Добро пожаловать в даркнет — статья Уильяма Лонгавиши

11.07.2017

by rekrek on April 17, 2017

В 2016 году известный американский журналист Уильям Лонгавиша провел какое-то время с бывшим хакером, а ныне крупным экспертом по безопасности, и опубликовал статью в журнале Vanity Fair.

Мы приводим перевод статьи. В сносках указаны оригинальные названия некоторых компьютерных терминов, чтобы было проще ориентироваться тем, кто привык к нелокализованным именам.

***

Добро пожаловать в даркнет — дикую территорию, где ведутся невидимые войны и рыскают хакеры

Американский журналист Уильям Лонгавиша задокументировал историю, рассказанную профессиональным хакером, ставшим экспертом по безопасности. История рассказывает о взлете даркнета — месте, где торгуют оружием, наркотиками и информацией — и о том, насколько выросли ставки в скрытой сети.

I. Бэкдор

Его настоящее имя не Opsec (далее Опсек), но я его буду так называть, чтобы сохранить анонимность. В сети за ним закрепилась репутация грандмастера темного ремесла взлома. Он часть небольшой элиты, состоящей из менее ста человек, каждый из которых скрытен и одержим безопасностью. Они не говорят о своей работе с членами семьи. Они почти никогда не общаются с прессой. И тем не менее, через друзей друзей, Опсек согласился поговорить со мной и рассказать о своем видении. В «физическом мире» [1], как он и ему подобные называют реальный мир, Опсек живет в пригороде, в небольшом деревянном доме недалеко от железнодорожных путей. Ему за тридцать, он крепко сложен и не похож на гика. Свободное время он проводит в баре, где завсегдатаи знают о нем только то, что он работает с компьютерами.

Опсека легко разговорить, когда тема затрагивает то, в чем он разбирается. У него быстрый ум. В настоящий момент он занят разработкой автономной системы для определения сетевых атак и автоматической защиты. В основе системы машинное обучение и искусственный интеллект. В типичной для него быстрой манере общения, Опсек сообщил: «Но и саму автоматическую систему можно взломать. Можно ли обыграть искусственный интеллект? Ты обучаешь машину или она обучается сама? Если она обучается сама, то её можно обыграть. Если ты обучаешь её, то насколько чист твой набор данных? Вытягиваешь ли ты данные из уже взломанной сети? Потому что если я взломщик и атакую систему, защищенную искусственным интеллектом, если я могу добраться до исходной базы и поместить свой трафик в фазу обучения, то машина примет такие условия за стандартные и приемлемые. Таким образом я обманываю робота и сообщаю ему, что я всё в порядке и я не взломщик, несмотря на то, что в руках у меня калашников и я расстреливаю рядовых. И что если машина станет настолько самостоятельной, что решится на предательство и перейдет на другую сторону?»

Опсек живет в королевстве зеркал. Он понимает, что сетевое пространство и физический мир, несмотря на то, что они соединены, сильно различаются. При достаточной мотивации и времени, Опсек может пробраться в любую защищенную сеть, не поднимая шума. Взлом раньше возбуждал его, так как пробравшись внутрь, он мог свободно рыскать, но успешное проникновение со временем стало для него слишком легким делом, потому что для входа нужна всего одна дыра. А для защиты необходимо перехитрить всех возможных взломщиков. Именно этот вызов ему нравится, и теперь он работает на стороне защиты. Обычно работа заключается в защите корпоративных сетей или в реагировании на уже совершенные атаки. Опсек не занимается рутинной работой. Его вызывают только на серьезные дела. Он уже участвовал в крупных случаях взлома. Но даже он был сильно удивлен, когда в прошлом году (2015), он наткнулся на взлом — кусок чужеродного кода на американском материке — по которому стало понятно, что готовится кибератака невиданного доселе масштаба.

Назовем его клиента просто Компанией. Это огромная Интернет-компания. Она занимается стримингом развлекательных передач и подключается к более чем 70 миллионам частных компьютеров по всему миру. Компания не берет деньги за соединения, но выставляет цену за сам сервис. Данная Компания очень прибыльна. Она часто подвергается атакам из различных частей света. Большая часть атак не имеет определенного фокуса и не может нанести какой-либо урон защите, в разработке которой участвовал Опсек. Но некоторые атаки имеют точный прицел и не раз угрожали существованию Компании.

Впервые Опсек вмешался шесть лет назад, после того, как один из датацентров был по-настоящему взломан. Взломщики отправились сразу за ключевыми системами, включая центральную платежную систему и компьютер президента Компании, похитили данные кредитных карт, финансовую информацию, а также программный код — секретную формулу, на которой построен бизнес Компании. Опсеку потребовалось полгода, чтобы вернуть всё в строй. Занявшись обратным отслеживанием, Опсек обнаружил, что хакерами была группа, связанная с армией Китая. Они действовали из определенного здания, георграфическое положение которого он смог определить, недалеко от Шанхая, и специализировались на взломе компаний в сфере развлечений. В конце концов он смог идентифицировать некоторых из участников и получить их фотографии. Официально это было окончанием его работы. Как сказал Опсек, поскольку в этом деле участвовало правительство, судебное обращение против Китая было нереалистичным, и на этом дело прекратилось.

