Статья опубликована в № 4278 от 13.03.2017 под заголовком: Мир опасных вещей

Какое кибероружие есть в арсенале ЦРУ

Разведка может взламывать электронную технику, организовывать кибератаки и умело при этом мимикрировать под хакеров из других стран

Теперь это факт – спецслужбы США активно используют вредоносные программы для получения доступа к телефонам, телевизорам, роутерам и прочим компьютеризированным устройствам, вплоть до автомобилей, для наделения их непредусмотренными функциями – от подслушивания до дистанционной блокировки. Таков вывод экспертов, изучивших обнародованные на прошлой неделе документы WikiLeaks. Та под кодом Vault 7 («Сейф № 7») начала публиковать утечки из ЦРУ США. WikiLeaks обещает, что это станет крупнейшим в истории раскрытием конфиденциальных документов о спецслужбе. Первая часть, под названием Year Zero, включает более 8700 документов о хакерских инструментах из Центра киберразведки ЦРУ в Лэнгли – и это всего лишь 1% из имеющихся у WikiLeaks материалов по теме, утверждает организация. Тем не менее число опубликованных страниц уже превысило утечку секретных материалов о деятельности другой спецслужбы США – Агентства национальной безопасности (АНБ), – увидевших свет благодаря Эдварду Сноудену.

Судя по раскрытой WikiLeaks информации, спецслужбы захватывают устройства через уязвимости в программном обеспечении. А те, в свою очередь, появляются быстрее, чем изготовители успевают их заделывать. Постоянный процесс обновлений на руку хакерам из спецслужб: остановить появление новых дыр можно, только полностью отказавшись от обновления ПО.

Основная информация о методах работы ЦРУ и его хакерских инструментах в 2013–2016 гг. изложена в презентации WikiLeaks. При этом информация о большинстве целей кибератак и о зараженных приборах, а также собственно способы взлома не раскрыты. Некоторые из программ организация обещала обнародовать позже, когда от них будет найдена надежная защита. Но эксперты опасаются, что вредоносные коды станут доступны не только спецслужбам, но и хакерам. Возможно, это уже случилось. СМИ подозревают, что к утечке могут быть причастны бывшие хакеры и подрядчики спецслужб – например, работавший на ЦРУ и АНБ Гарольд Ти Мартин, арестованный в США в августе 2016 г. по обвинению в краже 50 террабайт секретных данных. Если он был среди источников WikiLeaks, то с августа 2016 г. до публикации в марте 2017 г. эти данные могли циркулировать где угодно и оказываться у кого угодно, обращает внимание гендиректор Digital Security Илья Медведовский.

ЦРУ и ФБР начали совместное расследование утечки. Оно сосредоточено на небольшом числе работавших со спецслужбой подрядчиков, которые могли быть недовольны потерей работы, сообщила The Wall Street Journal. 10 марта вице-президент США Майк Пенс пообещал, что власти не пожалеют ресурсов для поиска организаторов утечки, «которая могла подорвать методы [разведки] и национальную безопасность».

Специальные секреты

Впрочем, из утечки можно узнать больше о механизмах работы спецслужб США, чем об их сути. Оказывается, в ЦРУ существует гигантский отдел технологических исследований, который занимается анализом уязвимостей и созданием имплантов: раньше считалось, что это ниша АНБ, объясняет Медведовский. Для него стало новостью, что поляны АНБ и ЦРУ в этой области поделены. Первое занимается сбором информации о массивах людей путем массовой слежки и взлома сетей, а второе – о конкретных персонах. Не случайно большинство имплантов ЦРУ должно быть физически установлено в устройства, в том числе путем проникновения в помещение, где это устройство находится. Инструменты кибероружия ЦРУ – это то, что нужно полевым агентам для получения информации о своем подопечном, заключает Медведовский.

Что же именно имеется в арсенале агентов спецслужбы?

Например, разработанная ЦРУ вместе с британской MI5 программа «Плачущий ангел» (Weeping Angel – одна из самых агрессивных и неуязвимых рас вселенной культового британского сериала Doctor Who) превращает смарт-телевизоры Samsung в скрытые микрофоны, утверждает WikiLeaks. Зараженный этой программой прибор имитирует выключение, но на самом деле работает как жучок, записывая разговоры в комнате и отправляя их через интернет на серверы ЦРУ.

