Кибероружие: Империя наносит ответный удар

Фото: РБК

Однако, по словам генерального директора "Лаборатории Касперского" Евгения Касперского, уровень хакерских атак бывает разным: серебряным, золотым и даже платиновым. К последним относятся кибервойны, направленные против целых государств.

По данным "Лаборатории Касперского", к 2012г. произошло всего два случая использования кибероружия. В то время как события текущего года не только увеличили число реальных инцидентов с его применением в несколько раз, но и выявили давнюю и серьезную вовлеченность в разработку кибервооружений многих стран. То, что раньше оставалось предметом секретных разработок, в 2012г. активно обсуждалось в СМИ и среди официальных представителей различных государств. Таким образом, по мнению экспертов, уходящий год стал переломным в этой сфере.

С чего все начиналось

Первое масштабное применение кибероружия, по данным "Лаборатории Касперского", состоялось в Иране в 2010г. В отличие от обычных вредоносных программ, работающих в популярных операционных системах, примененный против Ирана вирус Stuxnet был создан для проникновения в промышленные компьютеры. Сложность и структурированность кода этой программы заставили многих считать, что заказчиками кибератаки стали другие государства.

С тех пор были обнаружены и другие средства ведения кибервойны. В первую очередь - многофункциональные программы слежения и шпионажа Flame и Gauss, причем анализ кода этих программ, по данным экспертов, указывает на их связь с Stuxnet.

Кроме того, в 2012г. зона применения кибероружия расширилась: если раньше это был только Иран, то теперь она охватывает всю прилегающую к нему Западную Азию.

Главные действующие лица

Троянская программа Wiper в конце апреля 2012г. сильно встревожила Иран. Появившись неизвестно откуда, она уничтожила множество баз данных в десятках организаций. В частности, одним из тех, кто больше всего пострадал от Wiper, стал крупнейший в Иране нефтяной терминал, работа которого была прервана на некоторое время из-за уничтожения данных о нефтяных контрактах. Материальный ущерб составил несколько миллиардов долларов.

Создатели Wiper сделали все возможное, чтобы уничтожить все данные, которые можно было использовать для анализа программы.

Исследование, проведенное "Лабораторией Касперского", показало, что в основном атаки происходили в последнюю декаду месяца (в период с 21-го по 30-е число), однако нельзя утверждать, что причина этого кроется в специальной функции, активируемой при наступлении определенной даты.

Спустя несколько недель после начала расследования компании так и не удалось найти файлы вредоносной программы, свойства которой совпадали бы с известными характеристиками Wiper. Однако была обнаружена проводимая на государственном уровне кампания по кибершпионажу, известная сегодня как Flame, а позднее - еще одна система, получившая название Gauss.

Flame, обнаруженная в мае 2012г., представляет собой программу скрытого удаленного администрирования (бэкдор), имеющую также черты, свойственные червям и позволяющие ей распространяться по локальной сети и через съемные носители при получении соответствующего приказа от ее хозяина.

После заражения системы Flame приступает к выполнению сложного набора операций, в том числе к анализу сетевого трафика, созданию снимков экрана, аудиозаписи разговоров, перехвату клавиатурных нажатий и т. д. Все эти данные доступны операторам через командные серверы Flame. В дальнейшем на зараженные компьютеры можно загружать дополнительные модули, расширяющие функционал Flame.

В середине июня 2012г. была обнаружена еще одна вредоносная программа, созданная на платформе Flame, однако отличающаяся по функционалу и ареалу распространения, - Gauss. Данный комплекс инструментов имеет модульную структуру и поддерживает удаленное развертывание нового функционала. Известные на сегодняшний день модули могут, в частности, выполнять перехват паролей в браузере, сбор и отправку злоумышленникам данных о конфигурации системы, кражу данных, необходимых для доступа к учетным записям различных банковских систем, действующих на Ближнем Востоке.

По оценке "Лаборатории Касперского", общее число жертв данной вредоносной программы измеряется десятками тысяч. При этом их абсолютное большинство оказалось на территории Ливана. Были также жертвы в Израиле и Палестине. Кроме того, небольшое число пострадавших зарегистрировано в США, ОАЭ, Катаре, Иордании, Германии и Египте.

Не боги горшки обжигают

В текущем году произошло еще одно важнейшее событие, показавшее, что создание кибероружия перестало быть прерогативой высокотехнологичных государств. Вирус "Шамун" парализовал работу отгрузочного терминала государственной нефтяной компании Саудовской Аравии Aramco. За несколько часов он виртуально уничтожил более 30 тыс. компьютеров. Все данные были потеряны. Спустя несколько дней атака произошла в Катаре. По мнению экспертов, появление "Шамуна" с довольно простым, не очень искусным кодом и не из семейства Stuxnet явно говорит, что за дело взялись криминальные структуры, а возможно, и террористические организации.

Главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев считает, что в течение 5 лет любая страна, задавшаяся соответствующей целью, сможет вырастить своих профессионалов для создания кибероружия.

Дальше - больше

По оценкам "Лаборатории Касперского", мир вступает в эпоху "холодной кибервойны", когда страны смогут воевать друг с другом, не будучи связанными существующими ограничениями на применение традиционного оружия.

Также можно ожидать, что в дальнейшем кибероружие появится у большего числа стран и будет применяться как для кражи информации, так и для проведения диверсий. Немаловажным фактором, по мнению экспертов, здесь служит большая доступность разработки такого оружия по сравнению с обычным.

Вероятно также, что вскоре к подобным кибератакам будут прибегать страны, не имеющие статуса национальных государств. При этом косвенный ущерб может быть нанесен объектам, на которые атака не была направлена изначально. Жертвами таких атак могут стать центры управления энергетическими и транспортными системами, финансовые и телекоммуникационные системы, а также другие особо важные объекты инфраструктуры.

По словам А.Гостева, сейчас Россия не является "горячей точкой" и, скорее всего, ей не угрожает кибервойна. Однако, что будет в будущем, никто предугадать не может.

Ксения Петрова, РБК