[Перевод] Как русские хакеры обокрали Nasdaq
Примечание переводчика: Не так давно широко обсуждался сбой на Нью-Йоркской фондовой бирже, который некоторые наблюдатели назвали результатом атаки Anonymous или китайских хакеров. Этот случай далеко не единственный, когда фондовые биржи оказываются под ударом. Сегодня мы представляем вам адаптированный перевод рассказа о том, как объектом атаки стала другая американская биржа Nasdaq.
В октябре 2010 года система мониторинга интернет-трафика Федерального Бюро Расследований зафиксировала сигнал тревоги. Источником сигнала была биржа Nasdaq. Все выглядело так, будто вредоносная программа смогла незаметно проникнуть в центральные серверы биржи. Злоумышленником, судя по всему, был не какой-то мальчишка, а спецслужба другой страны. Более того, вызывает беспокойство тот факт, что после тщательного изучения хакерской программы американские специалисты сделали вывод о том, что она должна была атаковать систему с целью ее повреждения.
Поскольку хакерские взломы случаются почти каждый день, почти все они отображаются на мониторах центров слежения, оставаясь при этом незамеченными широкой публикой. Китайцы, французы, израильтяне — и многие другие менее известные или изученные игроки — все, так или иначе, занимаются хакерством. Они крадут планы ПРО, химические формулы, схемы трубопроводов электростанций и экономическую информацию. Это самый настоящий шпионаж, а военные удары наносятся с помощью вирусных программ. Зафиксировано лишь несколько случаев внедрения вредоносных программ, наиболее известной из которых является вирус Stuxnet. Являясь, по мнению большинства, совместным проектом американцев и израильтян, Stuxnet временно вывел из строя иранский завод по обогащению урана в 2010 году в Натанзе. Он отключил предохранительные устройства, из-за чего центрифуги, расположенные в самом центре установки, вышли из-под контроля. Два года спустя Иран повредил две третьих компьютерной системы компании Saudi Aramco, используя относительно простой в разработке, но быстро распространяющийся вирус Wiper. Один пожилой американский чиновник заявил, что лишь однажды сталкивался с тем, чтобы цифровое оружие было направлено на повреждение особо важной системы США, и произошло это на бирже Nasdaq.
Полученный в октябре сигнал тревоги потребовал участия в расследовании Агентства национальной безопасности, и уже в 2011 году АНБ сделало вывод о потенциальной угрозе. В комнате для совещаний 11-этажного офисного здания в пригороде Вашингтона была проведена секретная видеоконференция участников группы по принятию решений в кризисных ситуациях. Помимо фондю-бара и тренажерного зала CrossFit, в здании также располагался офис Национального центра кибербезопасности и интеграции коммуникаций NCCIC [англ. National Cybersecurity and Communications Integration Center], основной задачей которого является обнаружение атак хакеров и координация действий правительства США. После изучения данных ФБР и дополнительной информации от АНБ сотрудники NCCIC сразу же сошлись на том, что о ситуации необходимо доложить вышестоящему руководству.
Так началось активное расследование, которое в течение пяти месяцев тестировало возможности США к отражению кибератак и потребовало непосредственного участия президента. Спецслужбы и силовые структуры, вынужденные под давлением анализировать действия хакеров, с трудом смогли представить относительно ясную картину высокопоставленным чиновникам. В разных правительственных органах даже спустя несколько месяцев кропотливой работы все еще имелись разногласия по поводу того, кто организовал инцидент и с какой целью. «Скажу лишь, что мы обнаружили, как представители другого государства сумели получить доступ как минимум к одной из наших фондовых бирж, и нам не совсем ясно, какова их конечная цель», — заявил глава Комитета по делам разведки в Палате представителей США Майк Роджерс, являющийся также представителем республиканской партии от штата Мичиган. Он согласился обсудить случившееся лишь в общих чертах, так как подробности строго засекречены. «Проблема текущей ситуации заключается в том, что никто, как мне кажется, не сможет ее понять до тех пор, пока мы не ощутим всех последствий произошедшего. И никто бы не хотел, чтобы до этого доходило».
Журналисты Bloomberg Businessweek за несколько месяцев взяли интервью у двадцати экспертов по поводу атаки на Nasdaq и ее последствий, о которых так и не было предоставлено подробного отчета. Девять их них были напрямую задействованы в расследовании и принимали участие в обсуждениях вопросов безопасности; никто не стал делать публичных заявлений. «Расследование несанкционированного проникновения на Nasdaq ведется до сих пор», — сообщил заместитель директора офиса ФБР в Нью-Йорке Джордж Венизелос. — «Как и все случаи киберпреступлений, текущая ситуация несколько запутанна, а свидетельства и факты по этому делу будут всплывать с течением времени».
