Шейн Харрис - Кибервойн@. Пятый театр военных действий
Ежедневно сотрудники подразделения выявляли от 10 до 20 новых боевиков. Таким образом, американскими силовиками, которые начали думать и действовать так же, как их враг, были обнаружены целые террористические формирования. Они изменили свою организацию с вертикальной иерархии на группы с горизонтальными связями, в которых каждый узел строится в соответствии с местными условиям. Эта сеть формировалась по мере продвижения вперед, и в результате был создан новый тип ведения войны.
К тому времени АНБ уже построило инфраструктуру для внедрения в телекоммуникационные сети. После терактов 11 сентября агентство установило новые точки прослушивания и сбора информации для отслеживания в киберпространстве телефонных звонков террористов, их электронной почты и прочих средств цифровой связи. Многие из этих точек доступа находились внутри офисов и коммутационных телефонных станций крупнейших американских операторов связи. Аналитики, ведущие слежку за конкретным террористом, могли видеть, когда его телефон регистрировался в сети оператора. Эта информация передавалась оперативникам, и они перехватывали сигнал. Если наземные отряды были слишком далеко, то для перехвата сигнала использовались самолеты и спутники. Все полученные данные быстро сопоставлялись и анализировались с целью определения местоположения цели вплоть до улицы, здания и даже квартиры, из которой осуществлялся вызов или отправлялось сообщение.
Обычному посетителю объединенного разведывательного центра в Багдаде могло показаться, что здесь собралась совершенно разнородная команда. Аналитики, нанятые по контракту, с волосами, собранными на затылке в неформальный хвост, работали вместе с солдатами и офицерами, облаченными в боевое обмундирование. Но если посетитель взглянет на огромные мониторы, подвешенные под потолком ангара, на которых в реальном времени демонстрируется видеоизображение с беспилотников, а потом на командную работу гражданских и военных сотрудников, уткнувшихся в экраны ноутбуков и разговаривающих друг с другом на своем «птичьем» языке, то ему станет ясно, что он оказался там, где идет война.
В новой разведывательной стратегии была и еще одна основополагающая идея. Кроме сбора информации со всех электронных средств связи в Ираке и ее использования для определения местонахождения боевиков и их спонсоров, АНБ начало влиять на сами методы и средства цифровой связи – на сотовые телефоны и компьютеры мятежников – в полном соответствии со сценарием, изложенным Майклом Макконнеллом президенту Бушу.
Американские хакеры отправляли фальшивые текстовые сообщения боевикам и подрывникам. В сообщениях говорилось, например: «Встретимся на углу улицы, чтобы спланировать следующий удар» или «Отправляйся в такую-то точку на дороге и установи устройство». Когда боевик добирался до указанного места, его встречали американские спецназовцы или дело заканчивалось тем, что беспилотник с высоты в нескольких сотен метров выпускал ракету Hellfire.
Хакеры и аналитики АНБ, работая вместе с силовиками на полях сражения Ирака, проникли в сеть сайтов и серверов «Аль-Каиды», которую американцы назвали Obelisk. Фактически это была корпоративная внутренняя сеть «Аль-Каиды». Террористы публиковали в Obelisk пропагандистские видеоролики, а также приказы о выступлении и планы ведения «священной войны». Там даже публиковались обычные административные материалы, в том числе информация о счетах расходов и сведения о личном составе. Obelisk был повстанческой оперативной системой управления. Внедрившись в сеть, хакеры АНБ заразили вредоносным ПО форумы джихадистов, хитростью вынуждая читателей кликать по ссылкам, в результате чего на их компьютерах устанавливались шпионские программы. Obelisk открыл шпионам доступ к секретам «Аль-Каиды» и предоставил средства для внедрения в их ряды.
