Роуланд – не єдиний працівник Endgame, який заявляв, що компанії мають право захищатися, якщо держава не може або не хоче захистити їх. Після публікації хакерами з групи Anonymous презентації компанії, в якій ішлося про те, як саме клієнти Endgame можуть використовувати кластери інфікованих комп’ютерів (так звані ботнети) для атак на сайти або викрадення паролів та іншої конфіденційної інформації, партнер одного з основних інвесторів Endgame виступив на захист цієї ідеї. «Якщо ви прогнозуєте, що війни майбутнього відбуватимуться у кіберпросторі, хіба не варто мати власну кіберармію? – заявив в інтерв’ю агентству Reuters Тед Шлейн, член ради директорів Endgame.
Більшість приватних компаній, що працюють у сфері кібербезпеки, просто зі шкіри пнуться, наголошуючи на тому, що не проводять контратак, уламуючись у комп’ютери хакерів, бо в США це незаконно. Проте компанії стежать за хакерами, які проникають у мережі їхніх клієнтів. Один із провідних гравців у цьому бізнесі, компанія CrowdStrike, спокушає шпигунів так званими горщиками з медом – фальшивими клієнтськими мережами, які насправді є стерильною зоною, недоступною для працівників і комп’ютерів важливих клієнтів. Суть пастки в тому, щоб виграти час для спостереження за хакерами й визначити, що саме їх цікавить (до прикладу, шукають вони технічні схеми або хочуть дізнатися подробиці угод), а відтак змусити показати інструменти та техніки, якими вони користуються для крадіжки інформації. Наприклад, компанія може захистити документ особливо складним паролем, сподіваючись, що хакер скористається новим способом зламування. Щойно клієнт зрозуміє, яким інструментарієм послуговується крадій, CrowdStrike зможе спрогнозувати, як саме хакер намагатиметься проникати в інші системи. Якщо клієнт хоче збити хакера зі шляху, він може подати оманливу або неправдиву інформацію в документах, які хакер вважатиме бізнес-стратегією або планами з випуску нової продукції.
CrowdStrike також аналізує профілі жертв хакера, щоб зрозуміти, які саме галузі або види технологій його цікавлять. Потім компанія складає досьє, і інколи навіть дає хакерові ім’я. Аналітики CrowdStrike понад рік відстежували кіберзлодія, якого назвали Anchor Panda, він шпигував за компаніями, пов’язаними із виробництвом супутників, аерокосмічною й оборонною галуззю, а також цікавився програмами космічних досліджень іноземних держав. Озброєні специфічною інформацією про цілі хакера та його методи зламування, клієнти CrowdStrike теоретично можуть застосовувати надійніші захисні заходи. Це наче розсилка точного опису зовнішності та поведінки злочинця по всіх поліцейських відділах, що значно ефективніше, ніж заклики до громадськості бути пильними під час зустрічі з підозрілими людьми.
Ця діяльність дуже нагадує роботу правоохоронних органів. І це не дивно, бо двоє керівників CrowdStrike – колишні агенти ФБР. Шон Генрі, генеральний директор CrowdStrike Services, підрозділу компанії, який вистежує та ідентифікує хакерів, служив у бюро 24 роки і лише 2012 року залишив посаду, на якій відповідав за всі міжнародні кіберпрограми й розслідування. (Колишній заступник директора кіберпідрозділу ФБР працює головним консультантом компанії.) Генрі стверджує, що CrowdStrike відрізняється від інших аналогічних компаній тим, що коли «ми реагуємо на втручання, то влаштовуємо справжнє полювання на ворога». Він каже, що компанія застосовує методи комп’ютерної криміналістики та перепрограмування шкідливого ПЗ, щоб зрозуміти тактику хакерів, методи їхньої роботи й мотивацію. Він уникає будь-яких згадок про вторгнення в комп’ютери противників компанії, адже колишній агент ФБР і сам упродовж років переслідував інших за порушення антихакерських законів. Проте слово «полювання» натякає на агресивнішу форму аналізу, ніж визнає більшість компаній, що працюють у цій сфері. CrowdStrike встановлює сенсори в мережах клієнтів і залучає добровольців для збору інформації про методи хакерських атак, щойно вони починаються, а не лише збирає докази після завершення атаки. Компанія використовує отримані дані, щоб визначити належність хакера до певної групи або країни. Це одна з найскладніших проблем кіберкриміналістики, бо хакери зазвичай приховують власне розташування, послуговуючись для атак інфікованими комп’ютерами в інших країнах. CrowdStrike обіцяє повідомляти своїх клієнтів не лише про методи атак, а й про те, хто і навіщо це робить. Компанія приділяє чільну увагу виявленню шпигунів і хакерів, що працюють на інші держави, зокрема на Іран, Китай і Росію. (Група аналітиків з підрозділу «стратегічної розвідки» володіє китайською, фарсі та російською.) У своїх маркетингових матеріалах компанія CrowdStrike повсякчас наголошує, що використовує методи збору розвідданих для ідентифікації хакерів і передає специфічну, корисну інформацію про них клієнтам.