Несмотря на то, что атака была успешно отражена, этот случай продемонстрировал, насколько биржи –, а также банки, химические заводы, водоочистные сооружения и энергосистемы — уязвимы для хакеров. Один из чиновников, испытавший на себе последствия произошедшего, заявил, что проведенная атака, как ему казалось, кардинально изменит текущее положение вещей и вынудит США принять серьезные меры для подготовки к новой эпохе конфликтов с использованием компьютерных технологий. Он оказался не прав.
В совещании, проведенном NCCIC, приняли участие эксперты из министерств обороны, финансов и внутренней безопасности США, а также представители АНБ и ФБР. После предварительной проверки группе по разрешению инцидента был предоставлен ряд разрозненных данных о личностях хакеров, и уже спустя несколько минут все пришли к соглашению относительно серьезности вторжения и необходимости проинформировать об этом Белый дом.
Участники видеоконференции на следующий же день были созваны в Белом доме, и к ним присоединились представители Министерства юстиции, Госдепартамента США и Центрального разведывательного управления. Собравшиеся составили список решений, представленных руководству спецслужб Белого дома, Министерства юстиции, Пентагона и других органов. Руководство, в свою очередь, определило ряд вопросов, на которые должны были ответить участники расследования: Могли ли хакеры получить доступ к торговой площадке и манипулировать ею или же нарушить ее работу? Являлось ли вторжение частью более масштабной атаки на финансовую инфраструктуру США?
Расследование решила возглавить Секретная служба США. Ее сотрудники добавили, что за несколько месяцев до инцидента они побывали на Nasdaq, и у них есть свидетельства того, что группа предположительно русских преступников, которую возглавляет житель Санкт-Петербурга Александр Калинин, взломала серверы биржи, и что эти два события могут быть как-то связаны. Однако Секретная служба потеряла нить и прекратила расследование.
«Если кто-то в правительстве скажет вам, что все выяснил… передайте нам их имена»
Когда ФБР известило Nasdaq о вторжении, оказалось, что биржа сама обнаружила сбои в системе и была вынуждена сообщить об атаке. После обсуждения вопросов конфиденциальности Nasdaq позволила сотрудникам спецслужбы США войти в свою систему. Следственные группы посетили штаб-квартиру Nasdaq в здании One Liberty Plaza в Нью-Йорке и дата-центр биржи в Картерете, штат Нью-Джерси, где они обнаружили несколько следов сотрудников разведки или военнослужащих.
Хакеры использовали комбинацию двух уязвимостей «нулевого дня» [англ. zero-day]. Уязвимостью «нулевого дня» называют ранее не обнаруженную «дыру» в системе — у разработчиков было »0 дней», чтобы ее устранить — которая позволяет хакерам без труда управлять компьютером на расстоянии. Это очень ценный товар, за который на подпольном рынке предлагают до нескольких десятков тысяч долларов. Использование одной уязвимости «нулевого дня» указывает на опытного хакера; больше одной — на сотрудников правительства. Stuxnet использует четыре: это признак того, что создатели кода использовали современные методы разведки и точно знали, как различные системы взаимодействуют друг с другом.
Кто бы ни организовал атаку на Nasdaq, они проделали похожую подготовительную работу и использовали подобные средства. Особое внимание было уделено вредоносному программному обеспечению, обнаруженному в хранилищах Nasdaq. АНБ уже сталкивалось с подобной программой: она была разработана Федеральной Службой Безопасности Российской Федерации, главной разведывательной службой страны. И программа была не просто шпионской: она могла не только красть информацию, но и полностью разрушить компьютерную сеть. По мнению АНБ, она способна вывести из строя целую биржу.
В начале января этого года АНБ представило свои результаты руководству спецслужб: элитные русские хакеры взломали систему фондовой биржи и подложили под нее «цифровую бомбу». В лучшем случае хакеры установили свое вредоносное программное обеспечение вместе с механизмом самоуничтожения на случай, если их заметят, чтобы полностью разрушить систему Nasdaq, заметая следы. В худшем случае разрушение системы было их единственным намерением. Президент США Барак Обама был проинформирован о результатах расследования.