В октябре 2014 г. ЦРУ изучало возможность заражения вирусом систем управления современных легковых машин и грузовиков с целью получения дистанционного контроля над автомобилями. Такая операция не только позволила бы ЦРУ получать полную информацию о передвижении машины и, возможно, записывать разговоры владельца, но и дала бы возможность совершать практически бесследные покушения, считают эксперты WikiLeaks.

Популярные смартфоны, для которых ЦРУ разработано несколько способов взлома и получения контроля, могут сообщать спецслужбам точное местоположение пользователя, пересылать записи голосовых и текстовых переговоров, а также незаметно включать камеру и микрофон. При этом, несмотря на незначительную долю iPhone на глобальном рынке смартфонов (14,5% в 2016 г.), в ЦРУ есть целое подразделение, работающее над вирусами, позволяющими захватить устройства на iOS. Внимание к этой операционной системе объясняется популярностью продукции Apple среди мировой элиты.

Суд над исполнителем

В феврале 2017 г. в США начался суд над Гарольдом Томасом Мартином, обвиняемым в хищении 50 терабайт секретной информации АНБ, включая, по данным The Washington Post, 75% хакерского инструментария спецслужбы. По данным The New York Times, Мартин похитил исходные коды эксплойтов, разработанных для эксплуатации уязвимостей в компьютерных сетях Китая, России, Ирана и Северной Кореи. С 2012 по 2015 г. Мартин работал в Booz Allen Hamilton (подрядчик АНБ), где ранее трудился и Эдвард Сноуден. Мартин был арестован летом 2016 г., вскоре после того, как хакерская группировка The Shadow Brokers опубликовала в свободном доступе эксплойты АНБ, подлинность которых подтвердили эксперты, а компании Cisco, Fortiner, Juniper спешно выпустили патчи. По данным СМИ, прокурор требует приговорить Мартина к 30 годам тюремного заключения по обвинению в шпионаже.

Разумеется, отдельное подразделение в ЦРУ есть и для разработки вредоносного ПО для Android, под управлением которого работает 85% смартфонов мира, включая Samsung, HTC и Sony. По данным Year Zero, в 2016 г. ЦРУ имело в своем распоряжении 24 эксплойта нулевого дня (программа или код для атаки через уязвимости ПО, обнародованные до того, как их обнаружил производитель) для Android, разработанных самостоятельно и полученных от Центра правительственной связи Великобритании, АНБ и сторонних поставщиков кибероружия. Этот арсенал позволяет ЦРУ обходить шифрование WhatsApp, Signal, Telegram, Weibo, Confide и Cloakman, взламывая операционную систему и собирая аудио- и текстовый трафик до его шифрования.

ЦРУ разработало автоматические мультиплатформенные системы заражения и контроля, работающие под Windows, Mac OS, Solaris, Linux и другими системами, подтверждают документы WikiLeaks. Сюда входят традиционные уязвимости, вирусы на DVD- и USB-накопителях, программы для маскировки данных в файлах изображений и в скрытых областях жестких дисков.

Физически атаковать защищенные сети агенты спецслужб могли при помощи системы под названием Fine Dining, обеспечивающей сбор и дальнейшую передачу вовне ключевой информации. Она умещается на обычной USB-флешке и маскируется под обычные презентации, видеоплейеры, игры или антивирусы, указывает WikiLeaks.

Сотрудники, занятые в проекте UMBRAGE, работали над созданием ложных программных следов, имитирующих почерк хакеров других стран, в первую очередь России, чтобы приписывать им авторство хакерских атак, утверждает организация.

Скрытые уязвимости

Из материалов Year Zero следует, что ЦРУ не выполняло свои обязательства по раскрытию производителям устройств ключевых уязвимостей, определенные администрацией предыдущего президента США Барака Обамы. Часть этих брешей до сих пор не закрыта, считает WikiLeaks. Тем не менее крупнейшие высокотехнологичные компании мира, включая Apple, Samsung, Google и Microsoft, не спешат обвинять ЦРУ. Они примерно одинаково комментировали утечку: отмечали, что внимательно изучают документы, но значительная часть информации устарела – перечисленные уязвимости уже устранены с помощью последних обновлений. К примеру, Samsung еще в 2014 г. перестал устанавливать в телевизоры камеру и встроенный микрофон, рассказал человек, близкий к компании.

