Сноуден: самый опасный человек в мире - Сырков Борис. Страница 23
Внедренное в компьютеры шпионское программное обеспечение АНБ не выявлялось антивирусами, поскольку все они были скомпрометированы АНБ либо втайне от производителей, либо по секретному соглашению с ними. Шпионские программы служили для того, чтобы скрытно копировать электронные документы, которые хранились на зараженных компьютерах. Помимо этого, ОССД помогала дешифровальщикам АНБ взламывать криптосистемы, незаметно внося изменения в программные средства защиты компьютерных систем с помощью шпионского программного обеспечения, а также воруя криптографические ключи и выявляя особенности применяемых алгоритмов шифрования. Более того, шпионские программы позволяли компрометировать не только компьютер, изначально выбранный в АНБ в качестве мишени, но и другие компьютеры, с которыми он связывался по сети с использованием шифрования.
По некоторым данным, многие успешные операции АНБ по взлому зарубежных криптосистем в 2000-е годы, включая шифры России и Китая, стали возможны именно благодаря активному участию в этих операциях кибер-шпионов из ОССД. Были взломаны дипломатические криптосистемы одной из стран большой восьмерки, Египта, Сирии, Ирана и Пакистана. А еще, благодаря содействию одной из крупных американских телекоммуникационных компаний, был получен доступ к шифрованной информации со смартфонов и планшетов, работавших в коммуникационных сетях стандарта 4G. Также известно, что большая часть разведывательной информации о китайских кибератаках на различные цели в США, Западной и Центральной Европе, а также в Азии была получена только после того, как ОССД удалось проникнуть в китайские компьютерные системы, которые использовались для кибератак.
С течением времени ОССД превратилась в очень эффективное подразделение АНБ, благодаря сотрудничеству с большой тройкой американских телекоммуникационных компаний – «АТТ», «Веризон» и «Спринт», с большинством интернет-провайдеров в США, а также со многими крупными производителями средств компьютерной безопасности. Согласно документу АНБ, который стал достоянием гласности в 2013 году, эти компании помогли агентству сделать «уязвимыми коммерческие криптосистемы, информационные технологии, сети и оконечные сетевые устройства» в интересах ОССД.
АНБ пристально следило за мировым рынком систем защиты компьютеров. В этом ему активно помогали ЦРУ, Разведывательное управление министерства обороны и государственный департамент США. Также в ОССД наблюдали за хакерскими операциями по взлому компьютеров и производили тщательный анализ примененных методов тайного компьютерного проникновения, чтобы потом можно было использовать их для достижения собственных целей.
Стремясь спрятать от посторонних глаз деятельность ОССД, АНБ учредило значительное количество компаний, служивших прикрытием для ОССД. Эти компании владели большим количеством связанных между собой серверов, находившихся как в США, так и за их пределами, и не имевших видимой связи с АНБ. Серверное оборудование подставных компаний активно задействовалось сотрудниками ОССД для проведения атак на компьютерные системы по всему миру.
Свое «продуктивное и долгосрочное сотрудничество» с американскими телекоммуникационными компаниями АНБ использовало, в частности, для того, чтобы идентифицировать пользователей системы «Тор» [15] и тайно устанавливать на их компьютерах шпионские программы.
Сначала АНБ выявляло пользователей системы «Тор», полагаясь на свою способность мониторить весь Интернет. С этой целью в АНБ велась картотека характерных признаков, которыми отличался сетевой обмен между системой «Тор» и ее пользователями. Интернет-перехват сличался с картотекой на предмет обнаружения трафика, генерируемого компьютерами, которые были подключены к системе «Тор». Желанная анонимность в данном случае имела для пользователей «Тор» неприятную оборотную сторону, которая заключалась в том, что в интернете они выглядели почти одинаково, и их легко было отличить от обычных интернет-пользователей.