Позже в ходе расследования некоторые американские чиновники задумались, не перестаралось ли АНБ, когда распространяло полученные сведения. Вредоносное программное обеспечение зачастую переходит от одного владельца к другому: его продают, крадут, им делятся с другими. И с технической точки зрения вредоносный код может не сильно отличаться от гораздо менее разрушительной программы. В это время директор АНБ Кит Александер и его сотрудники активно спорили с властями по поводу того, какими полномочиями должно обладать АНБ, чтобы защитить частные компании от этой новой формы агрессии. Такое внезапное вторжение, наверняка, лишь усугубило бы ситуацию.
С учетом того, что расследование заходило все дальше в штаб-квартиру Nasdaq и ее дата-центр, следователям пришлось воссоздать картину действий первоклассных хакеров, чья работа предполагает отсутствие каких-либо следов. Следственная группа была поражена тем, насколько уязвимой может быть такая развитая организация, как Nasdaq.
«Честно говоря, мы предполагали, что финансовый сектор будет действовать более слаженно», — заявил Кристофер Файнан, бывший эксперт по кибербезопасности в Белом доме. — «Я не говорю, что такого рода компании совершенны, но на фоне остальных они являются одними из лучших».
По мнению правоохранительных органов и частных компаний-подрядчиков, нанятых биржей для помощи в расследовании, то, что следователи нашли во время поиска на Nasdaq, их просто шокировало. Ими были обнаружены следы нескольких независимых друг от друга групп, включая компьютерных преступников и китайских кибершпионов. Некоторые из них, возможно, проникли в систему биржи несколько лет назад. Не было найдено основных записей ежедневной активности, происходящей на серверах биржи, которые могли бы помочь отследить действия хакеров. Кроме того, следователи выяснили, что веб-сайт, которым руководит собственник One Liberty Plaza, содержал вирусную программу русских хакеров, известную как Blackhole: она заражала компьютеры арендаторов, заходивших на страницу, чтобы оплатить счета или другие расходы.
Из-за так называемого «грязного болота» в хранилище Nasdaq поиск следов русской вирусной программы проходил слишком медленно. Сотрудники спецслужб выяснили, что впервые хакеры проникли в компьютеры Nasdaq по меньшей мере за три месяца до того, как их заметили, но это лишь предположение. По некоторым признакам можно судить о том, что было украдено большое количество данных из кэша, хотя доказательств недостаточно, и сложно сказать, какие данные были похищены. «Если кто-то вломился в ваш дом, достаточно сложно выяснить, где находились грабители и что они украли, потому что, в отличие от банка, в вашем доме нет ни камер, ни датчиков движения», — поясняет Джейсон Сайверсен, исполнительный директор Siege Technologies, охранной фирмы из Манчестера, штат Нью-Гэмпшир. — «С точки зрения кибербезопасности большинство компаний скорее являются домами, чем банками».
Спецслужбы оставили за Nasdaq право сообщить об атаке своим клиентам, регулирующим органам и общественности. Биржа сделала это 5 февраля в своем коротком сообщении и спустя несколько недель зафиксировала это в своей отчетности. Дыра в системе Nasdaq возникла в далеко не самое подходящее для биржи время. Она была близка к приобретению Нью-Йоркской фондовой биржи (ICE) за 11 миллиардов долларов.
В своем электронном сообщении Nasdaq не упоминала о том, насколько серьезной была атака. Биржа сообщила, что хакерская программа была обнаружена в ходе «очередной проверки» и не смогла проникнуть в систему Director«s Desk, с помощью которой более 230 компаний делились финансовой информацией с членами совета директоров. «У нас нет сведений о том, что какая-либо информация была украдена», — говорилось в сообщении. В интервью для этой статьи пресс-секретарь Nasdaq Джозеф Кристинат заявил: «Наши эксперты по данному вопросу, работая в тесном сотрудничестве с Правительством США, пришли к выводу, что доказательств утечки данных из наших систем Director«s Desk не обнаружено. Что более важно, в 2010 году биржа резко поменяла свое отношение к кибербезопасности. В итоге сегодня у нас имеется гораздо больше возможностей для обнаружения атак и защиты целостности наших систем, наших технологий и участников рынка».
