Текст книги "Рождение машин. Неизвестная история кибернетики"

Успешная атака на военные сети оказала свое действие: Объединенному комитету начальников штабов вдруг стало ясно, что «информационное превосходство», объявленное всего несколько месяцев назад, может легко обернуться отставанием. И, как будто этого было недостаточно, поползли слухи, что команда «Пригодного принимающего» была в силах обрушить энергосистему. Джон Хамр, заместитель министра обороны, похвастался перед IT-директорами на форуме Fortune 500 в Аспене: «Не то чтобы мы дали им отключить электричество по всей стране, но мы заставили их доказать, что они сумеют это сделать»[683]683
  Джон Хамр, из высказываний на форуме IT-директоров Fortune 500 (Fortune 50 °CIO Forum), Аспен, штат Колорадо, 21 июля 1998 года.


[Закрыть].

«Красная команда» не атаковала никаких электросетей, и у нее не было никакой юридической поддержки, которая позволила бы ей прикасаться к компьютерам, находящимся вне области влияния Министерства обороны[684]684
  Анонимный руководитель операции из АНБ, беседа, 19 ноября 2014 года. Также смотрите Gertz, «Infowar» Game Shut Down».


[Закрыть]. Атаки в гражданской сфере были всего лишь имитацией, АНБ ничего не делало с американской энергетической инфраструктурой[685]685
  «Exercise ELIGIBLE RECEIVER 97», презентация перед Объединенным комитетом начальников штабов (без указания даты), Министерство обороны (рассекречено бригадным генералом Брюсом Райтом 11 декабря 2006 года).


[Закрыть]. Но один сотрудник, оставшийся неизвестным, позже сказал: «Экспертам показали атаки и систему управления электросетями, и они сказали, что да, эта атака их бы отрубила»[686]686
  Gertz, «Infowar» Game Shut Down».


[Закрыть]. До сих пор неизвестно, что из этого правда.

Происшедшее послужило сигналом к действию.

«Честно говоря, многие были напуганы до смерти, потому что из действий этой команды можно было сделать очень далеко идущие выводы»[687]687
  Jason Healey, Transcript: Lessons from Our Cyber Past – The First Cyber Cops, Cyber Statecraft Initiative event, Atlantic Council, Washington, DC, May 16, 2012.


[Закрыть], – вспоминал Джон Кэмпбелл, один из высших офицеров Объединенного комитета начальников штабов. Президента проинформировали о тревожных выводах, сделанных по результатам операции. «Я думаю, что „Пригодный принимающий“ превзошел все ожидания своих создателей в анализе опасностей, которые грозят нашим компьютерным системам»[688]688
  Laura Myers, «Security Team Finds Pentagon Computers Unsecured», Associated Press, April 16, 1998.


[Закрыть], – сказал Кеннет Бэкон, официальный представитель Министерства обороны.

Пентагон хотел подчинить себе страшнейшее высокоточное оружие электрон, но, пытаясь распространить информационное превосходство на киберпространство, Объединенный комитет начальников штабов вернулся к мысли Уинна Швартау об угрозе электронного Перл-Харбора. «Думаю, нам всем пора понять, что нам снова придется думать о том, как защитить нашу родину, – сказал Хамр в начале 1998 года. – Теперь компьютеры связаны друг с другом, а значит, любой может прийти и разрушить наши жизни через эти межкомпьютерные связи»[689]689
  Bill Pietrucha, «US Government to Hack Its Own Computers», Newsbytes, March 11, 1998.


[Закрыть].

Между тем в реальном мире разворачивался настоящий кризис. В нарушение резолюции ООН, Ирак не подпустил австралийских инспекторов к своим запасам оружия массового поражения. Саддам Хусейн обвинил американцев в шпионаже и даже пригрозил применить силу, но Белый дом был настроен решительно. В конце января 1998 года Билл Клинтон усилил давление на Ирак, показав, что Соединенные Штаты готовы использовать военную силу, и отправил в залив двадцать две сотни морпехов и три авианосных группы.

В то же время компьютерная система обнаружения вторжения ВВС засекла попытку взлома на авиабазе Эндрюс. Неизвестные злоумышленники проникли в систему авиабазы, воспользовавшись известной уязвимостью в операционных системах Solaris 2.4 и 2.6, разработанных компанией Sun Microsystems. На этот раз это была не игра, все было по-настоящему. Операция получила кодовое имя «Солнечный рассвет», в честь операционной системы.

