зависят от электронных данных. 
Из обращения Shadow Brokers

Кто такие Equation Group?

Точно неизвестно. О её существовании в прошлом году написали в «Лаборатории Касперского». Её специалисты обнаружили, что некая хакерская группировка смогла заразить компьютеры в 30 странах вредоносными программами, через которые она получила доступ к устройствам. Данные о массовой кампании кибершпионажа «Лаборатория Касперского» опубликовала в специальном докладе.
Созданный Equation Group вирус проникал в прошивку жёсткого диска. При этом, даже в случае его форматирования или переустановки операционной системы вредоносная программа продолжала работать. Попасть на компьютер вирус мог через электронную почту, заражённые загрузочные файлы CD или через эксплойты (файлы или команды, сделанные для проникновения и атаки на вычислительную систему), расположенные в сети. После такой атаки компьютер уже нельзя обезопасить — только выкинуть.
Крайне сложно определить, заражен ли компьютер. По большому счету это может сделать только специалист, обладающий серьезными знаниями в области кибербезопасности и хорошо разбирающийся в спецификации жестких дисков. Только обладая подобными глубокими знаниями, можно написать специальную утилиту, которая позволит точно определить, заражен ли компьютер. Если было установлено, что заражен жесткий диск, то необходимо его физически уничтожить, а лучше избавиться от самого компьютера. При этом файлы можно перенести на другой компьютер, предварительно проверив их антивирусом.
Юлия Кривошеина, представитель "Лаборатории Касперского" 
Напрямую «Лаборатория Касперского» не назвала того, кто стоит за Equation Group. Однако компания подчеркнула в докладе связь созданном ей шпионской программы с компьютерным червем Stuxnet.
Stuxnet был разработан по заказу американского Агентства национальной безопасности для атак на объекты иранской ядерной программы. Бывший сотрудник АНБ сообщил Reuters о том, что информация о причастности его ведомства к кибершпионажу верна. В самом агентстве о докладе «Лаборатории Касперского» знали, но комментировать его содержимое отказались.
Атакующие очень тщательно подходили к выбору своих целей. Первичное заражение пользователя атакующие из Equation Group, как правило, начинают с эксплойтов, которые попадают в компьютер либо через заражённую веб-станицу, либо через рекламный баннер на одном из популярных веб-сайтов (подобная схема атак была обнаружена экспертами «Лаборатории Касперского» на Ближнем Востоке). К примеру, пользователь заходит на один из исламских форумов. Страница этого форума содержит специальный скрипт РНР, который определяет, соответствует ли этот юзер тем параметрам, которые интересуют атакующих, в частности проверяет его IP-адрес. В случае если пользователь потенциально интересен Equation Group, он атакуется эксплойтом. В последнее время атакующие использовали эксплойты к Java.
Юлия Кривошеина, представитель "Лаборатории Касперского" 
Специалисты «Лаборатории Касперского» проанализировали и архив Shadow Brokers. По их мнению, содержащиеся в открытом доступе данные действительно имеют отношение к Equation Group.
August 13, 2016 saw the beginning of a truly bizarre episode. A new identity going under the name ‘ShadowBrokers’ came onto the scene claiming to possess files


Кто такие Shadow Brokers и почему говорят об их связи с Россией?

Никто не знает, откуда взялись эти хакеры. По мнению опрошенных изданием Motherboard специалистов по защите данных, за ними могут стоять Россия или Китай. Создатель компании WhiteHat Security Иеремия Гроссман говорит о том, что началась «холодная кибер-война, о которой нас всех предупреждали».

Россию постоянно обвиняют в причастности к кибератакам на американские учреждения и организации. Например, о «российском следе» представители властей США говорили в свете взлома почты Демократического национального комитета (DNC).
Авторы новой масштабной утечки, направленной против демократов, - хакер или группа хакеров под ником Guссifer 2.0
На связь россиян со взломом Equation Group указывает и находящийся в РФ бывший подрядчик АНБ Эдвард Сноуден.