Что значит там нет закона? Контрхакинг это соблазнительно, но может быть опасно. У русской мафии, к примеру, очень плохо с чувством юмора, колумбийские картели тоже не особо веселые. Среди независимых хакеров также много психопатов. За годы существования Компания получила много угроз расправы, изнасилования, заложенных бомб. Часто переходят на личности. В мире без тайны личной жизни легко найти домашние адреса имена членов семьи, детей. Как выяснил недавно Национальный комитет демократической партии, лучше чтоб вас не взламывали в принципе.

После первого успешного взлома китайцами, Опсек призвал менеджмент Компании к созданию серьезной программы по безопасности. Компания построила три помещения управления не хуже, чем у НАСА в датацентрах, разбросанных по миру. Помещения работают круглые сутки. Единственная цель этих помещений — ловить взломщиков, и делать это максимально быстро. Средняя задержка по идентифицированию взлома по индустрии — 188 дней. Для Компании Опсек надеялся снизить это время до минут и даже секунд. Однако в конце прошлого года, когда рядовой менеджер позвонил ему домой и попросил срочно приехать в офис Компании — за тридцать километров — Опсек понял, что защитные меры провалились. Беспокойство вызывало и то, что тревогу подняла не команда безопасности, а рядовой специалист — системный администратор, занимавшийся рутинной проверкой.

Прибыв в офис, Опсек получил детали. Системный администратор — его друг — просматривал журнал системных событий [2]. Журнал системных событий — это записи на экране, показывающие сводки каждого задания, назначенного на выполнение в компьютерной сети, с отметкой времени и зеленой или красной точкой, показывающий успех или сбой операции. Увидев красную отметку, администратор посмотрел детали записи. Невыполненная операция оказалась попыткой изнутри Компании развернуть некую программу на всю инфраструктуру. Разворачивание программы по всей компании иногда происходило — например при установлении обновлений — но это не было особенно частым событием и ошибки совершались редко. В этот раз инициатор операции пропустил букву в имени домена и таким образом задача сбилась. Пакет, который инициатор намеревался развернуть, был необычным, системный администратор не видел ничего похожего ранее. Он сразу уведомил операционного менеджера.

Опсек сразу понимает, что это подозрительный программный пакет. Вместо понятной схемы наименования — например, номерного обновления — в названии пакета произвольные цифры, за которыми следует расширение «.exe», означающее исполняемую программу. Опсек пропустил содержимое через программу реверсивного инжиниринга, называемую дизассемблер, и быстро получил подтверждение, что его клиента атаковали. В течение часа он понял, что целью атаки было пробраться в сеть Компании, похитить и зашифровать все данные, и потребовать выкуп за возвращение. Номер заграничного банковского счета находился внутри программы. Опсек не сообщил мне, где находился банк и какую сумму намеревались получить взломщики. Он только сказал, что это был довольно агрессивный представитель вредоносной программы [3] и что обыкновенно в таких случаях данные не возвращаются владельцу. Атаки с целью получения выкупа стали настоящей эпидемией Интернета. Большинство из них стреляет в небо, не имея конкретной цели. Такие программы запирают компьютер жертвы с требованием выплатить относительно небольшую сумму в биткоинах, которые сложно отследить. Самые крупные атаки — нацеленные на корпорации — принесли преступником миллионы долларов. О таких случаях мало известно, потому что жертвы предпочитают не распространяться. Массивный взлом Sony Pictures в 2014 годы был такой атакой с целью выкупа, однако кто был на атакующей стороне до сих пор неизвестно. Sony предположительно не стали платить, и вся внутренняя переписка и прочая информация были выложены в открытый доступ. В феврале 2016 года хакеры получили доступ к данным медицинского учета Голливудского пресвитерианского медицинского центра в Лос-Анджелесе. Центр выплатил требуемую сумму и получил данные обратно. И вот теперь, благодаря слепой удаче — случайно отсутствующей букве в прописанном имени домена — попытка вымогания денег у клиента Опека провалилась. Но это не отменяло важность произошедшего — сеть Компании была скомпрометирована.

И вот в какой ситуации оказался Опсек. Вредоносный пакет уже не был опасен, но сам факт имел значение. Кто-то пробрался из Интернета в самое сердце Компании и тихо исчез. Уязвимость, которой воспользовался хакер, была неизвестна и скорее всего ею воспользуются снова: был установлен бэкдор, вход. Некоторые из бэкдоров перманенты, но большинство кратковременные. Вполне возможно, что именно этот бэкдор был уже выставлен на продажу на одном из черных рынков в темных глубинах Интернета. До тех пор, пока Опсек не обнаружит и не обезвредит его, бэкдор представляет серьезную угрозу. Опсек обсудил проблему с Компанией. Он сказал: «Это онлайновый бизнес. Нас обязательно попытаются взломать. Мы всегда должны считать, что нас уже взломали. Важно соблюдать спокойствие и действовать осторожно. Скоро мы сможем понять, как и где запереть дверь. Позже мы можем решить, надо ли нам предпринимать дополнительные меры».

