Читаем Компьютерра PDA N150 (17.12.2011-23.12.2011) полностью

Когда-нибудь, вероятно, всплывёт информация и об этом крайне секретном и "очень специфическом материале" АНБ. Ну а пока - в первых числах декабря - очень информированная в области государственных дел столичная газета Washington Post опубликовала большущий материал об уже рассекреченной тайне. Со множеством неизвестных прежде подробностей рассказана та самая история с Уильямом Дж. Линном, которая стала "великим катализатором" для радикального пересмотра военной киберстратегии США.

Самые примечательные фрагменты данной статьи явно заслуживают того, чтобы привести их тут практически дословно - как восхитительный образец промывки мозгов обывателям.

Руководство Пентагона рассматривает инцидент, имевший место в октябре 2008, как наиболее серьёзный случай проникновения в секретные компьютерные сети вооружённых сил США. Ответ на эту угрозу - в течение последних трёх лет - преобразовал правительственный подход к кибербезопасности и простимулировал создание нового военного командования, заточенного под укрепление компьютерной обороны вооружённых сил и для подготовки последующих наступательных операций.

Кроме того, усилия по нейтрализации вредоносного ПО - действия, предпринятые в ходе операции под кодовым названием Buckshot Yankee, - также продемонстрировали важность компьютерного шпионажа в организации эффективного реагирования на киберугрозы.

Этот материал, содержащий нераскрывавшуюся прежде информацию о масштабах инфекции, поразившей правительственные сети, построен на основе интервью с двумя дюжинами нынешних и бывших членов руководства США и других людей с непосредственным знанием о подробностях данной операции.

Вредоносная программа, породившая ответную операцию Buckshot Yankee, до этого циркулировала в интернете на протяжении многих месяцев, не вызывая никаких особых сигналов тревоги - просто как ещё одна компьютерная зараза среди множества ей подобных. Затем, в июне 2008 года, она всплыла в военных компьютерах руководства NATO. А ещё четыре месяца спустя, в октябре 2008, аналитик АНБ обнаружил эту инфекцию в закрытой сети SIPRNet (Secret Internet Protocol Router Network), которую министерство обороны и госдепартамент США используют для передачи секретных материалов. То есть обычных служебных материалов, а не самых серьёзных гостайн.

Вскоре, впрочем, тот же самый червь-троянец был обнаружен и в компьютерах более серьёзной системы JWICS (Joint Worldwide Intelligence Communication System), которая оперативно доставляет разведывательную информацию с грифом Top Secret до представителей американского руководства повсюду, в какой бы точке земного шара они ни находились.

Такого рода государственные сети, по которым передаётся информация, утечка которой может иметь драматичные последствия, всегда работают в так называемом режиме Air Gap, или - "с воздушным зазором". То есть на уровне проводов и кабелей они физически отделены от каналов свободно доступного для всех интернета. Или, если угодно, той среды, где кишмя кишат вредоносные коды, всякие вирусы и черви, специально созданные для хищений информации и нанесения вреда компьютерным системам.

Государственное руководство всегда было озабочено проблемами неавторизованного изъятия секретных материалов из закрытых правительственных сетей. Однако теперь, несмотря на Air Gap, в секретных сетях обнаружилось вредоносное ПО, которое ещё и пыталось установить связь с внешним интернетом.

Один из наиболее вероятных сценариев попадания вируса выглядел так: какой-то американский военный, чиновник или подрядчик в Афганистане - где было зафиксировано самое большое число заражённых систем - сидел в интернет-кафе, воспользовался там своей флешкой в уже заражённом кем-то компьютере, а затем на службе вставил этот же флеш-модуль в машину секретной сети. Конечно, делать такие вещи категорически запрещено, однако человек чаще всего оказывается самым слабым звеном в системах защиты информации.

Как только первый компьютер оказался заражён, теперь уже любая другая флешка, подсоединённая к этой машине, подцепляла себе в память копию червя, перенося его на все прочие компьютеры как классический разносчик инфекции. Проблема данного вируса состояла в том, что для похищения контента вредитель должен связаться с компьютером-хозяином - для получения инструкций и подгрузки дополнительных шпионских модулей.

Именно эти сигналы червя, или "лучи", как их называют в АНБ, и были впервые отслежены молодым аналитиком из спецкоманды АНБ под названием ANO (Advanced Networks Operations - "продвинутые сетевые операции") - группы из двадцати- и тридцати-с-небольшим-летних специалистов-компьютерщиков, собранной в 2006 году для охоты за подозрительной сетевой активностью в закрытых сетях правительства. Их офис расположен в непримечательном зале без окон здания Ops1 - приземистого прямоугольного сооружения на большой территории штаб-квартиры АНБ в Форт-Миде, штат Мэриленд.

После нескольких дней расследования сотрудники ANO установили, что имеет место крупномасштабное проникновение.