4. Подразделение кибервойны

В январе 2010 года большое количество домовладельцев в городе Сан-Антонио (штат Техас) в недоумении остановились напротив закрытых дверей своих гаражей, поскольку они не открывались. Проблема, в основном, коснулась жителей города в районе Милитари Драйв и федеральной трассы, известной как «Loop 410».

В конце концов, городские власти нашли причину. Виновником проблемы было АНБ, а точнее, его представительство в Сан-Антонио. Сотрудники агентства были вынуждены признать, что один из его радиотрансляторов вещал на одной частоте с пультами от гаражных дверей. Они пообещали решить вопрос в кратчайшие сроки, и действительно, двери вскоре снова стали открываться.

Благодаря этому эпизоду жители Техаса поняли, насколько глубоко деятельность АНБ вторглась в их повседневную жизнь. В 2013 году АНБ открыло подразделение на авиабазе «Lackland» в Сан-Антонио со штатом около 2000 человек. В 2005 году Агентство приобрело бывший завод по производству микросхем компании «Sony» в западной части города. Покупка завода была частью масштабной программы расширения после 11 сентября 2001 года.

В одном из 2-х главных корпусов бывшего завода с тех пор располагалось необычное подразделение АНБ, больше остальных выигравшее от расширения службы и бурно развивавшееся в последние годы — Операции адаптированного доступа «ТАО» (англ. Tailored Access Operations). Это высшая оперативная структура АНБ — наподобие группы специалистов, вступающих в «игру», когда обычными средствами получить доступ к нужному лицу невозможно.

«ТАО» функционирует с 1998 года, идентифицируя, контролируя, проникая и собирая разведывательные данные о компьютерных системах, используемых иностранными субъектами в США. Согласно внутренним документам АНБ специалисты «ТАО» приложили руку ко многим важным операциям, проводившимся разведслужбами США. Зона деятельности «ТАО» простирается от борьбы с терроризмом до кибератак и обычного шпионажа.

Документы позволили увидеть, насколько разнообразный инструментарий находился в распоряжении «ТАО». В частности, каким образом службе удалось пользоваться уязвимостями высокотехнологичных компаний «Мicrosoft», «Cisco» или «Huawei» при проведении своих невидимых, но успешных атак.

«Получить доступ к закрытому» — так описывает само АНБ свою работу. «Роль играет не количество, а качество добытых разведданных» — писала одна из бывших руководителей «ТАО» о работе своей службы. Она сказала, что «ТАО должна продолжить свое развитие и заложить фундамент единой службы по проведению операций в киберпространстве», а также «сделать свой вклад в осуществлении кибератак как части общевойсковых операций».

«Для достижения этой цели», по ее словам, «ТАО» будет необходимо получить «всеобъемлющий, постоянный доступ к глобальной сети». Внутреннее описание деятельности «ТАО» четко указывает, что проведение агрессивных атак — основной ее элемент. Другими словами, хакеры службы имеют разрешение правительства на осуществление деятельности такого рода.

«ТАО», как сообщается, «сейчас крупнейший и, пожалуй, самая важная составляющая огромного Директората радиоразведки „SID“ АНБ, состоящая из более, чем 1000 военных и гражданских компьютерных хакеров, аналитиков разведки, целевых специалистов, компьютерного оборудования и программного обеспечения проектировщиков и инженеров-электриков».

Вместе с «ТАО» работает служба Операций специального источника «SSO» (англ. Special Source Operations) — подразделение АНБ, которое было создано в 2006 году и отвечает за все программы, нацеленные на сбор данных от крупных волоконно-оптических кабелей и коммутаторов, как внутри нас, так и за рубежом, а также через корпоративные партнерства.

В документе, обнародованном Сноуденом, говорится, что «ТАО» имеет ПО, позволяющее ему «взламывать» широко используемое защищенное оборудование, включая маршрутизаторы, коммутаторы и брандмауэры. Специалисты «ТАО» предпочитают использовать компьютерные сети, а не изолированные компьютеры, поскольку в сетях много устройств, к которым можно получить доступ.

В середине прошедшего десятилетия это спецподразделение смогло получить доступ к 258 объектам в 89 странах, то есть, по сути, по всему миру. В 2010 году были проведены 279 операций.