Когда Министерство обороны и ФБР занялись расследованием этого происшествия, они обнаружили то, что Хамр назвал «самой организованной и последовательной атакой, какую видел Пентагон»[690]690
  William M. Arkin, «Sunrise, Sunset», Washington Post, special supplement at washingtonpost.com, March 29, 1999.


[Закрыть]. Спешная проверка показала взлом нескольких военных баз, а точкой проникновения оказался Emirnet, провайдер из Объединенных Арабских Эмиратов, электронные ворота в Ирак. Военным чиновникам показалось, что злоумышленники выбирали в основном системы поставок и связи в самом центре собирающихся в Ираке военных сил. «Если взять хотя бы одну деталь в этой машине и отключить ее, развернуть войска будет не так-то просто»[691]691
  FBI, «Solar Sunrise: Dawn of a New Threat», 1999 (опубликовано Кевином Полсеном и журналом Wired), видео доступно по ссылке: https://youtu.be/bOr5CtqYnsA


[Закрыть], – сказал Кэмпбелл, отвечавший в Объединенном комитете начальников штабов за информационные операции.

«Солнечный рассвет» был серьезной угрозой, точнее казался ею, по крайней мере несколько недель. Злоумышленники просмотрели файлы и кое-что скопировали, включая логины и пароли, но ничего не меняли и не удаляли. Однако в памяти высших чинов Пентагона еще был свеж пугающий успех команды «Пригодного принимающего». Казалось вполне возможным, что Саддам Хусейн собирается оставить американские города без энергии, Хамр даже сообщил о происшествии Биллу Клинтону, сказав, что эти взломы могут быть первыми выстрелами самой настоящей кибервойны[692]692
  Bryan Burrough, «Invisible Enemies», Vanity Fair, June 2000.


[Закрыть].

Но потом ФБР обнаружило взломщиков, ими оказались трое подростков – два шестнадцатилетних американских ученика десятого класса старшей школы на севере Сан-Франциско и их израильский наставник, восемнадцатилетний хакер по имени Эхуд Тененбаум. ФБР успокоилось, и напрасно, ведь одна из мощнейших разведок мира уже пробралась в правительственные сети.

III

Эта крупная шпионская операция начиналась зловеще. Седьмого октября 1996 года в 20:30 неизвестные вторглись в компьютерную сеть Колорадской горной школы, небольшого инженерного колледжа на окраине Голдена. Они вошли в систему с адреса на @cyberspace.org, как бы насмехаясь над калифорнийскими утопистами, проникли в лабораторию роботехники в современном корпусе Брауна и с помощью руткита[693]693
  Руткит (англ. root kit) – программа или набор программ, позволяющих хакеру незаметно контролировать взломанную систему. – Прим. перев.


[Закрыть] взломали компьютер[694]694
  David M. Larue, «CSM CC baby@doe hack», Colorado School of Mines, 6 November 1996.


[Закрыть]. Затем, используя этот компьютер в качестве перевалочной базы, хакеры атаковали НАСА, Национальное управление океанических и атмосферных исследований, компьютеры ВМС, ВВС и множество других машин. Они работали целую ночь. На флоте решили, что это прощупывание[695]695
  National Infrastructure Protection Center, Memorandum, отправитель и получатель скрыты, «IP ADDRESS (fwd)», August 1998, Washington, DC.


[Закрыть], но было непонятно, кто их противник – одиночка или действительно иностранная разведка?

Два месяца спустя, в декабре 1996 года, злоумышленники воспользовались известной уязвимостью cgibin/phf и вторглись в командование кораблестроения и вооружений в Индиан-Хэд, крупнейшее из военно-морских командований, съедающее около четверти всего бюджета флота. Было зафиксировано 24 попытки украсть пароли. Несколько взломов было совершено с компьютера в Торонтском университете, но на самом деле хакеры приходили с ppp63. cityline.ru, из Москвы. Впрочем, это было только начало. В течение 1997 года в шести военно-морских командованиях, включая космическое командование и научно-исследовательскую лабораторию ВМС, засекли попытки взлома из Москвы, в четырех случаях cityline.ru был опознан как источник атаки[696]696
  Incident report A1010.1, email from [redacted]@rock. mines.edu to [email protected], 10 October 1996, 13:22.