Фотография Марио Тамы/Getty Images
«Скажу, что мы обнаружили, как представители одной госслужбы сумели получить доступ как минимум к одной из наших фондовых бирж… и нам не совсем ясно, какова их конечная цель»
Тем временем, события вокруг поиска организаторов кибератаки приняли неожиданный поворот. В отличие от бомб и ракет, хакерские программы можно использовать повторно. Если оставить их в системе, то другие хакеры могут присвоить их себе, подвергнуть их реверс-инжинирингу и перебросить в хранилища своих очередных жертв, чтобы замести следы, подобно убийце, который пользуется чужим пистолетом. В ходе изучения данных по другим проникновениям в правительственные и военные компьютеры, следователи выяснили, что вредоносное программное обеспечение русских было использовано опытным китайским кибершпионом, который, по некоторым сведениям, помимо этого успешно занимался криминальным бизнесом. Этот хакер мог получить вредоносный код от русских или украсть его из другой системы и использовать его, чтобы скрыть свою личность. Некоторые материалы Nasdaq также подтверждали эту теорию. Барак Обама в очередной раз был проинформирован о том, что расследование сменило направление в сторону Азии.
После того, как следователи изменили курс, количество задействованных в расследовании групп возросло. Управление по защите критической инфраструктуры и политике соблюдения антимонопольного законодательства Министерства финансов составило список 10 крупных банков и фондовых бирж США, которые могли бы стать мишенями более масштабной операции. Не все компании согласились сотрудничать со следствием. В тех, что согласились, следователями были изучены лог-файлы компьютеров и проверена работа серверов, а службы безопасности этих компаний помогли ускорить процесс.
Сотрудники спецслужб нашли не так много свидетельств более крупной атаки. Однако они обнаружили систематические нарушения в системах безопасности, возникшие в нескольких наиболее важных финансовых учреждениях США. Оказалось, что многие учреждения из списка были подвергнуты той же атаке, от которой пострадала Nasdaq. Они отделались легким испугом лишь потому, что хакеры не стали прилагать к этому усилий.
Обнаружение связи с Азией не принесло желаемых результатов. Следователи вновь обратили свое внимание на Россию как главного подозреваемого, но так и не могли определить мотив преступления. Хакеры свободно могли находиться в сети Nasdaq в течение нескольких месяцев. Кроме того, сама биржа отделена от других компонентов системы. К ней нелегко получить доступ, но нет никаких признаков того, что хакеры пытались это сделать.
За ответами Белый дом обратился к ЦРУ. В отличие от АНБ, собирающего разведданные исключительно при помощи электронных средств, ЦРУ получает информацию «из всех источников» и делает акцент на мнения реальных людей. ЦРУ начало искать связи между российскими спецслужбами и организованной преступностью. Кто-то из сотрудников ФСБ мог, помимо прочего, руководить некоммерческим предприятием или передавать вирусные программы группе хакеров. Дальнейшие исследования вредоносных программ показали, что их возможности были менее разрушительными, чем считалось ранее. Они не могли вывести из строя компьютеры так, как мог, например, вирус Wiper, но могли взять под контроль определенные функциональные элементы и вызвать сбой в сети.
Если мотивом хакеров были деньги, то коммуникационная веб-система Director«s Desk, в которую они проникли в самом начале, предлагала широкий спектр возможностей. Ее использовали тысячи корпоративных директоров для обмена секретной информацией о своих компаниях. Если бы кто-то завладел этими данными, он в одночасье мог бы стать миллионером.
В Вашингтоне сотрудники ФБР и органы управления торговлей проанализировали тысячи сделок, проведенных при помощи алгоритмов, с целью выяснить, может ли информация из Director«s Desk навести следствие на подозрительные операции. Согласно двум сотрудникам, предоставившим отчет о результатах своей работы, никаких улик найдено не было.
Представители службы безопасности в очередной раз пересмотрели свои предположения по поводу незаконного вторжения. Исходя из результатов, полученных ЦРУ, сотрудники Белого дома сделали вывод о том, что это было тщательно спланированное киберпреступление. По мнению одного специалиста, вероятность этого составляла всего лишь около 70%, но альтернатив этому предположению не нашлось. АНБ действовало под особым контролем Службы технической помощи [англ. Request for Technical Assistance, RTA], а у нее оставалось не так уж много времени. По словам двух сотрудников спецслужб, после того, как Барак Обама был проинформирован о случившемся в третий раз, служба разведки была отстранена от дела, и к концу марта расследование было полностью передано в руки ФБР.
Сотрудники бюро отметили, что особое внимание хакеров, судя по всему, привлекли 13 серверов, использующих уникальные технологии Nasdaq. Эти технологии настолько сложны, что биржа ведет дополнительный бизнес, направленный на предоставление особых прав на технологии другим фондовым биржам по всему миру.
