Усилия по контролю за кибер-оружием. Сообщения о злонамеренных и целевых кибератаках становятся все более распространенными во всем мире. Например, в начале февраля органы безопасности Австралии объявили, что расследуют попытку взлома парламента страны, и не исключают, что за ним стоит другая страна.

Фото: Максим Шмелёв / Shutterstock

По мере обнаружения более сложных и потенциально разрушительных атак на критически важные системы национальной инфраструктуры все громче звучат призывы к международным правилам, регулирующим этот возникающий фронт битвы.

Усилия по контролю за кибер-оружием в основном сосредоточены вокруг модели, в которой «оружие» относится к инструментам для взлома кода, специфичным для оружия, или к уязвимостям программного обеспечения, которые их допускают. Предпринимались попытки ограничить распространение и распространение так называемых «эксплойтов нулевого дня» – недостатков в программном коде, которые позволяют злоумышленникам вмешиваться в системы, которые их запускают.

Недавнее разоблачение Reuters операций тайного крыла Национального управления электронной безопасности (NESA) Объединенных Арабских Эмиратов (NESA) выявило еще один компонент наступательных кибератак – экспертизу. Эта проблема вызвала дальнейшее международное внимание, когда ФБР объявило обвинения в середине февраля против Моники Витт, бывшего аналитика ВВС США, обвиняемого в шпионаже и дезертирстве в Иран.

Кибер наемники

Расследование агентства «Рейтер» подробно рассказывает о том, как некоторые бывшие сотрудники Агентства национальной безопасности США (АНБ), работники с опытом работы с цифровыми технологиями проникновения, сбором оперативной информации и наступательными кибероперациями, получили контракт через фирму из Мэриленда для работы в ОАЭ.

В исследовании особо упоминается один из инструментов – Карма, который эти подрядчики использовали от имени ОАЭ для решения конкретных задач. Этот хакерский инструмент позволил его операторам получить неожиданный и удаленный доступ к целевому телефону Apple через неопределенный недостаток, который, как теперь полагают, был исправлен Apple. Reuters сообщило, что цели этих атак варьировались от правозащитников до американских журналистов.

В статье поднимались вопросы о том, могли ли эти подрядчики предоставить своим сотрудникам NESA передовые кибер-возможности, разработанные их бывшим работодателем, NSA. Но подтекст расследования Reuters заключается в том, что опыт этих бывших сотрудников разведки так же привлекателен для их новых работодателей, как и любые инструменты, которые они могут принести с собой.

В отдельной статье, специально посвященной изучению кармы, Reuters утверждает, что она была приобретена правительством эмирата у продавца за пределами страны. По сути, в ОАЭ была нанята команда инженеров-специалистов, не имеющих работы, которые не могли взять с собой инструменты, которые они использовали в США, поэтому он купил им инструменты, необходимые для выполнения работы. Это говорит о том, что для комплектации любого штата или группы с расширенными кибер-возможностями требуются два компонента: инструменты и опыт.

Инструменты и экспертиза

В настоящее время предпринимаются глобальные усилия по управлению инструментами, используемыми в кибератаках, такими как Глобальная комиссия по стабильности киберпространства, которая представила серию международных норм об использовании киберпространства для обеспечения стабильности Интернета и передовой практики всех участников. Другие усилия были предприняты на законодательном уровне, такие как конкретные дополнения к Вассенаарским договоренностям, механизм экспортного контроля, направленный на ограничение распространения гражданских технологий, которые могут быть использованы военизированными средствами. Но опыт кибер-оперативников до сих пор видел ограниченное внимание.

В сценарии, описанном Reuters, NESA и ее Project Raven не могли бы работать без инструментов или опыта. Сам инструмент – Karma – а также опыт и знания, необходимые для его использования и обучения других, требуют значительных инвестиций.

Опасность государственных инвестиций в сбор недостатков программного обеспечения и создание мощных инструментов, которые затем используют эти ранее неизвестные слабости, была болезненно продемонстрирована утечкой уязвимости, накопленной АНБ, EternalBlue. Это было основой атаки WannaCry, которая в 2018 году вышла на международный уровень благодаря ее влиянию на британскую NHS и другие международные деловые и правительственные службы.

Но должно расти беспокойство по поводу возможности, которую государства вкладывают в набор навыков людей, которые обнаруживают, а затем используют недостатки программного обеспечения, которые питают нашу все более взаимосвязанную и зависимую от Интернета жизнь. Правительства во всем мире готовятся к тому, что они считают следующей областью войны, пытаясь привлечь существующих специалистов для участия в государственных проектах или путем обучения следующего поколения экспертов по кибербезопасности, которые, как они надеются, дадут им преимущество.

Существует риск того, что в глобальных усилиях, направленных на использование государствами кибер-инструментов и использование уязвимостей в программном коде, возникает законодательный и управленческий разрыв. Это может привести к тому, что государства будут вкладывать средства в подготовку кибершпионов, диверсантов или солдат будущего только для того, чтобы найти эти критические навыки и возможности, которые они предоставляют, которые будут приобретены по самой высокой цене.

По материалам phys.org