[Закрыть].

Военным чиновникам показалось, что злоумышленники выбирали в основном системы поставок и связи в самом центре собирающихся в Ираке военных сил.

Пострадал не только флот. За период с октября 1997 по июнь 1998 года Министерство энергетики пытались взломать 324 раза. Согласно одному документу, просочившемуся в прессу, порой иностранным злоумышленникам удавалось получить «полный доступ и абсолютное право создавать, просматривать, изменять или уничтожать любые данные в системе»[697]697
  Jeff Gerth and James Risen, «1998 Report Told of Lab Breaches and China Threat», New York Times, 2 May 1999.


[Закрыть]. Были и другие инциденты, но власти США пока не видели между ними связи.

Первого июля 1998 года засекли взлом на авиабазе Райт-Паттерсон: хакеры проникли в технологический институт и исследовательскую лабораторию из компьютерного класса инженерного факультета университета Цинциннати, воспользовавшись его быстрым 10-мегабитным Интернетом[698]698
  FBI, «Request for Computer Forensic Media Analysis», File no. 288-CI‐68562, October 6, 1998.


[Закрыть]. Агентство оборонных информационных систем взялось за расследование, люди трудились долгие часы, лихорадочно пытаясь отследить взломщиков.

Вскоре, к немалому удивлению агентов, выяснилось, что отдельные атаки поступали с территории Великобритании, одного из ближайших союзников США. Искомый компьютер находился в Лондоне и принадлежал Институту персонала и кадрового развития, некоммерческой организации неподалеку от железнодорожной станции Уимблдон. Агентство оборонных информационных систем заподозрило, что компьютер был взломан и теперь играет роль транзитного участка переправки военных секретов в третью страну. Такая роль часто отводится взломанным компьютерам, которые становятся плацдармом для дальнейших атак, причем чем длиннее цепь таких плацдармов, тем сложнее проследить источник атаки. Принцип работы тот же, что и в транзитных грузовых терминалах аэропортов, где на груз выписывают новые документы, а старые выбрасывают, так что в итоге невозможно сказать, откуда груз шел изначально.

Сотрудники агентства поступили по инструкции: связались с Уимблдоном и попросили помочь. Системный администратор прислал им журнал регистрации FTP-передачи. Протокол передачи файлов (File Transfer Protocol, FTP) часто используется для передачи огромных массивов файлов по компьютерным сетям. Администратор пострадавшего компьютера поставил слово «IT» в качестве логина и пароля, поэтому взломать его было очень просто. Журнал регистрации скрывал зловещую тайну: агенты нашли одну тонкую ниточку, ведущую через Атлантический океан в Англию, но в журнале обнаружилась целая связка нитей, ведущая через океан обратно к другим взломанным компьютерам в США, о которых Пентагон и понятия не имел. И, что было еще хуже, исходящее соединение из Лондона шло прямиком в Москву.

Это уже было серьезно, к делу подключились ФБР и адвокаты Пентагона. «Что вы сделали? Связались с зарубежным учреждением? – спросили изумленные юристы, которые не пришли в восторг от того, что агенты по собственной инициативе связались с системным администратором из другой страны. – Это вопрос правового характера, нужно обратиться в Скотланд-Ярд».

Вскоре лондонская служба столичной полиции выяснила, что атакованный сервер HP 9000 не был защищен институтским файрволом, так как использовался в качестве тестового хоста (и назывался HPTest), потому и стал легкой добычей. Полицейские убедили институт не отключать компьютер, чтобы иметь возможность наблюдать за деятельностью злоумышленников. «Мы сидели и смотрели, как материалы военных улетают в трубу», – вспоминал потом один из следователей. Британская спецслужба ЦПС также заинтересовалась этим случаем и дала ему кодовое имя «Поразительный».

Один из юных гениев лондонской полиции по прозвищу Умник Тревор разработал так называемую песочницу, программу обеспечения безопасности, которую следователи подключили к серверу, чтобы «потихоньку выкачать из него всю информацию»[699]699
  Анонимный следователь по делу в беседе с автором 21 января 2015 года.


