Пользователь
57,4
рейтинг
14 августа 2014 в 13:48

Разработка → Американские хакеры нечаянно отключили интернет в Сирии в 2012-м году

В большом интервью журналу Wired Эдвард Сноуден рассказал много интересного о ежедневной работе ЦРУ и АНБ, например, о программе реагирования на иностранные кибератаки MonsterMind с автоматическим ответным ударом, о секретной системе хранения данных в Блаффдейле (Юта) под названием Mission Data Repository с йоттабайтами информации. Раньше хранилище называлось Massive Data Repository, но старое название сочли слишком жутким (и точным).

Ещё одна история — о забавном случае, который произошёл в TAO (Tailored Access Operations), оперативном подразделении АНБ, которое занимается практическим внедрением бэкдоров на серверы, компьютеры и мобильные телефоны по всему миру, где это требуется для выполнения практических текущих задач.

В 2012 году хакеры из TAO попытались удалённо установить эксплойт на один из маршрутизаторов крупнейшего интернет-провайдера Сирии, тогда как страна находилась в состоянии гражданской войны. Эксплойт дал бы разведке доступ к почтовому и другому интернет-трафику большинства пользователей (возможно, нужно было изменить таблицы маршрутизации в BGP-маршрутизаторе). Но что-то пошло не так, и маршрутизатор внезапно выключился и полностью перестал реагировать. В результате этого сбоя вся Сирия внезапно потеряла связь с интернетом.

В четверг 29 ноября в 10:26 UTC (14:26 МСК) международные каналы связи с Сирией полностью отключились. В глобальной таблице маршрутизации все 84 блока сирийских IP-адресов стали недоступны, эффективно удалив это государство из интернета.



Процесс отключения Сирии от интернета отслеживался западными компаниями Renesys и Cloudflare.



Западные повстанцы заподозрили в отключении связи правительство страны, а мировое сообщество искренне возмутилось лишением мирных граждан интернета.

Немного о работе TAO
Судя по ранее рассекреченным документам, TAO использует разные методы. Например, отфильтровывает из интернет-трафика сообщения о сбоях, если пользователь нажал на кнопку «Отправить отчёт в Microsoft». Эти отчёты содержат идентификационную информацию о компьютере, с помощью которой TAO может затем отслеживать трафик конкретного ПК в интернете, не инсталлируя бэкдор.



Ещё одним методом слежки за конкретными индивидуумами является Quantum Insert — установка скрытых серверов на уровне бэкбона (у магистральных провайдеров и в точках обмена трафиком по всему миру), которые перехватывают запросы от пользователей в адрес конкретных сайтов — и отвечают на них раньше, чем настоящие серверы, для которых предназначены эти запросы. Технически, подобную атаку можно назвать MiTM с инъекцией пакетов.

По имеющейся информации, в подразделении TAO числятся около 600 сотрудников, гражданских и военных. Они работают как минимум в семи разных офисах. TAO считается ключевым компонентом подразделения АНБ под названием Signal Intelligence Directorate (SIGINT).



Иногда операции TAO заканчиваются неудачей, как показывает пример Сирии.

Никто не знал, что к отключению связи в Сирии причастны США. В командном центре TAO паникующие государственные хакеры испытали то, что Сноуден в интервью называет ситуацией «полный п%здец» (“oh shit” moment).

Они судорожно пытались удалённо починить маршрутизатор и скрыть следы атаки, чтобы сирийцы не обнаружили сложное ПО, с помощью которого удалось проникнуть в сеть и провести атаку. Но поскольку оборудование полностью вышло из строя — маршрутизатор вообще не включался — исправить ошибку не удалось.

«К счастью для АНБ, сирийцы явно сконцентрировались на восстановлении работоспособности интернета в стране, — пишет Wired со слов Сноудена, — чем на выяснении причины сбоя. Но в командном центре TAO повисшее напряжение удалось разрядить шуткой: “Если засекут, всё можно свалить на Израиль”».
Анатолий Ализар @alizar
карма
751,5
рейтинг 57,4
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (40)

  • +18
    на один из маршрутизаторов крупнейшего интернет-провайдера Сирии
    В результате этого сбоя вся Сирия внезапно потеряла связь с интернетом.

    Tp-link не иначе…
    • +10
      Сотни, тысячи Tp-Link, связанных изолентой…
  • +49
    Что-то припоминается, да. Емнимс, после этого были громкие заголовки про кровавую сирийскую диктатуру, безжалостно лишающую народ интернета…
    Страшно сказать — инициатива властей по замещению импортного оборудования вовсе не такой уж бредовой выглядит в свете новостей, а?
    • +6
      Так, мысли хорошие пошли.
      А например АвтоВаз надо продолжать спонсировать или пусть сдохнет? (подсказка в военное время будет трудно найти запчасти на тайоту...)
      • +7
        АвтоВАЗ не контролируется Россией (более 50% акций у Renault-Nissan) и вроде бы не производит военную технику.

        Хотя, если судить по последним слухам о Lada Vesta, то может быть не все потеряно и у завода появится вторая после классической нивы нормальная модель.
      • +1
        Грустные, честно говоря, мысли.
        У одних спецслужбы свободно, демократически и при поддержке населения играют в кибервоинов, другие спецслужбы мрачно, тоталитарно, но при этом точно так же при поддержке населения(которому вполне обоснованно тревожны игры первых) стараются огородиться, и так по нарастающей.
        А проигрывают в результате все, бо шансов на то, что сохранится тот интернет который мы его знали — ровно ноль…
      • 0
        В военное время заводы контролируются на акциями а суровыми парнями с автоматами.
    • +1
      Это вроде же про Египет было?
      habrahabr.ru/post/112778/
      habrahabr.ru/post/112949/
      habrahabr.ru/post/113053/
    • –1
      Замещение помогает от заводских закладок, и то не всегда (комплектующие-то со всего мира).
      От взлома через ту или иную дырку (а именно об этом речь в статье) это не защитит.
  • 0
    А с каких пор «oh shit» переводится как «полный п%здец»?
    • +5
      В эпоху ализаровщины возможно все.
    • +3
      С тех же пор, с каких сабах к аниме появляются маты и слэнг из фильма про ментов.
      • –2
        Вы Глухаря-то не трогайте! Это все-таки популярное аниме!
    • +8
      Это называется адаптация перевода.

