Борис Сырков: Сноуден: самый опасный человек в мире

Серверы «Лисья кислота» были напрямую подсоединены к Интернету, имели самые обычные доменные имена и были доступны для любых браузеров безо всяких ограничений. Определить истинную принадлежность этих серверов было невозможно. Когда пользователь перенаправлялся на них с одного из серверов «Квант», использовался специальный адрес переадресации, который выглядел вполне невинно. Однако этот адрес снабжался тэгом, обнаружив который, сервер «Лисья кислота» пытался тайно внедрить шпионскую программу в компьютер перенаправленного посетителя.

Шпионские программы из арсенала серверов «Лисья кислота» были строго ранжированы. Самые изощренные из них использовались только против наиболее важных мишеней. Остальные задействовались в зависимости от технических особенностей атакуемой компьютерной системы. Например, против пользователей системы «Тор» применялся эксплойт [16] Программное средство, используемое киберпреступником для атаки на компьютерную систему и основанное на имеющейся уязвимости в ее программном обеспечении. «Самолюбивый жираф», которые был основан на слабостях браузера «Огненный лис» компании «Мозилла».

В первую очередь внедренные шпионские программы собирали информацию о конфигурации и местонахождении компьютеров, в которых обосновались. Эта информация отсылалась в штаб-квартиру АНБ и использовалась, чтобы точнее определить способы дальнейшего заражения. Например, выбрать наиболее подходящие «имплантаты»– программные фильтры для просеивания хранимой на компьютере пользовательской информации. В 2008 году общее количество «имплантатов», установленных АНБ по всему миру, составило порядка двадцати тысяч. В середине 2012 году оно достигло пятидесяти тысяч. «Имплантаты» имели дистанционное управление и активировались из штаб-квартиры АНБ простым нажатием кнопки.

В ноябре 2013 года стало известно об операции «Социалист», в ходе которой был в ЦПС получен тайный доступ к маршрутизаторам бельгийской телекоммуникационной компании «Белгаком» в целях перехвата ее сетевого трафика, отслеживания перемещения ее абонентов и внедрения вредоносного программного обеспечения в их устройства. Операция началась с того, что в самой крупной в мире социальной сети для делового общения «ЛинкедИн» были выявлены системные администраторы и инженеры «Белгаком». На каждого из них было заведено отдельное досье, которое включало адреса электронной почты, учетные записи в социальных сетях, посещаемые интернет-сайты и личные пристрастия. При помощи серверов «Квант» им подсунули фальшивые веб-страницы, имитировавшие интернет-сайт «ЛинкедИн» и содержавшие шпионские программы. Заражение компьютеров этими программами, которое на жаргоне хакеров из ЦПС называлось «прививкой», считалось весьма эффективным средством, срабатывавшим более чем в 80 % случаев.

Аналогичным образом в ЦПС было осуществлено проникновение в компьютерные сети крупных биллинговых компаний – швейцарской «Комфоун» и люксембургской «Мач», а также в штаб-квартиры организации стран-экспортеров нефти «Опек» в Вене. В случае с «Мач» в качестве основной мишени был выбран компьютерщик, работавший в индийском подразделении этой компании. Был составлен список используемых им компьютеров и их интернет-адресов, его почтовых ящиков, а также профилей в социальных сетях. Хакеры из ЦПС даже получили доступ к куки-файлам на его компьютере. На основе собранной информации в ЦПС был подобран набор шпионских программ, специальным образом настроенных на незаметное проникновение в компьютеры индийца. И опять для заражения были использованы серверы «Квант».

В самый разгар лета 2010 года директор ЦРУ Леон Палетта приехал в Вашингтон, чтобы сообщить президенту США Бараку Обаме о том, что сверхсекретная американская операция под кодовым наименованием «Олимпийские игры», о которой было известно весьма ограниченному кругу лиц в правительстве США, оказалась под угрозой срыва. Входе ее проведения американцы организовали наиболее изощренную кибератаку среди тех, которые когда-либо предпринимали. Объектом нападения был Иран.

Но совершенно неожиданно вредоносное программное обеспечение, специально разработанное для этой цели, вышло из-под контроля и начало плодить свои копии. В России нового компьютерного червя [17] Разновидность вредоносной программы, самостоятельно распространяющейся в локальных и глобальных компьютерных сетях. окрестили «Стухнет» – по фонетической аналогии с именем, которое он получил на английском языке.