[Закрыть]. Офицеры службы столичной полиции понимали, что хакеры очень умны, и не хотели раньше времени себя обнаружить, поэтому сохраняли все данные на магнитно-оптических дисках, для чего им приходилось несколько раз в неделю ездить в Уимблдон, чтобы сменить встроенные диски, и по телефону отчитывались ФБР о своих находках. Диски отправляли представителю ФБР в американском посольстве в Лондоне, а уже оттуда файлы отсылались в Вашингтон.

Агентство оборонных информационных систем напало на золотую жилу: хакеры, взломавшие британский компьютер, проникли также и во многие американские системы. Следователи Пентагона обзванивали IT-отделы организаций-жертв и сообщали им, что их сети взломаны. Некоторые инциденты уже были известны, и ФБР уже занималось ими. Теперь их все можно было объединить в одну большую картину, и специальные агенты, работающие над делом, решили придумать ему кодовое имя. Атаки происходили ночью по американскому времени, и во всей этой ситуации было много непонятного. Агенты решили, что название «Лунный лабиринт» вполне подходит для этой, по-видимому, первой крупной кибератаки одного государства на другое. Но одних только правоохранительных органов было недостаточно, и к делу подключилась контрразведка.

В конце июля хакеры совершили ошибку – ФБР заметило, что они воспользовались российским адресом 25.m9–3.dialup.orc.ru. Взломщики вошли в систему через Управление научных исследований Южной Каролины, исследовательскую организацию, занимающуюся высокотехнологичными разработками. Также они взломали Государственный университет Райта в Дейтоне и Институт передовых технологий, выполнявший заказы военного ведомства[700]700
  FBI, Letter, [тема и адресат скрыты], 4 августа 1998 года. Трафик, возможно, получен с aticorp.org. Смотрите: https:// web.archive.org/web/19981212022933/ http://www.aticorp. org


[Закрыть]. К началу августа ФБР заподозрило, что русские взломали несколько систем на базе в Огайо: «Вторжения в американские системы, по-видимому, происходят через телефонное соединение с четырьмя интернет-провайдерами, расположенными на территории России». Следователей чрезвычайно заинтересовал адрес телефонного соединения, «который указывает на местный, то есть российский, исходный пункт»[701]701
  Там же.


[Закрыть]. Бюро привлекло к делу Кевина Мандиа, одного из лучших специалистов по цифровым преступлениям в стране, бывшего сотрудника управления специальных расследований ВВС. Мандиа рьяно взялся за работу: он вошел в здание имени Эдгара Гувера в среду и вышел оттуда в пятницу, с трудом держась на ногах от недосыпа. Помимо всего прочего, он обнаружил в программном коде языковые артефакты – например, русский термин «дочерний [процесс]».

ФБР также принялось искать шпионов среди преподавателей и студентов в университетах, где были зафиксированы взломы, но их допросы ничего не дали. К ноябрю 1998 года федералы обнаружили следы деятельности русских хакеров в более чем десяти колледжах и университетах США, включая такие престижные заведения, как Гарвард, Университет Дьюка, Калифорнийский технологический институт и Техасский университет в Остине.

Агентство оборонных информационных систем заподозрило, что компьютер был взломан и теперь играет роль транзитного участка переправки военных секретов в третью страну.

Масштабы произошедшего шокировали: если сложить вместе все украденные файлы, получилась бы «стопка распечаток втрое выше монумента Вашингтона», как выразился старший офицер разведки ВВС. Это было внушительное сравнение: каменная колонна монумента возвышается над городом на 169 метров, она выше пирамиды Хеопса. Русские утащили целую пирамиду важных военных исследовательских документов.

Взламывали не только подразделения Министерства обороны, Министерству энергетики тоже досталось. Серьезно пострадало НАСА: генеральный инспектор Роберта Гросс сказала журналистам, что проникновений в систему космического управления было «много, очень много» и сделаны они были «практически незаметно»[702]702
  Bob Drogin, «Russians Seem to Be Hacking into Pentagon», Los Angeles Times, October 7, 1999.


