9. Американская картечь
9. Американская картечь
Пятница 24 октября 2008 г. оказалась неожиданно суматошным днем в штаб-квартире АНБ. В тот день в Форт-Мид приехал президент Буш для встречи с руководителями агентства. Это был его последний запланированный визит на посту президента США, который он покидал в январе будущего года. В 16:30, когда большинство сотрудников АНБ уже готовились уйти домой на выходные, Ричард Шефер, высокопоставленный чиновник, отвечавший за компьютерную безопасность, вошел в кабинет Кита Александера со срочным сообщением.
Молодой аналитик одной из поисковых команд АНБ, занимавшихся розыском вредоносных вторжений, обнаружил мошенническую программу, запущенную в военной компьютерной сети. Программа служила своего рода маяком и отправляла сигналы где-то расположенному головному компьютеру, запрашивая инструкции о своих следующих действиях – нужно ли скопировать файлы или, может быть, стереть все данные. Подобная ситуация сама по себе уже была опасной и тревожной. Но мало того, сигналы передавались из секретной сети, которую использует Центральное командование США, ведущее войны в Ираке и Афганистане. А ведь считалось, что это невозможно, поскольку сеть не была подключена к Интернету.
Еще ни разу до этого момента секретная, не подключенная к Интернету сеть не подвергалась взлому. Такие сети специально изолировались от глобальной сети, поскольку через них проходили сверхсекретные военные сообщения, в том числе планы ведения войны и приказы подразделениям на полях боевых действий. Аналитики лихорадочно работали в течение нескольких следующих дней, чтобы определить, каким образом вредоносная программа попала в сеть. Они подозревали, что скорее всего она была принесена на зараженной флешке, которой пользовался один из солдат в Афганистане. Именно там происходило большинство заражений компьютеров. И это была еще одна проблема – заражения продолжались, и в огромном количестве. Вредоносное ПО распространялось, размножаясь и заражая другие компьютеры в сети через USB-носители. Похоже, что аналогичное ПО обнаружилось также в двух других секретных сетях.
Руководители АНБ немедленно заподозрили, что это работа вражеской разведки, которая пыталась украсть секретную военную информацию. Аналитики полагали, что зараженная флешка могла быть подброшена где-нибудь на автостоянке, где дожидалась какого-нибудь доверчивого человека – «пациента ноль»[16], – который бы подобрал этот носитель и вставил в защищенный компьютер, расположенный в помещениях Центрального командования или на военной базе. Вредоносная программа не могла соединиться с Интернетом для получения инструкций. Однако шпион мог управлять программой, находясь за несколько километров от зараженного компьютера, с помощью радиосигнала – АНБ само использовало подобное оборудование, когда внедряло шпионское ПО в локальные сети. Имелись некоторые признаки того, что червь также заражал и несекретные системы, которые имели соединение с внешним миром и могли стать для иностранных шпионов точкой входа в сети Пентагона.
Этот взлом был беспрецедентным за всю историю военных и разведывательных служб. Александер сказал, что пришло время заявить об опасности.
Генерал ВВС Майкл Басла работал в Пентагоне в пятницу ночью, когда из Форт-Мида поступил тревожный звонок. Басла тогда занимал должность заместителя директора Объединенного комитета начальников штабов по командованию, контролю, связи и компьютерным системам. Он быстро осознал опасность, о которой ему сообщили руководители АНБ. «Столько слов, – позже вспоминал Басла, – чтобы, по сути, сказать: “Хьюстон, у нас проблема”[17]».
Шестерни государственной военной машины закрутились. Той ночью Басла вместе с руководителями АНБ провел совещание с адмиралом Майклом Малленом – председателем Объединенного комитета и высшим военным советником президента Буша. Также агентство проинформировало заместителя министра обороны Гордона Ингленда, который вместе с лидерами конгресса принимал деятельное участие в создании Оборонной военно-промышленной инициативы.
Никто не знал наверняка, когда вредоносное ПО попытается выполнить свою миссию и попытается ли вообще. И что именно за задача была у этой программы, тоже было не ясно. Однако члены разыскной группы АНБ, которые обнаружили червя, полагали, что есть способ его нейтрализовать. Червь отправлял запрос на получение инструкций от головного сервера. Так почему бы не дать червю то, чего он хочет? Специалисты группы хотели создать подменный сервер управления, который бы связался с червем и выдал ему команду перейти в режим сна и не предпринимать никаких дальнейших действий. В этом плане присутствовала доля риска. Если группа своими действиями нарушит работу запущенных в секретной сети программ, обеспечивающих, например, связь между командирами на поле боя, это может нанести урон военным операциям в Афганистане и Ираке. Секретная сеть должна работать без сбоев.