Так что телевизоры Samsung, превращающиеся в жучки, – возможно, не самая большая проблема. Особенно с учетом того, что в жучок можно превратить абсолютно любой смартфон, распространение которых несравнимо выше, да и сопоставить их с конкретным человеком не представляет труда, считает руководитель отдела по анализу и контролю IT-рисков «ФБК Grant Thornton» Александр Черненко.

Тема перехвата управления автомобилями заинтересовала исследователей довольно давно, одновременно с выходом первых умных авто. Но поначалу для успешного взлома требовалось физическое подключение к системе. Однако в 2015 г. команда независимых исследователей продемонстрировала удаленный захват управления автомобилем Jeep Cherokee через интернет, получив возможность управления тормозами, газом и выключением двигателя. «То, что подобной темой заинтересовалось ЦРУ, наводит на ряд печальных мыслей, особенно в свете того, что новейшие умные автомобили развиваются в сторону полноценного автопилота и от надежности этих систем зависят жизни пассажиров», – рассуждает Черненко. К примеру, число самоуправляемых автомобилей на дорогах Калифорнии выросло за последние годы более чем в 2 раза: уже 27 компаний имеют разрешение тестировать там свои прототипы, сообщает Financial Times.

Умные автомобили – не единственный объект интернета вещей, взлом которого может повлечь смертельные для владельца последствия. Современное медицинское оборудование с удаленным доступом может представлять не меньшую опасность, продолжает Черненко. Речь идет о разнообразных медицинских датчиках, которые отправляют врачам данные о состоянии здоровья пациентов, а также о кардиостимуляторах, дефибрилляторах, инсулиновых помпах и иных медицинских устройствах с возможностью удаленного управления. Эксперт напоминает, что еще в 2012 г. известный новозеландский хакер заставил кардиостимулятор выдать заряд, достаточный для остановки сердца. «В целом интернет вещей ждут непростые времена, но данная утечка и вызванная ею информационная волна придадут второе дыхание компаниям, занимающимся безопасностью интернета вещей, а также заставят производителей и разработчиков больше внимания уделять безопасности своих устройств», – надеется Черненко.

Инновации в сфере интернета вещей позволяют хакерам находить новые цели для атак, а изменения в программном обеспечении подталкивают их искать новые уязвимости, отмечает руководитель отдела кибербезопасности компании Trend Micro, мирового лидера в разработке решений для кибербезопасности, Эд Кабрера. По данным специализирующейся на информационной безопасности Gartner Inc., в 2016 г. количество умных вещей в мире выросло на треть до 6,4 млрд шт., а к 2020 г. эта цифра вырастет до 20,8 млрд. Процесс идет очень быстро: в прошлом году к сети ежедневно подключалось по 5,5 млн новых бытовых устройств. И если хотя бы часть этих устройств не снабжена надежной защитой – вроде учетных записей и паролей, проблема безопасности в интернете вещей будет очень острой, отмечают эксперты компании. Интернет вещей и промышленный интернет вещей будут играть все более значимую роль в осуществлении целенаправленных кибератак в 2017 г., отмечает Trend Micro Inc. Такие атаки будут весьма прибыльными из-за повсеместного распространения подключенных устройств, а также благодаря возможности эксплуатировать содержащиеся в них уязвимости и использовать незащищенные корпоративные системы, считают эксперты.

Самый известный случай использования интернета вещей в преступных целях в России – это двухдневная хакерская атака в ноябре 2016 г. на сайты восьми крупнейших банков и ЦБ, напоминает бывший топ-менеджер российского подразделения Samsung, руководитель Ассоциации интернета вещей Андрей Тихонов. Замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев рассказывал, что целью атак было нарушение работы сервисов, а в основном в атаке были задействованы интернет-видеокамеры и роутеры. Не за горами то время, когда и в России хакеры для атак станут использовать бытовые приборы, включая холодильники и чайники, предупреждает Тихонов.