[Закрыть]. Было взломано Агентство по охране окружающей среды; Национальное управление океанических и атмосферных исследований лишилось значительного объема данных. Хакеры проникли также во многие наиболее значимые исследовательские лаборатории, например в Лос-Аламосскую, Сандийские, Ливерморскую и Брукхейвенскую национальные лаборатории.

Некоторые пострадавшие университеты были конечными целями, другие – только промежуточными точками. Так, например, ФБР обнаружило, что таинственные злоумышленники направили несколько атак через Университет Макгилл и Торонтский университет в Канаде: они предположили – и, по-видимому, оказались правы, – что обмен большим объемом данных между двумя университетами не вызовет подозрений. Чтобы добраться до этих безопасных транзитных участков, хакеры взламывали системы в США, Великобритании, Канаде, Бразилии и Германии. Улики «находились, как правило, в разных странах», отметило ФБР, и число жертв «постоянно росло»[703]703
  FBI, «RE: (U)’Moonlight Maze» (memo), April 15, 1999, 6.


[Закрыть].

Такая крупная кража конфиденциальных данных, имеющих отношение к обороне, не могла не привлечь внимание Белого дома. Советники президента заволновались: «Ничего подобного раньше не случалось, – позже сказал лондонской The Times один из высокопоставленных работников Белого дома. – Это все по-настоящему и очень тревожно»[704]704
  Campbell, «Russian Hackers Steal».


[Закрыть]. Атака пришла очень вовремя, ускорив создание новых организаций, которые смогли бы заняться нарастающей угрозой взлома компьютерных сетей. Так началось крупнейшее в истории США цифровое расследование.

ФБР едва справлялось с делом. Официально за расследование отвечал Майкл Ватис, руководитель недавно основанного Центра защиты национальной инфраструктуры ФБР, занимавший прежде высокий пост в Министерстве юстиции. Однако всю работу делала координационная группа по «Лунному лабиринту», которую возглавляли специальный агент Дорис Гарднер, быстро осваивавшаяся в цифровой криминалистике, и направленный из Пентагона Майкл Дорси. Группа состояла из 40 офицеров-специалистов, набранных из 20 сильнейших американских служб безопасности и разведки, включая службы специальных расследований армии, флота и ВВС. Когда работы бывало много, в следствии могло участвовать до ста человек. Группа размещалась в Центре стратегической информации и операций на пятом этаже здания штаб-квартиры ФБР, выстроенного в модернистском стиле, по адресу 935 Пенсильвания-авеню, Вашингтон, округ Колумбия. Центр глобального наблюдения и связи занимал более 3700 квадратных метров.

У команды Гарднер и Дорси были свои юридическая, аналитическая, техническая и следственная группы[705]705
  Анонимный источник из ФБР в беседе с автором 20 ноября 2014 года.


[Закрыть]. ФБР распорядилось аккуратно собрать недолговечные и легкоуничтожимые цифровые улики и рассылало за ними агентов по всей стране, невзирая на время суток и выходные дни. Иногда улику было так легко потерять, что агентов отправляли сразу же, как только поступала наводка. Один раз агент не успел даже заехать домой за переменой одежды: тогда злоумышленники сохранили данные на запоминающем устройстве с произвольным доступом взломанного компьютера, и ФБР нужно было как можно скорее изъять и сохранить память, прежде чем данные бесследно исчезнут.

К счастью, шокирующий опыт «Пригодного принимающего» подготовил руководство Пентагона к кибервойне. Министр обороны Уильям Коэн создал новую организацию, для которой придумали громоздкое имя: Объединенная тактическая группа по обороне компьютерных сетей (Joint Task Force for Computer Network Defense, JTF-CND). 30 декабря 1998 года Пентагон объявил, что новое подразделение готово к работе.

Первым начальником JTF-CND стал генерал-майор Кэмпбелл, уже участвовавший в «Пригодном принимающем», в прошлом опытный пилот истребителей F‐15 и F‐16. Он обладал скрипучим голосом и носил прозвище Суп[706]706
  Возможно, прозвище произошло от Campbell Soup Company – знаменитой американской компании – производителя консервированных супов. – Прим. перев.


[Закрыть]. Кэмпбелл руководил группой из пяти человек из временного офиса в трейлере на парковке за штаб-квартирой Агентства оборонных информационных систем. Через неделю после его переезда в трейлер JTF-CND подключили к «Лунному лабиринту».

