Компьютерра - Компьютерра PDA N97 (19.02.2011-25.02.2011)

Началом катастрофы стало опрометчивое интервью, которое Барр дал газете Financial Times и где он, не скрывая гордости, объявил, что успешно сдёрнул покровы секретности с анонимусов - установив их лидеров и продемонстрировав, что не такие уж они "анонимные". В этом же интервью, дабы привлечь побольше внимания к своему досье со стороны властей, Аарон Барр сообщил, что доложит о методах и итогах своих изысканий на ближайшей конференции по инфобезопасности в Сан-Франциско.

Практически сразу же вслед за этой публикацией некие безвестные умельцы проникли в несколько компьютерных систем как HBGary Federal, так и родительской HBGary (хотя опозоренный "родитель" ныне старательно дистанцируется от своей в хлам скомпрометированной "дочки", настаивая на том, что юридически это самостоятельная компания; на деле у обеих фирм одни и те же владельцы, один общий офис, общие серверы, специалисты и так далее). Проникнув же в системы HBGary - фирмы, напомним, позиционирующей себя в качестве экспертов компьютерно-сетевой защиты, - анонимусы отыскали там составленное Барром досье, а также очень много чего другого и интересного. Например, большущий, примерно на 67 000 писем, архив электронной почты обеих фирм, весьма деликатного свойства внутреннюю документацию и всяческие прочие файлы, совершенно не предназначавшиеся для глаз посторонних.

Мало того, что все эти материалы были анонимусами выкачаны, а многие из них, включая архив почты и досье на Anonymous, тут же выложены в пиринговые сети для всеобщего свободного скачивания и ознакомления (со словами типа "Барр хотел продать это досье ФБР, мы же дарим его им абсолютно бесплатно, потому что собрана там сплошная чепуха"). Попутно анонимусы хакнули и опустили веб-сайты, связанные с бизнесом HBGary, захватили аккаунты их руководства и сотрудников Twitter, где стали публиковать всякие нелицеприятные слова о компании, уничтожили резервные архивы данных фирмы, а ради уязвления лично Аарона Барра дистанционно стёрли информацию в его планшете iPad.

Короче говоря, масштаб катастрофы, постигшей компанию HBGary, без всякого преувеличения можно называть фатальным. Чтобы хоть как-то сохранить лицо, сооснователь и исполнительный директор HBGary Грег Хоглунд даёт прессе интервью примерно в таких сдержанно-угрожающих выражениях: "И прежде то, что делали эти ребята, было технически незаконным, однако всё это совершалось ради прямой поддержки сливов компромата на власти [что нелегальным в общем-то не является]. Но теперь мы имеем ситуацию, когда они совершают федеральное преступление, похищая частные данные и засылая их в торрент-сети... Они атаковали не просто какую-то там компанию - ведь мы пытаемся защищать правительство США от хакеров. Они не могли выбрать себе худшую цель для атаки"...

Судя по происходящему, крайне маловероятно, что хоть кого-то из анонимусов способны испугать подобные угрозы со стороны тотально раздавленной HBGary. Особенно если принимать во внимание характер и содержание той информации о деятельности данной фирмы, что ныне стали общеизвестными. Реальную основу бизнеса HBGary, судя по конфиденциальной переписке компании, составляла не столько защита от вредоносного ПО, сколько написание новых, всё более опасных и неистребимых руткитов, троянов, бэкдоров и прочих шпионских программ. Изготовляемых, естественно, по заказам видных корпораций военно-промышленного комплекса США под всякими нейтральными названиями типа "Проект С", "Задание Z", "Задание M", "Задание B" и так далее.

Как правило, заказчиком всех этих "изделий" обычно выступала известная фирма американского ВПК General Dynamics, а стоимость отдельных заказов могла исчисляться сотнями тысяч долларов. Особый же интерес представляет совсем свежий контракт HBGary, обсуждаемый в январе 2011 года в личной переписке Грега Хоглунда с некой фирмой Farallon. Не самая знаменитая, мягко говоря, в ИТ-безопасности корпорация, Farallon формулирует свою официальную миссию следующими словами: "объединять продвинутые коммерческие технологии и компании, которые их разрабатывают, с запросами и потребностями правительства США". В развернутом письме-презентации Хоглунда для этого интегратора описывается одно из конкретных предложений на запросы американского правительства - совершенно новая разработка HBGary под названием "супер-руткит Magenta".

