Несмотря на масштабные усилия, предпринимаемые новой администрацией США во главе с Д.Трампом, ситуация в сфере кибербезопасности страны остаётся достаточно сложной. В ряде случаев имеет место синхронизация ранее необнаруженных компьютерных уязвимостей, обычных непредумышленных ошибок простых исполнителей («человеческий фактор»), халатности должностных лиц и/или недоработок самих американских спецслужб.
Кибербезопасность критической инфраструктуры США
Вопросы кибербезопасности критической инфраструктуры США по-прежнему находятся в центре внимания американских спецслужб. В частности, летом т.г. ФБР и Министерство внутренней безопасности США опубликовали совместный доклад, в котором говорится, что «исторически хакеры стратегически нацелены на энергетический сектор, их цели различны: от кибершпионажа до возможности нарушить работу энергетических сетей в случае конфликта» [1]. В докладе отмечено, что хакеры активно используют фишинговые письма для сбора информации, с помощью которой они могут получить доступ к сетям интересующих их компаний. Более того, в ряде случаев хакерам удалось скомпрометировать сети своих целей, однако их число и какие именно компании стали жертвами атак не сообщается.
3 сентября 2017 г. вашингтонское издание «The Hill» сообщило, что тысячи файлов с резюме и заявлениями о приеме на работу военных и сотрудников разведслужб США оказались в открытом доступе в облачном хранилище Amazon. Адреса и контактные данные как действующих служащих, так и ряда ветеранов разведслужб, а также одного полицейского и сотрудника ООН, работавшего на Ближнем Востоке, можно было открыто скачать из-за ошибки в системе защиты данных [2]. Безусловно, этот вопиющий случай не добавил авторитета разведслужбам США.
Кроме того, 25 сентября т.г. «The New York Times» сообщила о том, что 6 советников президента Д.Трампа пользовались личными электронными почтовыми ящиками для служебной переписки. Отмечается, что нарушителями правил оказались дочь и советник главы государства Иванка Трамп, её супруг Джаред Кушнер, экс-глава аппарата Белого дома Райнс Прибус, бывший главный стратег администрации Стивен Бэннон, один из ключевых советников Трампа Стивен Миллер, а также директор Национального экономического совета Гэри Кон [3].
Повышение статуса Киберкомандования ВС США
Как известно, Киберкомандование США было сформировано в 2009 г. при президенте Б.Обаме. Формально являясь подразделением Стратегического командования, оно также де-факто входит в структуру АНБ, а глава АНБ по традиции возглавляет Киберкомандование.
15 июля т.г. стало известно о намерении администрации Д.Трампа вывести киберкомандование ВС США из подчинения АНБ США. Предполагалось, что эта мера будет направлена на обеспечение большей независимости киберкомандования от АНБ, основная деятельность которого заключается в сборе разведывательной информации о телефонных переговорах и электронной переписке по всему миру. Теперь основными направлениями работы киберкомандования станет противодействие росту угрозы кибератак и диверсий со стороны террористических группировок и враждебных стран [4].
18 августа т.г. Д.Трамп принял решение вывести киберкомандование из состава стратегического командования и повысить его до статуса объединенного боевого командования, которое должно сосредоточиться на операциях в киберпространстве. Министру обороны поручено рассматреть дальнейшие шаги по повышению статуса Киберкомандования, которое на данный момент по-прежнему будет входить в структуру АНБ.
Во-первых, по словам Д.Трампа, принятое им решение позволит укрепить операции ВС США в сфере кибербезопасности и создать возможности для улучшения обороны. Во-вторых, повышение статуса киберкомандования позволит также обеспечить более адекватное финансирование критических операций в киберпространстве. В-третьих, это решение призвано показать, что США «решительно настроены бороться с угрозами в киберпространстве и поможем обеспечить уверенность наших союзников и партнеров» [5].
Чтобы избежать возможных кривотолков на эту тему, помощник министра обороны США Кеннет Рапуано специально пояснил американским СМИ, что решение президента Д.Трампа повысить статус Киберкомандования не связано с расследованием о якобы имевшем место вмешательстве РФ в выборы в американские выборы 2016 года: «Это изменение не является ответом на какой-либо отдельный инцидент» [6].
Что не менее важно, 19 июля агентство Bloomberg сообщило о том, что в рамках реорганизации Государственного департамента госсекретарь США Р.Тиллерсон намерен ликвидировать Бюро по кибербезопасности. Бюро будет реорганизовано и перейдет в ведение департамента Госдепа по экономическим и бизнес-вопросам. В рамках реорганизации Глава Бюро по кибербезопасности больше не будет напрямую отчитываться о своей деятельности перед Р.Тиллерсоном [7].
