Шейн Харрис - Кибервойн@. Пятый театр военных действий

Еще ни разу до этого момента секретная, не подключенная к Интернету сеть не подвергалась взлому. Такие сети специально изолировались от глобальной сети, поскольку через них проходили сверхсекретные военные сообщения, в том числе планы ведения войны и приказы подразделениям на полях боевых действий. Аналитики лихорадочно работали в течение нескольких следующих дней, чтобы определить, каким образом вредоносная программа попала в сеть. Они подозревали, что скорее всего она была принесена на зараженной флешке, которой пользовался один из солдат в Афганистане. Именно там происходило большинство заражений компьютеров. И это была еще одна проблема – заражения продолжались, и в огромном количестве. Вредоносное ПО распространялось, размножаясь и заражая другие компьютеры в сети через USB-носители. Похоже, что аналогичное ПО обнаружилось также в двух других секретных сетях.

Руководители АНБ немедленно заподозрили, что это работа вражеской разведки, которая пыталась украсть секретную военную информацию. Аналитики полагали, что зараженная флешка могла быть подброшена где-нибудь на автостоянке, где дожидалась какого-нибудь доверчивого человека – «пациента ноль» [16], – который бы подобрал этот носитель и вставил в защищенный компьютер, расположенный в помещениях Центрального командования или на военной базе. Вредоносная программа не могла соединиться с Интернетом для получения инструкций. Однако шпион мог управлять программой, находясь за несколько километров от зараженного компьютера, с помощью радиосигнала – АНБ само использовало подобное оборудование, когда внедряло шпионское ПО в локальные сети. Имелись некоторые признаки того, что червь также заражал и несекретные системы, которые имели соединение с внешним миром и могли стать для иностранных шпионов точкой входа в сети Пентагона.

Этот взлом был беспрецедентным за всю историю военных и разведывательных служб. Александер сказал, что пришло время заявить об опасности.

Генерал ВВС Майкл Басла работал в Пентагоне в пятницу ночью, когда из Форт-Мида поступил тревожный звонок. Басла тогда занимал должность заместителя директора Объединенного комитета начальников штабов по командованию, контролю, связи и компьютерным системам. Он быстро осознал опасность, о которой ему сообщили руководители АНБ. «Столько слов, – позже вспоминал Басла, – чтобы, по сути, сказать: “Хьюстон, у нас проблема” [17]».

Шестерни государственной военной машины закрутились. Той ночью Басла вместе с руководителями АНБ провел совещание с адмиралом Майклом Малленом – председателем Объединенного комитета и высшим военным советником президента Буша. Также агентство проинформировало заместителя министра обороны Гордона Ингленда, который вместе с лидерами конгресса принимал деятельное участие в создании Оборонной военно-промышленной инициативы.

Никто не знал наверняка, когда вредоносное ПО попытается выполнить свою миссию и попытается ли вообще. И что именно за задача была у этой программы, тоже было не ясно. Однако члены разыскной группы АНБ, которые обнаружили червя, полагали, что есть способ его нейтрализовать. Червь отправлял запрос на получение инструкций от головного сервера. Так почему бы не дать червю то, чего он хочет? Специалисты группы хотели создать подменный сервер управления, который бы связался с червем и выдал ему команду перейти в режим сна и не предпринимать никаких дальнейших действий. В этом плане присутствовала доля риска. Если группа своими действиями нарушит работу запущенных в секретной сети программ, обеспечивающих, например, связь между командирами на поле боя, это может нанести урон военным операциям в Афганистане и Ираке. Секретная сеть должна работать без сбоев.

Пентагон согласился на реализацию плана АНБ, которому дали кодовое название «Американская картечь» (Backshot Yankee). Ночь с пятницы на субботу специалисты разыскной группы провели за проработкой всех мельчайших деталей плана, налегая на пиццу и поглощая содовую, чтобы не уснуть. В субботу они погрузили сервер в грузовик и отправились в расположенное неподалеку Агентство оборонных информационных систем, которое управляло глобальными телекоммуникационными системами Министерства обороны. Там сервер под контролем специалистов заразили вредоносным ПО, после чего был активирован подменный компьютер, который отдал червю команду отключиться. План сработал.

Теперь у АНБ появился способ деактивации червя. Однако сначала нужно было найти все его копии, которые расползлись по сетям Министерства обороны. АНБ призвало своих лучших хакеров – элиту из Отдела специализированного доступа. Они занялись поиском зараженных червем военных компьютеров. Но затем пошли дальше и начали отслеживать следы зловредной программы и на гражданских компьютерах, в том числе тех, которые работали в правительственных сетях США и других стран. Выяснилось, что червь распространился очень широко.

В этом не было ничего удивительного. Оказалось, что червь был не таким уж новым. Впервые он был обнаружен финскими специалистами по информационной безопасности, и в июне 2008 г. появился на военных компьютерах страны, входящей в НАТО. Специалисты дали червю имя Agent.btz. Слово agent – обычное название для новых найденных образцов вредоносного ПО, а суффикс. btz использовался в качестве внутренней ссылки. Не было никаких свидетельств тому, что заражение червем Agent.btz привело к похищению или уничтожению данных на каком-либо из американских компьютеров. Фактически червь оказался не так уж сложно устроен, что вызвало вопрос, зачем иностранная разведка потратила усилия на создание червя, который прятался в компьютерах по всему миру и ничего не похищал.

Однако военные руководители все еще опасались дыры в системе безопасности военных сетей, полагая ее страшной угрозой для национальной обороны. Через неделю после того, как АНБ предупредило Пентагон, Маллен был приглашен на совещание с президентом Бушем и министром обороны Гейтсом. АНБ взяло на себя задачу по обнаружению каждого зараженного червем Agent.btz компьютера и обезвреживанию этого червя с помощью подменного сервера. В ноябре Стратегическое командование США, которое на тот момент полностью отвечало за ведение кибервойн, выпустило указ: отныне использование внешних накопителей на компьютерах Министерства обороны и всех военных компьютерах запрещено повсеместно. Указ был избыточно строг, и это подчеркивало, до какой степени были напуганы и встревожены высокопоставленные военачальники.

Александер меньше волновался на этот счет. В возникшей панике он увидел возможность сделать АНБ новым военным лидером в киберпространстве. Ведь именно его разыскная группа обнаружила червя. Именно его эксперты придумали ловкий способ нейтрализации зловредной программы. Именно его хакерская элита, используя свои шпионские навыки, выследила червя в потайных местах. Представители Пентагона раздумывали, следует ли им истребить червя, начав ответную кибератаку, или достаточно просто хитростью заставить его получать команды от их подменного сервера. (Процесс очистки компьютеров от инфекции занял в конечном счете 14 месяцев.)