Мне Опсек сказал: «Не стоит переживать. В конечном итоге шансы на выживание всегда понижаются до нуля в любом случае». Клиенту он этого не стал говорить. В тот Компания не оценила бы подобную мысль. Скоро поступили новые тревожные новости.

II. Анархист в душе

Определения. Уязвимость — это некое слабое место в защитной системе сети. Эксплойт это программа, которая использует уязвимость. Эксплойт «нулевого дня» [4] это программа, которая использует уязвимость, известную небольшой группе атакующих и обычно неизвестную защищающимся. Бэкдор это всего лишь одно из названий. Есть и еще вариации. Изобретательность бесконечна. Добро пожаловать в даркнет, дикую территорию, где ведутся невидимые войны и рыскают хакеры. Еще несколько определений. Даркнет это часть «глубокой сети» [5], которая находится под поверхностью той сети, которую мы видим каждый день и с которой знакомы. Поверхностную сеть можно грубо определить, как «все то, что вы можете найти поисковиком» [6] или то, что лежит в общем доступе и индексируется публично. Глубокая сеть называется глубокой, потому что до нее не добираются стандартные поисковые системы. Размер такой сети точно неизвестен, но считается, что она больше поверхностной сети. Большая часть глубокой сети законная. В нее входит всё — от Службы по внутреннему налогообложению [7] и пенсионных данных [8] до внутренней переписки Sony и системы управления контентом издания The New York Times [9]. В глубокой сети находятся письма и текстовые сообщения и Хиллари Клинтон, и ваши. Всё довольно обыденно и приземленно.

Глубокая сеть располагается в подвале. Пользователи такой сети применяют анонимизирующие программы и шифрование, чтобы скрыть следы своих передвижений. Такие инструменты обеспечивают некоторую скрытность. Разного рода политические обличители и диссиденты пользуются такими инструментами и делают это не зря. Как и преступники. Белое быстро становится серым, а затем черным в даркнете. Тайные сайты предлагают на продажу любую контрабанду — наркотики, оружие, заказное убийство, детскую порнографию. Самым известным из таких сайтов был Silk Road — детище Росса Ульбрихта, сторонника полной свободы мысли и деятельности и предпринимателя, которого арестовали ФБР в Сан-Франциско в 2013 году и приговорили к пожизненному заключению в 2016, без права досрочного освобождения. С тех пор открылись новые и более крупные рынки, лидером которых является AlphaBay и которым владеет человек, заявивший: «Я нахожусь в оффшорной стране, в безопасности», легко дающий прессе интервью и открыто глумящийся над попытками властей добраться до него. Есть и некоторые особенности: наркотики, продающиеся в даркнете обычно чище и потому безопаснее чем те, которыми торгуют на улице — во многом причиной тому являются рейтинговые системы, в которых покупатели могут свободно оставлять отзывы. С другой же стороны сложно увидеть положительную сторону в продаже ракетных установок или детской порнографии.

Какими бы грязными не казались незаконные сайты, они всего лишь представляют собой электронный вариант обычных черных рынков, существующих в физическом мире. Настоящее движение в даркнете это обмен информацией. Ворованные кредитные карты и удостоверения личности, промышленные секреты, военные тайны, и главный товар хакеров — уязвимости нулевого дня и бэкдоры, дающие доступ в закрытые сети. Кратковременный бэкдор в операционной системе айфона может быть продан за миллион долларов. В 2015 году сайт TheRealDeal на черном рынке, специализирующийся на кибероружии, начал деятельность. За ним открылось еще несколько похожих площадок. Есть что-то странно круговое во всем этом — даркнет гоняется за своим хвостом в самом же даркнете — но ставки оказались высоки.

Это новое ремесло. Настолько новое, что даже когда Опсек окидывает взглядом недавнюю историю, он становится похож на ветерана Второй мировой войны. Опсек родился в семье среднего класса в пригороде Вашингтона (округ Колумбия), и уже в детском саду стало понятно, что он талантливый и настырный ребенок. Его мать в числе первых приобрела персональный компьютер — большую коробку с клавиатурой, черным экраном и белыми буквами. Компьютер был оснащен телефонным модемом [10] для двухточечной связи [11] с другими компьютерами. Когда Опсеку было шесть, он обнаружил, что может играть на компьютере. Первой игрой была японская стрелялка Thexder [12], в которой он мог превращать робота в самолет и сбрасывать бомбы на объекты на поверхности. Это его так захватило, что по выходным он будил мать в пять утра и просил её сделать необходимые манипуляции на клавиатуре, чтобы получить доступ к игре. Ей это быстро надоело, и она написала необходимые команды, чтобы Опсек мог сам их вводить. Опсек затем разобрался как написать простую программу, чтобы автоматизировать запуск.

