Глобальная кибервойна ЦРУ: Как это работает

7 марта WikiLeaks начал выкладывать очередную серию документов ЦРУ, дав им общее название Vault 7. В целом публикации насчитывают около 9000 файлов, что представляет собой самую большую утечку конфиденциальных документов за всю историю существования американской спецслужбы. Все они посвящены теме кибероружия - шпионских и вредоносных программ, вирусов, троянов, экспортов нулевого дня, которые были разработаны спецслужбами США. 

Проблема не только в том, что данные методы представляют угрозу для большинства государств мира, а также прав и свобод их граждан. Но также в том, что над многими из этих программ правительство США потеряло контроль, что привело к риску глобального распространения опасного ПО среди международных хакерских группировок, в том числе имеющих связи с криминальными и террористическими организациями (не секрет, что запрещенное в России ИГИЛ также активно используют продвинутые хакерские приложения и программы). Охваченный период исследования - с 2013 по 2016 годы.

Как такой большой объем секретных данных стал доступен широкой общественности? Ответ очевиден: это проблема инсайдера, такого как Эдвард Сноуден. Предположительно, архив циркулировал между бывшими правительственными хакерами и подрядчиками в нарушение регламента ЦРУ, а один из членов этого сообщества по какой-то причине передал WikiLeaks часть архива.

Показательно, что еще в феврале WikiLeaks опубликовал данные о том, как ЦРУ активизировало свою деятельность во Франции для вмешательства в процесс президентских выборов в 2012 году. Упоминался активный шпионаж за кандидатами. В этом же материале был дан анонс о том, что готовится досье Vault 7, которое планировалось выложить в интернет. 

По утверждению WikiLeaks, огромное количество гаджетов и программного обеспечения, которые выпускались в США и Европе, включая устройства iPhone компании Apple, системы Android Google и Microsoft’s Windows, а также Samsung TV и др., намеренно были заражены и начинены шпионскими устройствами. Это в первую очередь показывает связь крупных компаний ИT-промышленности в США с американскими спецслужбами. Хотя и раньше не являлось секретом, что ЦРУ и Пентагон имеют дочерние компании в Силиконовой долине, все же они специализировались в области кибербезопасности. Теперь очевидно, что сектор компьютеров, коммуникаций и информационных технологий полностью поражен и подконтролен одной из секретных служб США. 

Нужно отметить, что речь идет именно о ЦРУ и его специальном отделе - Центре по киберразведке (находится в Лэнгли), который насчитывает порядка 5000 сотрудников. Традиционно вопросами кибербезопасности в США занималось Агентство национальной безопасности, на базе которого создавались кибервойска и разрабатывались различные инструменты по работе с интернет-пространством. Теперь новые данные показывают, что есть дублирующая структура, а так как ЦРУ традиционно занималось подрывными действиями, это демонстрирует, насколько и в какую сторону в правительстве США сместился фокус по теме кибербезопасности. К 2016 году Центр по киберразведке имел большие возможности работы с настолько сложными кодами, что превзошел технические параметры Facebook во время запуска приложения. Добавим, что при Бараке Обаме было запущено огромное количество инициатив и программ, связанных с кибербезопасностью. А Дональд Трамп, несмотря на критику многих действий предыдущей администрации, обещал только увеличить расходы, связанные с киберпространством.

Сам основатель WikiLeaks Джулиан Ассанж считает, что, поскольку архивы кибероружия могут быть распространены по всему миру за считанные секунды, сейчас нужно поднимать вопрос о превышении ЦРУ своих полномочий и организации демократической подотчетности.

Кибероружие на все случаи жизни 

Утечка документов проливает свет на то, какие отделы в ЦРУ ведут разработку вредоносных программ и как они применяются.

Средства вредоносного ПО и взлома разрабатываются Группой инженерного развития (EDG, Engineering Development Group), Группой по разработке программного обеспечения в Центре киберразведки, который относится к Дирекции по цифровым инновациям (одна из пяти главных дирекций ЦРУ).

EDG отвечает за разработку, тестирование и оперативную поддержку всех бэкдоров, эксплойтов, вредоносных загрузок, троянов, вирусов и любых других видов опасного ПО, используемых ЦРУ в тайных операциях по всему миру.

