Кивино гнездо: "ЭТО не кончится никогда" (окончание)
АрхивКивино гнездоПосле нескольких дней расследования сотрудники Агентства национальной безопасности США установили, что имеют дело с крупномасштабным проникновением.
- Вторая часть статьи. Начало читайте здесь.
В полдень пятницы 24 октября 2008 Ричард Шэффер (Richard C. Schaeffer), в ту пору главный в АНБ специалист по защите компьютерных систем, находился на встрече с президентом Дж. Бушем, который наносил свой последний визит в АНБ перед завершением президентского срока. Помощник Шэффера принес и протянул ему лист бумаги с предупреждением о выявленном проникновении. В 4:30 Шэффер вошел в кабинет генерала Кита Александера (Keith Alexander), директора АНБ и ветерана военной разведки. Как вспоминал затем Александер, Шэффер был немногословен. "У нас проблема", – сказал он.
В тот же вечер руководство АНБ провело брифинг для высших чиновников правительства США - председателя объединённого комитета начальников штабов, заместителя министра обороны, лидеров Конгресса, чтобы рассказать им о произошедшем инциденте.
Проработав всю ночь, операторы ANO нашли потенциальный способ лечения. Поскольку код-лазутчик отсылал сигналы в поисках инструкций для дальнейших действий, было предположено, что, возможно, они смогли бы придумать способ отдать приказ этому вирусу просто себя выключить. К утру, в комнате с разбросанными повсюду коробками из-под пустой пиццы и банками с содовой, на доске был составлен план действий. Но прежде чем запустить этот план в работу, команда АНБ должна была убедиться, что их действия не отразятся на работе прочего программного обеспечения, включая те программы, что командиры на поле боя используют для коммуникаций и работы с разведданными. Им требовалось провести тестовое испытание.
"Самым главным было не нанести вреда", - вспоминает Шэффер.
К полудню того же дня члены команды ANO загрузили в автомобиль компьютерный сервер и отвезли его в находившийся неподалеку офис DISA, то есть Агентства информационных систем министерства обороны, которое занимается непосредственным управлением телекоммуникационных и спутниковых сетей военного ведомства страны.
В 2:30 пополудни они запустили свою программу, специально созданную для ответа на лучи шпиона-лазутчика и подачи для него управляющих команд. Вскоре после этого вредоносный код на тестовом сервере впал в перманентный ступор.
Однако разработка технического противоядия была только первым шагом. Чтобы реально победить угрозу, требовалось нейтрализовать вражеский вирус повсюду, куда он сумел проникнуть в правительственные сети. А это был крайне изнурительный процесс, включавший в себя изоляцию каждого отдельного компьютера, отключение его от общей сети, зачистку машины и переформатирование жёстких дисков.
Другим ключевым игроком в операции Buckshot Yankee была команда АНБ под названием TAO, или Tailored Access Operations (Операции специального доступа) - засекреченное подразделение, созданное в начале 1990-х годов, специализирующееся на зарубежных разведывательных операциях и сфокусированное на сборе чувствительной технической информации. Эти специалисты отправились за пределы военных сетей США, чтобы отыскать информацию о проникнувшем к ним шпионе с помощью спецметодов под названием "exploitation", или электронный шпионаж.
Специалисты TAO выявили новые разновидности этой вредоносной программы и помогли защитникам сетей подготовиться к их нейтрализации ещё до того, как они заразят военные компьютеры. "Это называется способностью видеть за пределами наших проводов", - пояснил один из военных начальников.
Затем в военном руководстве стали обсуждать, следует ли использовать имеющиеся у США наступательные инструменты кибервойны для того, чтобы нейтрализовать данный вредоносный код также и в невоенных сетях, включая и те, что находятся в других странах. Специальное наступательное киберподразделение, именуемое "Joint Functional Component Command - Network Warfare", предложило несколько вариантов для проведения подобной операции.
Однако высшее руководство отвергло эти предложения на том основании, что выявленный код-вредитель выглядит как акт шпионажа, а не непосредственной атаки на системы. Поэтому агрессивные ответные действия он не оправдывает.