Это стало началом пути, по которому он идет по сей день. В семь лет он стал постоянным посетителем электронных досок объявлений [13], где геймеры обменивались информацией и выкладывали скачиваемые игры. Электронные доски были предшественниками даркнета: вы не могли найти их на компьютере; необходимо было иметь определенный телефонный номер и установить двухточечную связь при помощи модема. Возраст и географическое положение не имели значения. Социальная неподготовленность не имела значения. Некоторые из объявлений содержали в себе вещи, нарушающие авторские права и советы, как нарушать закон.

Опсек был всего лишь ребенком и поначалу его интересовали только игры. Проблема заключалась в том, что игры обычно были залочены и требовали покупку лицензии. С подсказками с досок объявлений, он начал заниматься реверсивным инжинирингом игр, определять строчки кода, относящиеся к обеспечению безопасности, и модифицировать программы, чтобы обходить требование лицензии. Он тогда и не догадывался, что создавал эксплойты нулевого дня.

К шестому классу Опсек стал проникать в университеты и телефонные компании. Родители видели, что он проводил много часов за клавиатурой, но ничего не знали о его деятельности и купили ему ноутбук для выполнения домашнего задания, потому что у него был ужасный почерк. Таким образом они подлили масло в огонь, сами того не подозревая. Оценки в школе сразу пошли вниз. Я спросил, что его привлекало во взломе. Он ответил: «Сама мысль о том, что ты можешь подчинять своей воле системы, которые были созданы для того, чтобы подчинять других воле своих создателей. Это было сильное чувство, вызывающее зависимость».

В 12 лет Опсек стал посещать местное отделение известной группы хакеров, которые называли себя «2600» в честь 2600-герцевого тона, который давал доступ к аналоговым телефонным системам того времени. Собрания проходили в фудкорте торгового центра. У Опсека был друг, родом из Персии, со схожими с Опсеком убеждениями, который тоже посещал собрания и был очень способным, но имел злые умыслы — позже он опубликовал инструкции о том, как удаленно уничтожать жесткие диски и заставлять компьютеры возгораться путем выключения вентиляторов. Несмотря на то, что Опсек в душе тоже был анархистом, его больше интересовало расширение своих навыков, а не нанесение ущерба.

Однако оба друга имели схожие технические цели. Они стали завсегдатаями собраний в фудкорте и однажды встретились с человеком, работавшим на неизвестное государственное агентство и который был готов был доходчиво объяснить некоторые концепции. Такой обмен информацией стал характерным для более крупных собраний впоследствии, на которых противники — например, ФБР и восточноевропейские преступники — временно оставляли свои различия, чтобы поделиться друг с другом информацией.

III. Китайские сети

Опсек начал применять полученную информацию. В большинстве случаев успехом считалось получить доступ к консоли администрирования операционной системы. Такой доступ иногда называют оболочкой с правами root [14]. Для Опсека это было заветной целью, потому что из оболочки с правами root, став тайным администратором, он мог делать все, что хотел, включая использование одного компьютера для атаки на другой, а из другого на следующий, создавая таким образом сеть на весь мир. Подобные фокусы были непростыми и рискованными, потому что многие действия Опсека преступали федеральный закон, который становился все более детальным и жестким, и ФБР уже охотились на хакеров. Самым известным случаем на тот момент стал Кевин Митник, молодой калифорниец, которого посадили за нелегальные взломы. После того, как Митник нарушил условия освобождения под надзором, он ударился в бега на несколько лет, попал в список ФБР самых разыскиваемых преступников, был пойман в 1995 и посажен в тюрьму на пять лет. Несколько друзей Опсека тоже задержали, и он начал нервничать.

На дворе был 1996 год. Коммерческий Интернет только начинался. Опсек был костлявым подростком. Он все еще пользовался телефонными модемами для установки для двухточечной связи с компьютерами, особенно с теми, что были частью глобальной телекоммуникационной инфраструктуры. На одной из скрытых электронных досок он получил список со встроенными паролями [15], используемыми многими производителями, и отправился на слепую охоту в телефонной системе, в поисках уязвимых компьютеров. Для этой задачи он написал программу, которая могла обзвонить все возможные телефонные номера 1-800. Таких номеров оказалось примерно 7.9 миллионов. Он выбрал номера, начинающиеся на 1-800, потому что звонки на них совершались бесплатно. Если на звонок отвечал компьютер, программа это определяла, отвечала списком паролей от производителей и фиксировала успешный доступ. После того, как программа размечала уязвимости и Опсек получал доступ, он использовал захваченные компьютеры для новых атак, чтобы скрыть свои следы. Проблема заключалась в том, чтобы совершить миллионы автоматизированных звонков, потому что у 14-летнего парня время было ограничено.

