Как только газовые компании передали властям информацию о том, что их сети зондируются, чиновники тотчас же отправили на предприятия «летучие» команды для сбора сведений с жестких дисков и анализа сетевых лог-файлов. Источник электронных писем был отслежен. Оказалось, что все эти письма рассылались в рамках одной операции, которая, по оценкам аналитиков, началась в декабре 2011 г. По словам бывшего сотрудника правоохранительных органов, который занимался этой проблемой, предприятия непрерывно сообщали об обнаружении шпионов в своих сетях. Тем не менее истинные цели операции ускользали от аналитиков. Пытались ли взломщики собрать информацию о конкурентах в сфере трубопроводного бизнеса, относящуюся, например, к поиску новых поставщиков газа или строительству новых установок? Или они пытались прервать поток газовой энергии, внедрив вредоносную программу, которая могла бы позднее в определенный день уничтожить трубопровод?
Для того чтобы это выяснить, государственные следователи решили не делать публичных заявлений, а тихо наблюдать, за какой именно информацией пришли взломщики. Это был рискованный ход. В любой момент хакеры могли начать вредоносную атаку на корпоративные сети и украсть или стереть ценную информацию. Кроме того, оставался шанс, пусть небольшой, что объектом атаки станут сами трубопроводы. Это повлекло бы за собой катастрофические экономические последствия и даже могло бы привести к гибели людей, оказавшихся рядом с местом взрыва. Власти провели закрытые встречи с отдельными компаниями, чтобы выяснить степень их информированности. Госструктуры поделились с персоналом, обеспечивающим корпоративную безопасность, «стратегиями уменьшения ущерба», передав им известные адреса электронной почты, с которых были отправлены фишинговые сообщения, и конкретные IP-адреса, доступ к которым операторам трубопроводов следовало закрыть. Однако власти не очистили сети от шпионов и не дали указания компаниям, как это сделать. 29 марта группа экстренного реагирования, базирующаяся в Министерстве внутренней безопасности и работающая в тандеме с АНБ, опубликовала на секретном правительственном сайте предупреждение для всех операторов трубопроводных сетей, в котором предписывалось позволить шпионам искать интересующие их сведения и не вмешиваться до тех пор, пока их действия не угрожают работе трубопроводной системы. Торговые ассоциации, представляющие нефтегазовые компании, были предупреждены госчиновниками из Вашингтона и получили указания сохранять детали проводимой операции в секрете.
Реакция на «трубопроводный взлом» продемонстрировала высокий уровень влияния властей на кибероборону в энергетическом секторе. Газовые компании и их лоббисты в Вашингтоне следовали указаниям и инструкциям государственной власти. В течение всего срока расследования властям удавалось успешно держать информационную блокаду в прессе и других СМИ. Серьезная кампания, направленная против жизненно важных объектов американской инфраструктуры, шла полным ходом уже несколько недель, а о ней практически никто не знал. Информация о взломе сетей газовых операторов впервые просочилась в сводки новостей в мае, через два месяца после начала государственной операции по ведению наблюдения.
Государство также влезло и в другие отрасли энергетики. Тем летом Министерство внутренней безопасности и Министерство энергетики организовали секретный брифинг по киберугрозам для руководителей электроэнергетических компаний, предложив им временный допуск к закрытой информации. Цель брифинга состояла в том, чтобы дать руководству больше информации об угрозах для их отрасли. Осведомленность компаний энергетического сектора об опасностях, грозящих их сетям, была значительно ниже, чем в других отраслях экономики. Лучше всего были подготовлены финансовые организации, которые регулярно делились друг с другом информацией и создали систему для обмена сведениями о вторжениях и методиках взлома, используемых хакерами в закрытых, секретных сетях. Энергетические компании, напротив, боялись показаться слабыми в глазах своих конкурентов, они опасались, что, раскрыв сведения о своей недостаточной кибербезопасности, предоставят конкурентам информацию о своих будущих планах развития.
Вместе с тем госчиновники становились все более нетерпеливыми. В конгрессе сторонники нового закона, регулирующего стандарты кибербезопасности для коммунальных компаний, продолжали проталкивать свое детище, в качестве аргумента указывая на поток взломов, обрушившийся на газовые компании. Той осенью их усилия в конечном итоге провалились, что подготовило почву для президентских указов Обамы, направленных на максимально возможное в рамках его полномочий укрепление киберобороны. Властями поощрялось внедрение компаниями стандартов безопасности и методик защиты, разработанных Национальным институтом стандартов и технологий, который проводил консультации с большой группой экспертов индустрии и агентов разведки. Компании были вольны игнорировать рекомендации властей. Однако, если бы их инфраструктура была повреждена в результате предотвратимой кибератаки, они могли быть привлечены к гражданской или даже уголовной ответственности, и тогда им пришлось бы объясняться в суде, почему они сами подвергли себя опасности.
По результатам кибератак в 2012 г. на трубопроводные и газовые компании власти провели закрытые брифинги для почти 700 сотрудников коммунальных предприятий. В июне 2013 г. Министерство внутренней безопасности, ФБР, Министерство энергетики и Агентство безопасности транспорта начали так называемую активную кампанию по введению предприятий «в контекст угроз и выявлению стратегии снижения ущерба», говорится в информационном бюллетене Министерства внутренней безопасности. В рамках кампании проводились закрытые совещания по меньшей мере в десяти американских городах, в том числе в Вашингтоне, Нью-Йорке, Чикаго, Далласе, Денвере, Сан-Франциско, Сан-Диего, Сиэтле, Бостоне и Новом Орлеане, и во «многих других с помощью защищенной видеосвязи». Энергетические предприятия также начали обучать своих сотрудников основам кибербезопасности. Shell, Schlumberger и другие крупные компании отправляли своим сотрудникам поддельные фишинговые электронные письма с фотографиями милых котиков и другими приманками. Эксперты, проводившие обучение, говорят, что почти все сотрудники сначала «клевали» на подобные письма, но после прохождения подготовки почти 90 % научились не открывать встроенные ссылки и вложенные файлы, которые обычно и запускают установку или внедрение вредоносных программ.
Внутри АНБ чиновники продолжали настоятельно требовать бо́льших полномочий для расширения своего оборонного кодекса. В мае 2013 г. в своем публичном выступлении в Вашингтоне Чарлз Берлин, директор Оперативного центра национальной безопасности АНБ, отразил широко распространенную среди американской разведки точку зрения, что если агентство сосредоточится исключительно на защите государственных компьютерных сетей и информации, то это будет «почти аморально». «Миссия Министерства обороны [состоит] в защите Америки», – сказал Берлин, управлявший тогда мозговым центром агентства по радиотехнической разведке и защите компьютерных сетей. «Я многие годы стоял на крепостной стене, выливая кипящее масло на атакующих, – сказал он. – В настоящее время мы не способны защитить Америку».
Той тревожной весной 2012 г. у сотрудников правоохранительных органов, разведывательных и частных охранных служб практически не было никаких сомнений по поводу того, откуда появились хакеры. Однако без ответа оставался вопрос о том, какова была их главная цель.