Несколько дней спустя, утром 22 января 1999 года, Клинтон поднял ставки в сражении за кибербезопасность, зачитав пространную речь в Национальной академии наук США. Президент говорил о безопасности Америки в XXI веке, упомянул о терактах во Всемирном торговом центре в 1993 году, в Оклахома-Сити в 1995 году, в Эль-Хубаре в Саудовской Аравии и о взрыве Boeing 747 над Локерби. «Враги мира поняли, что не смогут победить нас обычными военными средствами. Поэтому они изобрели два новых типа нападения <…>: кибератаки на наши важные компьютерные системы и атаки оружием массового поражения»[707]707
  Bill Clinton, «Keeping America Secure for the 21st Century» (speech, National Academy of Sciences, Washington, DC, January 22, 1999).


[Закрыть].

К тому времени американское правительство начало свыкаться с фактом, что США подверглись самой крупной и изощренной атаке на компьютерные сети за всю свою историю, однако общественность еще ничего об этом не знала, и Клинтон ограничился предостережением: «Мы должны быть готовы к тому, что наши противники попытаются при помощи компьютеров лишить нас электричества, банков, связи и транспорта, полиции, пожарных, здравоохранения или военных сил»[708]708
  Там же.


[Закрыть].

Тем временем Пентагон и ФБР не были готовы к такому повороту событий и знали это. Офицеры разведки и федеральные агенты были поражены тем, как точно и эффективно их таинственный противник находил своих жертв. Злоумышленники точно знали, что им нужно, они взламывали систему, шли прямо в корень, запрашивали полный перечень файлов каталога, сохраняли его отдельным файлом и уходили, вся операция занимала несколько минут. Через неделю они возвращались, сужали поиск до конкретных файлов, с точностью до подкаталога зная, где они лежат, и забирали пять файлов. Хакеры знали даже аккаунты конкретных людей, работавших в университетах над военными заказами. Следователи из Пентагона были озадачены: откуда злоумышленники могли заранее узнать все эти детали?

В один прекрасный день офицер Разведывательного управления Министерства обороны США вошел в трейлер, где размещался временный офис объединенной тактической группы Пентагона, с толстой белой папкой в руках. В папке содержался ответ: предназначенный для служебного пользования, но не засекреченный перечень технологий, которые, по мнению Министерства обороны, были необходимы для поддержания военного превосходства, – «Список военных технологий особой важности».

Документ представлял собой гигантский список технологий с футуристическими названиями: биологическая защита, технология систем химического оружия, баллистические ракеты, крылатые ракеты, беспилотные системы, электротермическое оружие, высокопроизводительные вычислительные системы, подземные и глубоководные транспортные средства, электроника для транспортных средств и даже расширение возможностей человеческого организма, кровезаменители и искусственная кожа. Список был превосходным перечнем целей для шпионов, причем сам Пентагон составил и постоянно обновлял его, пополняя каталог ключевых партнеров в правительстве, промышленности и науке с указанием контактных данных вплоть до имен и телефонных номеров. В январе 1995 года Пентагон постановил, что список следует использовать как «технический справочник и руководство для сбора разведданных»[709]709
  The Military Critical Technologies List, Part II: Weapons of Mass Destruction Technologies (Washington, DC: Department of Defense, 1998), II–III.


[Закрыть], правда, военные чины полагали, что списком будут пользоваться разведчики США, а не их противники.

Но таинственные злоумышленники решили иначе. В третьей части списка были кратко обрисованы самые ценные из новейших технологий, так что хакеры прочесали все учреждения, работавшие над ними. «Он был для них как карта всех армейских и правительственных систем»[710]710
  Анонимный источник из JTF-CND в переписке с автором 3 ноября 2014 года.


[Закрыть], – вспоминал один офицер разведки. Он подозревал, что документ украли из Национальной службы технической информации в Спрингфилде. «Я помню этот момент, когда мы нашли список, и картинка сложилась»[711]711
  Анонимный источник из ФБР, беседа, 20 ноября 2014 года.


[Закрыть], – сказал другой следователь.