Однажды поздно ночью, работая в одиночестве, Опсек закинул резиновый коврик на забор с колючей проволокой, который ограждал двор телефонной компании и перелез на территорию. Внутри он забрался в два фургона и украл всё, что мог: инструкции, переносные телефонные аппараты монтеров, пояса с инструментами, рабочую одежду, каски, ключи к общественным телефонам, а также, самое главное, мастер-ключ к коммутирующим коробкам — узловым станциям, через которые проходили сотни телефонных линий. Приобретя детали в RadioShack [16], он собрал небольшое устройство, которое позволяло одновременно захватывать все телефонные линии. Он подключил устройство к небольшому ноутбуку, который он украл в Staples [17], и принялся за работу. Нарядившись в рабочую одежду монтера не по размеру, надев каску и пояс с инструментами, он каждую ночь в течение недель прозванивал тысячи номеров 1-800. В последнюю ночь, в два утра, он открыл коммутирующую коробку, расположенную перед церковью и его заметила пожилая женщина, которой показалось, что рабочая форма была не по размеру и что это был странный час для работы, и вызвала полицию. Когда Опсека арестовали, полиция настолько не понимала, чем он занимался, что они вернули ноутбук его отцу, даже не включив. Местные власти обвинили его в установке нелегальной прослушки. Родители наняли дорогого адвоката. Опсек согласился признаться в мелком преступлении, чтобы не объяснять, чем он на самом деле занимался и был осужден на несколько недель в центре заключения несовершеннолетних преступников и несколько лет условного срока.

Затем появился Интернет, что для хакеров стало сбывшейся мечтой. Сразу появился доступ к миллионам компьютеров, с которыми раньше им приходилось соединяться поодиночке. Опсек приобрел высокоскоростной DSL-модем и устроил небольшой бизнес в подвале своего персидского друга, сдавая соединение в аренду другим хакерам, которые подсоединялись к нему, чтобы получить доступ к относительно высоким скоростям загрузки (часто украденных ресурсов) и для исполнения сложных атак. Он очень много узнал, предоставляя доступ своим клиентам. С получением опыта он перешел от слепых атак на ближайшие цели к более фокусированным проникновениям, известным как глубокое погружение [18], хорошо защищенных сетей. Такие погружения требовали тщательной подготовки. По словам Опсека: «Сначала надо провести разведку, изучить сеть цели, разведать сотрудников, нарисовать их психологические портреты, попытаться понять культуру безопасности и возможности социального инжиниринга — можно ли выведать у кого-нибудь пароль? Таким образом ты создаешь карту всех возможных входов в сеть».

Опсек забрался в сети правительства Колумбии незамеченным и тихо провел там полгода. Затем он влез в сайты правительства Китая и их военные сети, что было полем деятельности китайских команд хакеров. К тому моменту ему исполнилось 16. Родители разрешили Опсеку устроиться на работу в магазин электроники, где его основной задачей стало воровство «одноразовых» ноутбуков, которые он выбрасывал после использования, чтобы остаться незамеченным. Один из постоянных посетителей заинтересовался его необычными знаниями китайских сетей и предложил подработку: он выдал ему список двадцати китайских серверов и попросила Опсека проверить их. Подобная подработка стала регулярной. Опсек получал банковский перевод раз месяц. Он догадался, что этот человек был сотрудником либо ЦРУ, либо НАСА.

Родители Опсека тем временем продолжали менять школы сына, пытаясь вернуть его в русло традиционного обучения. Они отправили его в военное училище, полагая что это сделает его дисциплинированным. Опсек взломал сеть училища и в насмешку зашифровал данные на компьютере одноклассника. Руководство училища дало Опсеку выбор — помочь установить надлежащую защиту сети или был выгнанным. Он выбрал последнее. Когда он сообщил об этом матери, она разозлилась: «Как тебя умудрились выгнать из училища, куда отправляют самых недисциплинированных?» Мать отправила его жить с дядей, далеко от дома. Опсек продолжил деятельность.

