Борис Сырков - Сноуден: самый опасный человек в мире

Задачи, которые стояли перед злоумышленниками, вознамерившимися прослушивать телефонные разговоры в сотовой сети компании «Водафон-Панафон», были из разряда непростых. Требовалось тайно установить в коммутаторах «АХЕ» шпионское программное обеспечение, чтобы управлять «ДУП», не будучи замеченными системными администраторами компании «Водафон-Панафон». Время от времени необходимо было обновлять список подслушиваемых телефонных номеров, а также номеров, на которые копировалась перехваченная информация. Эти манипуляции не должны были находить отражение в регистрационных журналах, а само шпионское программное обеспечение должно было оставаться невидимым для системных администраторов, обслуживавших коммутаторы «АХЕ».

Злоумышленники умело воспользовались тем, что в коммутаторах «АХЕ» можно было обновлять программное обеспечение без перезагрузки системы, дабы не разъединять действующие телефонные соединения, не терять текстовые сообщения и не отключать службы экстренного вызова. Разработанная в компании «Эрикссон» методика позволяла прямое «латание» кода, исполняемого центральным процессором, в буквальном смысле на лету.

Чтобы оптимизировать обновление программного обеспечения своих коммутаторов «АХЕ» компания «Эрикссон» разделила его на отдельные блоки, хранимые в оперативной памяти центрального процессора. В версии 9.1 таких блоков было более полутора тысяч. Каждый содержал так называемую «область коррекции», которая использовалась всякий раз, когда требовалось сделать обновление программного обеспечения.

Для примера, можно предположить, что коммутатор должен был научиться выполнять новую функцию X вместо старой Y. Тогда там, где прежде стояла команда «Если верно условие Z, то выполнить Y», обновленное программное обеспечение должно было теперь выполнять команду типа «Если верно условие Z, то перейти в область коррекции по адресу L». А по адресу L в «области коррекции» прописывалась новая функция X.

Путем такого обновления злоумышленники сумели подменить 29 блоков программного обеспечения в коммутаторах «АХЕ», чтобы напрямую задействовать возможности, предоставляемые «ДУП». В результате им удалось инициировать прослушку в обход «СУП» и тем самым избежать отражения своих действий в регистрационных журналах.

Эта подмена могла бы быть обнаружена системными администраторами компании «Водафон-Панафон» путем составления списка всех исполняемых блоков в коммутаторе «АХЕ» подобно тому, как в операционных системах семейства «Виндоуз» можно вывести на экран список всех исполняемых процессов с помощью диспетчера задач. В результате было бы обнаружено, что некоторые блоки были активны, хотя этого не должно быть. Однако внедренное в коммутаторы «АХЕ» шпионское программное обеспечение модифицировало команду, перечислявшую активные блоки, чтобы пропускать те из них, которые отвечали за незаконную прослушку.

Вдобавок прослушка могла бы быть выявлена в процессе планового обновления программного обеспечения коммутаторов «АХЕ» или при установке «заплат». В этих случаях было принято сначала проверять все блоки, а уже потом устанавливать обновление или заплатку. Скорее всего, шпионское программное обеспечение модифицировало и команду, вычислявшую и выдававшую контрольные суммы блоков, и подмененные блоки выглядели вполне легально.

И наконец, злоумышленники модифицировали синтаксический анализатор команд коммутатора «АХЕ». В результате безобидные команды, за которыми следовало 6 пробелов, деактивировали запись в регистрационные журналы и аварийный сигнал, предупреждавший об этой деактивации, а также позволяли исполнять команды, связанные с управлением шпионским программным обеспечением. В системе также был заведен новый пользователь, с помощью которого злоумышленники могли регистрироваться в системе для получения к ней доступа.

Как же все-таки было обнаружено присутствие злоумышленников, если они замаскировали его столь искусно?

24 января 2005 года злоумышленники обновили свое шпионское программное обеспечение, установленное в сотовой сети компании «Водафон-Панафон». В результате возникли помехи доставке по назначению текстовых сообщений, что, в свою очередь, послужило причиной для автоматической генерации сообщения об ошибке. Последующий анализ дампов системы позволил выявить шпионское программное обеспечение вместе со списком телефонных номеров, которые подвергались незаконному прослушиванию. Методом обратного проектирования был восстановлен исходный код. Проведенный анализ показал высокую компетентность его авторов. За пятнадцать лет, предшествовавшие описываемым событиям, значительная часть программного обеспечения для коммутаторов «АХЕ» была написана программистами из греческой компании «Интраком» со штаб-квартирой в Афинах. Так что необходимые знания для написания шпионского программного обеспечения оказались в распоряжении немалого количества программистов, которые в разное время работали в компании «Интраком».

В ходе расследования выявить среди сотрудников компаний «Водафон-Панафон» и «Интраком» лиц, причастных к взлому сотовой сети компании «Водафон-Панафон», не удалось. Этот взлом вполне мог быть осуществлен посторонними людьми. Выяснилось, например, что перед тем, как произошел отказ подсистемы доставки текстовых сообщений, последний человек, который работал с коммутаторами «АХЕ», не являлся сотрудником компании «Водафон-Панафон» и его впустили внутрь по гостевому пропуску.

В июле 2005 года, когда еще продолжалось расследование обстоятельств этого дела, в компании «Водафон-Панафон» были заменены два из трех серверов, которые использовались для управления сотовой сетью. На них были затерты регистрационные журналы, и вопреки действовавшим требованиям для них не были сделаны резервные копии. Потом истек полугодовой срок хранения журналов, в которых фиксировался проход посторонних лиц на территорию компании «Водафон-Панафон» за период, когда было обновлено шпионское программное обеспечение, и возник сбой в доставке текстовых сообщений.

Следы установки шпионского программного обеспечения могли бы сохраниться на коммутаторах компании «Водафон-Панафон». Однако из-за нехватки на них места регистрационные журналы хранились всего 5 дней и потом стирались. А слишком поспешная деактивация шпионского программного обеспечения 7 марта 2005 года наверняка послужила предупредительным сигналом для злоумышленников. В результате следователи так и не смогли воспользоваться возможностью засечь с помощью триангуляции мобильные телефоны, на которые дублировались подслушиваемые телефонные разговоры.