И все же время нападения никак не соответствовало действительности. В 2008 году Дмитрий Медведев сменил Владимира Путина на посту президента, а Путин занял чуть менее влиятельную должность премьер-министра. Отношения с Западом, можно сказать, были вполне дружественными, а об агрессии по отношению к глобальной финансовой системе не могло быть и речи.
Россия могла быть заинтересована в деятельности Nasdaq и по другим причинам. В январе 2011 года Медведев посетил Международный экономический форум в Давосе, Швейцария, чтобы представить грандиозную идею превращения Москвы в международный финансовый центр. Через месяц две недостаточно эффективные фондовые биржи, ММВБ и РТС, объявили о слиянии в единую торговую платформу мирового уровня, какой ее видели себе владельцы. Эта платформа стала бы бриллиантом в короне новой мировой финансовой столицы.
По мнению топ-менеджеров из России, национальная безопасность страны и успех биржи тесно связаны между собой. Сегодня большинство российских компаний представлено на крупных западных биржах, что подвергает их серьезному экономическому воздействию со стороны США и Европы. В 2012 году, когда Путин вернулся на пост президента, он вынуждал российские компании выходить исключительно на новую биржу. В то же время он вложил миллиарды рублей в создание финансового центра в Москве, которое включало в себя строительство самого высокого здания в Европе.
К середине 2011 года следователи пришли к выводу, что русские не пытались подорвать работу Nasdaq. Они хотели создать ее копию, чтобы внедрить ее технологии прямо на свою биржу или взять в качестве образца для ее изучения. С этой целью они и отправили элитную команду кибершпионов.
Без четкой картины того, какие именно данные были украдены с Nasdaq и куда они были переданы — это невозможно воссоздать, учитывая отсутствие лог-файлов и других необходимых экспертных данных — нельзя убедить все правительство или даже ФБР в правильности такого вывода. Однако один следователь, принявший непосредственное участие в расследовании, сказал, что эта версия — самая убедительная. Кроме того, были и другие кусочки мозаики, которые не сходились. Собирались ли хакеры применить разрушительное воздействие вредоносного кода как оружие или как нечто иное? Если бы им не помешали, что еще они могли бы сделать? Председатель посольства России в Вашингтоне Евгений Хоришко, которого попросили прокомментировать инцидент на Nasdaq, заявил: «Это настолько нелепо, что здесь даже нечего комментировать».
В январе прошлого года во время скандала, возникшего по поводу сбора АНБ информации о нескольких миллионах американских граждан, Барак Обама выступил со своей речью. В ней он неявно сослался на возможность АНБ «перехватывать хакерские программы, нацеленные на фондовую биржу» как одну из причин, по которой он не стал критиковать способности агентства к перехвату цифровых сообщений.
Однако для некоторых американских чиновников последствия инцидента окажутся куда более устрашающими. Органы национальной безопасности США могут доминировать в реальном мире, но они не так хорошо подготовлены к борьбе в виртуальном пространстве. Правила кибервойны еще полностью не прописаны, и внедрение вредоносного кода может оказаться оружием, не менее разрушительным, чем вывод из строя реальной инфраструктуры. И это оружие достаточно сложно отследить: спустя почти четыре года после первого вторжения на Nasdaq, сотрудники американских спецслужб все еще пытаются разобраться в произошедшем. Несмотря на то, что вооруженные силы США являются хорошим средством для устрашения, оно не работает, если не знаешь, как его применить.
«Если кто-то в правительстве скажет вам, что знает, как нужно реагировать на агрессивную кибератаку, передайте нам их имена. Таких людей не должно там быть», — заявил Роджерс, возглавляющий комитет по разведке. — «Проблема в том, что вне зависимости от наших действий пострадает не правительство: пострадают 85% американских сетей, находящихся в частном секторе. А они переживают сейчас не лучшие времена».
Сбои периодически возникают не только на американских биржах, но и на торговых площадках в других странах, например на Московской бирже. Ошибки часто приводят не к остановке торгов, а, например, к некорректному отображению торговых данных или неверному расчету гарантийного обеспечения для удержания позиции (ошибка может привести даже к преждевременному закрытию сделки)
Для того, чтобы минимизировать возможный ущерб брокерские компании разрабатывают различные системы защиты клиентов. О том, как реализована подобная защита в торговой системе ITinvest MatriX мы расскажем в одном из следующих постов (кратко об этом можно прочитать по ссылке).