IV. Мафиабой

То, что общество узнало о даркнете, по словам Опсека, можно назвать медленным пробуждением. Оно началось на заре нового тысячелетия, примерно в 2000 году. С размножением Интернет-соединений, расширением электронной коммерции и бумом доткомов, поверхностная сеть выглядела так же, как и сегодня, кроме одной вещи: атаки не были вездесущими, а компьютерная безопасность никого не заботила. Проблема соблюдения безопасности заключается в том, что это замедляет скорость операций, а молодые и амбициозные предприниматели Интернета находились в жестокой конкуренции, в которой не было места вмешательству. Но вмешательство пришло. В феврале 2000 года, 15-летний французский канадец с ником Mafiaboy запустил серию сетевых атак [19], под которыми свалился целый ряд крупных вебсайтов, от Yahoo, который тогда был главным поисковиком, до Amazon, eBay, Dell и CNN среди прочих. Сетевые атаки заваливают сайты массовым трафиком и являются самой примитивной формой хакинга. Все что для этого нужно — захват незащищенных компьютеров, без проникновения в сети, и в результате таких атак не теряются данные. В глаза Опсека Мафиабой был дилетантом, который воспользовался готовыми решениями, написанными другими и запуск, которых не требовал особого ума. Мафиабой был настолько наивен, что похвастался своими «подвигами» в Интернет-чатах. Его задержали и приговорили к восьми месяцам домашнего ареста и году условного заключения. Однако его атаки удивили индустрию и принесли убытки в более чем миллиард долларов. Интернет-компании поняли, что им придется усилить устойчивость. Объем убытков привлек внимание всевозможных андреграундных группировок. Анархистов привлекли возможности совершения подрывов. Других — возможность заработать. Скоро на сцене появилась организованная преступность. Похищение электронных удостоверений личности, мошенничество с кредитками, электронное вымогательство — все быстро расцвело. Общество оставалось преимущественно в неведении, но с монетизацией эволюция даркнета значительно ускорилась. Только в США любая средняя компания регулярно подвергается атаке, обычно из-за рубежа. По уверению Пентагона, они отражают несколько миллионов кибератак ежедневно.

Опсеку исполнилось 18, когда Мафиабой повалил сайты. Номинально он был старшеклассником. Будучи официально взрослым, он перевелся под присмотром властей (будучи на условном сроке) из места, где жил с дядей, обратно в район Вашингтона, вернувшись из изгнания. Той весной он влюбился в красивую азиатскую девушку, обожавшую наркотики и секс, и съехался с ней. Во время своего следующего посещения инспектора, наблюдающего за условно осужденными, он сообщил свой новый адрес, за что был задержан, так должен был сделать это заранее. Опсека снова отправили в заключение на несколько месяцев, чтобы подумал над своим поведением. В тюрьме у него появился наставник, бывший доктор, осужденный за продажу документов на мертвых младенцев в даркнете. Опсека освободили в 2000 году и впервые за последние четыре года он стал абсолютно свободным.

Он поклялся больше не заниматься хакерством и устроился на работу в эспрессо-бар на первом этаже офисного здания. Совершенно случайно, через одного из клиентов бара, он получил работу, связанную с компьютерами, в этом же здании. Компания занималась передачей данных по линиям связи, в основном через волоконно-оптические кабели, проложенные вдоль железнодорожных путей. Опсека назначили в центр управления чтобы помогать клиентам, которые в основном являлись Интернет-провайдерами. Скоро Опсек сместился в сторону безопасности в компании. К своему удивлению, он снова оказался на той же андерграундной сцене, из которой появился.

Опсек уволился из компании и, после серии других работ, получил должность в новой компании, занимающейся сетевой безопасностью. Эта компания была отражением даркнета. Одно из отделений прямо занималось тем, что рылось в даркнете в поисках известных уязвимостей и составляла из них энциклопедию для своих клиентов. Другое отделение было еще более серым. Опсек наткнулся на один из продуктов компании — за закрытыми дверями, которые должны были быть заперты, в огромной комнате, на шестиметровом круглом столе располагалась физическая карта, на которой были выведены электронные связи Аль-Каиды. Было и третье отделение, о котором в компании редко говорили. Основная часть денег шла с этого отделения — брокер эксплойтов для правительства США — точно такой же, как на черном рынке, где продавались эксплойты нулевого дня — который сбывал информацию союзникам НАТО.

V. Наемник

Мы подбираемся к середине 2000-х. Большая часть хакеров была дилетантами; они не умели анализировать программное обеспечение и защищенные сети на предмет уязвимостей. Они знали только как получать необходимые инструменты в даркнете и как ими пользоваться. Опсек отличался тем, что был одним из немногих, кто мог зарабатывать как исследователь, продавая информацию об эксплойтах компаниям (которые наконец поняли важность такой информации и были готовы платить), брокерам, или выставляя их на продажу на черном рынке. Но он этого не делал. Он устроился на работу в компанию, занимающуюся безопасностью, в качестве «тестера проникновений» [20]. В течение следующих пяти лет он много разъезжал, проводил аудиты и тестовые взломы корпоративных сетей для обнаружения слабых мест. Некоторые из клиентов Опсека относились к безопасности серьезно. Но большинство проходило аудит для галочки. Часто Опсек проникал в сеть, отправлял отчет с рекомендациями по защите и, вернувшись через год, видел, что ничего не было сделано. По его словам: «Это была номинальная безопасность. К тому же, многие из тестеров проникновений очень малограмотны. У них нет ни опыта ни настроя. У них нет навыков. У них есть сканер с базой данных по всем известным уязвимостям, который проверяет сети. Они не подходят творчески. Они не ищут вещей, которых нет в базе знаний. Они нажимают кнопку, и когда процесс завершается, сообщают “Всё чисто!”».