В то время как АНБ работало над нейтрализацией вредоносного кода в правительственных компьютерах, Стратегическое командование, отвечающее за обеспечение стратегии сдерживания в отношении угроз со стороны ядерных вооружений, космического и киберпространства, подняло уровень угроз в области военной инфобезопасности. Несколько недель спустя, в ноябре 2008, был издан приказ, тотально запрещающий использование внешних медиа-устройств - USB-модулей флэш-памяти, флэш-карт, цифровых камер, КПК и так далее - в компьютерах министерства обороны по всему миру.
В принципе, этот червь-шпион распространился широко среди военных компьютеров, особенно в Ираке и Афганистане, создавая потенциал для больших потерь разведывательной информации. Однако тотальный запрет на флэшки породил мощное недовольство среди офицеров на боевых заданиях, потому что многие из них опирались на USB-флэшки для скачивания оперативной информации, снимков разведки и обмена отчётами об итогах операций.
АНБ и военные специалисты на протяжении многих месяцев занимались расследованием того, как именно инфекция попала в их закрытые сети. Они собрали у пользователей тысячи флэшек, многие из которых действительно оказались заражёнными. Масса энергии была затрачена на то, чтобы выявить среди них "нулевого пациента". Однако задача такая оказалась чрезвычайно сложной. Как сказал один из начальников, "мы так никогда и не смогли довести дело до того, чтобы определённо указать - всё пошло вот от этой флэшки"...
Скорость распространения новых инфекций удалось снизить в начале 2009 года. По свидетельству руководства, не было выявлено никаких признаков связи шпионского кода с компьютером-хозяином или пересылки документов в руки врагов. Запрет на флэшки частично был снят в 2010 году, потому что удалось внедрить другие меры безопасности.
Ну вот, а теперь самое время рассказать то, о чём специалистам по инфобезопасности давным-давно известно, но о чём в статье информированной Washington Post почему-то почти ничего не рассказывается. Итак, что же это был за коварнейший троянец, так сильно напрягший военно-разведывательные госструктуры США?
Червя этого в антивирусной среде хорошо знают и называют обычно или просто "червь Autorun", или Agent.btz – по классификации много им занимавшейся финской антивирусной фирмы F-Secure. Заражает машины этот вредитель с помощью одной из самых дурацких сервисных штучек Windows под названием AutoRun, то есть автозапуска приложений с носителя, воткнутого во внешний порт.
Вредительский файл, сидящий в заражённой флэшке, даже не маскируется и имеет расширение DLL. Его нельзя запустить случайно, типа неосторожным двойным кликом мышки. Чтобы вручную запустить этот файл, надо через командную строку дать машине специальную команду примерно такого вида: "rundll32.exe E:\rntl.dll,InstallM".
Будучи запущенным, червь копирует себя в папку C:\Windows\System32 и создаёт записи-ключи в реестре (HKCR\CLSID) для полного завершения инфицирования системы. Для совершения таких операций ему требуются права администратора, ну а в целом по этим своим параметрам данный вредоносный код соответствует категории "обычный троянец под XP".
На основании всех этих данных специалисты по инфозащите делают вывод, что самый первый компьютер, заражённый в составе закрытой военной сети США, имел включённой функцию AutoRun, а у вставившего в него флэшку пользователя были права администратора (нельзя также исключать, что вставивший заражённую флешку человек САМ и был администратором этой системы). При любом из возможных раскладов следует, что военным для начала следовало бы уволить допускающих подобные вещи сетевых администраторов и нанять вместо них кого-то настоящего и знающего.
Знающего, в частности, то, что подобного рода зараза хорошо известна в гражданском компьютерном мире, где с ней давно умеют вполне эффективно бороться. И для этого совершенно не нужны асы электронного шпионажа из секретного подразделения АНБ...
Тем не менее, по свидетельству высокопоставленных источников Washington Post, руководство США практически с самого начала всей этой истории подозревало, что Agent.btz создали российские шпионы – специально для похищения американских военных секретов.
А когда некий четырёхзвёздный американский генерал, раздражённый тотальным запретом на флэшки, в разгар операции Buckshot Yankee спросил у руководства АНБ, когда же опасность от вражеского червя пройдёт и повышение мер безопасности можно будет закончить, то в ответ услышал вот что. Вспоминает Ричард Джордж (Richard "Dickie" George), в ту пору технический директор АНБ по защите информации: "У нас для него была крайне неприятная новость. ЭТО не закончится никогда"...