После этого АНБ пыталось перенаправить выявленных пользователей системы «Тор» на свои специализированные серверы под кодовым наименованием «Квант», которые, пользуясь привилегированным положением, АНБ тайно разместила в опорных точках магистральных интернет-каналов. Благодаря этому расположению, они могли быстрее реагировать на запросы интернет-пользователей, чем другие веб-сайты. Серверы «Квант» выдавали себя за обычные веб-серверы (например, серверы «Гугл»), которые посещали пользователи системы «Тор», и заманивали их на другие серверы АНБ— под кодовым наименованием «Лисья кислота». Работавшие под управлением операционной системы «Виндоуз Сервер 2003» серверы «Лисья кислота» были способны заражать подключавшиеся к ним компьютеры с помощью установленного специального программного обеспечения и набора скриптов на языке «Перл».
Серверы «Лисья кислота» были напрямую подсоединены к Интернету, имели самые обычные доменные имена и были доступны для любых браузеров безо всяких ограничений. Определить истинную принадлежность этих серверов было невозможно. Когда пользователь перенаправлялся на них с одного из серверов «Квант», использовался специальный адрес переадресации, который выглядел вполне невинно. Однако этот адрес снабжался тэгом, обнаружив который, сервер «Лисья кислота» пытался тайно внедрить шпионскую программу в компьютер перенаправленного посетителя.
Шпионские программы из арсенала серверов «Лисья кислота» были строго ранжированы. Самые изощренные из них использовались только против наиболее важных мишеней. Остальные задействовались в зависимости от технических особенностей атакуемой компьютерной системы. Например, против пользователей системы «Тор» применялся эксплойт [16] «Самолюбивый жираф», которые был основан на слабостях браузера «Огненный лис» компании «Мозилла».
В первую очередь внедренные шпионские программы собирали информацию о конфигурации и местонахождении компьютеров, в которых обосновались. Эта информация отсылалась в штаб-квартиру АНБ и использовалась, чтобы точнее определить способы дальнейшего заражения. Например, выбрать наиболее подходящие «имплантаты»– программные фильтры для просеивания хранимой на компьютере пользовательской информации. В 2008 году общее количество «имплантатов», установленных АНБ по всему миру, составило порядка двадцати тысяч. В середине 2012 году оно достигло пятидесяти тысяч. «Имплантаты» имели дистанционное управление и активировались из штаб-квартиры АНБ простым нажатием кнопки.
В ноябре 2013 года стало известно об операции «Социалист», в ходе которой был в ЦПС получен тайный доступ к маршрутизаторам бельгийской телекоммуникационной компании «Белгаком» в целях перехвата ее сетевого трафика, отслеживания перемещения ее абонентов и внедрения вредоносного программного обеспечения в их устройства. Операция началась с того, что в самой крупной в мире социальной сети для делового общения «ЛинкедИн» были выявлены системные администраторы и инженеры «Белгаком». На каждого из них было заведено отдельное досье, которое включало адреса электронной почты, учетные записи в социальных сетях, посещаемые интернет-сайты и личные пристрастия. При помощи серверов «Квант» им подсунули фальшивые веб-страницы, имитировавшие интернет-сайт «ЛинкедИн» и содержавшие шпионские программы. Заражение компьютеров этими программами, которое на жаргоне хакеров из ЦПС называлось «прививкой», считалось весьма эффективным средством, срабатывавшим более чем в 80 % случаев.
Аналогичным образом в ЦПС было осуществлено проникновение в компьютерные сети крупных биллинговых компаний – швейцарской «Комфоун» и люксембургской «Мач», а также в штаб-квартиры организации стран-экспортеров нефти «Опек» в Вене. В случае с «Мач» в качестве основной мишени был выбран компьютерщик, работавший в индийском подразделении этой компании. Был составлен список используемых им компьютеров и их интернет-адресов, его почтовых ящиков, а также профилей в социальных сетях. Хакеры из ЦПС даже получили доступ к куки-файлам на его компьютере. На основе собранной информации в ЦПС был подобран набор шпионских программ, специальным образом настроенных на незаметное проникновение в компьютеры индийца. И опять для заражения были использованы серверы «Квант».