СОЗДАТЬ КИБЕРВОЙСКА — НАМНОГО СЛОЖНЕЕ, ЧЕМ МОЖЕТ ПОКАЗАТЬСЯ НА ПЕРВЫЙ ВЗГЛЯД
Данная статья основана на книге: «Нет кратких путей: почему государства пытаются создавать кибервойска«, опубликованной издательствами Oxford University Press и Hurst Publishers в мае 2022 года.
За последние десятилетия более 40 государств открыто создали те или иные военные киберкомандования, и еще не менее десятка государств планируют это сделать.
Однако, несмотря на такое распространение, до сих пор мало кто понимает, сколько времени и ресурсов требует эффективное кибер-командование.
В моей книге «Нет кратких путей: почему государства пытаются создавать кибервойска» (No Shortcuts: Why States Struggle to Develop a Military Cyber-Force), я разделяю проблемы создания эффективного кибернетического командования на пять категорий, которые я называю системой ЛЭНИО (англ. PETIO):
- люди (people);
- специальные программы — эксплойты (exploits);
- набор инструментов (toolset);
- инфраструктура (infrastructure);
- организационная структура (organizational structure).
Что это означает для начинающих кибердержав?
Во-первых, самым важным элементом развития наступательного кибер-потенциала являются люди — не только технически подкованные, но и лингвисты, аналитики, сотрудники фронт-офиса, стратеги, юристы и консультанты по конкретным операциям.
Во-вторых, большое внимание уделяется развертыванию государствами эксплойтов нулевого дня, или неизвестных эксплойтов. Однако известные эксплойты и инструменты также могут быть весьма эффективными, если атакующий обладает превосходными знаниями о своей цели и ее возможностях.
В-третьих, инвестиции в инфраструктуру — например, создание киберполигона для тренировок и испытаний — являются необходимым условием развития наступательного киберпотенциала и обходятся недешево.
Одних технических специалистов недостаточно
В управлении бизнесом широко распространено мнение, что по мере роста когнитивных навыков в работе все большее значение приобретают люди, а не технологии. Эти «мыслительные профессии», как их называет Дэниел Пинк, требуют больших навыков решения проблем и творческого мышления, что означает, что бизнес может быть успешным только в том случае, если он культивирует культуру, в которой приоритет отдается человеческому фактору.
Для начинающих кибердержав это относится не только к техническим специалистам.
Конечно, военной киберорганизации нужны аналитики по уязвимостям (охотники на баги). Такие сотрудники занимаются поиском уязвимостей в программном обеспечении. Им также нужны разработчики, операторы, тестировщики и системные администраторы для успешного проведения операции и обеспечения надежности разработки, развертывания, обслуживания и тестирования потенциала.
Однако для создания наступательного киберпотенциала также требуется более широкий штат сотрудников.
Во-первых, для поддержки деятельности операторов и разработчиков требуется оперативная поддержка. Это может включать такие действия, как регистрация учетных записей или покупка возможностей у частных компаний.
Во-вторых, военная или разведывательная организация с лучшими в мире кибернетическими силами неизбежно потерпит неудачу без стратегического руководства. Оперативный или тактический успех отнюдь не равносилен стратегической победе. Операция может быть выполнена идеально и опираться на безупречный код, но это не приведет автоматически к успеху миссии.
Например, киберкомандование США может успешно стереть данные с сервера иранской нефтяной компании, при этом, так и не добившись изменений во внешней политике Ирана.
Организация может функционировать только в том случае, если есть четкое понимание того, как имеющиеся средства позволят достичь желаемых целей.
Важной задачей стратегов является координация действий с другими военными подразделениями и государствами-партнерами. Они также участвуют в выборе целевых пакетов, хотя для «целеуказателей» часто создается отдельная должность. Целеуказатели назначают цели, оценивают сопутствующий ущерб, управляют деконфликтингом и помогают в планировании оперативного процесса.