И в самом деле, работники «ТАО» получили прямой доступ к защищенным сетям демократически избранных глав государств. Они шпионили за трафиком европейских телекоммуникационных компаний и читали письма, отправленные через корпоративные «BES» — сервера «Blackberry», считавшиеся защищенными от взлома. Для достижения этой цели потребовалась «длительная деятельность ТАО» — так сказано в документе.

Со времени въезда первых сотрудников «ТАО» в здание штаб-квартиры АНБ в городе Форт-Мид (Мериленд) подразделение располагается в отдельном крыле, не связанном с остальными сотрудниками. Задача ведомства была ясна с самого начала — круглосуточная работа по взлому всемирной «паутины».

Для достижения поставленных целей АНБ нужны были сотрудники нового типа. Служащие «ТАО», получившие доступ на специальный охраняемый этаж, где находится ведомство, большей частью значительно моложе среднего работника АНБ. Их задачи по взлому, манипулированию и использованию компьютерных сетей делает их хакерами и госслужащими в одном лице.

В самом деле, АНБ предпочитает набирать новые кадры для «ТАО» именно из подобных кругов. Экс-директор АНБ Кит Александр несколько раз появлялся на основных хакерских конференциях США. Иногда в военной форме, а иногда лишь в джинсах и майке, подчеркивая стремление завоевать расположение нового поколения.

С 2013 года «ТАО» возглавил 25-летний Роб Джойс, ранее работавший в Директорате безопасности информации «IAD» (англ. Information Assurance Directorate) АНБ. Штаб-квартира «ТАО» называется Удаленным операционным центром «ROC» (англ. Remote Operations Center).

Круглосуточно 600 сотрудников «ROC» собирают информацию со всего мира, для чего используются следующие филиалы:

— информационных сетевых технологий (англ. Data Network Technologies), который разрабатывает автоматизированные шпионские программы;

— телекоммуникационных сетевых технологий (англ. Telecommunications Network Technologies), который совершенствует методы сетевого и компьютерного взлома;

— целевых инфраструктурных технологий (англ. Mission Infrastructure Technologies), который использует программное обеспечение, разработанное другими филиалами;

— операций технологий доступа (англ. Access Technologies Operations), который включает в себя персонал, прикомандированный к ЦРУ и ФБР для проведения несетевых операций «негласного проникновения».

Этот персонал обеспечивает возможность агентам спецслужб тайно устанавливать «закладки» в компьютерах и системах телекоммуникаций за рубежом, чтобы хакеры «ТАО» могли удаленно работать с ними из штаб-квартиры в Форт-Миде. Иногда для этого задействуются специально оборудованные подлодки ВМФ США, например, «Джимми Картер» (SSN-23), используемые для прослушки подводных оптоволоконных кабелей.

В данный момент свои офисы «ТАО» имеет в отделах АНБ на военных базах в Вахайава на гавайском острове Оаху, в Джорджии в Форт-Гордоне (штат Джорджия), в Техасе в Сан-Антонио (штат Техас) и в Колорадо на базе ВВС «Бакли» (Денвер).

Один из следов ведет в Германию. Документ от 2010 года содержит список основных контактов «ТАО» как за рубежом, так и внутри страны, а также имена, адреса электронной почты и «безопасные телефонные номера». Центр связи с сотрудниками расположен неподалеку от Франкфурта — в Европейском Оперативном Центре Безопасности, а точнее — в так называемом «Комплексе Деггер» на военной базе США в пригороде Дармштадта Гризхайм.

В секретных материалах, опубликованных в «Spiegel», говорится, что в 2008 году в техасском шифровальном центре работали менее 60 сотрудников «ТАО». К 2015 году их число увеличилось до 270. Кроме того, отдел слежки и целеуказания вырос до 85 специалистов (с 13 в 2008 году). Количество разработчиков ПО выросло с 3 в 2008 году до 38 — в 2015 году. Отделение в Сан-Антонио организовует атаки на объекты на Ближнем Востоке, Кубе, Венесуэле, Колумбии, и, само собой разумеется, в Мексике, расположенной лишь в 200 километрах, правительство которой давно контролируется АНБ.

Министерство общественной безопасности Мексики, преобразованное в Комиссию по национальной безопасности в начале 2013 года, в то время отвечало за органы полиции, борьбу с терроризмом, систему тюрем и пограничный контроль. Большинство из 20 тысяч сотрудников ведомства работали в его штаб-квартире на «Avenida Constituyentes», важной транспортной артерии столицы Мехико. Значительная часть мексиканских органов безопасности под руководством министерства контролируются отсюда, что делает его желанным местом для всех, интересующихся органами безопасности страны.

