Чтение онлайн

После 4 июля чиновники разъехались из Вашингтона в отпуска на пляжи Восточного побережья. Туристы устремились в National Mall, [5] где многотысячные толпы наблюдали красные всполохи фейерверка, традиционно устраиваемого на День независимости. На противоположной стороне земного шара ракеты также запускались не впустую. Американский спутник обнаружил пуск ракет из Северной Кореи, а в вычислительном центре в Колорадо быстро определили, что ракеты были малой дальности и их цель находилась в море. Затем произошел второй запуск. Затем еще и еще. Семь северокорейских ракет ознаменовали День независимости США. Было это требованием помощи или демонстрацией силы, но все происходившее казалось вызовом. И этим все не закончилось. Действия переместились в киберпространство.

Накануне праздника 4 июля северокорейские спецслужбы разослали кодированное сообщение на 40 тысяч компьютеров, объединенных в ботнет. В сообщении содержался простой набор команд, в соответствии с которыми компьютеры начинали посылать запросы на ряд американских и южнокорейских правительственных и коммерческих веб-сайтов. Каждый инфицированный компьютер при включении присоединялся к атаке. Пользователь компыотера-зомби мог разве что обратить внимание, что процессор работает медленнее, а интернет-запросы выполняются несколько дольше обычного, и больше ничего. Да, это была еще одна DDoS-атака зомби, объединенных в ботнет. В какой-то момент во время праздника в американском правительстве заметили, что сойты dhs.gov и state.gov стали временно недоступны. Если бы кто-нибудь захотел проверить уровень террористической угрозы перед тем, как отправиться полюбоваться фейерверком, сделать это на сайте Министерства внутренней безопасности было невозможно.

Каждый зомби-компьютер направил множество запросов на эти сайты и атаковал систему, нарушая нормальное обслуживание пользователей.

На американские веб-сайты обрушивался миллион запросов в секунду. Сайты Министерства финансов, Секретной службы (Secret Service), Федеральной комиссии по торговле и Министерства транспорта в период с 4 по 9 июля на какое-то время выходили из строя. NASDAQ, Нью-Йоркская товарная и Нью-Йоркская фондовая биржи подверглись атаке, как и «Вашингтон пост». Однако DDoS-атака на Белый дом провалилась. Первой DDoS-атаки на Белый дом удалось избежать, поскольку мы с компанией Akamai организовали трафик так, что запросы пользователей направлялись на один из 20 тысяч серверов, разбросанных по всему миру. Атака 2009 года коснулась лишь компьютеров, расположенных рядом с источником. Поэтому проблемы возникли лишь на сайтах Белого дома, размещенных в Азии. Ник Шапиро, представитель Белого дома, без особого энтузиазма извинился перед азиатскими пользователями, которые не могли попасть на сайт Белого дома. Затем пришли вторая и третья волны атаки.

9 июля 30–60 тысяч компьютеров, зараженных различными разновидностями вируса, атаковали сайты правительства Южной Кореи, корейские банки и службы компьютерной безопасности. Очевидно, взломщики были убеждены, что атаки на американские сайты бессмысленны, после того как правительство и крупнейшие корпорации начали сотрудничество с интернет-провайдерами, чтобы отфильтровывать запросы взломщиков.

10 июля в шесть часов вечера по корейскому времени началось последнее нападение. На сайты южнокорейских банков и правительственных учреждений обрушились запросы со 166 тысяч компьютеров из 74 стран мира. Но в конечном счете атака была остановлена. Взломщики не пытались взять под контроль какие-либо государственные системы или нарушить деятельность важнейших служб.

Это было, скорее всего, только предупреждение. Нам известно, что у этой атаки имелся и план, и движущая сила. Это был не просто «червь», распространяющийся по всему Интернету. Кто-то направлял атаку, изменял список целей, чтобы сосредоточиться на более уязвимых южнокорейских сайтах.

Американское правительство не стало приписывать атаку Северной Корее, хоть Южная Корея не постеснялась это сделать. Выбор времени позволяет считать северокорейский режим главным подозреваемым, но точно установить виновника сложно. Зараженные компьютеры пытались связаться с одним из восьми главных серверов каждые три минуты. Серверы, в свою очередь, рассылали команды на компьютеры-зомби, указывая, какие сайты атаковать. Восемь главных серверов располагались в Южной Корее, Соединенных Штатах, Германии, Австрии и, что интересно, в Грузии. Южнокорейская комиссия подтвердила выводы вьетнамской компании Bach Khoa Internetwork Security (BKIS) о том, что все эти серверы управлялись с компьютера, который находился в английском Брайтоне. Далее следы теряются, хотя трудно представить, что вдохновитель атаки сидел за ноутбуком где-нибудь на пляже. Разведслужба Южной Кореи (NIS) полагает, что северокорейский Институт военных исследований участвовал в попытке вывести из строя коммуникационную инфраструктуру страны. Сразу после инцидента представители NIS заявили, что у них имеются улики, указывающие на Северную Корею. Они утверждали, что северокорейское объединение хакеров, так называемый отдел 110, или группа технологической разведки, 7 июня получило заказ на подготовку кибератаки. Согласно этому плану, группа должна была «за минуту разрушить марионеточную коммуникационную сеть Южной Кореи». Заказ последовал за решением Южной Кореи принять участие в учениях «Кибершторм», которые Северная Корея назвала «недопустимой провокацией, разоблачающей стремления завоевать КНДР».