Любое военное или гражданское ведомство, проводящее кибер-операции в рамках правительства с правовой базой, также будет иметь дело с армией юристов. Эти эксперты в области права будут участвовать в обучении, консультировании и мониторинге.
Соблюдение закона войны, закона вооруженных конфликтов и любых других правовых предписаний требует юридической подготовки операторов, разработчиков и системных администраторов для предотвращения нарушений. Специалисты по правовым вопросам оказывают поддержку в планировании, консультируя, анализируя и контролируя оперативные планы.
Например, при планировании операции Киберкомандования США «Светящаяся симфония» в 2016 году, целью которой было нарушить и запретить использование Интернета со стороны ИГИЛ, эти эксперты помогли определить план оповещения, контрольный список миссии и процесс выдачи разрешений.
Внедрение экспертов по правовым вопросам на различных этапах кибер-операции — дело непростое. На самом деле, скорее всего, потребуется провести многочисленные важные обсуждения с руководством и операционными командами, чтобы убедиться, что прежде, чем дать свое согласие, они понимают все предложения в полной мере.
Кроме того, способ проведения некоторых операций усложняет юридическую проверку. Например, в случае с самораспространяющимся вредоносным ПО, таким как Stuxnet, после завершения операции будет трудно вернуться на исходную позицию.
Для обработки информации во время и после завершения операций необходима смешанная группа технических аналитиков. Нетехнические аналитики также необходимы, особенно для понимания того, как люди в целевой сети отреагируют на кибероперацию. Для этого требуются аналитики, обладающие специальными знаниями о стране, культуре или целевой организации.
Существует также необходимость в удаленном персонале. По словам исследователя безопасности и бывшего сотрудника Агентства национальной безопасности (АНБ) Чарли Миллера, «в кибервойне по-прежнему помогают люди, находящиеся по всему миру и выполняющие тайные действия». Например, в случае с атаками Stuxnet голландский «крот», выдававший себя за механика, помог США и Израилю собрать разведданные об иранских ядерных центрифугах, которые были использованы для обновления и установки вируса.
Наконец, киберкомандование нуждается в администраторах для обеспечения людскими ресурсами, поддержания связи с другими соответствующими национальными и международными институтами и общения со СМИ. Как отмечает Джейми Коллиер, «прошли те времена, когда шпионские агентства официально не существовали» и держали «свой персонал и деятельность скрытно от посторонних глаз».
Общение может помочь преодолеть общественный скептицизм. Это относится не только к разведывательным службам, но в некоторой степени и к военным киберкомандованиям, особенно когда круг их задач расширяется, а опасения по поводу эскалации, ухудшения норм или трений между союзниками растут. Кроме того, более публичный подход может помочь при подборе персонала на высококонкурентном рынке труда.
Это больше, чем просто уязвимости нулевого дня
Самым обсуждаемым элементом развития наступательного киберпотенциала являются эксплойты. Они делятся на три категории:
- эксплойты нулевого дня;
- непропатченные эксплойты N-day;
- пропатченные эксплойты N-day.
Эксплойт нулевого дня — это тот, который раскрывает уязвимость, не известную производителю.
Непропатченный N-day эксплойт — это эксплойт, который раскрывает уязвимость в программном или аппаратном обеспечении, известную производителю, но не имеющую исправления для устранения недостатка.
Исправленный эксплойт N-day — это эксплойт, который раскрывает уязвимость в программном или аппаратном обеспечении, известном производителю, и имеет исправление для устранения недостатка. Зачастую злоумышленникам приходится объединять несколько уязвимостей в цепочку атак, известную как цепочка эксплойтов, чтобы атаковать определенную цель.
Большое внимание политики уделяют тому, как государства накапливают «нулевые дни».
Джейсон Хили, старший научный сотрудник Школы международных и общественных отношений Колумбийского университета, в 2016 году провел исследование, чтобы выяснить, сколько уязвимостей нулевого дня хранит правительство США. Хили с высокой степенью уверенности утверждает, что в 2015/2016 годах правительство США сохраняло «не сотни или тысячи в год, а, вероятно, десятки». Это в основном соответствует другим данным. Более зрелые военные и разведывательные организации пользуются тщательно разработанными процедурами для максимально эффективного использования своих эксплойтов.