На сложившейся картинке обозначился целый ряд компаний и университетов, связанных с армейскими крупными центрами ресурсов совместного использования, суперкомпьютерами, способными осуществлять высокопроизводительные вычисления для целого сообщества разработчиков и инженеров в науке и частном секторе. Злоумышленники решили, что тот, у кого такое дорогое оборудование и кто работает над исследованием, имеющим отношение к обороне, точно скрывает что-то ценное. «Это было гениально, и куда больше того, на что способна обычная группа хакеров»[712]712
  Анонимный источник из JTF-CND в переписке с автором 3 ноября 2014 года.


[Закрыть], – заметил один из главных криминалистов Агентства оборонных информационных систем.

Злоумышленники точно знали, что им нужно, они взламывали систему, шли прямо в корень, сохраняли его отдельным файлом и уходили, вся операция занимала несколько минут.

Но, несмотря на все эти подробности, так и осталось неизвестным, кто стоял за атакой. Следователи подозревали российское правительство, но у них не было доказательств, хитрый противник мог использовать русские сайты в качестве промежуточных точек, как сервер HPTest в Уимблдоне. Подозрений было недостаточно, нужна была точная информация.

К своему удивлению, ФБР обнаружило, что у хакеров была еще одна промежуточная точка в Скалистых горах, ею был компьютер в публичной библиотеке округа Джефферсон в Лейквуде, штат Колорадо, в пятнадцати минутах езды от Денвера. Главное административное здание библиотеки напоминало большую модернистскую крепость с высокими закругленными стенами, лишенными окон, но эта крепость не устояла перед иностранными шпионами. Округ называл себя воротами в Скалистые горы, а стал воротами в Министерство обороны. Шпионы изучали оборонные секреты Америки через скромный библиотечный компьютер в Колорадо.

После того как его обнаружили, оперативная группа по «Лунному лабиринту» решила держать машину в рабочем состоянии и шпионить за шпионами в реальном времени. Бюро запросило ордер на перехват и слежение, чтобы просматривать входящий трафик и скачивать логи со взломанных сайтов по всей стране. «Это позволило опергруппе произвести оценку похищенных данных»[713]713
  Анонимный высокопоставленный следователь в беседе с автором 6 ноября 2014 года.


[Закрыть], – вспоминал один из следователей.

Ситуация сложилась весьма деликатная. ФБР изучало все, что происходило на библиотечном компьютере, включая историю поиска и письма простых граждан округа Джефферсон, пользовавшихся общественными интернет-терминалами библиотеки. Бюро тщательно следило за тем, чтобы не сохранять такого рода личную информацию и не передавать ее в Министерство обороны. «История поиска и данные обычных посетителей библиотеки не сохранялись»[714]714
  Анонимный источник из JTF-CND в переписке с автором 16 ноября 2014 года.


[Закрыть],– добавил один из офицеров разведки Пентагона. Благодаря библиотечному компьютеру контрразведчики сумели отследить взломы множества других сайтов. «Они работали очень, очень тонко, – сказал Майкл Дорси, один из руководителей опергруппы ФБР по «Лунному лабиринту», – очень хитро»[715]715
  Майкл Дорси в беседе с автором 6 ноября 2014 года.


[Закрыть].

Теперь у следствия была информация, но информация слишком пестрая: в улове оказались подробности о системах наведения ракет, данных о состоянии атмосферы и океана, проектах кабин летчиков и даже нашлемных индикаторах. Какая ирония, что целью первой атаки государственного масштаба в виртуальном пространстве оказалась та самая исследовательская лаборатория ВВС, что двадцатью годами ранее изобрела саму идею «виртуального пространства».

Потом хакеры проникли в Агентство по охране окружающей среды и выкрали файлы по вычислительной динамике жидкости и газа, а также информационно-емкие исследования потоков жидкости и воздуха. Кроме того, они забрали данные о новых химических соединениях пестицидов, которые агентство хранило на своих серверах в ожидании одобрения правительства. Некоторые члены опергруппы по «Лунному лабиринту» предположили, что злоумышленники хотят использовать эти данные как оружие, но они украли также информацию об очищении воды и удобрениях, что объяснить было труднее. Кто-то из следователей решил, что Россия может быть заинтересована в такого рода информации, ведь озеро Байкал загрязнилось, да и других экологических проблем в стране хватало.

