«ЭТО не кончится никогда»

(Декабрь 2011)

То, что напряженность в международных и внутренних делах зачастую нагнетается искусственно политиками и спецслужбами в собственных интересах, наслышаны, видимо, все. Но не все замечают, как именно это делается.

 

stuxnet

 

Исторические события, как известно, часто ходят кругами. Иногда бывает так, что начинается все как подлинная драма, а затем повторяется как фарс. А порой бывает и так, что начинается все как фарс, а потом снова и снова повторяется точно так же –  как еще более откровенный фарс.

Циклическая история, о которой пойдет речь здесь, все время отсылает к одному и  тому же событию, имевшему место осенью 2008 года. Событие это, однако, поначалу было очень строго засекречено, поскольку происходило в закрытых компьютерных сетях военных и спецслужб США.

Официально и с некоторыми деталями об этом было рассказано лишь спустя два года, осенью 2010. И судя по этому рассказу –  наполненному драматизмом и изложенному от лица первого заместителя министра обороны США Уильяма Дж. Линна (William J. Lynn) – имела место серьезнейшая компьютерная атака со стороны некой  иностранной шпионской спецслужбы, по своим масштабам и последствиям оказавшаяся «наиболее существенным проникновением» за всю историю военных сетей США.

Изложенный без каких-либо технических подробностей, этот волнительный сюжет про кибернападение на Америку был использован Уильямом Линном в качестве преамбулы и наглядной иллюстрации к его большой программной статье под названием «Защищая новое пространство». В целом же статья представляла публике свежайший теоретический продукт Пентагона –  военную стратегию США для виртуального мира компьютерных сетей.

В кругах Пентагона эта концепция получила неофициальное название «Киберстратегия 3.0» или иначе «активная оборона». Ну а за пределами Пентагона эту однозначно агрессивную программу, откровенно нацеленную на доминирование США в мировом киберпространстве, быстро окрестили «Холодная война 2.0».

Хотя конкретные шаги властей США по реализации их новой «Киберстратегии» обычно окутаны завесой секретности, кое-что, конечно, в прессу просачивается. И насколько можно судить по этим публикациям, в том, что касается принципиально необходимого здесь сотрудничества с ИТ-индустрией, движется дело довольно тяжело.

Так, в первых числах декабря (2011) стало известно, что правительству США уже пришлось извлечь из пыльных госархивов древний закон эпохи начала Холодной войны, наделяющий власть особыми полномочиями. Сделано же это с той целью, чтобы заставить национальные телекоммуникационные компании, включая таких гигантов, как  AT&T и Verizon Communications, раскрыть властям их конфиденциальную информацию про техническое оснащение своих сетей.

Согласно попавшей ныне в прессу информации, в специальном аналитическом обзоре правительства о киберугрозах, распространенном среди ИТ-компаний в апреле 2011, Департамент торговли США попутно «попросил» предоставить властям отчеты о текущем техническом оснащении фирм.

В частности, этот документ потребовал от компаний связи предоставить подробный перечень сведений о том, кто именно из зарубежных фирм изготовил какое именно оборудование, включая компоненты оптоволоконной передачи, приемопередатчики и контроллеры базовых станций.  Эти сведения через департамент торговли должны быть предоставлены министерству обороны.

Данным маневром американские власти намерены получить подробную карту того, что за страны и как именно ныне участвуют в работе национальных сетей связи США (не секрет, что основное беспокойство вызывает сетевое оборудование из Китая).

Кроме того, департамент запросил информацию о связанных с нарушением безопасности инцидентах, таких как обнаружение в сетях «неавторизованной электронной аппаратуры» или подозрительного оборудования, способного дублировать или перенаправлять данные.

Вообще-то по американским законам частные компании не обязаны делиться с правительством сведениями, которые считают конфиденциальными и чувствительными к компрометации. А подробные перечни применяемого оборудования относятся именно к такой категории данных.

Однако конкретно в данном случае, тем компаниям, которые отказываются откликнуться на призыв властей по-хорошему, сделано предупреждение, что они могут быть подвергнуты уголовному преследованию в соответствии с Законом об оборонном производстве (Defense Production Act) от 1950 года, позволяющему правительству управлять экономикой в военное время…

Ну а чтобы никто не подумал, будто сейчас время мирное, в американскую прессу там и тут вновь стали вбрасываться (очищенные от фактов) истории-страшилки о напряженных и практически военных сражениях, то и дело происходящих ныне в киберпространстве.