Любая открытая информационная система может быть усилена для высокой степени защиты от угрозы взлома с применением технологии «белого списка», т. е. установки ограниченного списка разрешенных для запуска приложений, советует он. Существуют технологии, которые позволяют на порядки снизить уязвимость умных вещей с минимальными издержками для вендоров, уверен и Медведовский из Digital Security. Сейчас кибербезопасность интернета вещей не регулируется, вендоры занимают пассивную позицию – «покажите уязвимость нашего продукта и мы ее устраним» – и не несут ответственности за борьбу с уязвимостями. Поэтому необходима законодательная база, которая бы их обязала это делать в интересах потребителя, отмечает Медведовский. И как раз после публикации WikiLeaks в США торговая комиссия обратила внимание на регулирование кибербезопасности интернета вещей и заявила о намерении создать законодательную базу, обязывающую производителей обеспечивать минимальную защиту. Вендоры тоже начинают движение в этом направлении, пионерами становятся автопроизводители, рассказывает Медведовский.

Кофеварка-шпион

Не только смартфоны, но также телевизоры, медицинские приборы и системы освещения – вся эта техника может стать подспорьем для киберпреступников, решивших получить информацию о вашей жизни, предупреждает специалист по кибербезопасности, колумнист американского Forbes Джозеф Штернберг. Злоумышленники могут копировать информацию с USB-носителей, подключенных к некоторым смарт-телевизорам (например, такая уязвимость была у LG, сейчас, как утверждает компания, она устранена), узнавать распорядок дня хозяина, который заполняет планер в смартфоне или компьютере, через подключенные к общей сети кофеварку или холодильник. Последний может рассказать еще и о пищевых привычках владельца. Те же приборы могут использоваться для DDoS-атак.
Подключенные к компьютерам камеры наблюдения могут передавать изображение хакерам. Удаленное управление системой охраны, освещения дома и развлечений (домашний кинотеатр и проч.) через WiFi или другое интернет-соединение не только обеспечивает комфорт, но и несет риск передачи информации об образе жизни и привычках (музыкальных предпочтениях и т. д.) владельцев, их отсутствии в доме не только маркетологам, но и преступникам, отмечает Штернберг.

Много шума – и ничего

WikiLeaks подчеркивает, что в презентации к Year Zero изложила лишь часть сюжетов, и предлагает журналистам и экспертам изучить эти документы самостоятельно. Через несколько дней после публикации WikiLeaks среди тех, кто попытался изучить подробности, нашлось немало скептиков, считающих, что утечка в большей степени преследует цели политического давления на власти США, чем информирования общества.

«Лучшая часть этой утечки – презентация», – иронизирует обозреватель Fortune Роберт Хаккет. Изложенные в ней сенсационные данные о том, как ЦРУ следит за всем миром, проверить невозможно, ведь подтверждающие эти утверждения документы не раскрыты, объясняет журналист. В большинстве папок либо вообще нет документов, либо есть ничего не значащие файлы – например, наборы смайликов, пишет Хаккет. А, например, из обнародованных документов о проекте UMBRAGE больше похоже, что его сотрудники собирают информацию о методах работы русских хакеров для того, чтобы экономить время при отражении их атак, а не чтобы связать Россию и ее власти с собственными кибератаками, рассуждает The New York Times.

Если обнародованная Сноуденом информация о шпионской деятельности АНБ вызвала шок в обществе, то материалы про кибероружие ЦРУ обсуждаются гораздо спокойнее, отмечает Медведовский. В мире происходит инфляция понятия уязвимости и безопасности, считает он. Если 10 лет назад в роутере находили закладку пользователя с суперправами, это было скандалом для производителя, а сейчас так заряжен почти каждый китайский роутер и это никого не удивляет, приводит он пример.

Существует иллюзия, что утечка кибероружия не представляет опасности для обывателей, которые не находятся в разработке спецслужб, но это не так, подчеркивает Медведовский. Утечка арсенала кибероружия из ЦРУ означает, что оно может оказаться или уже оказалось не только у WikiLeaks, но и в руках злоумышленников. А это ставит под угрозу любую корпорацию – от банка до мобильного оператора и как минимум любого потребителя их услуг. Утечка показала, что спецслужбы не могут контролировать арсенал кибероружия, на создание которого потрачены миллионы долларов, отмечает Медведовский. «Невозможно сохранять контроль над кибероружием. Если вы его создали, вы его потеряете, – сказал создатель WikiLeaks Джулиан Ассанж в видеообращении по поводу утечки данных ЦРУ. – Исторически беспрецедентный акт разрушительной некомпетенции: создать такой арсенал, хранить его в одном месте и не защищать». Представители ЦРУ не подтверждают достоверность данных, раскрытых WikiLeaks.