Бывший эксперт АНБ Дейв Эйтель также считает, что за Shadow Brokers могут стоять российские власти. На это, по его словам, указывают следующие обстоятельства:

Во-первых
, утечка произошла практически сразу после взлома DNC, хотя добытые хакерами данные, скорее всего, были получены три года назад, и кто-то смог сохранить их в тайне от всего мира.

Во-вторых, Эйтель считает «очень российским» указание в послании на «коррупцию и выборы». Кроме того, для того. чтобы «позлить» Equation group, по мнению Эйтеля, нужен веский повод: у хакеров такой вряд ли бы нашёлся, а вот у какого-нибудь не союзного США государства — вполне.

Наконец, на «русский след» указывает и то, что данные Shadow Boxers передали Wikileaks, которые слили переписку DNC, и которых обвиняют в связях с российскими спецслужбами.

Очень, очень, очень - большая проблема!

Давным-давно "очень умные" люди в Пентагоне посчитали, что очень удобно подключить спецсвязь, дорогое оборудование и мощные вооружения к единой сети Интернет.  Эта всеобъемлющая связь устройств и объектов — то, что мы сейчас называем Интернетом вещей — позволяет собирать технические данные, которые помогают разрабатывать новое оружие, удаленно контролировать оборудование и реализовывать великое множество других преимуществ.

Помимо явных плюсов, есть один большой минус - д
анная стратегия привела к появлению огромного количества уязвимых мест в Министерстве обороны США, его сетях и в значительной части того, что за последние несколько десятилетий создала военная промышленность.
Интернет вещей должен был сделать жизнь легче, но для Пентагона, начавшего использовать его раньше других, он сделал жизнь намного труднее.

«Мы пытаемся преодолеть последствия десятилетий такого подхода... когда мы считали, что создание систем вооружений, имеющих интерфейсы с внешним миром, не является предметом особого беспокойства», — сказал адмирал Майкл Роджерс, командующий Кибернетическим командованием, выступая перед Комитетом по вооруженным силам в Сенате.
Адмирал Майкл Роджерс 
«Они давали нам возможность удаленно отслеживать активность, собирать данные, например, о том, как самолеты или корпуса кораблей ведут себя в различных условиях в море. Все это представляло собой преимущества, используемые при разработке новых поколений крейсеров и эсминцев для флота».

Но, как сказал Роджерс, в мире, где такие открытые интерфейсы являются точками уязвимости, неприятель разрабатывает стратегии, ворует данные Пентагона, и затем разрабатывает под копирку свои вооружения, как, например, китайский истребитель J-31, который можно смело назвать дешевой копией F-35.
Шэньян J-31 (Кречет)— китайский многоцелевой истребитель пятого поколения. Разработан Shenyang Aircraft Corporation. Как пишет China Daily, максимальный взлетный вес J-31 составит 25 тонн при боевом радиусе в 1,2 тыс. км. Истребитель сможет развивать предельную скорость в 2205 км/ч. Вес боевой нагрузки самолета составит 8 тонн.  Практический потолок J-31 – до 16 км. Срок службы истребителя составит до 30 лет. В Ноябре  2014 года,  глава делегации Рособоронэкспорта на авиакосмической выставке в Джухае (Китай),  начальник департамента ВВС Сергей Корнев сообщил, что  J-31 будет летать на российском авиадвигателе РД-93
«Все вы видите где мы теперь оказались. Поэтому я хочу напомнить вот о чем: мы шли к этой ситуации десятилетиями. И мы не можем решить эти проблемы за несколько лет!», – сказал Роджерс сенаторам. «Мы должны сделать это нашим приоритетом и выявить наши самые уязвимые места».

Ключевая характеристика

Согласно Закону о полномочиях в области национальной обороны США 2014 г., вооруженные силы должны обнаруживать и сообщать Сенату  о кибернетических угрозах вооружению и системам коммуникации.

Кибернетическая безопасность сейчас рассматривается как ключевая техническая характеристика, наряду с устойчивостью, для каждого нового вида оружия. 
Во время слушания заместитель министра обороны Роберт Уорк сказал, что Фрэнк Кендалл, ведущий специалист Пентагона по закупке вооружений, в настоящее время проверяет практически весь арсенал США, чтобы выявить, насколько каждый вид вооружений подвержен взлому.