Пентагон согласился на реализацию плана АНБ, которому дали кодовое название «Американская картечь» (Backshot Yankee). Ночь с пятницы на субботу специалисты разыскной группы провели за проработкой всех мельчайших деталей плана, налегая на пиццу и поглощая содовую, чтобы не уснуть. В субботу они погрузили сервер в грузовик и отправились в расположенное неподалеку Агентство оборонных информационных систем, которое управляло глобальными телекоммуникационными системами Министерства обороны. Там сервер под контролем специалистов заразили вредоносным ПО, после чего был активирован подменный компьютер, который отдал червю команду отключиться. План сработал.
Теперь у АНБ появился способ деактивации червя. Однако сначала нужно было найти все его копии, которые расползлись по сетям Министерства обороны. АНБ призвало своих лучших хакеров – элиту из Отдела специализированного доступа. Они занялись поиском зараженных червем военных компьютеров. Но затем пошли дальше и начали отслеживать следы зловредной программы и на гражданских компьютерах, в том числе тех, которые работали в правительственных сетях США и других стран. Выяснилось, что червь распространился очень широко.
В этом не было ничего удивительного. Оказалось, что червь был не таким уж новым. Впервые он был обнаружен финскими специалистами по информационной безопасности, и в июне 2008 г. появился на военных компьютерах страны, входящей в НАТО. Специалисты дали червю имя Agent.btz. Слово agent – обычное название для новых найденных образцов вредоносного ПО, а суффикс. btz использовался в качестве внутренней ссылки. Не было никаких свидетельств тому, что заражение червем Agent.btz привело к похищению или уничтожению данных на каком-либо из американских компьютеров. Фактически червь оказался не так уж сложно устроен, что вызвало вопрос, зачем иностранная разведка потратила усилия на создание червя, который прятался в компьютерах по всему миру и ничего не похищал.
Однако военные руководители все еще опасались дыры в системе безопасности военных сетей, полагая ее страшной угрозой для национальной обороны. Через неделю после того, как АНБ предупредило Пентагон, Маллен был приглашен на совещание с президентом Бушем и министром обороны Гейтсом. АНБ взяло на себя задачу по обнаружению каждого зараженного червем Agent.btz компьютера и обезвреживанию этого червя с помощью подменного сервера. В ноябре Стратегическое командование США, которое на тот момент полностью отвечало за ведение кибервойн, выпустило указ: отныне использование внешних накопителей на компьютерах Министерства обороны и всех военных компьютерах запрещено повсеместно. Указ был избыточно строг, и это подчеркивало, до какой степени были напуганы и встревожены высокопоставленные военачальники.
Александер меньше волновался на этот счет. В возникшей панике он увидел возможность сделать АНБ новым военным лидером в киберпространстве. Ведь именно его разыскная группа обнаружила червя. Именно его эксперты придумали ловкий способ нейтрализации зловредной программы. Именно его хакерская элита, используя свои шпионские навыки, выследила червя в потайных местах. Представители Пентагона раздумывали, следует ли им истребить червя, начав ответную кибератаку, или достаточно просто хитростью заставить его получать команды от их подменного сервера. (Процесс очистки компьютеров от инфекции занял в конечном счете 14 месяцев.)
На тот момент ответственность за проведение согласованного военного удара – настоящей кибервойны – лежала преимущественно на Объединенном командовании функциональными частями для ведения сетевой войны (Joint Functional Component Command for Network Warfare), подчиняющемся Стратегическому командованию. Однако оно было мало? по сравнению с АНБ, и у него не было того опыта в области информационной защиты и шпионажа, какой был у АНБ. Власти решили, что разрушительный удар, особенно по компьютерным системам, расположенным в других странах, был слишком серьезным шагом по противодействию червю Agent.btz, который в конце концов не причинил никакого вреда. Но операция «Американская картечь» показала, что в реальной общенациональной критической ситуации – например, при кибератаке на электроэнергетические сети или на банк – военным придется собрать под одной крышей всех самых лучших специалистов.
«Стало понятно, что нам нужно собрать вместе все оборонные и наступательные ресурсы», – сказал Александер, выступая перед комитетом в конгрессе в 2010 г., после того как Пентагон рассекретил некоторые детали проведенной операции. Именно этого он и хотел добиться с самого начала своей службы на посту директора АНБ.
Операция «Американская картечь» стала катализатором, ускорившим процесс создания Кибернетического командования США – единого органа, который руководил бы всеми военными мероприятиями по защите от виртуальных атак на свои системы, а также инициировал собственные атаки. Эту идею поддержал директор национальной разведки Майкл Макконнелл, в итоге она получила одобрение и Боба Гейтса. Высокие военачальники осознали, что их загнали в ловушку и что многие из них переоценивали свои возможности быстрого реагирования на взлом пентагоновских компьютеров. «Этот случай открыл нам всем глаза», – говорит Басла.
