Читаем Компьютерра PDA N150 (17.12.2011-23.12.2011) полностью

В полдень пятницы 24 октября 2008 Ричард Шэффер (Richard C. Schaeffer), в ту пору главный в АНБ специалист по защите компьютерных систем, находился на встрече с президентом Дж. Бушем, который наносил свой последний визит в АНБ перед завершением президентского срока. Помощник Шэффера принес и протянул ему лист бумаги с предупреждением о выявленном проникновении. В 4:30 Шэффер вошел в кабинет генерала Кита Александера (Keith Alexander), директора АНБ и ветерана военной разведки. Как вспоминал затем Александер, Шэффер был немногословен. "У нас проблема", – сказал он.

В тот же вечер руководство АНБ провело брифинг для высших чиновников правительства США - председателя объединённого комитета начальников штабов, заместителя министра обороны, лидеров Конгресса, чтобы рассказать им о произошедшем инциденте.

Проработав всю ночь, операторы ANO нашли потенциальный способ лечения. Поскольку код-лазутчик отсылал сигналы в поисках инструкций для дальнейших действий, было предположено, что, возможно, они смогли бы придумать способ отдать приказ этому вирусу просто себя выключить. К утру, в комнате с разбросанными повсюду коробками из-под пустой пиццы и банками с содовой, на доске был составлен план действий. Но прежде чем запустить этот план в работу, команда АНБ должна была убедиться, что их действия не отразятся на работе прочего программного обеспечения, включая те программы, что командиры на поле боя используют для коммуникаций и работы с разведданными. Им требовалось провести тестовое испытание.

"Самым главным было не нанести вреда", - вспоминает Шэффер.

К полудню того же дня члены команды ANO загрузили в автомобиль компьютерный сервер и отвезли его в находившийся неподалеку офис DISA, то есть Агентства информационных систем министерства обороны, которое занимается непосредственным управлением телекоммуникационных и спутниковых сетей военного ведомства страны.

В 2:30 пополудни они запустили свою программу, специально созданную для ответа на лучи шпиона-лазутчика и подачи для него управляющих команд. Вскоре после этого вредоносный код на тестовом сервере впал в перманентный ступор.

Однако разработка технического противоядия была только первым шагом. Чтобы реально победить угрозу, требовалось нейтрализовать вражеский вирус повсюду, куда он сумел проникнуть в правительственные сети. А это был крайне изнурительный процесс, включавший в себя изоляцию каждого отдельного компьютера, отключение его от общей сети, зачистку машины и переформатирование жёстких дисков.

Другим ключевым игроком в операции Buckshot Yankee была команда АНБ под названием TAO, или Tailored Access Operations (Операции специального доступа) - засекреченное подразделение, созданное в начале 1990-х годов, специализирующееся на зарубежных разведывательных операциях и сфокусированное на сборе чувствительной технической информации. Эти специалисты отправились за пределы военных сетей США, чтобы отыскать информацию о проникнувшем к ним шпионе с помощью спецметодов под названием "exploitation", или электронный шпионаж.

Специалисты TAO выявили новые разновидности этой вредоносной программы и помогли защитникам сетей подготовиться к их нейтрализации ещё до того, как они заразят военные компьютеры. "Это называется способностью видеть за пределами наших проводов", - пояснил один из военных начальников.

Затем в военном руководстве стали обсуждать, следует ли использовать имеющиеся у США наступательные инструменты кибервойны для того, чтобы нейтрализовать данный вредоносный код также и в невоенных сетях, включая и те, что находятся в других странах. Специальное наступательное киберподразделение, именуемое "Joint Functional Component Command - Network Warfare", предложило несколько вариантов для проведения подобной операции.

Однако высшее руководство отвергло эти предложения на том основании, что выявленный код-вредитель выглядит как акт шпионажа, а не непосредственной атаки на системы. Поэтому агрессивные ответные действия он не оправдывает.

В то время как АНБ работало над нейтрализацией вредоносного кода в правительственных компьютерах, Стратегическое командование, отвечающее за обеспечение стратегии сдерживания в отношении угроз со стороны ядерных вооружений, космического и киберпространства, подняло уровень угроз в области военной инфобезопасности. Несколько недель спустя, в ноябре 2008, был издан приказ, тотально запрещающий использование внешних медиа-устройств - USB-модулей флэш-памяти, флэш-карт, цифровых камер, КПК и так далее - в компьютерах министерства обороны по всему миру.

В принципе, этот червь-шпион распространился широко среди военных компьютеров, особенно в Ираке и Афганистане, создавая потенциал для больших потерь разведывательной информации. Однако тотальный запрет на флэшки породил мощное недовольство среди офицеров на боевых заданиях, потому что многие из них опирались на USB-флэшки для скачивания оперативной информации, снимков разведки и обмена отчётами об итогах операций.