Методы наблюдения достигли уровня, который ранее был описан в фантастических романах и фильмах. Отдел по встраиваемым устройствам ЦРУ (EDB, Embedded Devices Branch) инфицирует интеллектуальные телевизоры и другую "умную" технику, фактически делая из них скрытые микрофоны для прослушки. Данный проект носит название "Плачущий ангел".

Основная жертва этого отдела - смарт-телевизоры Samsung, которые разрабатывались в сотрудничестве со спецслужбами MI5/BTSS Великобритании. После заражения "Плачущий ангел" вводит телевизор в режим Fake-Off, так что владелец ошибочно полагает, что телевизор выключен, тогда как он включен. Телевизор записывает разговоры в комнате и отправляет их через интернет на скрытый сервер ЦРУ.

Также известно, что в октябре 2014 года ЦРУ рассматривало возможность заражения систем управления транспортными средствами, используемых в современных автомобилях и грузовиках. Цель такого контроля не определена, но теоретически это позволит ЦРУ планировать убийства под видом дорожно-транспортных происшествий.

Отделение по мобильным устройствам (MDB, Mobile Devices Branch) ЦРУ разработало многочисленные варианты атак для удаленного взлома и управления популярными смартфонами. Зараженные телефоны могут быть закодированы на отправку в ЦРУ геолокации пользователя, аудио- и текстовых сообщений, а также тайно активировать камеру и микрофон.

Также этот отдел производит вредоносное ПО для заражения, контроля и распространения данных с iPhone и других продуктов Apple, работающих на iOS, таких как iPads. В арсенале ЦРУ есть множество локальных и удаленных "эксплойтов нулевого дня" (специальная программа, которая активируется в определенный день для осуществления конкретной задачи - например, скачивания информации, изменения режима работы компьютера или изменения кода других программ), разработанных ЦРУ или полученных от Центра правительственной связи Великобритании, АНБ, ФБР или приобретенных у кибер-подрядчиков, таких как Baitshop. Несоразмерное внимание к iOS объясняется популярностью iPhone среди социальных, политических, дипломатических и бизнес-элит.

В разработку этого отдела также попала система Android от Google, которая применяется для запуска большинства смартфонов в мире (примерно 85%), включая Samsung, HTC и Sony. По статистике, в 2016 году было продано 1,15 миллиарда Android-телефонов. Исключительно для этого типа системы у ЦРУ имелось 26 эксплойтов нулевого дня.

Эти методы позволяют ЦРУ обходить шифрование таких приложений, как WhatsApp, Signal, Telegram, Wiebo, Confide и Cloackman, взламывая "умные" телефоны, где они установлены, и собирая трафик аудио и сообщений до момента включения режима шифрования.

Отдел автоматизированных имплантатов ЦРУ (AIB, Automated Implant Branch) разработал несколько систем для автоматизированного заражения и контроля вредоносных программ, таких как Assassin и Medusa.
Атаки на инфраструктуру и веб-серверы интернета разрабатываются Сектором сетевых устройств ЦРУ (NDB, Network Devices Branch). Он создал автоматизированные многоплатформенные атаки и системы контроля за вредоносными программами, направленными на Windows, Mac OS X, Solaris, Linux и др., такие как HIVE и связанные с ними инструменты Cutthroat и Swindle.

Ряд методов электронных атак ЦРУ разработаны для обеспечения непосредственной близости для проникновения в сети с высокой степенью защиты, которые отключены от Интернета, например базы данных полиции. В этих случаях сотрудник ЦРУ, агент или сотрудник разведки союзников, действующий по инструкциям, физически проникает на чужое рабочее место. Его снабжают USB-устройством, содержащим вредоносное ПО, разработанное в ЦРУ для этой цели, которое вставляется в целевой компьютер. Затем злоумышленник заражает и распаковывает данные на съемные носители. Например, система нападения ЦРУ "Прекрасное питание" предоставляет 24 приманки для использования шпионами ЦРУ. С виду запускается программа, показывающая видео (например, VLC), презентация слайдов (Prezi), компьютерная игра (Breakout2, 2048) или поддельный антивирусный сканер (Kaspersky, McAfee, Sophos). Но пока приложение-приманка находится на экране, система подкладок автоматически заражается и данные незаметно скачиваются.