Теперь Южная Корея готовится к полномасштабной кибервойне. Как раз накануне атак Южная Корея объявила о планах к 2012 году учредить новое подразделение, занимающееся киберборьбой. Позднее сроки были перенесены на январь 2010 года. Но что будет делать командование этого нового штаба в случае новых атак в киберпространстве со стороны Северной

Если Северная Корея снова перейдет в кибернаступление, выбор ответных действий невелик. Ужесточать санкции больше просто некуда. Продовольственная помощь уже приостановлена. О любых военных ответных действиях не может быть и речи. 23 миллиона сеульцев живут в пределах досягаемости северокорейской артиллерии, не говоря уже о демилитаризированной зоне, которую военные именуют не иначе как «коробка смерти».

Ответить такими же действиями практически невозможно, поскольку в Северной Корее практически нет ресурсов, которые могли бы атаковать кибервоины из США или Южной Кореи. В 2002 году Дональд Рамсфелд и другие должностные лица из администрации Буша поддержали идею вторжения в Ирак, поскольку Афганистан не являлся «богатой на мишени» средой — там было мало боевой техники, военных баз и основных коммуникаций, по которым могли бы нанести удар американцы. Северная Корея в компьютерном отношении является эквивалентом Афганистана.

На сайте Nightearth.com можно посмотреть подборку фотографий поверхности Земли, снятых со спутника ночью. Из них составлена карта нашей ярко освещенной планеты, и Южная Корея кажется светлым островом, отделенным от Китая и Японии морем. Темная часть Корейского полуострова к северу от Сеула похожа на море. Северная Корея вряд ли сильно зависит от электросети. Мобильные телефоны есть всего лишь у 20 тысяч человек из 23-миллионного населения. Радио и телевидение транслируют исключительно официальные государственные каналы. Что до Интернета, то, как написала в 2006 году New York Times, Северная Корея по-прежнему остается «черной дырой». The Economist считает, что эта страна «почти так же отрезана от виртуального мира, как от реального». В Северной Корее существует около 30 веб-сайтов для связи с внешним миром, которые большей частью занимаются пропагандой, нацеленной на ее южного соседа. В нескольких «западных» отелях разрешено использование спутниковой связи, а несколько удачливых граждан страны имеют ограниченный доступ к внутренней сети и могут попасть на сайт «Великого руководителя», но почти никуда больше.

Северная Корея немного вложила в развитие своей интернет-инфраструктуры, но немало инвестировала в разрушение инфраструктуры других стран. Отдел 110 — подразделение, которое подозревают в организации июльской атаки, — является составной частью одной из четырех военных структур Северной Кореи. Более шестисот хакеров числятся в 121-м отделе Объединенного комитета по компьютерной войне Корейской народной армии. В секретном отделе, занимающемся кибер и психологической войной, работают сто хакеров и специалистов по информационным войнам. 35-й департамент Центрального партийного отдела расследований — самое малое по численности, но самое квалифицированное подразделение, которое занимается вопросами как внутренней безопасности, так и внешних кибернаступлений. 121-й отдел — самое многочисленное и, по словам одного служившего там хакера, перешедшего в лагерь противника в 2004 году, самое подготовленное подразделение. Его сотрудники специализируются на выводе из строя военных, управленческих и коммуникационных сетей Южной Кореи. Филиалы этого подразделения расположены в Китае, поскольку подключения к Интернету с территории Северной Кореи весьма малочисленны и их легко идентифицировать.

Неясно, известно ли официальному Пекину о деятельности спецслужб КНДР на территории страны, но кое-что точно ускользает от глаз китайской тайной полиции, особенно в Интернете. Как сообщают, одно из подразделений северокорейской службы кибербезопасности располагается в отеле «Шанхай» в китайском городе Дань дун, у северокорейской границы. Четыре этажа здания занимают специалисты 110-го отделения. Еще одно подразделение размещается в городе Саньян, где, по имеющимся данным, северокорейским агентам сдается несколько этажей гостиницы «Myohyang» («Загадочная душистая гора», в честь которой был назван отель, находится на территории Северной Кореи). Агентов обнаружили, когда они протягивали оптоволоконные кабели и устанавливали новейшее оборудование. В общей сложности в КНР может работать от шестисот до тысячи агентов отдела по кибербезопасности во главе с командующим в ранге подполковника. В северокорейских начальных школах отбираются лучшие ученики, из которых выращивают хакеров. В школе их учат разбираться в программировании и компьютерном аппаратном обеспечении, после чего они зачисляются в Университет автоматизации управления в Пхеньяне, где их обучают тому, как взламывать вражеские компьютерные системы. Сейчас здесь обучается около семисот студентов, для которых регулярно проводятся учения. Часть студентов для овладения новейшими технологиями тайно отправляют в Японию.

Июльская атака 2009 года не стала разрушительной, но продемонстрировала невероятную изощренность. Тот факт, что нападение было управляемым, косвенно подтверждает квалификацию взломщиков. Атака продлилась несколько дней, и это является доказательством того, что вирус распространялся из нескольких источников. Данная особенность позволяет предположить, что нападение не было делом рук бездельничающих подростков. Конечно, Северная Корея позаботилась о том, чтобы заронить сомнения в своей виновности. В ходе расследования выяснилось, что программа использовала корейский браузер, а следовательно, ее создание можно приписать и южнокорейским хакерам, где Интернет распространен гораздо шире. Однако экспертов несколько озадачил тот факт, что авторы кода не пытались скрыть свое корейское происхождение. Человек, способный написать такой код, вполне способен и замести следы. А значит, заказчики кода намеренно стремились оставить улику. Правительство Южной Кореи и многие аналитики из Соединенных Штатов сделали вывод, что атаку заказал «Великий руководитель», чтобы продемонстрировать мощь своей страны в киберпространстве так же, как использовал ракеты в небе.