Компьютерра - Компьютерра PDA N150 (17.12.2011-23.12.2011)

Ну а чтобы никто не подумал, будто сейчас время мирное, в американскую прессу там и тут вновь стали вбрасываться (очищенные от фактов) истории-страшилки о напряжённых и практически военных сражениях, то и дело происходящих ныне в киберпространстве. Также широко цитируются всякие высокого ранга чиновники, сведущие в госсекретах и авторитетно заверяющие публику, что дела обстоят очень серьёзно. Вот как формулирует проблему, в частности, некто Ричард Фолкенрат (Richard Falkenrath), высокопоставленный член американского Совета по международным отношениям: "Это далеко не смутные подозрения. Конгресс ныне также занимается проработкой данной темы [об иностранном шпионаже в национальных сетях связи], а работают они с этим на основе очень специфического материала, предоставленного им Агентством национальной безопасности на секретном заседании".

Когда-нибудь, вероятно, всплывёт информация и об этом крайне секретном и "очень специфическом материале" АНБ. Ну а пока - в первых числах декабря - очень информированная в области государственных дел столичная газета Washington Post опубликовала большущий материал об уже рассекреченной тайне. Со множеством неизвестных прежде подробностей рассказана та самая история с Уильямом Дж. Линном, которая стала "великим катализатором" для радикального пересмотра военной киберстратегии США.

Самые примечательные фрагменты данной статьи явно заслуживают того, чтобы привести их тут практически дословно - как восхитительный образец промывки мозгов обывателям.

Руководство Пентагона рассматривает инцидент, имевший место в октябре 2008, как наиболее серьёзный случай проникновения в секретные компьютерные сети вооружённых сил США. Ответ на эту угрозу - в течение последних трёх лет - преобразовал правительственный подход к кибербезопасности и простимулировал создание нового военного командования, заточенного под укрепление компьютерной обороны вооружённых сил и для подготовки последующих наступательных операций.

Кроме того, усилия по нейтрализации вредоносного ПО - действия, предпринятые в ходе операции под кодовым названием Buckshot Yankee, - также продемонстрировали важность компьютерного шпионажа в организации эффективного реагирования на киберугрозы.

Этот материал, содержащий нераскрывавшуюся прежде информацию о масштабах инфекции, поразившей правительственные сети, построен на основе интервью с двумя дюжинами нынешних и бывших членов руководства США и других людей с непосредственным знанием о подробностях данной операции.

Вредоносная программа, породившая ответную операцию Buckshot Yankee, до этого циркулировала в интернете на протяжении многих месяцев, не вызывая никаких особых сигналов тревоги - просто как ещё одна компьютерная зараза среди множества ей подобных. Затем, в июне 2008 года, она всплыла в военных компьютерах руководства NATO. А ещё четыре месяца спустя, в октябре 2008, аналитик АНБ обнаружил эту инфекцию в закрытой сети SIPRNet (Secret Internet Protocol Router Network), которую министерство обороны и госдепартамент США используют для передачи секретных материалов. То есть обычных служебных материалов, а не самых серьёзных гостайн.

Вскоре, впрочем, тот же самый червь-троянец был обнаружен и в компьютерах более серьёзной системы JWICS (Joint Worldwide Intelligence Communication System), которая оперативно доставляет разведывательную информацию с грифом Top Secret до представителей американского руководства повсюду, в какой бы точке земного шара они ни находились.

Такого рода государственные сети, по которым передаётся информация, утечка которой может иметь драматичные последствия, всегда работают в так называемом режиме Air Gap, или - "с воздушным зазором". То есть на уровне проводов и кабелей они физически отделены от каналов свободно доступного для всех интернета. Или, если угодно, той среды, где кишмя кишат вредоносные коды, всякие вирусы и черви, специально созданные для хищений информации и нанесения вреда компьютерным системам.

Государственное руководство всегда было озабочено проблемами неавторизованного изъятия секретных материалов из закрытых правительственных сетей. Однако теперь, несмотря на Air Gap, в секретных сетях обнаружилось вредоносное ПО, которое ещё и пыталось установить связь с внешним интернетом.

Один из наиболее вероятных сценариев попадания вируса выглядел так: какой-то американский военный, чиновник или подрядчик в Афганистане - где было зафиксировано самое большое число заражённых систем - сидел в интернет-кафе, воспользовался там своей флешкой в уже заражённом кем-то компьютере, а затем на службе вставил этот же флеш-модуль в машину секретной сети. Конечно, делать такие вещи категорически запрещено, однако человек чаще всего оказывается самым слабым звеном в системах защиты информации.