Новые сообщения WikiLeaks о секретных проектах ЦРУ
В июле-сентябре портал WikiLeaks продолжил размещать документы, касающиеся секретных программ ЦРУ. В частности, 6 июля WikiLeaks опубликовал документы по проектам «BothanSpy» [8] и «Gyrfalcon» [9]. Импланты, описанные в обоих проектах, предназначены для перехвата и расширения учетных данных SSH, но работают с различными операционными системами и с различными векторами атаки.
13 июля WikiLeaks опубликовал документы из проекта «Highrise» [10]. HighRise – это приложение для Android, предназначенное для мобильных устройств под управлением Android 4.0 до 4.3. Он предоставляет функцию перенаправления для SMS-сообщений, которые могут использоваться рядом инструментов IOC, которые используют SMS-сообщения для обмена данными между имплантатами и сообщениями для прослушивания.
Спустя неделю, WikiLeaks обнародовал доклады о вредоносных программах «Raytheon», подготовленные Raytheon Blackbird Technologies [11]. В них содержатся идеи с доказательством концепции работы и оценкой вектора атаки вредоносных программ, сделанные частично на основе общедоступных документов исследователей в области безопасности и частных компаний. На основании полученной информации ЦРУ могло создавать собственные вредоносные программы.
Далее, 27 июля WikiLeaks опубликовал документы из проекта «Imperial»:
– «Achilles» [12] – это эксплоит, который предоставляет оператору возможность запускать файлы образов диска OS X (.dmg) с одним или несколькими желаемыми параметрами, указанными исполняемыми файлами для однократного выполнения;
– «Aeris» [13] – это автоматизированный имплант, который работает на ряде систем на базе POSIX (Debian, RHEL, Solaris, FreeBSD, CentOS). Он поддерживает автоматическую фильтрацию файлов, настраиваемый интервал маяков и джиттер, автономную поддержку на основе протокола HTTPS LP на основе Collide и поддержку протокола SMTP – все с зашифрованной связью TLS с взаимной аутентификацией;
– «SeaPea» [14] – это OS X руткит, который обеспечивает скрытность и возможности запуска инструмента. Он скрывает файлы/каталоги, соединения сокетов и/или процессы.
3 августа WikiLeaks опубликовал документы из проекта «Dumbo» [15]. Это эксплоит, с помощью которого можно приостанавливать процессы, использующие веб-камеры, и испортить любые видеозаписи, которые могут поставить под угрозу развертывание PAG.
Кроме этого, 10 августа WikiLeaks опубликовал Руководство пользователя для проекта «CoachPotato» [16]. Это удаленный инструмент для сбора видеопотоков RTSP / H.264, обеспечивающий возможность собирать поток как видеофайл (AVI) или записывать неподвижные изображения (JPG) кадров из потока, которые имеют существенное изменение из ранее захваченного кадра.
Представляют интерес и документы из проекта «ExpressLane», которые были опубликованы на WikiLeaks 24 августа [17]. В частности, данная программа, написанная в 2009 году, позволяет считывать и пересылать биометрические данные с удаленных компьютеров на компьютеры, принадлежащие ЦРУ.
31 августа WikiLeaks опубликовал документы из проекта «Angelfire» [18]. Angelfire – это имплант, состоящий из 5 компонентов: Solartime, Wolfcreek, Keystone, BadMFS и файловой системы Windows Transitory. Он может загружать и выполнять специальные импланты на целевых компьютерах, работающих под управлением операционной системы Microsoft Windows (XP или Win7).
Наконец, 7 сентября WikiLeaks опубликовал 4 документа из проекта «Protego» [19]. Protego представляет собой систему управления ракетой на базе ПИК, разработанную Raytheon. Данная система устанавливается на борту самолета Pratt & Whitney (PWA), оснащенного системами запуска ракет (воздух-воздух и / или воздух-земля). Protego состоит из отдельных блоков микроконтроллера, которые обмениваются данными и сигналами по зашифрованным и аутентифицированным каналам.
Безусловно, постоянные утечки секретных файлов и их публикация на портале WikiLeaks серьёзно беспокоят руководство американских спецслужб. В частности, директор ЦРУ Майк Помпео заявил 26 июля: «Изменчивый спрос СМИ на утечки представляет огромную опасность для США. Сотрудники ЦРУ погибают в результате этого. Я не хочу идти к их семьям и говорить: «Да, этот молодой человек или девушка погиб из-за того, что информация, опубликованная СМИ, исходила из нашей организации» [20]. Глава ЦРУ подчеркнул: «У нас есть важнейшая обязанность – защищать наших сотрудников. Но я уверен, что эта администрация в случае утечек секретных данных замечательно справится с установлением личности тех, кто сделал это» [21].
