Корпоративная Америка, будь осторожна: Федеральное бюро расследований удаляет код из ваших компьютерных систем. Секретный шаг направлен на очистку вредоносного кода, но вызывает тревогу по поводу баланса между кибербезопасностью и чрезмерным охватом государства. Прямо сейчас ФБР имеет право получать доступ к компьютерам, находящимся в частной собственности, без ведома и согласия их владельцев, а также удалять любое программное обеспечение, которое оно сочтет вредоносным. Это беспрецедентное вторжение, которое вызывает юридические вопросы о том, насколько далеко может зайти правительство.
Официально эта часть усилий правительства направлена на сдерживание продолжающихся атак на корпоративные сети, использующих программное обеспечение Microsoft Exchange. Совсем недавно, 9 апреля, Окружной суд США Южного округа Техаса утвердил ордер на обыск, разрешающий Министерству юстиции США проводить подобные операции. Программное обеспечение, которое удаляет ФБР, представляет собой вредоносный код, установленный хакерами для получения контроля над компьютером жертвы. Хакеры использовали код для доступа к огромному количеству личных сообщений электронной почты и для запуска атак программ-вымогателей. Авторитет Министерства юстиции и то, как ФБР провело операцию, создали важные прецеденты, которые поднимают вопросы о полномочиях судов регулировать кибербезопасность без согласия владельцев целевых компьютеров.
Специалисты внимательно изучили этот тип процедур в области кибербезопасности, получивший название «активной защиты», а также рассмотрели то, как государственный и частный секторы годами полагались друг на друга в вопросах кибербезопасности. Государственно-частное сотрудничество имеет решающее значение для управления широким спектром киберугроз, с которыми сталкиваются США. Но это создает проблемы, включая определение того, насколько далеко может зайти правительство во имя национальной безопасности. Также важно, чтобы Конгресс и суды контролировали этот баланс.
Взлом сервера Exchange. По крайней мере, с января 2021-го года хакерские группы используют эксплойты нулевого дня – то есть ранее неизвестные уязвимости – в Microsoft Exchange для доступа к учетным записям электронной почты. Хакеры использовали этот доступ для вставки веб-шеллов, программного обеспечения, которое позволяет им удаленно управлять скомпрометированными системами и сетями. В результате пострадали десятки тысяч пользователей электронной почты и организаций. Одним из результатов стала также серия атак программ-вымогателей, которые шифруют файлы жертв и хранят ключи для их расшифровки с целью получения выкупа.
2 марта 2021-го года, компания Microsoft объявила о том, что взлом группой под кодовым названием «Гафний» был осуществлен с помощью нескольких эксплойтов нулевого дня с тем, чтобы установить веб-оболочки с уникальными именами файлов и путями, что затрудняет удаление вредоносного кода администраторами даже с помощью инструментов и исправлений, выпущенных Microsoft и другими компаниями по кибербезопасности для помощи жертвам.
ФБР имеет доступ к сотням этих почтовых серверов в корпоративных сетях. Ордер на обыск позволяет ФБР получить доступ к веб-оболочке, ввести ранее обнаруженный пароль для веб-оболочки, сделать копию для доказательства, а затем удалить веб-оболочку. Однако ФБР не было уполномочено удалять какие-либо другие вредоносные программы, которые хакеры могли установить во время взлома, или иным образом получать доступ к содержимому серверов.
Этот случай уникален как масштабом действий ФБР по удалению веб-оболочек, так и беспрецедентным вторжением в частные компьютеры без согласия владельцев. ФБР провело операцию без согласия владельцев компьютеров из-за большого количества незащищенных систем в сетях США и безотлагательности угрозы. Эта акция демонстрирует стремление Министерства юстиции использовать «все правовые инструменты», – говорится в заявлении помощника генерального прокурора Джона Демерса.