«Я надеюсь, что эта работа скоро будет завершена», – сказал Уорк. По мнению Уорка, такие уязвимости представляют собой «очень большую проблему». Он добавил: «Большая часть систем вооружений, которыми мы располагаем сегодня, создавалась без учета возможности противостоять киберугрозам».


«Мы переходим от единых сетей в 15 000 машин к менее чем 500», – сообщил он, имея в виду вычислительные сети меньшего размера, управляемые единым центром управления. «Мы также переходим от тысячи защитных межсетевых экранов к менее чем 200, где-то между 50 и 200».

С учетом того, что, по большинству прогнозов, к 2020 г. в мире будет свыше 50 миллиардов взаимосвязанных устройств, опыт Пентагона в Интернете вещей будет достаточным, чтобы заставить задуматься самых оптимистичных футурологов. 

Тайное стремление Пентагона к смертельному кибероружию

В 2015 году военные подрядчики США начали делить почти 500 миллионов долларов, выделенных на разработку следующего масштабного проекта: компьютерного кода, способного убивать.
Ожидается, что в рамках грядущего контракта, стоимость которого приближается к 500 млн долларов США, будет разработан и, при необходимости, применен компьютерный код, который если верить конкурирующим за этот проект подрядчикам и бывшим служащим Пентагона будет способен убивать неприятеля.
Проект контракта на внешнее исполнение всю деятельность по технической поддержке миссий командования, включая планирование «киберударов» и оценку возможности использования «киберснаряжения». - uscybercom-idiq-draft-rfp-9-30-15.pdf
В рамках планируемого проекта, войска США, вместо традиционных снарядов со взрывчаткой будут иметь возможность запускать логические бомбы запускающие самоуничтожение вражеской инфраструктуры.
Исследовательская лаборатория ВВС США (AFRL) завершила разработку импульсного электромагнитного оружия, которое будет использоваться для высокоточного выведения электроники противника из строя.
В отличие от традиционного шпионского программного обеспечения или даже вируса Stuxnet, который вывел из строя ядерные центрифуги Ирана, судя по сообщениям бывших сотрудников Министерства обороны и недавно выпущенному (в июне 2015 году) Министерством «Руководству по правилам ведения войны», киберудары будут представлять опасность для жизни людей.

«Инстинктивная реакция любого человека в форме на слово «война» состоит в том, что это страшно, там убивают людей», – сказал Билл Лейгер, недавно ушедший в отставку адмирал ВМФ, имеющий десятки лет опыта военных действий, который сейчас руководит отделом государственных кибернетических заказов компании Raytheon.
«Когда я говорю «кибервойна», я думаю о ней как о войне», –
сказал он. «Да, война жестока».

Raytheon, Northrop Grumman и Lockheed Martin входят в число основных оборонных компаний, которые, как ожидается, будут бороться за контракт Кибернетического командования.

Доктрина Пентагона одобряет цифровое оружие

Согласно Лейгеру, проводить наступательные операции в киберпространстве, по сути, означает «нарушить процесс взаимодействия между процессором и его программным обеспечением» для выполнения миссии.
Билл Лейгер (Bill Leigher), адмирал ВМФ США в отставке. В настоящее время руководитель отдела государственных кибернетических заказов компании Raytheon
«Командиры выбирают то оружие, которое, по их мнению, будет способствовать успешному выполнению задачи» – сказал он.

Если перед командиром стоит задача послать самолет на оккупированную территорию, и он хочет использовать вирусное программное обеспечение или другой вид кибероружия, чтобы обеспечить выполнение задачи, то офицер должен быть уверен, что кибератака сработает так, как нужно.
Принцип действия электромагнитного оружия, возможности поражения и противодействия


«Я верю в это оружие. Я знаю, как оно будет использоваться, и знаю, что этот вариант лучше и что он не подвергает летящего над вражеской территорией 27-летнего пилота ВВС большему риску», – описал Лейгер процесс принятия решения. В этом случае, возможно, целью будет база технического обслуживания аэродрома. Начиная кибератаку, командир сможет, например, отключить энергообеспечение объекта, и тогда «это ограничит возможности противника по ремонту самолетов».