Принимая во внимание вышесказанное, задача для «ТАО» начать слежку за этим министерством напрашивалось само. Помимо прочего, в одном из документов указано, что Департамент внутренней безопасности США и разведывательные службы стремятся знать все о наркоторговле, торговле людьми и состоянии безопасности вдоль границы США и Мексики. Согласно этому документу, министерство представляет собой потенциальную «золотую жилу» для агентов АНБ. Как объекты слежки были выбраны системные администраторы и инженеры по телекоммуникациям, что положило начало программе действий, названной в АНБ операцией «WhiteTamale».

Сотрудники отдела поиска объектов в составе Агентства, кроме прочего проявлявшие внимание к Ангеле Меркель в 2002 году до ее бытности канцлером, передали в «ТАО» список сотрудников мексиканского министерства, представлявших интерес. Сначала специалисты «ТАО» взломали электронную почту этих лиц, после чего проникли в систему и стали скачивать информацию.

Вскоре они владели информацией о серверах ведомства, включая «IP» — адреса и компьютеры, через которые шел интернет-трафик, а также личные адреса сотрудников. Также им удалось получить организационные диаграммы структур агентства безопасности, включая систему видеонаблюдения. Как выяснилось, операция длилась годы, пока статья о ней не появилась в «Spiegel».

Согласно внутренней инструкции АНБ такой вид деятельности имеет техническое название «использование компьютерных сетей», а его цель «диверсионная деятельность в отношении устройств конечных пользователей». Далее в инструкции приведен список почти всех устройств, сопровождающих нас каждый день: «серверы, рабочие станции, брандмауэры, роутеры, мобильные телефоны, коммутаторы, системы „SCADA“ и прочее».

«SCADA» — системы контроля и обработки информации производственных предприятий и электростанций. Любой, кто сможет поставить эти системы под свой контроль, способен выводить из строя жизненно важные элементы инфраструктуры государства.

Самая известная и одиозная атака такого типа была произведена посредством хакерской программы «Stuxnet», о существовании которой стало известно в июне 2010 года. Этот вирус был разработан совместно американскими и израильскими разведслужбами для саботажа ядерной программы Ирана, что и было сделано. Ядерная программа республики была отброшена на годы назад путем внедрения вируса «Stuxnet» в программу «SCADA», управлявшую установками обогащения урана в городе Натанз. В резултате было выведено из строя почти 1000 центрифуг.

«ТАО» обладает собственным отделом разработок, где тестируются и производятся новые технологии. Там трудятся настоящие умельцы, чья изобретательность при поиске способов проникновения в чужие сети, компьютеры и смартфоны достойна «лучшего» применения

Примером безудержной креативности, с которой специалисты «ТАО» подходят к выполнению своих обязанностей, может служить метод взлома, использующий предрасположенность ОС «Windows» к различным ошибкам. Каждому ее пользователю знакомо надоедливое окно, выводимое на экран при обнаружении внутренней проблемы — автоматическое извещение, предлагающее пользователю сообщить о проблеме производителю и перезагрузить компьютер. Такие отчеты о сбоях дают «ТАО» отличную возможность взламывать компьютеры.

Когда где-либо в мире «ТАО» выбирает некий компьютер в качестве цели и вводит его уникальные данные (к примеру, «IP» — адрес) в свою базу данных, то его сотрудники получают автоматическое извещение каждый раз, когда зависает ОС и пользователь получает запрос на отправку отчета в «Microsoft». Согласно внутренней инструкции АНБ для выделения таких отчетов из огромного объема интернет-трафика используется мощный программный комплекс «XKeyscore».

Автоматические отчеты о сбоях — «чистый метод» получения пассивного доступа к компьютеру — утверждает инструкция. Пассивный доступ означает, что изначально воруется и сохраняется лишь информация, отправленная компьютером в интернет, а сам компьютер еще не «заражен». Но даже такой пассивный доступ к отчетам дает большой объем информации касаемо проблем какого-то компьютера, а значит и данных о брешах в системе безопасности, через которые компьютер может быть «заражен» вирусами.

Хотя такой способ кажется не особо важным с практической точки зрения, сотрудники АНБ зачастую применяют его из-за возможности безнаказанного доступа за счет компьютерного гиганта со штаб-квартирой в Сиэтле. На одном из внутренних материалов они заменили иллюстрацию с текстом отчета об ошибке «Microsoft» своим собственным: «Эта информация может быть перехвачена иностранной системой радиотехнической разведки для сбора данных и получения доступа к вашему компьютеру».

