Рубеж 2016–2017 годов в российском ИБ-сообществе запомнился прежде всего официальным принятием долгожданного и важного для многих отраслей документа “Доктрина информационной безопасности Российской Федерации”, утвержденного Указом Президента Российской Федерации от 5 декабря 2016 года No 646 (далее – доктрина), получившая в народе простое, но очень наукоемкое прозвище “Доктрина кибербезопасности”. Она представляет собой систему официальных взглядов, позиций и требований по обеспечению национальной безопасности России во всех плоскостях информационного пространства.

В доктрине представлены пять основных направлений, определяющих интересы России в информационной сфере, перечислены 10 новых (по состоянию на 2016 г.) информационных угроз для России как мощного игрока на международной киберарене и в сети Интернет, заданы цели и направления обеспечения информационной безопасности на ближайшие 10 лет. Примерно в это же время, судя по индексу популярности отечественных поисковых систем, в Интернете резко возрос интерес к модным, но непонятным на тот момент в России терминам с приставкой "кибер-" (от английского Cyber): кибербезопасность, киберспорт, киберпространство, киберорганизм, киберпреступление, кибермошенничество и т.д. Только ленивый маркетолог или неопытный сейл не включал в свою универсальную презентацию 1–2 слайда на тему современных киберугроз и, о чудо, имеющихся только у него в наличии решений класса "серебряная пуля", позволяющих раз и навсегда решить вопрос с кибератаками на целевые системы.

Современные кибератаки

Кейс №1

7 сентября 2017 г. портал WikiLeaks опубликовал четыре секретных и 37 смежных документов различного уровня секретности из проекта Protego, реализованного спецподразделениями ЦРУ в 2014–2015 гг.

Проект Protego – это не типовой проект ЦРУ по разработке внедоносных компонентов. Он предполагал совместную с компанией Raytheon разработку ПО для управления крылатыми ракетами с PIC-микроконтроллерной архитектурой.

В документации по проекту Protego указано, что целевой системой могут быть оснащены самолеты ВВС США Pratt & Whotney (PWA), которые в период боевых вылетов несут на борту ракеты класса "воздух – воздух" и "воздух – земля". В украденной из ЦРУ документации содержится подробное описание архитектуры выбранного решения и способов обхода подсистемы шифрования и аутентификации. В документах под заголовками System HW Description, Build Procedure или Message Format содержится подробное описание работы логических компонентов решения. Появление данной информации в открытом доступе, при условии, что проект Protego завершен, а целевая система успешно внедрена и эксплуатируется в ВВС США и ряда стран партнеров, является примером разглашения технологических секретов производства, сопоставимым с применением в отношении США информационного и кибероружия.

Кейс №2

31 августа 2017 г. портал WikiLeaks разместил в открытом доступе материалы по проекту Angelfire, выполненному ранее по заказу ЦРУ некой субподрядной ИТ-компанией в США. Суть проекта заключалась в разработке 5-компонентной программы-импланта для ОС линейки Microsoft Windows.

Результатом успешной реализации проекта Angelfire стала разработка гибкого фреймворка, который достаточно легко можно загрузить на целевую систему с использованием уязвимостей нулевого дня и применять в дальнейшем в качестве платформы для выполнения других совместимых программ-закладок, нацеленных как на сбор конфиденциальной информации в процессе работы пользователя, так и на саботаж основных процессов посредством шифрования критичных файлов на файловой системе или в операционной памяти.

Благодаря эксплуатации неизвестных ранее для Windows-платформы уязвимостей, связанных с утечками памяти и работой с загрузочным сектором файловой системы, вредоносные компоненты Angelfire не определялись средствами защиты и не оставляли видимых следов своего пребывания на целевой станции. Спектр применения подобных фреймворков огромен. Логика и архитектура, использованная субподрядчиком ЦРУ для реализации данного типа кибероружия, с успехом применялась создателями вредоносного программного обеспечения, использованного в ходе кибератак на финансовые организации в России в 2015–2018 гг.

Полную версию статьи читайте в электронной версии журнала Information Security №3-2018.