Дългите пипала на дигиталния Биг брадър

Първоначално тези кодове са били използвани от хакери, които са се опитвали да заразят компютрите на конкретни цели, т.е. на хора, които са обект на оперативен интерес от страна на някой разузнавач в агенцията. Това обаче е крайно недостатъчно за мащабите и целите на NSA. Затова като част от TAO е добавена и програмата TURBINE. Нейната основна цел е да намали значително човешкото участие при заразяването на компютрите на мишените. TURBINE трябва да извършва този процес самостоятелно, като "облекчава потребителя от необходимостта да знае или да се запознава с подробностите". Практически така се намалява натоварването върху т.нар. анализатори на NSA, които по-лесно могат да осигуряват поисканата им информация.

От една страна, това намалява и броя на хората, които имат пряк достъп с данните, което намалява и риска от злоупотреби с тях. От друга пък, чрез TURBINE агенцията има възможност да атакува милиони цели за много кратко време. Документите посочват, че въпросната програма работи от юли 2010 г., като ролята й постепенно става все по-важна. Те потвърждават и предишни разкрития на Сноудън, че между 85 000 и 100 000 компютъра по света са заразени с такива "импланти", като плановете са броят им да бъде увеличен, макар че няма данни дали това е направено и в какъв мащаб. Само през миналата година бюджетът на "Притежаване на мрежата" е бил 67.6 млн. долара. TURBINE от своя страна е била доразвита, направена е да поддържа по-широк спектър от мрежи, автоматизацията й при заразяването на цели е подобрена.

Безболезнена инжекция

NSA е използвала множество похвати, включително и класически хакерски тактики, за да заразява компютрите на своите цели. Първоначално всичко е започнало с изпращането на спам съобщения с линкове, които водят до заразени сайтове. Според документите на Сноудън са необходими не повече от осем секунди, за да може вирусът да бъде имплантиран на компютъра, след като въпросната страница бъде отворена. Тактиката е наречена WILLOWVIXEN, но постепенно се оказва все по-малко ефикасна, тъй като повече потребители започват отделят по-голямо внимание на съобщенията, които получават.

Затова NSA решава да прибегне до други тактики, които са доста по-ефикасни, но изискват и повече усилия. Една от тях е т.нар. man-on-the-side, при която NSA проследява интернет трафика на целите си. Когато бъде засечен уязвим сайт, TURBINE се активира и го използва като посредник за заразяване на компютъра, т.е. възползва се от пропуските в сигурността на дадена интернет страница, за да изпрати импланта си директно до целта. За да направи това, й е необходима по-малко от секунда.

Въпросната тактика има и по-дръзка версия с името QUANTUMHAND. При нея NSA е използвала фалшив сървър, който се е представял за част от мрежата на Facebook без знанието на самата социална мрежа. Той е изпращал данни до браузъра на компютъра-цел с идеята да се представи за истински Facebook сървър и да го накара да се свърже с него. Така на пръв поглед потребителят отново е във Facebook, но тъй като данните му преминават през фалшив сървър, за NSA не е никакъв проблем да се сдобие с тях, както и да инсталира някой от своите импланти за по-нататъшни цели, без ползвателят на устройството да разбере.

В свое официално изявление Facebook категорично отрича да знае за подобна практика на NSA и категорично я осъжда. Най-популярната социална мрежа в света дори изразява притеснения, че и други онлайн услуги може да са използвани по такъв начин от агенцията. В резултат на разкритията основателят на компанията Марк Зукърбърг дори се е обадил на американския президент Барак Обама и лично му споделил разочарованието и притесненията си. "Когато нашите инженери работят, за да подобрят сигурността на услугите, си мислим, че ви защитаваме срещу престъпници, а не срещу собственото си правителство", обяви по-късно Зукърбърг в изявление във Facebook.

Разкритията на Сноудън твърдят, че QUANTUMHAND работи от октомври 2010 г. Според криптографа и специалист по разузнаване и сигурност Мат Блейз от Университета на Пенсилвания тази тактика е разработена предимно с идеята да се използва за конкретни цели. В комбинация с TURBINE обаче потенциалът й става, меко казано, притеснителен. "Да оставим настрана как NSA иска да я използва. Как да знаем, че тя работи както трябва и дали действително се насочва само към когото NSA иска? А ако работи добре, което е съмнително, как се управлява", пита Блейз, като засега въпросите му остават без отговор. Официалната позиция на NSA не се различава от досегашните й изявления. Агенцията обявява, че твърденията не са точни. NSA отрича да използва фалшиви сървъри или да е заразявала милиони компютри по света. Тази позиция обаче идва няколко дни след първоначалното обявяване на информацията, а преди това агенцията отказваше какъвто и да било коментар по темата.