Одной из ключевых задач хакеров является проникновение в нужные компьютеры с помощью «закладок» или большого количества вредоносных программ. Они дали своим программам говорящие названия: «злой сосед», «искатель воды». Хотя названия и звучат нелепо, но сами программы агрессивны и эффективны.

Согласно данным текущего федерального бюджета США на разведывательную деятельность планировалось «заразить» программами АНБ 85 тысяч компьютеров по всему миру к концу 2014 года. Большинство из них будет заражено с помощью «закладок» специалистами «ТАО» через Интернет.

Еще несколько лет назад сотрудники АНБ устанавливали такие «закладки» на компьютеры теми же методами, какими пользовались кибер-преступники. Происходила рассылка целевых зараженных писем, замаскированных под ссылки, направляющие пользователя на вирусные сайты. Среди всех браузеров, чьи уязвимости известны хакерам АНБ, особенно популярным является «Internet Explorer».

Все, что нужно, чтобы установить вредоносную программу на выбранный компьютер, это заставить пользователя открыть заранее «зараженный» веб-сайт. Рассылка спама имеет один серьезный недостаток — этот метод не может работать долго.

Тем не менее, «ТАО» радикально улучшила свои средства работы. Сейчас в ее распоряжении усовершенствованная программа, известная как «Квантовая теория». «Некоторые проекты этой программы завершились успехом в 80 % случаях, тогда как рассылка спама дала положительный результат лишь в 1 %» — говорится в одном из внутренних докладов АНБ.

Всеобъемлющее внутреннее исследование под названием «Возможности программы «Квантовая теория», напечатанное в «Spiegel», включает почти все известные интернет-провайдеры в качестве потенциальных целей, в том числе «Facebook», «Yahoo», «Twitter» и «YouTube». «Программа АНБ Квант наиболее успешна при взломе Facebook, Yahoo и постоянных IP-адресов» — сказано в нем. Кроме того, в докладе отмечено, что АНБ не удалось применить программу в отношении пользователей сервисами «Google».

АНБ применило программу «QuantumInsert» для слежки за высокопоставленными работниками Организации стран-экспортеров нефти (ОПЕК) в здании ее штаб-квартиры в Вене. В обоих случаях трансатлантическое разведывательное сообщество получило беспрепятственный доступ к ценным экономическим сведениям при помощи программы «QuantumInsert».

Метод закладок и иные вариации системы «Quantum» напрямую связаны с созданной АНБ теневой сетью и собственной законспирированной инфраструктурой в виде скрытых роутеров и серверов. Очевидно, АНБ интегрирует чужие серверы в свою тайную сеть, размещая в них такие же закладки, что затем позволяет хакерам контролировать компьютеры на расстоянии.

Таким образом, разведслужба стремится распознавать и отслеживать свои цели по их цифровым следам. Такие следы включают в себя, к примеру, адреса интернет-почты или файлы «http cookie», установленные на взломанный компьютер. Естественно, файлы «cookie» не способны автоматически определять пользователя, но если дополнить их другими данными, в частности адресом интернет-почты, задача станет им под силу. В этом случае файл «cookie» превращается в интернет-эквивалент отпечатка пальца.

После сбора нужных данных о предпочтениях объекта, специалисты «ТАО» приступают непосредственно к атаке, перепрограммировав систему «Quantum» на полуавтоматический режим. Если пакет данных, содержащий адрес электронной почты или файл «cookie» объекта взлома пересылается по кабелю или роутеру под наблюдением АНБ, система отправляет сигнал тревоги. Система определяет сайт, на который объект пытается войти, после чего активирует один из тайных серверов агентства, известный под названием «FoxAcid».

Этот сервер АНБ принуждает пользователя установить связь со скрытой системой АНБ вместо тех сайтов, на которые он пытался войти. В случае с бельгийской компанией телекоммуникаций «Belgacom», инженеры, вместо входа на запрошенную страницу «LinkedIn», были направлены на серверы «FoxAcid» внутри сетей АНБ. Не раскрытая пользователем «зараженная» страница переслала вредоносные файлы, заранее созданные под лазейки в системе безопасности компьютера жертвы.

