Компании оказались на пороге новой эры частной кибербезопасности. «У нас уже есть кибернетический эквивалент сыскного агентства Пинкертона», – говорит Марк Везерфорд. Как многие другие эксперты, Везерфорд переживает, что некоторые фирмы занимаются не только защитой и что они переходят черту закона, когда организуют ответный взлом, чтобы противостоять шпионам и хакерам. Он проводит различие между ответным взломом и укреплением собственной защиты, которое усложнит взломщику задачу похищения данных из атакуемой сети. Расстановка ловушек или даже заражение вредоносными программами документов, которые взломщики переносят на свои системы, – возможно, все это еще относится к методам защиты. «Но реальное вторжение в их сети, атака на них – это та граница, которую я не хочу переходить», – говорит Везерфорд.
Везерфорд считает, что через несколько лет гораздо больше компаний получат возможность фильтровать трафик по поручению своих клиентов, таким образом играя роль киберкараульных. Эта модель работы уже обретает форму в рамках правительственных программ передачи провайдерам секретной информации о киберугрозах. Президентский указ 2013 г. в той части, которая касается усиления безопасности ключевых объектов инфраструктуры, призывает власти «представить инструкции» компаниям, указывающие, какие коммерческие продукты и услуги, удовлетворяющие утвержденным стандартам безопасности, доступны на рынке. Это еще один пример стимулирования государством развития частного бизнеса в сфере кибербезопасности. Рост этого сектора экономики практически неизбежен и, вероятно, даже предпочтителен для властей, монополизирующих эту сферу деятельности.
«Государство никогда не сможет так же гибко реагировать, как частный бизнес», – говорит Везерфорд. Частные предприятия лучше справляются с собственной защитой.
Как только компании приняли на себя полномочия в сфере национальной киберобороны, они тут же начали влиять на государственную политику США. 18 февраля 2013 г. фирма Mandiant, специализирующаяся в сфере компьютерной безопасности, выпустила беспрецедентный отчет о китайском кибершпионаже, в котором Народно-освободительная армия (НОА) Китая была публично обвинена в непрерывном и масштабном шпионаже против Соединенных Штатов. Это было прямое обвинение, на которое не решился ни один государственный чиновник. Отчет Mandiant был чрезвычайно подробным. В нем приводились реальные адреса местонахождения хакеров. В отчете даже содержались фотографии их офиса – бежевого 12-этажного здания в районе Пудун в Шанхае. Исходя из анализа размеров здания (его площадь превышает 130 000 м2), а также публичных заявлений китайских чиновников, Mandiant приходит к выводу, что там работают сотни, а может быть, и тысячи сотрудников.
Mandiant сосредоточилась только на одной из приблизительно 20 групп, деятельность которых отслеживала в течение нескольких лет. Этих хакеров собрали под крышей китайского аналога АНБ. Mandiant дала этой группе название APT1. Хакеры работали во Втором отделе Третьего подразделения Генерального штаба НОА, более известного под своим кодовым обозначением 61398. Генеральный штаб НОА – это что-то вроде Объединенного комитета начальников штабов армии США, а Третье подразделение занимается радиотехнической разведкой и компьютерными атаками и взломами. Mandiant назвала APT1 «одной из наиболее упорно действующих и опасных китайских кибергрупп».
Компания Mandiant, которая была основана бывшим киберкриминалистом ВВС меньше чем за 10 лет до описываемых событий фактически заложила мину в одной из наиболее болезненных и трудных сферах американской внешней политики. Отчет был принят как откровение. Не только потому, что в нем вполне конкретно шла речь о китайских хакерах – чего раньше никто из исследователей, ни частных, ни государственных, не делал, – но также и потому, что информация была очень подробной. Отчет занимал 74 страницы. В нем раскрывалась обширная шпионская инфраструктура, состоящая из 937 серверов или «подслушивающих приложений», размещенных на 849 различных интернет-адресах, большая часть которых зарегистрирована на организации из Китая, однако не менее 100 – из Соединенных Штатов. Следователи обнаружили сайты, которые были созданы хакерами так, чтобы их принимали за обычные новостные сайты, вроде CNN.com, однако на самом деле эти сайты скоординированно использовались во время атак APT. Mandiant назвала имена конкретных хакеров, в том числе и того, который скрывался под кличкой «Уродливая горилла» (Ugly Gorilla). Этот хакер несколькими годами ранее раскрыл себя в онлайн-беседе на тему китайских кибервойск, которую организовал ведущий специалист в области компьютерных наук, профессор, написавший множество книг по китайским «сетевым войнам». Mandiant использовала киберкриминалистические доказательства, для того чтобы установить связь между определенными хакерами, и была уверена, что некоторые из них не только лично знакомы друг с другом, но, возможно, работают в одном офисе. Отчет даже давал пару уроков по китайскому хакерскому сленгу: например, «мясом цыпленка» называли зараженный компьютер.
Также Mandiant пришла к выводу, что китайские киберподразделения получали «непосредственную поддержку от лингвистов, исследователей, анализирующих открытые источники, авторов вредоносного ПО и экспертов индустрии». Вероятно, работала целая команда, которая заказывала компьютерное оборудование, осуществляла его техническую поддержку и, кроме того, обеспечивала финансовый и организационный менеджмент, логистику и транспорт. Другими словами, это был хорошо организованный бюрократический аппарат, мало отличающийся от американских государственных агентств.
Отчет Mandiant содержал подробности, которые обычно характерны для секретных документов государственной разведки. Это еще одна причина, по которой отчет оказался столь знаменательным. Он продемонстрировал, что частные исследователи могут собрать и проанализировать информацию не менее, а может и более эффективно, чем это делают государственные разведывательные службы. Отчасти это свидетельствовало об уровне квалификации специалистов Mandiant. Но вместе с тем отчет выявил нечто новое в природе киберпространства. В неуправляемой среде, в которой хакеры могут перемещаться, используя совместную сетевую инфраструктуру, на самом деле не существует никаких секретов. При достаточном уровне подготовки и с помощью правильного инструментария частные сыщики могут отследить хакера точно так же, как это делают государственные агенты или военные оперативники. Отчет Mandiant не только сорвал покровы с китайского кибершпионажа, но еще и перевернул представления о том, что только государство готово к ведению борьбы в киберпространстве.
Отчет Mandiant имел скорые и весьма серьезные последствия. Представители Китая выступили со своими обычными опровержениями, назвав обвинения в управляемом властями шпионаже необоснованными. Менее чем через месяц советник по нацбезопасности США Том Донилон выступил с важной речью, в которой предостерег официальный Пекин и назвал китайский кибершпионаж «нарастающей угрозой нашим экономическим взаимоотношениям с Китаем» и «ключевой проблемой для обсуждения с китайской стороной на всех уровнях власти». Между обеими сторонами проводились переговоры за закрытыми дверями, в которых американские чиновники требовали, чтобы Китай прекратил свои агрессивные операции. Теперь эти обсуждения стали публичными. Замечания Донилона стали первым открытым заявлением представителей Белого дома касательно китайского кибершпионажа. Донилон говорил о том, что проблема «сместилась на передний план повестки Администрации», и призывал китайские власти обратить свое внимание на «актуальность и масштаб проблемы и на ту опасность, которую она представляет, – опасность для международной торговли, для репутации китайской промышленности и для отношений между двумя странами в целом». Впервые американцы потребовали от Китая заняться проблемой кибершпионажа. «Пекину следует предпринять самые серьезные меры для расследования и прекращения подобной деятельности и начать с нами конструктивный и прямой диалог для выработки приемлемых норм поведения в киберпространстве», – сказал Донилон.