Коллектив Авторов - Цифровой журнал «Компьютерра» № 100

Согласно попавшей ныне в прессу информации, в специальном аналитическом обзоре правительства о киберугрозах, распространённом среди ИТ-компаний в апреле 2011, Департамент торговли США попутно «попросил» предоставить властям отчёты о текущем техническом оснащении фирм. В частности, этот документ потребовал от компаний связи предоставить подробный перечень сведений о том, кто из зарубежных фирм какое именно оборудование изготовлял, включая компоненты оптоволоконной передачи, приёмопередатчики и контроллеры базовых станций. Эти сведения через Департамент торговли должны были быть предоставлены министерству обороны. Данным манёвром американские власти намеревались получить подробную карту того, что за страны и как именно ныне участвуют в работе национальных сетей связи США (не секрет, что основное беспокойство вызывает сетевое оборудование из Китая).

Кроме того, Департамент запросил информацию об инцидентах, связанных с нарушением безопасности, — таких, как обнаружение в сетях «неавторизованной электронной аппаратуры» или подозрительного оборудования, способного дублировать или перенаправлять данные.

Вообще-то по американским законам частные компании не обязаны делиться с правительством сведениями, которые считают конфиденциальными и разглашение которых полагают крайне нежелательным. А подробные перечни применяемого оборудования относятся именно к такой категории данных. Однако конкретно в данном случае тем компаниям, которые отказываются откликнуться на призыв властей по-хорошему, сделано предупреждение, что они могут быть подвергнуты уголовному преследованию в соответствии с Законом об оборонном производстве (Defense Production Act) от 1950 года, позволяющим правительству управлять экономикой в военное время...

Ну а чтобы никто не подумал, будто сейчас время мирное, в американскую прессу там и тут вновь стали вбрасываться (очищенные от фактов) истории-страшилки о напряжённых и практически военных сражениях, то и дело происходящих ныне в киберпространстве. Также широко цитируются всякие высокого ранга чиновники, сведущие в госсекретах и авторитетно заверяющие публику, что дела обстоят очень серьёзно. Вот как формулирует проблему, в частности, некто Ричард Фолкенрат (Richard Falkenrath), высокопоставленный член американского Совета по международным отношениям: «Это далеко не смутные подозрения. Конгресс ныне также занимается проработкой данной темы [об иностранном шпионаже в национальных сетях связи], а работают они с этим на основе очень специфического материала, предоставленного им Агентством национальной безопасности на секретном заседании».

Когда-нибудь, вероятно, всплывёт информация и об этом крайне секретном и «очень специфическом материале» АНБ. Ну а пока — в первых числах декабря — очень информированная в области государственных дел столичная газета Washington Post опубликовала большущий материал об уже рассекреченной тайне. Со множеством неизвестных прежде подробностей рассказана та самая история с Уильямом Дж. Линном, которая стала «великим катализатором» для радикального пересмотра военной киберстратегии США.

Самые примечательные фрагменты данной статьи явно заслуживают того, чтобы привести их тут практически дословно — как восхитительный образец промывки мозгов обывателям.

Руководство Пентагона рассматривает инцидент, имевший место в октябре 2008, как наиболее серьёзный случай проникновения в секретные компьютерные сети вооружённых сил США. Ответ на эту угрозу — в течение последних трёх лет — преобразовал правительственный подход к кибербезопасности и простимулировал создание нового военного командования, заточенного под укрепление компьютерной обороны вооружённых сил и для подготовки последующих наступательных операций.

Кроме того, усилия по нейтрализации вредоносного ПО — действия, предпринятые в ходе операции под кодовым названием Buckshot Yankee, — также продемонстрировали важность компьютерного шпионажа в организации эффективного реагирования на киберугрозы.

Этот материал, содержащий нераскрывавшуюся прежде информацию о масштабах инфекции, поразившей правительственные сети, построен на основе интервью с двумя дюжинами нынешних и бывших членов руководства США и других людей с непосредственным знанием о подробностях данной операции.