В 2007 году он уволился и стал наемным специалистом, решив что будет работать только с теми клиентами, которые ему подходят. Первым требованием было серьезное отношение к безопасности. Вторым — компании должны быть на стороне добра. Это оказалось сложным, поскольку его экспертиза и услуги, которые он предлагает, и системы, которые он устанавливает это классический случай оружия, которое можно использовать не по назначению — с его помощью можно грабить и подавлять так же легко, как и защищать жизнь и собственность людей. К тому же Опсек был политически наивным: он полагал, что агентства США и их зарубежные союзники по определению были на стороне добра. Теперь он уже так не думает. По его словам: «Если пнуть достаточное количество камней, под одним из них будут экскременты, а если ты разозлишь военно-промышленный комплекс… — тут он запнулся. — Есть некоторые вещи, о которых лучше не знать. Такие вещи убивают людей. Они убьют вас». Я спросил, является ли паранойя профессиональным заболеванием. Он сказал да, и по этой причине он сегодня держится в стороне от подобных клиентов.

В качестве наемного специалиста он сделал ошибки в самом начале. Он не стал рассказывать мне о них. Но упомянул, что провел однажды месяц в Пакистане, с одобрения США, где консультировал пакистанцев как вести кибервойну и что для этого нужно. Он этим не гордится. Несколько лет спустя он совершил похожую ошибку, когда устроился подрядчиком в американскую команду, работавшую в определенном деспотичном королевстве, которое было союзником США. Он предполагал, что правительство США было в курсе этого проекта, но, как выяснилось позже, это было не так. Опсек провел в королевстве девять месяцев. Его работа заключалась в создании национального центра по сетевой безопасности, группы быстрого реагирования и школы взлома для обучения приемам защиты и нападения в кибервойнах. В школе были и «кибертиры» — комнаты с компьютерами, где запускали симуляцию атак — и программа обучения, в которой были шпионаж и написание вредоносных программ. Помимо прочего, американская команда проводила тестовые проникновения и раскрывала уязвимости в системах радиолокационных и противоракетных системах, а также в системах международной телекоммуникации. Но скоро Опсек обнаружил. что под столом команда продавала властям оборудование для перехвата и отслеживания мобильной связи. Совершалось это не с благими намерениями. Возможности и инструменты, которыми он снабжал национальную защиту, на практике использовались против граждан. Он покинул проект и вернулся в США. Он сузил круг клиентов до нескольких однозначно хороших компаний, лучшей из которых была Компания, в тридцати километрах от его дома.

VI. Массовая война

Атака на Компанию с целью получения выкупа в прошлом году не была изолированным инцидентом. Это было серьезное проникновение. Опсек настоял на осторожных ответных действиях. Атакующий уже наверняка знал, что ему не удалось похитить данные Компании; на то было несколько причин. Важно было не давать ему знать, раскрыли ли его проникновение внутри Компании. Сама программа взлома была непримечательной, обычным модулем, не вызывавшим интерес и не бывшим особенно сложным. Программа попала сеть за два или три дня до того, как её обнаружили. Вопрос был в том, как она попала сюда. К своему огромному удивлению, Опсек обнаружил, что программа попала в качестве спутника более крупного проникновения, не известного до этого момента, которое произошло целый год назад. Именно этот взлом был важным. Компанией завладели в таких размерах, которые сложно было определить. Но было еще кое-что. В системах обнаружились данные, подтверждающие, что атакующими была та же китайская правительственная команда, которая пробралась в Компанию четыре года назад. И с тех пор возможности китайской команды сильно выросли.

Вот что произошло. Китайцы сначала отправились к подрядчику, мировой оффшорной процессинговой компании [21], которая занималась транзакциями кредитных карт, и затем, получив доступ к этой сети, тихо вошли в Компанию через законный бэкдор, который был установлен в сети Компании для управления клиентскими профилями [22]. Первое проникновение было настоящим произведением искусства. Китайцы написали кастомную программу специально для этого. Это был уникальный «callback dropper», «троянский конь», который можно было загрузить любым из множества вредоносных модулей, но который по умолчанию оставался пустым и регулярно сверялся со своими хозяевами в ожидании указаний. Попав внутрь, китайцы могли двигаться вдоль всей сети, потому что Компания, в целях операционной эффективности, не отструктурировала сеть, несмотря на рекомендации Опсека.

Они имели точную цель. Сначала, используя «bounce points» внутри сети, чтобы скрыть свое присутствие, они пошли на центральный контроллер доменов, где получили собственный администраторский профиль [23], скомпрометировав таким образом 100 миллионов пользовательских имен и паролей и получив возможность пробрасывать программные пакеты по всей сети. Затем, что еще важнее, китайцы отправились в систему сборки кода [24], часть сети, где компилируются изменения в программе и затем загружаются в сеть распространения контента, чтобы впоследствии их загрузили конечные пользователи в виде обновлений. Таким образом они получили возможность собирать собственные программные пакеты и вставлять их в стандартный поток, потенциально имея возможность добраться до как минимум 70 миллионам персональных компьютеров. Но, к настоящему моменту, они ничего подобного не сделали. Вместо этого, они установили пустые трояны на трех отдельных сетевых компьютерах и оставили их в ожидании дальнейших указаний. Опсек и его команда решили, что сделано было это для подготовки фундамента для быстрой постройки гигантского ботнета.

