Серверы «Лисья кислота» были напрямую подсоединены к Интернету, имели самые обычные доменные имена и были доступны для любых браузеров безо всяких ограничений. Определить истинную принадлежность этих серверов было невозможно. Когда пользователь перенаправлялся на них с одного из серверов «Квант», использовался специальный адрес переадресации, который выглядел вполне невинно. Однако этот адрес снабжался тэгом, обнаружив который, сервер «Лисья кислота» пытался тайно внедрить шпионскую программу в компьютер перенаправленного посетителя.
Шпионские программы из арсенала серверов «Лисья кислота» были строго ранжированы. Самые изощренные из них использовались только против наиболее важных мишеней. Остальные задействовались в зависимости от технических особенностей атакуемой компьютерной системы. Например, против пользователей системы «Тор» применялся эксплойт[16] «Самолюбивый жираф», которые был основан на слабостях браузера «Огненный лис» компании «Мозилла».
В первую очередь внедренные шпионские программы собирали информацию о конфигурации и местонахождении компьютеров, в которых обосновались. Эта информация отсылалась в штаб-квартиру АНБ и использовалась, чтобы точнее определить способы дальнейшего заражения. Например, выбрать наиболее подходящие «имплантаты»– программные фильтры для просеивания хранимой на компьютере пользовательской информации. В 2008 году общее количество «имплантатов», установленных АНБ по всему миру, составило порядка двадцати тысяч. В середине 2012 году оно достигло пятидесяти тысяч. «Имплантаты» имели дистанционное управление и активировались из штаб-квартиры АНБ простым нажатием кнопки.
В ноябре 2013 года стало известно об операции «Социалист», в ходе которой был в ЦПС получен тайный доступ к маршрутизаторам бельгийской телекоммуникационной компании «Белгаком» в целях перехвата ее сетевого трафика, отслеживания перемещения ее абонентов и внедрения вредоносного программного обеспечения в их устройства. Операция началась с того, что в самой крупной в мире социальной сети для делового общения «ЛинкедИн» были выявлены системные администраторы и инженеры «Белгаком». На каждого из них было заведено отдельное досье, которое включало адреса электронной почты, учетные записи в социальных сетях, посещаемые интернет-сайты и личные пристрастия. При помощи серверов «Квант» им подсунули фальшивые веб-страницы, имитировавшие интернет-сайт «ЛинкедИн» и содержавшие шпионские программы. Заражение компьютеров этими программами, которое на жаргоне хакеров из ЦПС называлось «прививкой», считалось весьма эффективным средством, срабатывавшим более чем в 80 % случаев.
Аналогичным образом в ЦПС было осуществлено проникновение в компьютерные сети крупных биллинговых компаний – швейцарской «Комфоун» и люксембургской «Мач», а также в штаб-квартиры организации стран-экспортеров нефти «Опек» в Вене. В случае с «Мач» в качестве основной мишени был выбран компьютерщик, работавший в индийском подразделении этой компании. Был составлен список используемых им компьютеров и их интернет-адресов, его почтовых ящиков, а также профилей в социальных сетях. Хакеры из ЦПС даже получили доступ к куки-файлам на его компьютере. На основе собранной информации в ЦПС был подобран набор шпионских программ, специальным образом настроенных на незаметное проникновение в компьютеры индийца. И опять для заражения были использованы серверы «Квант».
Операция «Олимпийские игры»
В самый разгар лета 2010 года директор ЦРУ Леон Палетта приехал в Вашингтон, чтобы сообщить президенту США Бараку Обаме о том, что сверхсекретная американская операция под кодовым наименованием «Олимпийские игры», о которой было известно весьма ограниченному кругу лиц в правительстве США, оказалась под угрозой срыва. Входе ее проведения американцы организовали наиболее изощренную кибератаку среди тех, которые когда-либо предпринимали. Объектом нападения был Иран.
Но совершенно неожиданно вредоносное программное обеспечение, специально разработанное для этой цели, вышло из-под контроля и начало плодить свои копии. В России нового компьютерного червя[17] окрестили «Стухнет» – по фонетической аналогии с именем, которое он получил на английском языке.
Странно, что в секретных документах, преданных гласности Сноуденом, операция «Олимпийские игры» не упоминается ни разу. Но для полноты картины представляется совершенно необходимым восполнить этот пробел. Тем более что некоторые аспекты и подробности этой операции служат хорошей иллюстрацией к словам Сноудена и к материалам, опубликованным со ссылкой на него, а местами и дополняют их.
«Стухнет» стал плодом совместных усилий кибервоинов из АНБ и их собратьев по кибероружию из Израиля. В течение трех лет совместная американо-израильская операция «Олимпийские игры» проходила безупречно.
Несколько месяцев у американцев ушло на то, чтобы создать червя, который выводил бы из строя центрифуги, используемые Ираном для обогащения урана. Тестировался «Стухнет» в одной из секретных лабораторий министерства энергетики США на специально реконструированном фрагменте обогатительного оборудования, идентичном установленному на иранском заводе. Результат тестирования в виде покореженной центрифуги положили на стол Джорджу Бушу, предшественнику Обамы на посту американского президента.