Друг тип интересна тактика е man-in-the-middle. Чрез нея NSA може не само да следи кореспонденцията между двама души, но и да променя нейното съдържание. Този похват носи кодовото име SECONDDATE, като освен за конкретни разузнавателни цели се използва и просто за пренасочване на компютрите на мишените към сайтове с вируси. Именно втората му функция го прави подходящ и за по-масово заразяване на устройства чрез TURBINE, като за целта се използва и комбинация с умишлено създадени мрежови "стеснения".

Обикновено NSA разчита на известни слабости в сигурността на интернет браузърите, операционните системи и софтуера като цяло. За сравнително лесното превземане на компютрите помагат и самите им притежатели, които пренебрегват сигурността на устройствата си. В подкрепа на това твърдение може да цитираме проучването на компанията SplashData, което посочва, че за миналата година най-популярната парола е била 123456. Тя е детронирала лидера от 2012 г., който е бил... password. Инсталирането на най-актуалните софтуери за сигурност също не е гаранция, че NSA не може да получи достъп до данните ви. Повечето импланти са разработени така, че да заобикалят антивирусните програми по най-различни начини. Често например се използва имплант с името VALIDATOR, който се "настанява" на компютъра, изтегля допълнителен софтуер и след това се самоизтрива.

За всеки по нещо

Както беше споменато, арсеналът от виртуални импланти на NSA надхвърля десетки хиляди различни варианти на зловреден софтуер. Агенцията разполага с програми, предназначени за най-различни цели, като повечето от тях могат да се комбинират с други и така да създават персонализирани "коктейли" от вируси. Разбира се, част от тях са по-популярни. Един от тях е CAPTIVATEDAUDIENCE и използва вградения микрофон на устройството, за да записва разговорите в близост до него. Чрез GUMFISH пък може да се гледа видео на живо с помощта на уебкамерата и да прави снимки чрез нея. FOGGYBOTTOM създава списъци с потребителските имена и пароли на потребителя, а GROK записва всеки натиснат клавиш на клавиатурата. SALVAGERABBIT пък е специализиран в копирането на информация от свързани флаш памети и други устройства.

Други импланти са създадени с цел да разбиват криптирани файлове или връзки. Най-лесно това става, като просто се осъществи достъп до компютъра и така за агенцията няма значение, че данните пътуват по криптиран канал между участниците. Документите не посочват колко импланти се използват активно нито колко компютъра са атакувани и/или заразени извън експерименталните бройки. Те обаче ясно подчертават желанието на NSA да увеличи на мащаба на програмата.

Според документите на Сноудън въпросните технологии са били прилагани за откриването на заподозрени терористи и екстремисти. В същото време обаче няма ограничения пред служителите на агенцията за какво могат да използват TURBINE. Публикация във вътрешен форум на NSA например дава съвети как да се използва програмата за атакуване на компютрите на системни администратори на компютърни мрежи. Логиката е проста. Ако имаш достъп до компютъра на админа, имаш достъп и до цялата мрежа. Това значително улеснява виртуалните шпиони да достигнат до компютрите на други мишени, включително "правителствени служители, които използват мрежата, която е под опеката на даден администратор".

NSA е разработила и два импланта, предвидени за мрежовите рутери, които се казват HAMMERCHANT и HAMMERSTEIN. Те са предназначени за прихващане на трафика по VPN, проследяване на гласови разговори чрез Skype и други VoIP услуги. Когато последните използват некриптиран канал за пренос на данните, тогава имплантите могат и да записват разговорите и да ги предоставят на останалите програми на NSA за анализ. Други два вируса пък имат за цел да създават проблеми на целите си. QUANTUMSKY например блокира достъпа до дадени сайтове. QUANTUMCOPPER пък поврежда файлове на компютъра-цел.

Реализирането на цялата тази сложна система няма да е възможно без солидна IT инфраструктура. Освен централата си в Мериленд NSA разполага с още няколко помощни центъра на различни места по света. Те се наричат сензори и са обединени под името TURMOIL. Когато имплантите на TURBINE се сдобият с информация, сензорите на TURMOIL я идентифицират автоматично и я изпращат до NSA за анализ. Ако в дадения момент компютрите-цели комуникират, TURMOIL подава сигнал към TURBINE, че ситуацията е удобна за атака и за инсталиране на имплант.

Според данните на Сноудън NSA всъщност е споделяла много от данните, с които се е сдобила по този начин, със своите партньорски служби в други държави. Конкретно става дума за т.нар. алианс "Петте очи", в който влизат САЩ, Великобритания, Канада, Нова Зеландия и Австралия. Както и при предишните разкрития на Сноудън, голяма роля се отдава на британската CGHQ, която е извършвала част от атаките, но този път е имала известни притеснения. CGHQ продължава да отказва коментар по темата, като заявява, че всичките й дейности са съобразени със закона. NSA пък обяви, че продължаващите разкрития на Сноудън, които определя като избирателни, вредят на нея, на партньорите й и на националната сигурност. В друго изявление агенцията отрича да заразява компютри масово и определя твърденията като просто неверни.