А также широко цитируются всякие высокого ранга чиновники, осведомленные в госсекретах и авторитетно заверяющие публику, что дело тут очень серьезное. Вот как формулирует проблему, в частности, некто Ричард Фолкенрат (Richard Falkenrath), высокопоставленный член американского Совета по международным отношениям:

«Это далеко не смутные подозрения. Конгресс ныне также занимается проработкой данной темы [об иностранном шпионаже в национальных сетях связи], а работают они с этим на основе очень специфического материала, предоставленного им Агентством национальной безопасности на секретном заседании».

Когда-нибудь, вероятно, всплывет информация и об этом крайне секретном и «очень специфическом материале» АНБ.

Ну а пока – в первых числах декабря 2011 – очень информированная в государственных делах столичная газета Washington Post опубликовала большущий материал об уже рассекреченной тайне. Со множеством неизвестных прежде подробностей рассказано о той самой истории Уильяма Дж. Линна, которая стала «великим катализатором» для радикального пересмотра военной киберстратегии США.

Самые примечательные фрагменты данной статьи явно заслуживают того, чтобы привести их тут практически дословно – как восхитительный образец промывки мозгов обывателям.

Теперь об этом можно рассказать…

Руководство Пентагона рассматривает инцидент, имевший место в октябре 2008, как наиболее серьезный случай проникновения в секретные компьютерные сети вооруженных сил США.

Ответ на эту угрозу – в течение последних трех лет – преобразовал правительственный подход к кибербезопасности и простимулировал создание нового военного командования, заточенного под укрепление компьютерной обороны вооруженных сил и для подготовки последующих наступательных операций.

Кроме того, усилия по нейтрализации вредоносного ПО –  или действия в ходе операции под кодовым названием Buckshot Yankee – также продемонстрировали важность компьютерного шпионажа в организации эффективного реагирования на киберугрозы.

Этот материал, содержащий нераскрывавшуюся прежде информацию о масштабах инфекции, поразившей правительственные сети, построен на основе интервью с двумя дюжинами нынешних и бывших членов руководства США и других людей с непосредственным знанием о подробностях данной операции.

Вредоносная программа, породившая ответную операцию Buckshot Yankee, до этого циркулировала в интернете на протяжении многих месяцев, не вызывая никаких особых сигналов тревоги – просто как еще одна компьютерная зараза среди множества ей подобных. Затем, в июне 2008 года, она всплыла в военных компьютерах руководства NATO.

А еще четыре месяца спустя, в октябре 2008, аналитик АНБ обнаружил эту инфекцию в закрытой сети SIPRNet (Secret Internet Protocol Router Network), которую министерство обороны и госдепартамент США используют для передачи секретных материалов. То есть обычных служебных материалов, а не самых серьезных гостайн.

Вскоре, впрочем, тот же самый червь-троянец был обнаружен и в компьютерах более серьезной системы JWICS (Joint Worldwide Intelligence Communication System), которая оперативно  доставляет разведывательную информацию с грифом Top Secret до представителей американского руководства повсюду, в какой бы точке земного шара они ни находились.

Такого рода государственные сети, крайне чувствительные к компрометации, всегда работают в так называемом режиме Air Gap или с «воздушным зазором». То есть на уровне проводов и кабелей они физически отделены от каналов свободно доступного для всех Интернета. Или, если угодно, той среды, где кишмя кишат вредоносные коды, всякие вирусы и черви, специально созданные для хищений информации и нанесения вреда компьютерным системам.

Государственное руководство всегда было озабочено проблемами неавторизованного изъятия секретных материалов из закрытых правительственных сетей. Однако теперь, несмотря на  Air Gap, в секретных сетях обнаружилось именно такое вредоносное ПО, которое пыталось установить связь с внешним интернетом.

Один из наиболее вероятных сценариев попадания вируса выглядел так. Какой-то американский военный, чиновник или подрядчик в Афганистане – где было зафиксировано самое большое число зараженных систем – сидел в интернет-кафе, воспользовался там своей флешкой в уже зараженном кем-то компьютере, а затем на службе вставил этот же флеш-модуль в машину секретной сети.

Конечно, делать такие вещи категорически запрещено, однако человек чаще всего оказывается самым слабым звеном в системах защиты информации.

Как только первый компьютер оказался заражен, теперь уже любая другая флешка, подсоединенная к этой машине, подцепляла себе в память копию червя, перенося его на все прочие компьютеры как классический разносчик инфекции. Проблема данного вируса была в том, что для похищения контента вредитель должен связаться с компьютером-хозяином – чтобы получать инструкции и подгружать дополнительные шпионские модули.