В сентябре 2007 г. во время рейда, проведенного американцами в деревне Синджар, расположенной в 16 км от ирако-сирийской границы, был получен массив секретной информации, включавшей имена агентов «Аль-Каиды», их электронные адреса, номера телефонов, а также адреса сайтов и пароли к секретным чат-комнатам членов «Аль-Каиды». Полученные данные стали важной частью работы разведслужб по выслеживанию боевиков и их захвату или уничтожению. Оказавшись внутри чат-комнат, аналитики могли увидеть, какую риторику и какие образы использовала «Аль-Каида» для вербовки новых боевиков. Вооруженные этой инсайдерской информацией, аналитики разрабатывали контрпропаганду. Они оставляли сообщения в различных ветках и разделах форумов, спрашивая, не нарушает ли «Аль-Каида» догматы ислама, когда убивает других мусульман.
Кроме того, американские разведчики начали наблюдение за отдельными пропагандистами. Шокирующие видеозаписи, на которых боевики обезглавливали своих пленников – иногда ими оказывались американцы, работавшие в Ираке по контракту, – к тому моменту стали мощным средством агитации и вербовки. Видеозаписи уничтожения американской бронированной техники с помощью подрывов стали визитной карточкой джихадистов. Американские хакеры могли заблокировать пропагандистам доступ в Интернет. Однако это ненадолго бы нарушило их деятельность. Поэтому поступали по-другому – местоположение компьютеров, с которых загружались видеоролики, определялось по их уникальным интернет-адресам. Затем спецназ отправлялся туда для захвата или уничтожения видеооператора.
Подобная задача крайне сложна, намного сложнее, чем определить положение боевика по сигналу его сотового телефона. В сети Интернет можно действовать анонимно. Любой человек может зарегистрировать электронный почтовый ящик на фальшивое имя на сайтах Google или Hotmail, услугами которых пользуются миллионы клиентов, при этом их данные хранятся на серверах, расположенных по всему миру. И таких людей достаточно трудно найти. Но более продвинутые противники знают, как направить трафик через цепочку серверов, находящихся в разных странах, что сделает определение их действительного физического местоположения практически невозможным.
В прошлые годы, еще до резкого роста числа пользователей Интернета, АНБ было серьезно сосредоточено на разработке и приобретении программного обеспечения, которое могло определять положение людей на основе интернет-адресов их компьютеров. В тот период агентство было заинтересовано в поисках не столько мятежников, сколько хакеров, воровавших секретную информацию с правительственных и корпоративных компьютеров и угрожавших работе критически важных объектов (например, электрических станций и финансовых систем). К моменту взрывного развития и распространения Интернета агентство отточило свои методы поиска людей в тумане киберпространства. Методы так называемой сетевой криминалистики могли помочь снять пелену анонимности и сорвать маску с врага. Однако аналитикам при этом приходилось применять также и старомодные криминалистические методы расследования. В АНБ начали изучать методики, по которым можно было бы определить работу конкретных хакеров: какое вредоносное ПО они используют, каким инструментарием пользуются для взлома компьютерных систем. АНБ приобретало специализированное криминалистическое ПО у Computer Associates, технологической компании, основанной в Нью-Йорке, а также у нового игрока на этом рынке, компании NetWitness, которая разместилась не в технологических центрах Кремниевой долины, а в городе Рестон (штат Вирджиния), поближе к Пентагону и американским разведывательным службам, всего в получасе езды от Вашингтона. Разведслужба потратила годы, чтобы с помощью этих программ и разработок своих инженеров решить так называемую задачу атрибуции (то есть установления авторства или идентификации пользователя) и научиться определять местонахождение человека в реальном мире на основе информации о его действиях в Интернете. Ищейки из АНБ отточили эти методики в Ираке. И в последующие годы они применяли эти методы для глобальной охоты на хакеров.
Свое внимание киберсолдаты в Ираке обратили также на новые сети, развернутые в этой стране. Мятежников притягивали интернет-кафе, открывавшиеся тут и там после падения режима Саддама Хусейна, при котором доступ к иностранным медиа был крайне ограничен. Киберсолдаты при помощи военно-воздушных сил проникли в компьютеры, установленные в этих заведениях, и следили за тем, какую информацию мятежники публикуют и с кем общаются. Посещение кафе делало мятежников уязвимыми, поскольку там им приходилось действовать открыто, а сами компьютеры не находились под их постоянным наблюдением и контролем. Каждый раз, когда они выходили в Сеть через компьютер общего пользования, они подвергали себя риску быть обнаруженными.