Однако не стоит преувеличивать важность «нулевых дней». Люди думают, что национальные государства работают на этом двигателе «нулевых дней»: вы выходите с главным скелетным ключом, отпираете дверь и попадаете внутрь. Это не так», — заявил Роб Джойс, бывший в то время руководителем Управления АНБ по операциям с индивидуальным доступом, во время выступления на конференции Enigma.
Он продолжил: «Возьмите эти большие корпоративные сети, эти большие сети, любые большие сети — я скажу вам, что упорство и сосредоточенность позволят вам проникнуть внутрь, добиться эксплуатации и без нулевых дней. Есть гораздо больше векторов, которые проще, менее рискованны и зачастую более продуктивны, чем движение по тому пути».
Действительно, для военных кибер-организаций, в частности, гонка за N-днями часто не менее важна.
При развертывании эксплойтов, N-day атаки могут воспользоваться временем, которое требуется для разработки патча, и временем, которое требуется для принятия патча. Средняя задержка в исправлении эксплойта зависит от масштаба производителя, серьезности уязвимости и источника раскрытия информации.
Если для исправления «уязвимостей средней тяжести» в промышленных веб-приложениях требуется в среднем чуть больше месяца, то для исправления уязвимостей в системах диспетчерского контроля и сбора данных поставщикам требуется в среднем 150 дней. Принятие патча также может занять значительное время — особенно в средах, где отсутствует стандартизация, таких как промышленные системы управления.
Отчасти из-за длительных сроков установки исправлений для промышленных систем управления мы стали свидетелями нескольких громких атак на эти устройства и протоколы. Например, в декабре 2016 года поддерживаемая Кремлем хакерская группа, известная под названием Sandworm, использовала вредоносное ПО, получившее название CrashOverride или Industroyer, чтобы обесточить значительную часть Украины. Для этого злоумышленники обошли автоматизированные защищенные системы на украинской подстанции электропередачи, используя известную уязвимость в реле Siemens SIPROTEC.
Тестирование и инфраструктура имеют значение
Широко распространено мнение, что проведение кибератак стоит дешево, а защита от них — дорого.
Но, как заметил Мэтью Монте, основываясь на своем опыте работы в разведывательном сообществе США, «Злоумышленники не спотыкаются на том, что они «правы однажды». Они тратят время и усилия на создание инфраструктуры, а затем перебирают «десять тысяч способов, которые не сработают», как утверждал Томас Эдисон».
Для этого необходима инфраструктура — абсолютно важный элемент киберпотенциала, о котором мало говорят. Инфраструктуру можно определить в широком смысле как процессы, структуры и объекты, необходимые для проведения наступательной кибер-операции.
Инфраструктура делится на две категории:
- инфраструктура управления;
- подготовительная инфраструктура.
Инфраструктура управления относится к процессам, непосредственно используемым для проведения операции. Они обычно сгорают после провала операции. Этот тип инфраструктуры может включать доменные имена фишинговых сайтов, утечку адресов электронной почты или другие технологии, которыми злоупотребляют.
Она также включает инфраструктуру управления, используемую в удаленных операциях, которые поддерживают связь со взломанными системами в целевой сети. Эта инфраструктура может использоваться, например, для отслеживания взломанных систем, обновления вредоносного ПО или утечки данных.
В зависимости от цели и ресурсов операции, инфраструктура управления может быть простой, как один сервер, работающий во внешней сети.
Однако более зрелые субъекты используют более сложную инфраструктуру и методы, чтобы оставаться незаметными и устойчивыми к захвату. Например, российская группировка Fancy Bear потратила более 95 тыс долларов на инфраструктуру, которую они использовали для атак на людей, участвовавших в президентских выборах в США в 2016 году.
И зачастую речь идет не только об аренде инфраструктуры: Организация может проводить целый комплекс операций только для того, чтобы скомпрометировать легальные веб-серверы, чтобы использовать их для проведения будущих операций.