Корень «бот» в «ботнете» происходит из слова «робот». Ботнеты это скрытые сети зараженных компьютеров, так же известные как зомби или узлы [25], которые на поверхности функционируют обычно, но подчиняются хакерам и могут быть комбинированно использованы для создания огромной компьютерной мощности. Самый большой из ботнетов состоял из нескольких миллионов компьютеров. Ботнеты существуют уже давно. Никто точно не знает, сколько из них активно, но цифры большие. Некоторые из них самораспространяющиеся, но большинству необходимо активное (хоть и ненамеренное) скачивание. В любом случае, они есть мультипликатор силы даркнета. Некоторые из них коммерческие и их предлагают на черном рынке. Другие — частные. На самом простом уровне хакеры используют их для совершения DoS-атак, заваливая вебсайты чистым объемом трафика. В остальном их предназначение практически бесконечно — кража электронных удостоверений личности, мошенничество с кредитными картами, банковские аферы, шпионаж, скоростной лом кода, коммерческий саботаж, атаки на национальную инфраструктуру, включая промышленные сети, телефонные системы и сам Интернет. Кибератаки, вызывающие физические повреждения, редки — в 2010 вирус Stuxnet разрушил иранскую центрифугу для обогащения уранового топлива; в 2014 сталелитейный завод в Германии стал жертвой; отключения энергии в 2015 в Украине; любое повреждение, которое может нанести один компьютер, ботнет может сделать с большей силой. Ботнеты настолько ценны — и судя по всему недолговечны — что их создатели обычно стремятся использовать их сразу после создания. И это было одной из странностей внедрения в Компанию. Китайцы потратили столько усилий чтобы внедрить свой троян, но на этом остановились. Почему?

Ботнет, который они могли создать, стал бы огромным. Если китайцы проникли и в другие крупные Интернет-компании тем же путем через платежного оператора — а скорее всего так и было — то результатом могло стать создание самого крупного ботнета, который когда-либо существовал, Интернет-робот, состоявший из примерно 200 миллионов компьютеров, подчиняющихся маленькой команде хакеров из Китая. Опсек столкнулся с чем-то очень большим. И то, что это еще не было использовано, было ключем. Единственной возможной целью, решил Опсек, была консервация — заранее расположенное средство, находящееся в ожидании, используемое только в крайнем случае, как ядерное оружие, в случае массовой кибервойны. Очень похоже, что мир двигается именно в этом направлении. Кибератаки уже составляют активную часть почти каждого обычного военного сражения. Их использует США вкупе с воздушной и наземной войной с исламскими силами. И многие государства — Китай, Россия, Германия, Франция, Пакистан, Израиль, США — готовятся к чему-то большему.

Это законсервированное средство не было бы обнаружено, если бы вредоносная программа с требование выкупа успешно развернулась. По словам Опсека, член команды китайского правительства решил сделать немного денег на стороне и отправил свой кусок кода в надежде на выкуп по секретной тропе, проторенной правительственной командой за год до этого и непреднамеренно раскрыл всю операцию. Если его найдут, если уже не нашли, судьбе изменника не позавидовать.

Что касается самого трояна, то Опсек может только предполагать. Правительство США было уведомлено. «Они не убрали троян. Они за ним тщательно следят и изучают, чтобы уровнять силы, и скорее всего создают средство защиты и возможность увести ботнет, если такая необходимость возникнет, — говорит Опсек. — Пусть китайцы строят свое кибероружие, и думают, что оно под их контролем, а мы его заблокируем или захватим когда придет время».

Я спросил: «Какое отделение этим занимается?»

«Форт-Мид».

Какие меры примет Опсек — дело другое. Он не часть правительства США. Однажды он сказал мне, что он сам по себе мини-Агентство национальной безопасности. Ссылаясь на товарища с такой же репутацией, он сказал: «Мы пишем крайне агрессивные программы». Будучи продуктом даркнета, в его власти вторгнуться в Китай, и ранее он это уже делал. Я спросил, как выглядело бы вторжение. Он ответил: «Мы бы нашли их командно-административную структуру, “мозг” вредоносного программного обеспечения, они пользуются. Целью было бы проникнуть в командные серверы и а) выяснить то, какую информацию они получили от вас, и б) вставить внедрить в инфраструктуру команду, которая заставит все вредоносные программы самоудалиться. Ликвидировать ботнет, вот что бы я хотел сделать. По меньшей мере таким образом мы выведем из строя их сеть». И возможно, продолжил он, в качестве небольшого подарка, я бы выдал им личность того, кто неудачно попытался подкинуть нам программу с целью выкупа и которая раскрыла их планы.

«И ты это сделаешь?» — спросил я.

«Конечно же нет, — ответил Опсек. — Это противоречит политике Компании».