Кроме того, 19 августа стало известно, что ЦРУ намерено уничтожить старые файлы, связанные с утечками засекреченной информации, через 30 лет после закрытия конкретного дела (в настоящее время они должны храниться постоянно). Будут также уничтожены некоторые типы записей (медицинские записи; информация о допуске к закрытой информации; личные файлы, отвечающие интересам контрразведки; отчеты о компенсации; файлы о рассекречивании и справочные документы) [22].
12 сентября администрация Д.Трампа призвала Конгресс сделать постоянным закон, позволяющий национальным спецслужбам сохранять масштабные программы электронной слежки. Послание соответствующего содержания направили в понедельник лидерам Конгресса, представляющим как правящую Республиканскую, так и оппозиционную Демократическую партию, министр юстиции, генпрокурор США Джефф Сешнс и директор национальной разведки Дэниел Коутс. Появление этого письма объясняется тем, что срок действия законодательства, санкционирующего продолжение упомянутых программ электронной слежки, направленных, по версии Вашингтона, на получение информации о «международных террористах, действующих [со злым умыслом] лицах в киберпространстве, фигурах и структурах, занимающихся распространением оружия массового уничтожения», истекает в конце 2017 года [23].
Выводы и обобщения
Во-первых, администрация Д.Трампа прилагает беспрецедентные усилия для обеспечения кибербезопасности (например, повышение статуса Киберкомандования ВС США), однако действует порой слишком импульсивно и допускает в этой сфере достаточно серьезные ошибки и просчеты.
Во-вторых, портал WikiLeaks по-прежнему публикует информацию о секретных проектах ЦРУ, что наносит серьезный (а порой и непоправимый) ущерб государственным интересам и кибербезопасности США, а также ставит под вопрос жизнь и безопасность сотрудников спецслужб США.
В-третьих, можно предполагать, что между администрацией США и спецслужбами, задействованными в сфере кибербезопасности, пока нет должного взаимодоверия и взаимопонимания, что обусловлено, в частности, их расхождениями по вопросу о возможном вмешательстве РФ в президентские выборы в США 2016 года.
________________________
[1] U.S. warns businesses of hacking campaign against nuclear, energy firms //http://www.reuters.com/article/us-usa-cyber-energy/u-s-warns-businesses-of-hacking-campaign-against-nuclear-energy-firms-idUSKBN19L2Z9?il=0.
[2] Thousands of military contractor files allegedly left online, unsecure //http://thehill.com/policy/cybersecurity/349018-recruiter-allegedly-left-military-contractor-resumes-online-unsecure.
[3] At Least 6 White House Advisers Used Private Email Accounts //https://www.nytimes.com/2017/09/25/us/politics/private-email-trump-kushner-bannon.html?hp&action=click&pgtype=Homepage&clickSource=story-heading&module=first-column-region®ion=top-news&WT.nav=top-news/
[4] Корзинкина С. СМИ: Белый дом выведет киберкомандование ВС США из АНБ //https://iz.ru/619681/2017-07-15/smi-belyi-dom-vyvedet-kiberkomandovanie-vs-ssha-iz-anb.
[5] Statement by President Donald J. Trump on the Elevation of Cyber Command //https://www.whitehouse.gov/the-press-office/2017/08/18/statement-donald-j-trump-elevation-cyber-command/
[6] Пентагон: повышение статуса киберкомандования в США не связано с «делом РФ» //https://ria.ru/world/20170818/1500659600.html.
[7] Tillerson to Shut Cyber Office in State Department Reorganization //https://www.bloomberg.com/news/articles/2017-07-19/tillerson-is-said-to-shut-cyber-office-in-state-s-reorganization.
[8] BothanSpy 1.0 //https://wikileaks.org/vault7/document/BothanSpy_1_0-S-NF.
[9] Gyrfalcon 1.0 User Manual // https://wikileaks.org/vault7/document/Gyrfalcon-1_0-User_Manual; Gyrfalcon 2.0 User Guide //https://wikileaks.org/vault7/document/Gyrfalcon-2_0-User_Guide.
[10] HighRise 2.0 Users Guide //https://wikileaks.org/vault7/document/HighRise-2_0-Users_Guide.