Дальше к операции подключились израильтяне, которые помогли американцам внедрить «Стухнет» внутрь иранского завода по обогащению урана, преодолев «воздушный зазор», который отделял компьютерные системы завода от внешнего мира. Это случилось в самом конце срока президентского правления Буша. Последний в беседе один на один с Обамой при передаче власти посоветовал продолжить проведение операции «Олимпийские игры», сказав, что иранцы пребывают в полном неведении относительно причин, по которым ломались их центрифуги для обогащения урана. Обама воспользовался советом Буша, поскольку полагал, что другого способа приостановить иранскую ядерную программу не существует. Ни для санкций, ни для дипломатических маневров времени уже не оставалось. А нанесение ракетного удара по иранским ядерным объектам неизбежно привело бы к возникновению еще одного военного конфликта, в который оказались бы втянуты США. Но в 2010 году удача перестала сопутствовать операции «Олимпийские игры». И на долю Палетты выпала обязанность сообщить Обаме о грозящем провале.
На состоявшемся в Белом доме совещании с участием Обамы Палетта рассказал, что была разработана новая версия червя, которая должна была вывести из строя почти тысячу центрифуг на иранском заводе по обогащению урана в городе Натанз. Внедрение прошло успешно. Но затем случилось непредвиденное. Иранский физик-ядерщик подключил свой ноутбук к котроллерам, управлявшим центрифугами, и в него переселилась копия «Стухнет». Иранец вышел на этом ноутбуке в Интернет, и «Стухнет» вырвался на свободу.
Палетта заверил Обаму в отсутствии всяких свидетельств того, что червь был совместным порождением США и Израиля. Эксперты в области компьютерной безопасности по всему миру пришли к единому мнению о том, что «Стухнет» был делом рук неизвестных, весьма квалифицированных вирусописателей и мог распространяться от компьютера к компьютеру на внешних носителях компьютерной информации. Корпорация «Майкрософт» объявила, что устранила уязвимость в своих операционных системах, которая позволяла проникать в них червю «Стухнет». Однако Палетта предупредил Обаму, что по прошествии короткого периода времени червь будет препарирован в других странах, и выявленные особенности будут использованы при проведении новых кибератак, в том числе и против самих США.
Обама задал вопрос, которого больше всего опасался Палетта: «Нам необходимо прекратить операцию «Олимпийские игры»?» Палетта высказался за ее продолжение: пока иранцы разберутся, что происходит, можно будет исправить ошибки и разработать новые подходы. Подводя итоги обсуждения вопроса, Обама сказал, что для принятия окончательного решения не хватало информации, и распорядился продолжить операцию «Олимпийские игры». Все равно иранцам понадобится время, чтобы разобраться в ситуации. И пока не начали оказывать требуемое воздействие санкции против Ирана, кибератака на иранские ядерные предприятия с целью замедлить процесс обогащения урана оставалась, по мнению Обамы, единственным средством выиграть время.
Когда в 2008 году центрифуги на иранском заводе по обогащению урана в Натанзе начали одна за другой выходить из строя, местные инженеры терялись в догадках. Мысль о том, что центрифуги стали объектом кибератаки, не приходила им в голову. На это, собственно, и рассчитывали организаторы американо-израильской операции «Олимпийские игры».
По замыслу Вашингтона и Иерусалима вначале все должно было выглядеть как немногочисленные случайные аварии. Центрифуги переставали бы работать без видимой причины. Некоторые из них, если повезет, могли бы взорваться, что привело бы к закрытию завода по обогащению урана в Натанзе на несколько недель для выяснения причин произошедшего. Идея состояла в том, чтобы иранцы подумали на некачественные комплектующие, из которых были собраны центрифуги, или на ошибки проектировщиков, или просто на некомпетентность изготовителей и обслуживающего персонала. В любом случае наиболее вероятной причиной для иранцев должна была выглядеть механическая неисправность. Чтобы как можно быстрее приступить к производству обогащенного урана, иранцы закупили центрифуги у пакистанца Абдула Хана. Эти центрифуги были настолько ненадежными, что в Пакистане давно перестали ими пользоваться. Причиной были подшипники, подверженные разрушению при резком разгоне или торможении даже из-за небольшого скачка напряжения в электросети, от которой питались центрифуги.
Этой уязвимостью и решили воспользоваться американские и израильские атомщики и компьютерщики, перед которыми в 2007 году была поставлена задача: привести в негодность иранские центрифуги в Натанзе. Центрифуги управлялись специализированными компьютерами – контроллерами. Идея состояла в том, чтобы внедрить в них вредоносный код, который неделями или даже месяцами никак не обнаруживал бы своего тайного присутствия, но в один прекрасный момент начал бы сверх всякой меры ускорять вращение центрифуг или, наоборот, резко тормозить. Изначально было, правда, неясно, как долго могли иранцы оставаться в неведении относительно истинной причины сбоев в функционировании своих центрифуг.