Список целей расширялся. В апреле сотрудники Secureworks нашли еще одну компанию, обслуживающую нефтегазовый сектор и пострадавшую в ходе той же атаки, и это привело их к двум следующим жертвам. Все атакованные фирмы являлись ключевыми поставщиками британского энергетического сектора и снабжали в том числе и атомные электростанции. (Представители Secureworks не раскрыли названия этих компаний, ссылаясь на конфиденциальность клиентской информации.)

Все жертвы были атакованы с помощью одной вредоносной программы, которая была уже знакома исследователям Secureworks. Они – как и сотрудники других компаний, работающих в сфере кибербезопасности, – следили за ней еще с 2010 года, наблюдая за тем, как она развивается и возникает во множестве компаний, часто связанных с энергетической отраслью. Поскольку ее всегда использовали одинаково, а ее текущая версия не продавалась в киберпреступном подполье, исследователи полагали, что программу контролирует одна группа. И теперь эта группа наносила удары по Великобритании. Одной из хитростей хакеров стал взлом американского издательского дома CFE Media, который публикует специальную литературу для инженеров. Злоумышленники разместили зараженные файлы в издававшихся компанией онлайн-журналах, которые скачивали посетители сайта.

Это называется «атакой у водопоя» – при такой охоте, вместо того чтобы преследовать одного зверя, охотник отравляет воду, которую пьют все. «Под удар попадает все нужное сообщество», – говорит Рэйф Пиллинг, исследователь информационной безопасности из Secureworks. Используя эту тактику, хакер не знает, кто окажется заражен, но высока вероятность, что жертвой станет человек, полезный для злоумышленника.

И тактика сработала. Летом 2016 года посетители сайта журнала Consulting-Specifying Engineer, чьи компьютеры не были защищены, невольно отправляли свои логины и пароли Windows на сервер, управляемый хакерами[348]. Впоследствии эти данные можно было использовать для входа в учетные записи на рабочих компьютерах инженеров, что давало хакерам отправную точку для атаки на энергетический сектор.

Издательство CFE Media отказалось прокомментировать этот инцидент для книги.

Специалисты Secureworks начали замечать другие признаки того, что злоумышленники были не новичками в своем деле: среди прочего они использовали тактику, доступную только хакерам, получающим лучшее финансирование в мире. Она эксплуатирует частые обновления программного обеспечения наших компьютеров. iTunes, FlashPlayer, Java – какая-нибудь из программ всегда требует обновления. Для взлома хакеры перехватывали запросы на обновления и отправляли жертвам зараженные файлы. Для этого им необходим был доступ к интернет-роутеру, обеспечивающему подключение жертв к интернету. Подобно домашнему пользователю, компания тоже подключается к интернету через роутер, поэтому, взломав его, можно отслеживать запросы на обновления – и управлять ими.

Об этом трюке с перехватом запросов общественность впервые узнала от Эдварда Сноудена, подрядчика американского Агентства национальной безопасности, который в 2013 году опубликовал в интернете засекреченные документы. Он заявил, что АНБ использует тактику QuantumInsert. Она требует серьезной огневой мощи, ведь хакерам, по сути, приходится соперничать с ведущими мировыми производителями программного обеспечения, чтобы доставлять свои обновления первыми. Для победы в этой гонке необходимы навыки, скорость и ресурсы, доступные только лучшим из лучших.

«Это по плечу большинству государственных хакерских групп, – говорит Дон Смит, технологический директор Secureworks. – Тут нужны большие „трубы“ [быстрое интернет-соединение со взломанным роутером]. Вам нужно ответить на запрос быстрее, чем с этим справится настоящий поставщик обновления».

К тому времени стало понятно, что компании британского энергетического сектора атакует группа, имеющая серьезные ресурсы. Когда специалисты Secureworks принялись изучать, какие цели преследуют хакеры, их озабоченность возросла. Они обнаружили следы документов, похищаемых злоумышленниками: в них содержалась конфиденциальная информация не только о попадающих под удар компаниях, но также обо всем британском энергетическом секторе, который эти компании обслуживали.

В обычном инциденте со взломом компании, работающие в сфере технологической безопасности, порой позволяют злоумышленникам некоторое время продолжать работу. На это есть веские причины: у исследователей появляется возможность изучить тактики хакеров, составить полное представление о том, насколько глубоко они проникли в системы жертв, и собрать данные, чтобы снова обнаружить этих злоумышленников в будущем. Но только не в этом случае. Связи жертв с важнейшими объектами британской энергетической инфраструктуры внушали такие опасения, что сотрудники Secureworks поспешили вытеснить хакеров из систем. Но хакеры не собирались сдаваться без боя.

«Они знали, что мы систематически их вытесняем, – вспоминает Смит. – Они не хотели расставаться с тем, что оказалось у них в руках. В какой-то момент мы заметили, что [хакеры загружают] новый вирус, созданный накануне ночью. Началась игра в кошки-мышки, где одни шли в атаку, а другие держали оборону».

В конце концов победа досталась Secureworks. К тому времени исследователи установили, что одним и тем же штаммом вируса заражены четыре компании, обслуживающие британскую нефтегазовую и атомную энергетику, но у них возникли опасения, что на самом деле это лишь часть гораздо более масштабного взлома.

Подобно тем, кто расследовал атаки на украинские электростанции, специалисты Secureworks нашли свидетельства, которые, по их мнению, указывают на российское вмешательство. Они полагают, что обнаруженный ими вирус был инструментом единственной хакерской группы, цель которой состояла в том, чтобы «собирать информацию об энергетическом секторе (в частности, в Европе), чтобы содействовать российским государственным и частным компаниям в принятии решений и получать доступ к АСУ [автоматизированным системам управления], связанным с энергетикой»[349].

Российское правительство не ответило на запрос об интервью для этой книги, отправленный в посольство Российской Федерации в Лондоне, а также напрямую в российское Министерство иностранных дел.

Исследователи Secureworks подчеркивают, что у них не было никаких оснований полагать, что хакеры собираются устроить катастрофические атаки, подобные украинским. Британская энергетическая система не стояла на пороге отключения. Напротив, они считают, что наблюдали за шпионскими маневрами. Но полученные в ходе взломов данные, разумеется, можно было однажды использовать и для атаки.

Рэйф Пиллинг, который занимается исследованием информационной безопасности в Secureworks, отмечает:

Вероятно, здесь было два основных направления. Шпионаж – например, сбор информации для выбора курса и принятия решений на политическом уровне. И, возможно, подготовка атаки в украинском стиле в Великобритании, если обстоятельства будут к этому располагать.

Хакерские тактики прошли большой путь. Все начиналось с простого озорства и попыток нажиться (или их сочетания в разных пропорциях), но в последние несколько лет они гораздо сильнее и серьезнее влияют на нашу жизнь. Теперь хакеры не просто угрожают критически важной для нас инфраструктуре, но и манипулируют тем, что мы слышим и видим. И такое слияние преступного хакинга и управления массами назревало на протяжении многих лет.

Глава 9

Данные как оружие

Это управление восприятием, в котором мировая журналистика используется как оружие. Это новая область пропаганды. Так сказал