Сообразительность Александера и его команды кибервоинов убедила пентагоновские чины, Гейтса и Белый дом, что АНБ подготовлено лучше остальных, чтобы возглавить кибервойска, а потому именно агентство должно взять руководство на себя. Александер будет управлять новым Киберкомандованием прямо из Форт-Мида. Он получит дополнительный штат сотрудников и финансирование. Однако сами воины и инфраструктура поступают преимущественно из АНБ.
АНБ по-прежнему должно было заниматься полным истреблением вредоносного червя Agent.btz. Этот процесс продолжался более года, и агентство воспользовалось этим временем, чтобы расширить свое могущество. Всякий раз, когда обнаруживался новый вирус, АНБ закрывало всю информацию о нем, оставляя доступ только тем, «кому нужно» знать, что произошло. Каждый случай становился своего рода секретным подпроектом более масштабной операции. Согласно словам бывшего информационного аналитика из Министерства обороны, который имел доступ к информации об «Американской картечи», такое поведение АНБ усложняло жизнь другим агентствам, мешало им принимать ответные меры при обнаружении дыр в защите и собирать информацию о том, что произошло – именно этого, очевидно, и добивался Александер. Завеса тайны накрыла практически все стороны новой кибермиссии АНБ. Бывший аналитик Министерства обороны описывает реакцию АНБ на операцию «Американская картечь» как «захват власти».
Необходимость в секретности не поддается пониманию в том случае, если червь Agent.bzt действительно был частью разведывательной программы России, Китая или другого государства. Однако представители Пентагона никогда не заявляли о том, что брешь в защите привела к утечке секретной или иной жизненно важной информации. Так и не было установлено, была ли зараженная флешка, ставшая, по мнению аналитиков, переносчиком инфекции, специально подброшена возле здания военного ведомства или просто какой-то беспечный военнослужащий или гражданский сотрудник подхватил червя Agent.bzt где-то за пределами военной сети, возможно, подключив ноутбук к сети в интернет-кафе, после чего принес его внутрь, позволив вредоносной программе таким образом преодолеть разрыв между внутренней сетью и внешним миром. Вполне возможно, что «пациент ноль» просто случайно подхватил этого червя и что это вовсе не было целенаправленной работой иностранного государства. Действительно, Agent.bzt оказался разновидностью практически безвредного червя трехлетней давности. Некоторые чиновники, работавшие над операцией «Американская картечь», сомневались в причастности иностранных шпионов. Ведь если бы шпионы собирались проникнуть в святая святых военного киберпространства, разве не действовали бы они более хитро и коварно? И разве не украли бы хоть что-нибудь? Кроме того, возможно, шпионы проверяли американскую систему защиты и наблюдали за реакцией американской стороны на вторжение, чтобы понять, как устроена ее система безопасности.
Если бы законодатели и чиновники из Администрации Буша понимали, что червь Agent.bzt был относительно безвредным, они бы дважды подумали, прежде чем давать АНБ столь широкие полномочия по управлению киберобороной и нападением. Возможно, Александер и его помощники были заинтересованы в том, чтобы сохранить детали вторжения в секрете и таким образом усилить собственную аргументацию в пользу назначения АНБ ответственным за Киберкомандование. Подобный подход согласуется с тем, как Александер пытался запугать госчиновников киберугрозами, а затем убедить их, что только он сможет не дать «чудовищу выбраться на сушу». «Александер, как волшебник Изумрудного города, создал эту ауру невероятных возможностей, спрятанных за завесой в Форт-Миде, – говорит бывший чиновник из Администрации Обамы, который тесно сотрудничал с генералом по вопросам кибербезопасности. – Он использовал секретность, для того чтобы никто не смог отодвинуть эту завесу».
Секретность была и остается мощным источником власти для АНБ. Однако агентство также опиралось на параноидальные страхи, которые после операции «Американская картечь» проросли в высшем эшелоне руководителей Министерства обороны. Чтобы избавиться от опасности потенциальных вирусов, высшие военачальники запретили использование внешних носителей во всем Министерстве и во всех родах вооруженных сил. Соответствующий указ вызвал возмущение военнослужащих на полях боевых действий, поскольку они полагались на портативные накопители для переноса документов и карт с одного компьютера на другой. Запрет сохранялся в течение нескольких лет после окончания операции «Американская картечь». «Если вы достанете флешку и вставите ее в мой компьютер, то буквально через несколько минут в дверь постучат и конфискуют компьютер», – рассказал Марк Мейбери, старший научный сотрудник ВВС США во время интервью в своем кабинете в Пентагоне в 2012 г.
Чиновники Администрации Буша оказались захвачены волной киберстраха. Волна эта прокатилась по ним и перешла на Администрацию следующего президента.
Данный текст является ознакомительным фрагментом.