Подготовительная инфраструктура — это набор процессов, которые используются для приведения себя в состояние готовности к проведению кибер-операций. Редко кто из злоумышленников отбрасывает эту инфраструктуру после проведения (неудачной) операции.
Одним из самых сложных моментов при создании хороших инструментов атаки является их тестирование перед внедрением. Как отмечает Дэн Гир, известный эксперт по компьютерной безопасности, «знать, что найдет ваш инструмент, и как с этим справиться, несомненно, сложнее, чем найти эксплуатируемый недостаток сам по себе».
Большая часть подготовительной инфраструктуры для атаки обычно состоит из баз данных, используемых для сопоставления целей. Атакующему придется проделать большую работу, чтобы найти свои цели.
Упражнения по составлению сетевых карт могут помочь организации понять круг возможных целей, что иногда также называют «подбором целей». Поэтому наиболее развитые субъекты в этой сфере инвестировали огромные ресурсы в инструменты для составления сетевых карт, чтобы идентифицировать и визуализировать устройства в определенных сетях.
Существуют и другие целевые базы данных.
Например, GCHQ поддерживает специальную базу данных, в которой хранятся сведения о компьютерах, используемых инженерами и системными администраторами, которые работают в «центрах эксплуатации сетей» по всему миру. Причина, по которой инженеры и системные администраторы являются особенно интересными целями, заключается в том, что они управляют сетями и имеют доступ к большим массивам данных.
Показательным и громким случаем является взлом Belgacom, частично государственного бельгийского провайдера телефонной и интернет-связи, клиентами которого являются Европейская комиссия, Европейский парламент и Европейский совет.
Британское шпионское агентство GCHQ, возможно, при содействии других членов группы Five-Eyes, использовало разработанное им вредоносное ПО для получения доступа к GRX-маршрутизаторам Belgacom. Оттуда оно могло проводить атаки типа «человек посередине» (другое название: «атака посредника»), что позволяло тайно перехватывать сообщения целей, находящихся в роуминге с помощью смартфонов.
Как выяснили журналисты, взлом Belgacom под кодовым названием «Операция Социалист» «происходил поэтапно в период с 2010 по 2011 год, каждый раз проникая все глубже в системы Belgacom, и в конечном итоге скомпрометировав само ядро сетей компании».
Подготовка к кибератакам также требует создания киберполигона. Это платформа для разработки и использования интерактивных сред моделирования, которые могут применяться для обучения и развития потенциала.
В последние годы предприятия все чаще инвестируют в киберполигоны, основанные на облачных технологиях. Такие полигоны создаются либо на базе общедоступных облачных провайдеров — таких как Amazon Web Services, Microsoft Azure или Google — либо в частных облачных сетях, развернутых на территории предприятия.
Облачные киберполигоны, как правило, обеспечивают гибкую среду практического обучения с удобными сценариями для тренировок. Однако для военных кибер-организаций традиционные необлачные полигоны, как правило, остаются более предпочтительными, учитывая потребность в высоконастраиваемых средах моделирования, а также в оперативном тестировании и обучении.
Пытаясь угнаться за быстрыми темпами развития киберконфликтов, многие эксперты в своих комментариях сосредоточились на том, могут ли операции кибервоздействия давать стратегические преимущества или оказывать влияние на нормы.
Тем не менее, сначала нам необходимо ответить на более фундаментальный вопрос: когда государства вообще могут проводить операции?
Хотя распространение военных киберкомандований свидетельствует о том, что в кибервойне назревают серьезные перемены, заставить эти организации работать гораздо сложнее и дороже, чем кажется на первый взгляд.
12 мая 2022 года
Автор: Макс Смитс
Макс Смитс — старший научный сотрудник Центра исследований в области безопасности Цюрихской высшей технической школы и директор Европейской инициативы по изучению киберконфликтов,
Источник: War On The Rocks
Last Updated on 01.09.2023 by iskova