Именно эти сигналы червя, или «лучи» как их называют в АНБ, и были впервые отслежены молодым аналитиком из спецкоманды АНБ под названием  ANO (Advanced Networks Operations, «продвинутые сетевые операции») – группы из 20- и 30-с-небольшим-летних специалистов-компьютерщиков, собранной в 2006 году для охоты за подозрительной сетевой активностью в закрытых сетях правительства.

Их офис расположен в непримечательном зале без окон в здании Ops1 – приземистом прямоугольном сооружении на большой территории штаб-квартиры АНБ в Форт-Миде, штат Мэриленд.

После нескольких дней расследования сотрудники  ANO установили, что имеет место крупномасштабное  проникновение.

В полдень пятницы 24 октября 2008, Ричард Шэффер (Richard C. Schaeffer), в ту пору главный в АНБ человек по защите компьютерных систем, находился на встрече с президентом Дж. Бушем, который наносил свой последний визит в АНБ перед завершением президентского срока. Именно в этот момент помощник Шэффера принес и протянул ему лист бумаги с предупреждением о выявленном проникновении.

В 16:30 Шэффер вошел в кабинет генерала Кита Александера (Keith Alexander), директора АНБ и ветерана военной разведки. Как вспоминал затем Александер, Шэффер был немногословен. «У нас проблема», – сказал он.

В тот же вечер руководство АНБ провело брифинг для высших чиновников правительства США – председателя объединенного комитета начальников штабов, заместителя министра обороны, лидеров Конгресса – чтобы рассказать им о произошедшем инциденте.

Работая всю ночь , операторы ANO разработали потенциальный способ лечения. Поскольку код-лазутчик отсылал сигналы в поисках инструкций для дальнейших действий, было предположено, что, возможно, они смогли бы придумать способ отдать приказ этому вирусу просто себя выключить.

К утру, в комнате с разбросанными повсюду коробками из-под пустой пиццы  и банками с содовой, на доске был составлен план действий. Но прежде, чем запустить этот план в работу, команда АНБ должна была убедиться, что их действия не отразятся на работе прочего программного обеспечения, включая те программы, что командиры на поле боя используют для коммуникаций и работы с разведданными. Им требовалось провести тестовое испытание.

Наша целью тогда, вспоминает Шэффер, «было, самое главное, не нанести вреда»…

К полудню того же дня, члены команды ANO загрузили в автомобиль компьютерный сервер и отвезли его в находившийся неподалеку офис DISA, то есть Агентства информационных систем министерства обороны, которое занимается непосредственным управлением телекоммуникационных и спутниковых сетей военного ведомства страны.

В 2:30 пополудни они запустили свою программу, специально созданную для ответа на лучи шпиона-лазутчика и подачи для него управляющих команд. Вскоре после этого вредоносный код на тестовом сервере впал в перманентный ступор.

Однако разработка технического противоядия была только первым шагом. Чтобы реально победить угрозу, требовалось нейтрализовать вражеский вирус повсюду, куда он сумел проникнуть в правительственные сети. А это был крайне изнурительный процесс, включавший в себя изоляцию каждого отдельного компьютера, отключение его от общей сети, зачистка машины и переформатирование жестких дисков.

Другим ключевым игроком в операции Buckshot Yankee была команда АНБ под названием  TAO или  Tailored Access Operations (Операции специального доступа) – засекреченное подразделение, созданное в начале 1990-х годов, специализирующееся на зарубежных разведывательных операциях и сфокусированное на сборе чувствительной технической информации.

Эти специалисты отправились за пределы военных сетей США, чтобы отыскать информацию о проникнувшем к ним шпионе с помощью спецметодов под названием «exploitation» или электронный шпионаж.

Специалисты TAO выявили новые разновидности этой вредоносной программы и помогли защитникам сетей подготовиться к их нейтрализации еще до того, как они заразят военные компьютеры.

«Это называется способность видеть за пределами наших проводов», – пояснил один из военных начальников.

Затем в военном руководстве стали обсуждать, следует ли использовать имеющиеся у США наступательные инструменты кибервойны для того, чтобы нейтрализовать данный вредоносный код также и в невоенных сетях, включая и те, что находятся в других странах. Специальное наступательное кибер-подразделение, именуемое «Joint Functional Component Command — Network Warfare», предложило несколько вариантов для проведения подобной операции.

Однако высшее руководство отвергло эти предложения на том основании, что выявленный код-вредитель выглядит как акт шпионажа, а не непосредственной атаки на системы. Поэтому агрессивные ответные действия он не оправдывает.