Цитируя содержательную часть данного документа:

"Magenta - это новый тип руткита под все нынешние разновидности ОС Windows, который в HBGary получил название мульти-контекстного руткита. Тело этого руткита, на 100 процентов реализованного на языке ассемблер и имеющего размер порядка 4 кбайт или менее того, вводится в память ядра ОС с помощью техники частичной загрузки DriverEntry. Однажды внедрённый в память ядра, руткит Magenta автоматически выявляет там контекст активных процессов и тредов, чтобы встраивать себя в них через механизм APC (асинхронный вызов процедуры). Как только APC срабатывает в контексте нового процесса, тут же выполняется и код руткита. При завершении каждой активации APC Magenta перемещает себя на новое место в памяти и автоматически выявляет новые комбинации процессов/тредов для запуска одного или нескольких дополнительных APC.

Среди ключевых особенностей руткита можно отметить, что это совершенно новый тип, не имеющий аналогов в открытых публикациях. Его практически невозможно удалить из живой работающей системы. Любые инструменты, основанные на физическом анализе памяти, которые позволяют увидеть текущее местоположение тела Magenta, будут почти бесполезны, поскольку к тому времени, когда аналитик попытается проверить свой результат, Magenta уже переместится в новое место и в новый контекст. Руткит невидим для оборонительных компонентов режима ядра и оснащён элегантной и мощной системой инструкций командования и управления (C&C message system), для которых имеется практически бесконечное количество способов их внедрения в физическую память сетевого компьютера даже при нулевых полномочиях…"

Переходя к не менее любопытной и до последнего времени столь же незримой деятельности дочерней фирмы, HBGary Federal, несложно увидеть, что с заказами федерального правительства у неё как-то с самого начала не задалось. Однако задачи, которые эта компания с энтузиазмом бралась решать для столкнувшихся с проблемами богатых клиентов, вроде Bank of America или Торговой палаты США, в каком-то смысле ничуть не уступают коммерческому изготовлению шпионских руткитов. А с точки зрения сомнительной легальности творимого, быть может, даже и превосходят.

Когда осенью прошлого года Торговая палата США пожелала собрать информацию о некоторых из своих наиболее рьяных оппонентов в рядах профсоюзов, Аарон Барр почуял большие деньги и объединился с двумя другими компаниям по инфобезопасности, чтобы предложить Палате радикальное решение. Суть предложения - создать крутую и абсурдно дорогостоящую "ячейку синтеза" для быстрого и эффективного сбора компрометирующих материалов на оппонентов, по типу тех ячеек, что "создают и применяют в JSOC" (крайне засекреченном американском Командовании совместных спецопераций) для оперативной борьбы с национальными угрозами. Аналогичная инициатива для бизнес-структур, по подсчётам Барра и его подельников, обошлась бы Палате в круглую сумму - два миллиона долларов ежемесячно.

Ещё даже не получив предварительное "добро" или тем более контракт на операцию, три фирмы уже начали собирать твиты и прочие сетевые публикации либеральных активистов, а также составлять диаграммы социальных связей между людьми. Для этого они использовали продвинутые программы анализа контактов, чаще всего применяемые в спецслужбах и разведывательном сообществе.

Примерно тогда же, в ноябре 2010 года, когда руководители одного из крупнейших банков США, Bank of America, начали с беспокойством искать способы, с помощью которых можно было бы как-то прищучить WikiLeaks (где в ближайшем будущем обещано опубликовать большой массив компромата на BoA), Аарон Барр и тут предложил свои услуги. Он оперативно сгенерировал презентацию-план [PDF], в котором HBGary Federal вызывалась организовать "кибератаки против инфраструктуры WikiLeaks, чтобы добыть данные об источниках-поставщиках документов". Когда же дело дойдёт до прессования этих поставщиков, то в итоге, по мысли Барра, это убьёт и весь проект. Другой сильной идеей была фабрикация компрометирующих документов с подсовыванием их для слива через WikiLeaks. После этого планировалось предоставить факты и доказательства, указывающих на подделку и продемонстрировать всем, что WikiLeaks - это крайне сомнительный источник всякого мусорного хлама.

Наконец, в плане Барра предлагалось пойти и ещё дальше, занявшись персональными информационными атаками против таких людей, как репортёр британской Guardian Джеймс Болл и американский колумнист издания Salon.com Глен Гринволд, регулярно и с симпатией пишущие об инициативах WikiLeaks. Цель атак - угрозами и шантажом заставить журналистов заткнуться: "Это авторитетные профессионалы с либеральным уклоном, но, в конечном счёте, большинство таких людей выбирает карьеру и профессиональное благополучие, а не последствия (приверженности своей позиции). Такова уж ментальность большинства профессионалов бизнеса... Без поддержки таких людей, как Гринволд и Болл, проект WikiLeaks уже загнулся бы"...