ФБР и лондонская служба столичной полиции заметили, что злоумышленники активны в европейское рабочее время. В Рождество 1998 года они работали, но бездействовали 7–8 января 1999 года, в «православное Рождество в России»[716]716
  FBI, «RE: (U)’Moonlight Maze», 5.


[Закрыть], как сообщала секретная служебная записка ФБР. Это была хорошая улика, но ее одной было мало. Работа над делом кипела так, что опергруппа по «Лунному лабиринту» заказала футболки с логотипом операции (луна, бросающая тень на голубой с желтым лабиринт) на груди и надписью «Byte Back!»[717]717
  Игра слов: «bite back» по-английски означает «давать отпор». – Прим. перев.


[Закрыть] на спине. И люди старались следовать этому девизу.

ФБР попыталось совместно с армией и ВМС определить, смогут ли они установить ловушку, чтобы «определить, кто причастен к взломам»[718]718
  FBI, «RE: (U)’Moonlight Maze», 6.


[Закрыть], и будет ли это целесообразно. Однако ФБР не только не хватало рук, в чем оно открыто признавалось, но оно еще и играло недостаточно агрессивно. Работники правоохранительных органов в первую очередь думали о законе, военные же думали о враге. Они предложили хакнуть хакеров.

Бюро отказалось и избрало консервативный подход, предпочитая пассивно выслеживать злоумышленников, а не преследовать их, используя более агрессивные методы. Оно волновалось, что если агенты займутся взломом, то это поставит их в двусмысленную позицию по отношению к закону. Более того, Министерство юстиции считало, что если хакеров действительно спонсировало другое государство, если на них напало российское правительство, то нанесенный взломщикам ущерб можно будет расценить как «акт агрессии»[719]719
  Vernon Loeb, «NSA Adviser Says Cyber-Assaults on Pentagon Persist with Few Clues», Washington Post, May 7, 2001, A02.


[Закрыть].

Это беспокойство стало результатом паникерских заявлений высших чинов правительства. Руководство опергруппы ФБР сказало Министерству обороны: «Если вы отключите энергосистему или еще какую важную службу, де-факто мы совершим акт агрессии против другой страны»[720]720
  Дорси, беседа, 6 ноября 2014 года.


[Закрыть]. Но в Пентагоне и АНБ с этим не согласились, и позже Пентагон перешел от слов к делу. «Мы тоже решили сделать кое-что интересное»[721]721
  Анонимный бывший армейский служащий в беседе с автором 17 сентября 2014 года.


[Закрыть], – сказал один из армейских служащих, работавших в объединенной тактической группе.

С помощью программы Adobe Acrobat можно создать особую версию файла, содержащую уникальный набор символов с логотипами и шаблонами. Обычный Acrobat Reader такой файл не прочитает, для этого нужна специальная программа. JTF-CND этим воспользовалась: «Почему бы нам не выложить несколько PDF-файлов с заманчивыми названиями там, куда люди из „Лунного лабиринта” точно заглянут?»[722]722
  Там же.


[Закрыть]

Идея была такая: хакеры крадут заманчивый файл, забирают его домой через промежуточные точки в Колорадо и Лондоне, скачивают в свою собственную систему (возможно, в Москве) и открывают его там. Когда они пытаются это сделать, то получают сообщение об ошибке и предложение скачать армейскую программу для чтения файлов. Вся надежда была на то, что они вернутся и скачают ее, и тогда открытая на удаленном компьютере подкорректированная программа пошлет сигнал обратно в Пентагон при помощи уникального DNS-поиска. Это все равно что отослать секретный код, который может обнаружить местонахождение воров и, в идеале, установить их личности: «Мы ждали этот пакет с DNS-запросом, который никто, кроме хакеров, не мог прислать»[723]723
  Там же.


[Закрыть].

Шпионы изучали оборонные секреты Америки через скромный библиотечный компьютер в Колорадо.

Трюк сработал и принес важный кусочек информации: IP-адрес в определенной стране, где был открыт файл. Но и этого было недостаточно. JTFCND и АНБ понимали, что такой метод несовершенен:

злоумышленники могли открыть файл на взломанном компьютере или обмануть машину, чтобы она отослала ложный идентификатор.