Вредоносная программа, породившая ответную операцию Buckshot Yankee, до этого циркулировала в интернете на протяжении многих месяцев, не вызывая никаких особых сигналов тревоги — просто как ещё одна компьютерная зараза среди множества ей подобных. Затем, в июне 2008 года, она всплыла в военных компьютерах руководства NATO. А ещё четыре месяца спустя, в октябре 2008, аналитик АНБ обнаружил эту инфекцию в закрытой сети SIPRNet (Secret Internet Protocol Router Network), которую министерство обороны и госдепартамент США используют для передачи секретных материалов. То есть обычных служебных материалов, а не самых серьёзных гостайн.

Вскоре, впрочем, тот же самый червь-троянец был обнаружен и в компьютерах более серьёзной системы JWICS (Joint Worldwide Intelligence Communication System), которая оперативно доставляет разведывательную информацию с грифом Top Secret до представителей американского руководства повсюду, в какой бы точке земного шара они ни находились.

Такого рода государственные сети, по которым передаётся информация, утечка которой может иметь драматичные последствия, всегда работают в так называемом режиме Air Gap, или — «с воздушным зазором». То есть на уровне проводов и кабелей они физически отделены от каналов свободно доступного для всех интернета. Или, если угодно, той среды, где кишмя кишат вредоносные коды, всякие вирусы и черви, специально созданные для хищений информации и нанесения вреда компьютерным системам.

Государственное руководство всегда было озабочено проблемами неавторизованного изъятия секретных материалов из закрытых правительственных сетей. Однако теперь, несмотря на Air Gap, в секретных сетях обнаружилось вредоносное ПО, которое ещё и пыталось установить связь с внешним интернетом.

Один из наиболее вероятных сценариев попадания вируса выглядел так: какой-то американский военный, чиновник или подрядчик в Афганистане — где было зафиксировано самое большое число заражённых систем — сидел в интернет-кафе, воспользовался там своей флешкой в уже заражённом кем-то компьютере, а затем на службе вставил этот же флеш-модуль в машину секретной сети. Конечно, делать такие вещи категорически запрещено, однако человек чаще всего оказывается самым слабым звеном в системах защиты информации.

Как только первый компьютер оказался заражён, теперь уже любая другая флешка, подсоединённая к этой машине, подцепляла себе в память копию червя, перенося его на все прочие компьютеры как классический разносчик инфекции. Проблема данного вируса состояла в том, что для похищения контента вредитель должен связаться с компьютером-хозяином — для получения инструкций и подгрузки дополнительных шпионских модулей.

Именно эти сигналы червя, или «лучи», как их называют в АНБ, и были впервые отслежены молодым аналитиком из спецкоманды АНБ под названием ANO (Advanced Networks Operations — «продвинутые сетевые операции») — группы из двадцати- и тридцати-с-небольшим-летних специалистов-компьютерщиков, собранной в 2006 году для охоты за подозрительной сетевой активностью в закрытых сетях правительства. Их офис расположен в непримечательном зале без окон здания Ops1 — приземистого прямоугольного сооружения на большой территории штаб-квартиры АНБ в Форт-Миде, штат Мэриленд.

После нескольких дней расследования сотрудники ANO установили, что имеет место крупномасштабное проникновение.

Читайте продолжение: В 4:30 Шэффер вошел в кабинет генерала Кита Александера, директора АНБ и ветерана военной разведки. Как вспоминал затем Александер, Шэффер был немногословен. «У нас проблема», – сказал он.

К оглавлению

Кивино гнездо: «ЭТО не кончится никогда» (окончание)

Киви Берд

Опубликовано 20 декабря 2011 года

- Вторая часть статьи. Начало читайте здесь.

В полдень пятницы 24 октября 2008 Ричард Шэффер (Richard C. Schaeffer), в ту пору главный в АНБ специалист по защите компьютерных систем, находился на встрече с президентом Дж. Бушем, который наносил свой последний визит в АНБ перед завершением президентского срока. Помощник Шэффера принес и протянул ему лист бумаги с предупреждением о выявленном проникновении. В 4:30 Шэффер вошел в кабинет генерала Кита Александера (Keith Alexander), директора АНБ и ветерана военной разведки. Как вспоминал затем Александер, Шэффер был немногословен. «У нас проблема», – сказал он.