Американские хакеры случайно отключили интернет в Сирии в 2012 году

В большом интервью журналу Wired Эдвард Сноуден рассказал много интересного о ежедневной работе ЦРУ и АНБ, например, о программе реагирования на иностранные кибератаки MonsterMind с автоматическим ответным ударом, о секретной системе хранения данных в Блаффдейле (Юта) под названием Mission Data Repository с йоттабайтами информации. Раньше хранилище называлось Massive Data Repository, но старое название сочли слишком жутким (и точным).Ещё одна история — о забавном случае, который произошёл в TAO (Tailored Access Operations), оперативном подразделении АНБ, которое занимается практическим внедрением бэкдоров на серверы, компьютеры и мобильные телефоны по всему миру, где это требуется для выполнения практических текущих задач.

В 2012 году хакеры из TAO попытались удалённо установить эксплойт на один из маршрутизаторов крупнейшего интернет-провайдера Сирии, тогда как страна находилась в состоянии гражданской войны. Эксплойт дал бы разведке доступ к почтовому и другому интернет-трафику большинства пользователей (возможно, нужно было изменить таблицы маршрутизации в BGP-маршрутизаторе). Но что-то пошло не так, и маршрутизатор внезапно выключился и полностью перестал реагировать. В результате этого сбоя вся Сирия внезапно потеряла связь с интернетом.В четверг 29 ноября в 10:26 UTC (14:26 МСК) международные каналы связи с Сирией полностью отключились. В глобальной таблице маршрутизации все 84 блока сирийских IP-адресов стали недоступны, эффективно удалив это государство из интернета.

4e13e6b4630642e1844f2fd1f5450e3d.png

Процесс отключения Сирии от интернета отслеживался западными компаниями Renesys и Cloudflare.

[embedded content]

Западные повстанцы заподозрили в отключении связи правительство страны, а мировое сообщество искренне возмутилось лишением мирных граждан интернета.

Немного о работе TAO Судя по ранее рассекреченным документам, TAO использует разные методы. Например, отфильтровывает из интернет-трафика сообщения о сбоях, если пользователь нажал на кнопку «Отправить отчёт в Microsoft». Эти отчёты содержат идентификационную информацию о компьютере, с помощью которой TAO может затем отслеживать трафик конкретного ПК в интернете, не инсталлируя бэкдор.4fce7c5dfd9d4bcf981340e629f32a1c.png

Ещё одним методом слежки за конкретными индивидуумами является Quantum Insert — установка скрытых серверов на уровне бэкбона (у магистральных провайдеров и в точках обмена трафиком по всему миру), которые перехватывают запросы от пользователей в адрес конкретных сайтов — и отвечают на них раньше, чем настоящие серверы, для которых предназначены эти запросы. Технически, подобную атаку можно назвать MiTM с инъекцией пакетов.

По имеющейся информации, в подразделении TAO числятся около 600 сотрудников, гражданских и военных. Они работают как минимум в семи разных офисах. TAO считается ключевым компонентом подразделения АНБ под названием Signal Intelligence Directorate (SIGINT).

a5967640cb944492b980d25c6fcef5c5.jpg

Иногда операции TAO заканчиваются неудачей, как показывает пример Сирии.

Никто не знал, что к отключению связи в Сирии причастны США. В командном центре TAO паникующие государственные хакеры испытали то, что Сноуден в интервью называет ситуацией «полный п%здец» («oh shit» moment).Они судорожно пытались удалённо починить маршрутизатор и скрыть следы атаки, чтобы сирийцы не обнаружили сложное ПО, с помощью которого удалось проникнуть в сеть и провести атаку. Но поскольку оборудование полностью вышло из строя — маршрутизатор вообще не включался — исправить ошибку не удалось.

«К счастью для АНБ, сирийцы явно сконцентрировались на восстановлении работоспособности интернета в стране, — пишет Wired со слов Сноудена, — чем на выяснении причины сбоя. Но в командном центре TAO повисшее напряжение удалось разрядить шуткой: «Если засекут, всё можно свалить на Израиль».

© Habrahabr.ru