Как только первый компьютер оказался заражён, теперь уже любая другая флешка, подсоединённая к этой машине, подцепляла себе в память копию червя, перенося его на все прочие компьютеры как классический разносчик инфекции. Проблема данного вируса состояла в том, что для похищения контента вредитель должен связаться с компьютером-хозяином - для получения инструкций и подгрузки дополнительных шпионских модулей.

Именно эти сигналы червя, или "лучи", как их называют в АНБ, и были впервые отслежены молодым аналитиком из спецкоманды АНБ под названием ANO (Advanced Networks Operations - "продвинутые сетевые операции") - группы из двадцати- и тридцати-с-небольшим-летних специалистов-компьютерщиков, собранной в 2006 году для охоты за подозрительной сетевой активностью в закрытых сетях правительства. Их офис расположен в непримечательном зале без окон здания Ops1 - приземистого прямоугольного сооружения на большой территории штаб-квартиры АНБ в Форт-Миде, штат Мэриленд.

После нескольких дней расследования сотрудники ANO установили, что имеет место крупномасштабное проникновение.

Читайте продолжение:В 4:30 Шэффер вошел в кабинет генерала Кита Александера, директора АНБ и ветерана военной разведки. Как вспоминал затем Александер, Шэффер был немногословен. "У нас проблема", – сказал он.

Кивино гнездо: "ЭТО не кончится никогда" (окончание)

Автор: Киви Берд

Опубликовано 20 декабря 2011 года

- Вторая часть статьи. Начало читайте здесь.

В полдень пятницы 24 октября 2008 Ричард Шэффер (Richard C. Schaeffer), в ту пору главный в АНБ специалист по защите компьютерных систем, находился на встрече с президентом Дж. Бушем, который наносил свой последний визит в АНБ перед завершением президентского срока. Помощник Шэффера принес и протянул ему лист бумаги с предупреждением о выявленном проникновении. В 4:30 Шэффер вошел в кабинет генерала Кита Александера (Keith Alexander), директора АНБ и ветерана военной разведки. Как вспоминал затем Александер, Шэффер был немногословен. "У нас проблема", – сказал он.

В тот же вечер руководство АНБ провело брифинг для высших чиновников правительства США - председателя объединённого комитета начальников штабов, заместителя министра обороны, лидеров Конгресса, чтобы рассказать им о произошедшем инциденте.

Проработав всю ночь, операторы ANO нашли потенциальный способ лечения. Поскольку код-лазутчик отсылал сигналы в поисках инструкций для дальнейших действий, было предположено, что, возможно, они смогли бы придумать способ отдать приказ этому вирусу просто себя выключить. К утру, в комнате с разбросанными повсюду коробками из-под пустой пиццы и банками с содовой, на доске был составлен план действий. Но прежде чем запустить этот план в работу, команда АНБ должна была убедиться, что их действия не отразятся на работе прочего программного обеспечения, включая те программы, что командиры на поле боя используют для коммуникаций и работы с разведданными. Им требовалось провести тестовое испытание.

"Самым главным было не нанести вреда", - вспоминает Шэффер.

К полудню того же дня члены команды ANO загрузили в автомобиль компьютерный сервер и отвезли его в находившийся неподалеку офис DISA, то есть Агентства информационных систем министерства обороны, которое занимается непосредственным управлением телекоммуникационных и спутниковых сетей военного ведомства страны.

В 2:30 пополудни они запустили свою программу, специально созданную для ответа на лучи шпиона-лазутчика и подачи для него управляющих команд. Вскоре после этого вредоносный код на тестовом сервере впал в перманентный ступор.

Однако разработка технического противоядия была только первым шагом. Чтобы реально победить угрозу, требовалось нейтрализовать вражеский вирус повсюду, куда он сумел проникнуть в правительственные сети. А это был крайне изнурительный процесс, включавший в себя изоляцию каждого отдельного компьютера, отключение его от общей сети, зачистку машины и переформатирование жёстких дисков.

Другим ключевым игроком в операции Buckshot Yankee была команда АНБ под названием TAO, или Tailored Access Operations (Операции специального доступа) - засекреченное подразделение, созданное в начале 1990-х годов, специализирующееся на зарубежных разведывательных операциях и сфокусированное на сборе чувствительной технической информации. Эти специалисты отправились за пределы военных сетей США, чтобы отыскать информацию о проникнувшем к ним шпионе с помощью спецметодов под названием "exploitation", или электронный шпионаж.