      Хотя в принципе между адаптацией и надмозговым переводом грань зыбкая.
      • +1
        Ну, я человек кронсервативный. Если я читаю английскую книгу в перводе или смотрю мультфильм японский, мне хочтся не адаптации, а максимально точного перевода содержания. Некоторых переводчиков просто заносит. Если они не профессионалы, они любят выпендриться и пкоазать свое остроумие, а профессионалы наоборот уверены, что читатели и зрители идиоты, и как же можно оставить в америкакнском дубляже Сейлормун японские имена, надо обязательно поменять ан привычные.
        Это печалит.
  • +4
    Только меня смущает то, что повалив один раутер рухнул интернет всей страны?
    • +8
      Я вам больше скажу, весь Катар, (или Эмираты?) оказалось сидели одно время за NAT-ом с одного IP. И когда какого-то тролля забанили в Википедии по IP, лишилась доступа вся страна.
      • 0
        В это я с натяжкой, но могу поверить. Но тут 84 блока. Мне слабо верится, что они адвертайзились с одного девайса.
    • 0
      Меня вообще-то тоже как-то это смутило. Ну ок, Сирия, не очень «развитая» страна. Еще и относительно небольшая. Но там что, один маршрутизатор на всю страну?
      • 0
        Нет, конечно. Едиственное что я могу себе представить это, например, что это какой-нибудь route reflector. Но непродублированные?
        И в Сирии, все-таки, 3 разных ASN (два из которых, правда, принадлежат одной организации).

        Не понятно, короче.
        • +4
          Может, там всего одна оптика в страну заходила, и грохнули как раз Тот Самый роутер?

          Я, кстати, сочувствую тем, кто работали с этим роутером. Малейший баг или малейшая ошибка — и страна без интернета.

          И может оказаться, что NSA железку крэшнули, напоровшись на очередной баг, а не поднялась она из-за бракованной микроновской памяти :)
          • 0
            Так память оказалась микроновской?
            • +1
              Ну есть два факта в пользу этого — сравнение маркировки на трупах и статья на WSJ. Наверняка микрон.
            • +3
              Так-так, любопытные подробности! Сотрудник АНБ, перелогинтесь пожалуйста.
    • +5
      Во-первых, не факт, что у сирийцев рухнул весь интернет — возможно, речь шла о Дамаске и алавитском прибрежном районе, которые как-раз сидели на том-самом «раутере», а что там происходило в провинции — не знает никто.

      Во-вторых, ради удобства местного Сиркомнадзора в принципе могли и посадить всю страну на один раутер.

      В-третьих, на Ближнем Востоке есть народная примета — если есть проблемы с интернетом и спутниковой связью, то это Израиль использует средства РЭБ для последующей бомбардировки сирийских военных объектов. Интересно было бы посмотреть по архивам новостей, не отбомбился ли в те дни Израиль по «мирной колонне» грузовиков, которые везли «гуманитарные ракеты» Хизбалле.
  • +2
    We accidentially all your internets.
    • –3
      *accidentally
  • +3
    Кажется я знаю как этот маршрутизатор выглядел
    • 0
      Linksys WRT54G?
      • 0
        South Park — Over Logging
  • +5
    Может, всё-таки как-то пригласить Эдварда Сноудена на Хабр? Он вроде русский уже знает, а если и на английском напишет — думаю, нестрашно, как исключение пойдёт.
    Наверняка многим было бы интересно поспрашивать его про технические подробности и нюансы.
    • –6
      Опасно это. Слишком много разных сочных политических подробностей он может рассказать. Дальше либо наше правительство, либо буржуйское так или иначе добьётся, что будет хабр капут.
    • +9
      Я пробовал пробиться через адвоката — не вышло.
      • +3
        Спасибо за попытку.
  • –1
    “Если засекут, всё можно свалить на Израиль”
    Я теперь знаю, что клиентам говорить!
  • –1
  • 0
    — Алло, Сирия?
    — А… Да!
    — Беспокоят из АНБ, из Америки… Кто у вас там маршрутизаторами занимается?
    — А… Чего?
    — Ну, ящики такие большие, гудят, мигают…
    — А… Телевизор?
    — Не, лампочками мигают. Есть такие?
    — Ну вроде да. И что?
    — Тот, что слева стоит, ребутните! И ничего на нем не трогайте, а главное — прошивку не меняйте!
    • –1
      > Тот, что слева стоит, ребутните!

      — Чего сделать?
      — Ну там кнопка на нем есть, большая такая, нажмите ее, лампочки погаснут. Через секунд 10 нажмите ее еще раз — лампочки загорятся.

      (с) реальный случай
      • 0
        Для этого Сирия не нужна, такой «случай» можно наблюдать в каждом втором офисе, чуть ли не каждый третий день )

        Я вот не удивился бы, случись АНБ-шникам еще и конфиг сирийских BGP-роутеров подтюнинговать, а может, и прошивку пропатчить — чтобы самим удобнее работать было )

        Хотя, конечно, странно оно звучит, не верится, что все AS-ки Сирии зачем-то обслуживались через одну железку (не важно, корневой ли это маршрутизатор, или просто оптический модем).

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.