Коллектив Авторов - Цифровой журнал «Компьютерра» № 100

Этот материал, содержащий нераскрывавшуюся прежде информацию о масштабах инфекции, поразившей правительственные сети, построен на основе интервью с двумя дюжинами нынешних и бывших членов руководства США и других людей с непосредственным знанием о подробностях данной операции.

Вредоносная программа, породившая ответную операцию Buckshot Yankee, до этого циркулировала в интернете на протяжении многих месяцев, не вызывая никаких особых сигналов тревоги — просто как ещё одна компьютерная зараза среди множества ей подобных. Затем, в июне 2008 года, она всплыла в военных компьютерах руководства NATO. А ещё четыре месяца спустя, в октябре 2008, аналитик АНБ обнаружил эту инфекцию в закрытой сети SIPRNet (Secret Internet Protocol Router Network), которую министерство обороны и госдепартамент США используют для передачи секретных материалов. То есть обычных служебных материалов, а не самых серьёзных гостайн.

Вскоре, впрочем, тот же самый червь-троянец был обнаружен и в компьютерах более серьёзной системы JWICS (Joint Worldwide Intelligence Communication System), которая оперативно доставляет разведывательную информацию с грифом Top Secret до представителей американского руководства повсюду, в какой бы точке земного шара они ни находились.

Такого рода государственные сети, по которым передаётся информация, утечка которой может иметь драматичные последствия, всегда работают в так называемом режиме Air Gap, или — «с воздушным зазором». То есть на уровне проводов и кабелей они физически отделены от каналов свободно доступного для всех интернета. Или, если угодно, той среды, где кишмя кишат вредоносные коды, всякие вирусы и черви, специально созданные для хищений информации и нанесения вреда компьютерным системам.

Государственное руководство всегда было озабочено проблемами неавторизованного изъятия секретных материалов из закрытых правительственных сетей. Однако теперь, несмотря на Air Gap, в секретных сетях обнаружилось вредоносное ПО, которое ещё и пыталось установить связь с внешним интернетом.

Один из наиболее вероятных сценариев попадания вируса выглядел так: какой-то американский военный, чиновник или подрядчик в Афганистане — где было зафиксировано самое большое число заражённых систем — сидел в интернет-кафе, воспользовался там своей флешкой в уже заражённом кем-то компьютере, а затем на службе вставил этот же флеш-модуль в машину секретной сети. Конечно, делать такие вещи категорически запрещено, однако человек чаще всего оказывается самым слабым звеном в системах защиты информации.

Как только первый компьютер оказался заражён, теперь уже любая другая флешка, подсоединённая к этой машине, подцепляла себе в память копию червя, перенося его на все прочие компьютеры как классический разносчик инфекции. Проблема данного вируса состояла в том, что для похищения контента вредитель должен связаться с компьютером-хозяином — для получения инструкций и подгрузки дополнительных шпионских модулей.

Именно эти сигналы червя, или «лучи», как их называют в АНБ, и были впервые отслежены молодым аналитиком из спецкоманды АНБ под названием ANO (Advanced Networks Operations — «продвинутые сетевые операции») — группы из двадцати- и тридцати-с-небольшим-летних специалистов-компьютерщиков, собранной в 2006 году для охоты за подозрительной сетевой активностью в закрытых сетях правительства. Их офис расположен в непримечательном зале без окон здания Ops1 — приземистого прямоугольного сооружения на большой территории штаб-квартиры АНБ в Форт-Миде, штат Мэриленд.

После нескольких дней расследования сотрудники ANO установили, что имеет место крупномасштабное проникновение.

Читайте продолжение: В 4:30 Шэффер вошел в кабинет генерала Кита Александера, директора АНБ и ветерана военной разведки. Как вспоминал затем Александер, Шэффер был немногословен. «У нас проблема», – сказал он.

К оглавлению

Опубликовано20 декабря 2011 года

- Вторая часть статьи. Начало читайте здесь.

В полдень пятницы 24 октября 2008 Ричард Шэффер (Richard C. Schaeffer), в ту пору главный в АНБ специалист по защите компьютерных систем, находился на встрече с президентом Дж. Бушем, который наносил свой последний визит в АНБ перед завершением президентского срока. Помощник Шэффера принес и протянул ему лист бумаги с предупреждением о выявленном проникновении. В 4:30 Шэффер вошел в кабинет генерала Кита Александера (Keith Alexander), директора АНБ и ветерана военной разведки. Как вспоминал затем Александер, Шэффер был немногословен. «У нас проблема», – сказал он.

В тот же вечер руководство АНБ провело брифинг для высших чиновников правительства США — председателя объединённого комитета начальников штабов, заместителя министра обороны, лидеров Конгресса, чтобы рассказать им о произошедшем инциденте.

Проработав всю ночь, операторы ANO нашли потенциальный способ лечения. Поскольку код-лазутчик отсылал сигналы в поисках инструкций для дальнейших действий, было предположено, что, возможно, они смогли бы придумать способ отдать приказ этому вирусу просто себя выключить. К утру, в комнате с разбросанными повсюду коробками из-под пустой пиццы и банками с содовой, на доске был составлен план действий. Но прежде чем запустить этот план в работу, команда АНБ должна была убедиться, что их действия не отразятся на работе прочего программного обеспечения, включая те программы, что командиры на поле боя используют для коммуникаций и работы с разведданными. Им требовалось провести тестовое испытание.

"Самым главным было не нанести вреда", — вспоминает Шэффер.

К полудню того же дня члены команды ANO загрузили в автомобиль компьютерный сервер и отвезли его в находившийся неподалеку офис DISA, то есть Агентства информационных систем министерства обороны, которое занимается непосредственным управлением телекоммуникационных и спутниковых сетей военного ведомства страны.

В 2:30 пополудни они запустили свою программу, специально созданную для ответа на лучи шпиона-лазутчика и подачи для него управляющих команд. Вскоре после этого вредоносный код на тестовом сервере впал в перманентный ступор.

Однако разработка технического противоядия была только первым шагом. Чтобы реально победить угрозу, требовалось нейтрализовать вражеский вирус повсюду, куда он сумел проникнуть в правительственные сети. А это был крайне изнурительный процесс, включавший в себя изоляцию каждого отдельного компьютера, отключение его от общей сети, зачистку машины и переформатирование жёстких дисков.

Другим ключевым игроком в операции Buckshot Yankee была команда АНБ под названием TAO, или Tailored Access Operations (Операции специального доступа) — засекреченное подразделение, созданное в начале 1990-х годов, специализирующееся на зарубежных разведывательных операциях и сфокусированное на сборе чувствительной технической информации. Эти специалисты отправились за пределы военных сетей США, чтобы отыскать информацию о проникнувшем к ним шпионе с помощью спецметодов под названием «exploitation», или электронный шпионаж.