В то время как АНБ работало над нейтрализацией вредоносного кода в правительственных компьютерах, Стратегическое командование, отвечающее за обеспечение стратегии сдерживания в отношении угроз со стороны ядерных вооружений, космического и киберпространства, подняло уровень угроз в области военной инфобезопасности.

Несколько недель спустя, в ноябре 2008, был издан приказ, тотально запрещающий использование внешних медиа-устройств – USB-модулей флеш-памяти, флеш-карт, цифровых камер, КПК и так далее –  в компьютерах министерства обороны по всему миру.

В принципе, этот червь-шпион распространился широко среди военных компьютеров, особенно в Ираке и Афганистане, создавая потенциал для больших  потерь разведывательной информации.

Однако тотальный запрет на флешки породил мощное недовольство среди офицеров на боевых заданиях, потому что многие из них опирались на USB-флешки для скачивания оперативной информации, снимков разведки и обмена отчетами об итогах операций.

АНБ и военные специалисты на протяжении многих месяцев занимались расследованием того, как именно инфекция попала в их закрытые сети. Они собрали у пользователей тысячи флешек, многие из которых действительно оказались зараженными.

Масса энергии была затрачена на то, чтобы выявить среди них «нулевого пациента». Однако задача такая оказалась чрезвычайно сложной.  Как сказал один из начальников, «мы так никогда и не смогли довести дело до того, чтобы определенно указать – все пошло вот от этой флешки»…

Скорость распространения новых инфекций удалось снизить в начале 2009 года. По свидетельству руководства, не было выявлено никаких признаков связи шпионского кода с компьютером-хозяином или пересылки документов в руки врагов. Запрет на флешки частично был снят в 2010, потому что удалось внедрить другие меры безопасности.

Что это было на самом деле

Ну вот, а теперь самое время рассказать то, о чем специалистам по инфобезопасности давным-давно известно, но о чем в статье информированной «Вашингтон Пост» почему-то почти ничего не рассказывается. Итак, что же это был за коварнейший троянец, так сильно напрягший военно-разведывательные госструктуры США?

Червя этого в антивирусной среде хорошо знают и называют обычно или просто «червь Autorun», или Agent.btz – по классификации много им занимавшейся финской антивирусной фирмы F-Secure (http://www.f-secure.com/v-descs/worm_w32_agent_btz.shtml).

Заражает машины этот вредитель с помощью одной из самых дурацких сервисных штучек Windows под названием AutoRun, то есть автозапуск приложений с носителя, воткнутого во внешний порт.

Вредительский файл, сидящий в зараженной флешке, даже не маскируется и имеет расширение DLL. Его нельзя запустить случайно, типа неосторожным двойным кликом мышки. Чтобы вручную запустить этот файл , надо через командную строку дать машине специальную команду примерно такого вида «rundll32.exe E:\rntl.dll,InstallM».

Будучи запущенным, червь копирует себя в папку C:\Windows\System32 и создает записи-ключи в реестре (HKCR\CLSID) для полного завершения инфицирования системы. Для совершения таких операций ему требуются права администратора, ну а в целом по этим своим параметрам данный вредоносный код соответствует категории «обычный троянец под XP».

На основании всех этих данных специалисты по инфозащите делают вывод, что самый первый компьютер, зараженный в составе закрытой военной сети США, имел включенной функцию AutoRun, а у вставившего в него флешку пользователя были права администратора (нельзя также исключать, что вставивший зараженную флешку человек САМ и был администратором этой системы).

При любом из возможных раскладов следует, что военным для начала следовало бы уволить допускающих подобные вещи сетевых администраторов и нанять вместо них кого-то настоящего и знающего.

Знающего, в частности, то, что подобного рода зараза хорошо известна в гражданском компьютерном мире, где с ней давно умеют вполне эффективно бороться. И для этого совершенно не нужны асы электронного шпионажа из секретного подразделения АНБ…

Тем не менее, по свидетельству высокопоставленных источников  Washington Post, руководство США практически с самого начала всей этой истории подозревало, что Agent.btz создали российские шпионы – специально для похищения американских военных секретов.

А когда некий четырехзвездный американский генерал, раздраженный тотальным запретом на флешки, в разгар операции Buckshot Yankee спросил у руководства АНБ, когда же опасность от вражеского червя пройдет и повышение мер безопасности можно будет закончить, то  в ответ услышал вот что.

Как вспоминает Ричард Джордж (Richard “Dickie” George), в ту пору технический директор АНБ по защите информации:

«У нас для него была крайне неприятная новость.
ЭТО не закончится никогда»…

The END

Еще материалы в тему:

Кибервойна как мать родна

Война без правил

Правда и ложь