Документ под названием Development Tradecraft DOs and DON’Ts содержит правила ЦРУ о том, как следует писать вредоносное ПО, чтобы избежать каких-либо следов, по которым можно идентифицировать ЦРУ, правительство США или его партнеров. 

Дело в том, что любые методы, используемые хакерами ЦРУ (или кем-либо еще), формируют особый "отпечаток пальца", который при расследовании может быть приписан к одному источнику. Такой подход напоминает судебно-медицинскую экспертизу, когда, например, уникальный стиль нанесения ножевого ранения на нескольких жертвах создает подозрение, что виновен один убийца. Но если умело копировать известные методы действия, то можно повести правоохранительные органы по ложному следу. В американской криминологии такой феномен известен как Copycat. 

Заметание следов

Отдел по удаленным устройствам ЦРУ (RDB, Remote Devices Branch) адаптировал эту методологию запутывания следов к кибератакам. Группа UMBRAGE из отдела по удаленным устройствам собирает и поддерживает обширную библиотеку методов атаки, "украденных" из вредоносного ПО, которое разрабатывалось в других странах, включая Российскую Федерацию. Это представляет особый интерес в связи с обвинениями в адрес России в причастности к хакерским взломам в США. А UMBRAGE и их коллеги из других отделов могут не только увеличить общее количество типов атак, но и намеренно оставить "отпечатки пальцев" определенных групп, у которых были украдены их методы атаки.

Компоненты UMBRAGE включают в себя клавиатурных шпионов, сбор паролей, контроль над веб-камерами, уничтожение данных, устойчивость, эскалацию привилегий, скрытность, обход антивирусов и техники опроса.

Поскольку США не предоставили адекватных доказательств действий "российских хакеров", документы на сайте WikiLeaks однозначно указывают на роль ЦРУ в организации этой провокации. 

Помимо Москвы вопросы к американскому руководству могут возникнуть и у представителей Китайской Народной Республики, так как правительство этой страны еще ранее США обвиняли в промышленном шпионаже и хакерских атаках.

Глобальный охват 

Оперативники ЦРУ работали не только с территории США. Помимо своего основного штаба в Лэнгли, штат Вирджиния, ЦРУ также использует консульство США во Франкфурте в качестве скрытой базы для своих хакеров, охватывающих Европу, Ближний Восток и Африку.
Хакеры ЦРУ, работающие в Германии, получают дипломатические ("черные") паспорта и обложку Государственного департамента. Легенда для всех практически одна и та же - поддержка технических консультаций в консульстве США. А попав во Франкфурт, хакеры ЦРУ могут свободно передвигаться без дальнейших пограничных проверок в 25 европейских странах, которые являются частью открытой границы Шенгенской зоны.

Скорее всего, агентура ЦРУ вела и ведет аналогичную деятельность в азиатских странах и странах Латинской Америки.

Данные утечки вынуждают переосмыслить стратегические подходы к интернет-пространству и разработать соответствующие меры по защите суверенного информационного (и технологического) пространства. Интернет вещей, которому предрекают большой успех в ближайшем будущем (заметьте, эту тенденцию пиарят в основном представители либеральных прозападных взглядов), в этом свете видится всего лишь удобной ловушкой для глобального охвата миллионов потребителей "умных" гаджетов по всему миру. Аналитики компании Booz allen hamilton, которая является одним из подрядчиков силовых структур и спецслужб США (кстати, у них есть офис на Большой Дмитровке в Москве), в свое время разработали концепцию "социального животного 2.0", согласно которой обыватели из разных стран обязательно станут элементами взаимосвязанной системы "больших данных", мобильных устройств и прочих достижений компьютеризации. Можно предположить, что подобный нарратив есть и в ЦРУ, где оперативники киберотдела возомнили себя не только надзирателями в глобальном паноптикуме, но и по собственному произволу могут переписывать дела "заключенных".