Общее количество скомпрометированных фирм остается неясным, учитывая, что цифра отредактирована в судебных документах, но, это число может доходить до 68 000 серверов Exchange, что потенциально затрагивает миллионы пользователей электронной почты. Новые же вредоносные атаки на серверы Microsoft Exchange продолжают появляться, и ФБР продолжает предпринимать санкционированные судом действия по удалению вредоносного кода.
Активная защита. Переход к более активной стратегии кибербезопасности США начался при администрации Обамы с созданием Киберкомандования США в 2010-м году. В то время акцент ставился на сдерживании путем отрицания, что означало, что взломать компьютеры становилось все труднее и труднее. Сюда входит использование многоуровневой защиты, также известной как глубокоэшелонированная защита, чтобы сделать более сложным, дорогостоящим и длительным по времени взлом сети.
Альтернатива – преследование хакеров, стратегия, получившая название «защищаться заранее». С 2018-го года правительство США усилило оборону, о чем свидетельствуют действия США против российских группировок в избирательных циклах 2018-го и 2020-го годов, в ходе которых сотрудники Киберкомандования США выявляли и сорвали российские пропагандистские кампании в Интернете.
Администрация Байдена продолжила эту тенденцию вместе с новыми санкциями против России в ответ на шпионскую кампанию SolarWinds. Эта атака, которую правительство США приписывает хакерам, связанным с российскими спецслужбами, использовала уязвимости в коммерческом программном обеспечении для взлома правительственных учреждений США. Это новое действие ФБР также расширяет границы активной защиты, в данном случае для устранения последствий внутренних нарушений, хотя и без ведома или согласия затронутых организаций.
Закон и суды. Закон о компьютерном мошенничестве и злоупотреблении обычно запрещает доступ к компьютеру без разрешения суда. Однако этот закон не распространяется на правительство. ФБР имеет право удалять вредоносный код с частных компьютеров без разрешения благодаря изменению в 2016-м году пункта 41 Федеральных уголовно-процессуальных правил. Этот пересмотр был разработан частично для того, чтобы позволить правительству США более легко бороться с ботнетами и помогать другим расследованиям киберпреступлений в ситуациях, когда местонахождение преступников остается неизвестным. Одновременно пересмотр правила позволяет ФБР получать доступ к компьютерам за пределами юрисдикции ордера на обыск.
Подобные действия подчеркивают прецедент и силу судов, которые де-факто становятся регуляторами кибербезопасности, которые могут уполномочить Министерство юстиции устранять крупномасштабные развертывания вредоносного кода, аналогичного тому, что было при взломе Exchange. В 2017-м году, например, ФБР использовало расширенное правило 41 в целях ликвидации глобального ботнета, который собирал информацию и использовал компьютеры жертв для рассылки спама.
Важные юридические вопросы остаются нерешенными в связи с текущей деятельностью ФБР. Один из них – это вопрос ответственности. Что, если бы, например, частные компьютеры были повреждены в процессе удаления вредоносного кода ФБР? Другой вопрос – как уравновесить права частной собственности с потребностями национальной безопасности в подобных случаях. Ясно, однако, то, что в соответствии с этими полномочиями ФБР могло взламывать компьютеры по своему желанию и без специального ордера на обыск.
Национальная безопасность и частный сектор. Роб Джойс, директор по кибербезопасности АНБ, сказал, что кибербезопасность – это национальная безопасность. Это утверждение может показаться бесспорным. Но это действительно предвещает кардинальное изменение ответственности правительства за кибербезопасность, которая в значительной степени оставлена на усмотрение частного сектора.
Большая часть критически важной инфраструктуры США, включая компьютерные сети, находится в частных руках. Однако компании не всегда делают необходимые инвестиции для защиты своих клиентов. Это поднимает вопрос о том, произошел ли сбой рынка в области кибербезопасности, когда экономических стимулов было недостаточно для обеспечения адекватной киберзащиты. Действиями ФБР администрация Байдена может неявно признавать такой провал рынка.
The Conversation