Правила ведения "новой" войны

В опубликованном в июне  «Руководстве по правилам ведения войны» Министерства обороны США есть глава «Кибероперации». Появление этого раздела, по мнению экспертов национальной безопасности, отражает рост использования кибероружия. Хотя еще менее трех лет назад большинство действий, выходящих за пределы оборонительных маневров, были практически полностью засекречены.
Скриншот обложки «Руководство по правилам ведения войны» Министерства обороны США
"Руководство по правилам ведения войны» Министерства обороны США. Июнь 2015 года - law-of-war-manual-june-2015.pdf
В частности в данном документе приводится три примера того, что Пентагон понимает под войной с использованием кибероружия: «Спровоцировать расплавление ядерного реактора; открыть дамбу вблизи густонаселенной местности, вызвав разрушения; вывести из строя системы управления полетами, вызвав крушение самолетов». (стр 998, 999).  

Если сравнить правила применения обычных вооружений и киберопераций, мы увидим, что они аналогичны. Как и на реальном театре военных действий роль Пентагона в киберпространстве  состоит в блокировании атак (иностранных хакеров), направленных на внутренние системы, содействии боевым частям США за рубежом и защите военного персонала  и инфраструктуры (сюда же входят и сети) от нападающих.

«Вооруженные силы США «разрабатывают инструменты и возможности», необходимые для успешного выполнения всех трех задач», - сообщила в электронном письме представитель Пентагона Лаура Рохас. «Мы делаем это в соответствии с законами США и международным правом».
Агентство Bloomberg утверждает, что к утечке данных, в ходе которой в сеть попали документы НАТО и Фонда Сороса, причастны российские хакеры
В законе четко говорится, что в ходе киберопераций могут погибнуть гражданские лица. Кибератаки допустимы, даже если «очевидно, что в результате погибнут или будут ранены гражданские лица — если обоснованно ожидаемый сопутствующий ущерб не будет чрезмерным в сравнении с ожидаемым военным результатом», сообщил отставной генерал-майор Чарльз Данлэп, исполнительный директор Центра права, этики и национальной безопасности Университета Дьюка. «По сути, это те же правила, что и при использовании обычных бомб и пуль».

«Поскольку практически все вооруженные силы полагаются на ту же инфраструктуру, что и гражданские лица, нетрудно представить себе ситуацию, когда кибератака приведет к невинным жертвам», — добавил Данлэп.

«Вирус может, например, уничтожить какую-нибудь военную систему контроля производства, однако если он не запрограммирован на самонейтрализацию, он может затем сделать то же самое с аналогичной гражданской системой, возможно, с фатальными последствиями для гражданских лиц».
Федеральная служба безопасности России выявила вирус для кибершпионажа в компьютерных сетях двух десятков государственных органов и оборонных предприятий, сообщили в Центре общественных связей службы.
Разрушительные кибератаки также несут риск ненасильственного сопутствующего ущерба. По состоянию на март, компания Microsoft все еще разбиралась с последствиями распространения вируса Stuxnet. Она была вынуждена выпустить исправление уязвимости в программном обеспечении, которое предположительно использовали США и Израиль для перехвата управления систем, управляющих ядерным оборудованием Ирана. На настоящее время сообщений о других устройствах, реагирующих таким же образом, не имеется.

Мишень номер один

Сенатор Маккейн сформулировал проблему кибербозопасности так: «Мы (США - прим. ред.) проигрываем войну в киберпространстве, проблема состоит в отсутствии средств сдерживания» – заявил он в сентябре 2015 года. 

Сенатор прав, с точки зрения кибернетической угрозы, уязвимые места Министерства обороны США слишком многочисленны, чтобы их перечислить, не говоря уже о том, чтобы устранить полностью. В сущности, тот факт, что США являются самой зависимой от сетей страной в мире, превращает гражданские и государственные системы США в огромную уязвимую мишень - которой соперники обязательно воспользуются.