Такой метод представляет собой, по сути, гонку между серверами, кто быстрее ответит на запрос пользователя. Как и бывает на соревнованиях, иногда скрытые инструменты наблюдения сети «слишком медленны, чтобы победить». Но в большинстве случаев их производительности достаточно. Закладки с системой «QuantumInsert», в особенности при работе с сайтом «LinkedIn», показывают эффективность в 50 %, — говорится в документе АНБ.

Но множество внутренних извещений об успешных атаках вроде описанной выше — не единственный фактор, выделяющий «ТАО» из списка подразделений АНБ. В отличие от большинства операций АНБ, операции «ТАО» зачастую требуют наличия физического доступа к объекту. В конце концов, вам может понадобиться проникнуть в передающую станцию мобильного оператора, чтобы начать скачивать его цифровые данные.

При проведении операций подобного рода АНБ сотрудничает с другими разведывательными органами (ЦРУ, ФБР), имеющими своих агентов внутри объекта, способных оказать содействие в случае сложностей. Это позволяет «ТАО» атаковать даже изолированные сети, не связанные с интернетом. При необходимости ФБР может предоставить собственный реактивный самолет для переброски хакеров высокого класса на искомый объект. Самолет доставит их к нему в определенное время и поможет им незаметно скрыться после получаса работы.

Отвечая на запрос журнала «Spiegel», представители АНБ сделали следующее заявление: «Отдел специальных операций — уникальное национальное достояние — сражается на передовой борьбы АНБ по защите нации и ее союзников». В заявлении также сказано, что деятельность «ТАО» «направлена на получение доступа к компьютерным сетям в дополнение к сбору разведданных за рубежом». Представители агентства отказались обсуждать конкретные моменты деятельности ведомства.

«ТАО» использует специальную радиотехнику для «заражения» компьютеров и перехвата информации. Такая технология, применяющаяся по меньшей мере с 2008 года, позволяет агентству устанавливать слежку даже за компьютерами, не подключенными к интернету. К настоящему времени «заражено» уже по меньшей мере 100 тысяч компьютеров по всему миру.

В частности, для «заражения» компьютеров и перехвата информации могут использоваться специальные передающие устройства, скрытно вмонтированные в USB-штекер в кабеле. Такое устройство называется «Cottonmouth I». Оно по радиоканалу отправляет информацию с компьютера на мобильную станцию АНБ, называемую «Nightstand». При идеальных условиях обмен информацией между «Cottonmouth I» и «Nightstand» может производиться на расстоянии до почти 13 километров.

Мобильная станция может использоваться не только для перехвата информации и ее последующей передачи на сервера АНБ, но и для «заражения» компьютеров. Подсадное программное обеспечение отвечает за отправку информации с «зараженного» компьютера в случае его подключения к интернету, а также для формирования из «зараженных» машин сетей для кибератак.

Специальное радиооборудование может быть установлено в компьютер несколькими способами: агентом АНБ, невнимательным пользователем (например, подключающим без осмотра переходники или кабели) или производителем компьютерного оборудования. Последний вариант был использован для установления слежки за в/ч 61398 Национально-освободительной армии Китая, поскольку считалось, что она провела несколько кибератак против США.

В оборудование, производимое в Китае, интегрировались передающие устройства, выявить которые неспециалисту практически невозможно. В качестве принимающих станций и серверов передачи информации могут выступать китайские представительства крупных американских компаний. По аналогичной схеме было установлено наблюдение за русскими военными, мексиканскими полицейскими, компьютерными сетями и европейскими торговыми организациями.

Не брезгует АНБ и перехватом отправленных посылок. Если нужный объект заказывают новый компьютер или дополнительное оборудование, «ТАО» может перехватить покупку и доставить ее в свои секретные мастерские. На этих так называемых «загрузочных станциях» сотрудники аккуратно открывают упаковки, внедряют закладки, а иногда даже заменяют аппаратные элементы, дающие разведслужбам возможность осуществлять слежку.

Все последующие шаги можно производить с удаленного компьютера. Эти небольшие вмешательства в процесс доставки покупок являются одними из «наиболее продуктивных операций», проведенных хакерами АНБ, — сказано в одном из секретных документов. Данный метод позволяет «ТАО» получать доступ к сетям «по всему миру», — говорится в нем.

В данный момент «ТАО» имеет уже другое название — Операции в компьютерной сети «СNO» (англ. Computer Network Operations) и занимается кибервойной.