[11] UCL / Raytheon. (S//NF) CSIT 15083 – HTTPBrowser //https://wikileaks.org/vault7/document/2015-09-20150911-279-CSIT-15083-HTTPBrowser; UCL / Raytheon. (S//NF) CSIT 15085 – NfLog //https://wikileaks.org/vault7/document/2015-09-20150911-280-CSIT-15085-NfLog; UCL / Raytheon. (S//NF) Symantec — Regin — Stealthy Surveillance //https://wikileaks.org/vault7/document/2015-09-20150911-276-Symantec-Regin; UCL / Raytheon (S//NF) FireEye — HammerToss — Stealthy Tactics //https://wikileaks.org/vault7/document/2015-09-20150911-277-FireEye-HammerToss; UCL / Raytheon (S//NF) VB – Gamker.
[12] Achilles — User Guide //https://wikileaks.org/vault7/document/Achilles-UserGuide.
[13] Aeris — Users Guide //https://wikileaks.org/vault7/document/Aeris-UsersGuide.
[14] SeaPea — User Guide //https://wikileaks.org/vault7/document/SeaPea-User_Guide.
[15] Dumbo v3.0 — Field Guide //https://wikileaks.org/vault7/document/Dumbo-v3_0-Field_Guide; Releases Documents Dumbo Dumbo v3.0 — User Guide //https://wikileaks.org/vault7/document/Dumbo-v3_0-User_Guide; Dumbo v2.0 — Field Guide //https://wikileaks.org/vault7/document/Dumbo-v2_0-Field_Guide; Dumbo v2.0 — User Guide //https://wikileaks.org/vault7/document/Dumbo-v2_0-User_Guide; Dumbo v1.0 — TDR Briefing //https://wikileaks.org/vault7/document/Dumbo-V1_0-TDR-Briefing-2012.
[16] CouchPotato v1.0 — User Guide //https://wikileaks.org/vault7/document/Couch_Potato-1_0-User_Guide.
[17] ExpressLane v3.1.1 — Tool Delivery Review //https://wikileaks.org/vault7/document/ExpressLane-3_1_1-TDR-2009-05-04; ExpressLane v3.1.1 — TPP FINAL //https://wikileaks.org/vault7/document/ExpressLane-3_1_1-TPP-FINAL; ExpressLane v3.1.1 — User Manual //https://wikileaks.org/vault7/document/ExpressLane-3_1_1-User_Manual-Rev_New_2009-04-06; ExpressLane v3.1.1 — Requirement Statement //https://wikileaks.org/vault7/document/ExpressLane-3_1_1-Requirement-Statement; ExpressLane v3.0 — User Guide //https://wikileaks.org/vault7/document/ExpressLane-3_0-User_Guide.
[18] Angelfire 2.0 — User Guide //https://wikileaks.org/vault7/document/Angelfire-2_0-UserGuide; BadMFS — Developer Guide //https://wikileaks.org/vault7/document/BadMFS_Developer_Guide; Wolfcreek Docs — Angelfire User Guide //https://wikileaks.org/vault7/document/Wolfcreek-Docs-Angelfire_UserGuide; Wolfcreek Docs — Angelfire Test Matrix //https://wikileaks.org/vault7/document/Wolfcreek-Docs-Angelfire_test_matrix; Wolfcreek Docs – Notes //https://wikileaks.org/vault7/document/Wolfcreek-Docs-Notes.
[19] Protego Release 01.05 — System HW Description //https://wikileaks.org/vault7/document/Protego_Release_01_05-Design_Docs-20141009-System_HW_Description; Protego Release 01.05 — Build Procedure //https://wikileaks.org/vault7/document/Protego_Release_01_05-Protego_Build_Procedure; Protego Release 01.05 — Message Format //https://wikileaks.org/vault7/document/Protego_Release-01_05-Design_Docs-20150809-Protego_Message_Format; Protego Release 01.05 — SW SCRs //https://wikileaks.org/vault7/document/Protego_Release_01_05-Protego-SW-SCRs-Release-01_05.
[20] Утечки секретной информации ставят под угрозу жизни агентов, заявили в ЦРУ //https://ria.ru/world/20170726/1499192186.html.
[21] Там же.
[22] CIA Plans to Destroy Some of Its Old Leak Files //https://www.thedailybeast.com/cia-plans-to-destroy-some-of-its-old-leak-files.
[23] Администрация Трампа призвала Конгресс сделать постоянным закон об электронной слежке //http://tass.ru/mezhdunarodnaya-panorama/4554191.