Американские хакеры нечаянно отключили интернет в Сирии в 2012-м году

    В большом интервью журналу Wired Эдвард Сноуден рассказал много интересного о ежедневной работе ЦРУ и АНБ, например, о программе реагирования на иностранные кибератаки MonsterMind с автоматическим ответным ударом, о секретной системе хранения данных в Блаффдейле (Юта) под названием Mission Data Repository с йоттабайтами информации. Раньше хранилище называлось Massive Data Repository, но старое название сочли слишком жутким (и точным).

    Ещё одна история — о забавном случае, который произошёл в TAO (Tailored Access Operations), оперативном подразделении АНБ, которое занимается практическим внедрением бэкдоров на серверы, компьютеры и мобильные телефоны по всему миру, где это требуется для выполнения практических текущих задач.

    В 2012 году хакеры из TAO попытались удалённо установить эксплойт на один из маршрутизаторов крупнейшего интернет-провайдера Сирии, тогда как страна находилась в состоянии гражданской войны. Эксплойт дал бы разведке доступ к почтовому и другому интернет-трафику большинства пользователей (возможно, нужно было изменить таблицы маршрутизации в BGP-маршрутизаторе). Но что-то пошло не так, и маршрутизатор внезапно выключился и полностью перестал реагировать. В результате этого сбоя вся Сирия внезапно потеряла связь с интернетом.

    В четверг 29 ноября в 10:26 UTC (14:26 МСК) международные каналы связи с Сирией полностью отключились. В глобальной таблице маршрутизации все 84 блока сирийских IP-адресов стали недоступны, эффективно удалив это государство из интернета.



    Процесс отключения Сирии от интернета отслеживался западными компаниями Renesys и Cloudflare.



    Западные повстанцы заподозрили в отключении связи правительство страны, а мировое сообщество искренне возмутилось лишением мирных граждан интернета.

    Немного о работе TAO
    Судя по ранее рассекреченным документам, TAO использует разные методы. Например, отфильтровывает из интернет-трафика сообщения о сбоях, если пользователь нажал на кнопку «Отправить отчёт в Microsoft». Эти отчёты содержат идентификационную информацию о компьютере, с помощью которой TAO может затем отслеживать трафик конкретного ПК в интернете, не инсталлируя бэкдор.



    Ещё одним методом слежки за конкретными индивидуумами является Quantum Insert — установка скрытых серверов на уровне бэкбона (у магистральных провайдеров и в точках обмена трафиком по всему миру), которые перехватывают запросы от пользователей в адрес конкретных сайтов — и отвечают на них раньше, чем настоящие серверы, для которых предназначены эти запросы. Технически, подобную атаку можно назвать MiTM с инъекцией пакетов.

    По имеющейся информации, в подразделении TAO числятся около 600 сотрудников, гражданских и военных. Они работают как минимум в семи разных офисах. TAO считается ключевым компонентом подразделения АНБ под названием Signal Intelligence Directorate (SIGINT).



    Иногда операции TAO заканчиваются неудачей, как показывает пример Сирии.

    Никто не знал, что к отключению связи в Сирии причастны США. В командном центре TAO паникующие государственные хакеры испытали то, что Сноуден в интервью называет ситуацией «полный п%здец» (“oh shit” moment).

    Они судорожно пытались удалённо починить маршрутизатор и скрыть следы атаки, чтобы сирийцы не обнаружили сложное ПО, с помощью которого удалось проникнуть в сеть и провести атаку. Но поскольку оборудование полностью вышло из строя — маршрутизатор вообще не включался — исправить ошибку не удалось.

    «К счастью для АНБ, сирийцы явно сконцентрировались на восстановлении работоспособности интернета в стране, — пишет Wired со слов Сноудена, — чем на выяснении причины сбоя. Но в командном центре TAO повисшее напряжение удалось разрядить шуткой: “Если засекут, всё можно свалить на Израиль”».
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 40
    • +18
      на один из маршрутизаторов крупнейшего интернет-провайдера Сирии
      В результате этого сбоя вся Сирия внезапно потеряла связь с интернетом.

      Tp-link не иначе…
      • +10
        Сотни, тысячи Tp-Link, связанных изолентой…
      • +49
        Что-то припоминается, да. Емнимс, после этого были громкие заголовки про кровавую сирийскую диктатуру, безжалостно лишающую народ интернета…
        Страшно сказать — инициатива властей по замещению импортного оборудования вовсе не такой уж бредовой выглядит в свете новостей, а?
        • +6
          Так, мысли хорошие пошли.
          А например АвтоВаз надо продолжать спонсировать или пусть сдохнет? (подсказка в военное время будет трудно найти запчасти на тайоту...)
          • +7
            АвтоВАЗ не контролируется Россией (более 50% акций у Renault-Nissan) и вроде бы не производит военную технику.

            Хотя, если судить по последним слухам о Lada Vesta, то может быть не все потеряно и у завода появится вторая после классической нивы нормальная модель.
          • +1
            Грустные, честно говоря, мысли.
            У одних спецслужбы свободно, демократически и при поддержке населения играют в кибервоинов, другие спецслужбы мрачно, тоталитарно, но при этом точно так же при поддержке населения(которому вполне обоснованно тревожны игры первых) стараются огородиться, и так по нарастающей.
            А проигрывают в результате все, бо шансов на то, что сохранится тот интернет который мы его знали — ровно ноль…
            • 0
              В военное время заводы контролируются на акциями а суровыми парнями с автоматами.
            • +1
              Это вроде же про Египет было?
              habrahabr.ru/post/112778/
              habrahabr.ru/post/112949/
              habrahabr.ru/post/113053/
              • –1
                Замещение помогает от заводских закладок, и то не всегда (комплектующие-то со всего мира).
                От взлома через ту или иную дырку (а именно об этом речь в статье) это не защитит.
              • 0
                А с каких пор «oh shit» переводится как «полный п%здец»?
                • +5
                  В эпоху ализаровщины возможно все.
                  • +3
                    С тех же пор, с каких сабах к аниме появляются маты и слэнг из фильма про ментов.
                    • –2
                      Вы Глухаря-то не трогайте! Это все-таки популярное аниме!
                    • +8
                      Это называется адаптация перевода.

                      Хотя в принципе между адаптацией и надмозговым переводом грань зыбкая.
                      • +1
                        Ну, я человек кронсервативный. Если я читаю английскую книгу в перводе или смотрю мультфильм японский, мне хочтся не адаптации, а максимально точного перевода содержания. Некоторых переводчиков просто заносит. Если они не профессионалы, они любят выпендриться и пкоазать свое остроумие, а профессионалы наоборот уверены, что читатели и зрители идиоты, и как же можно оставить в америкакнском дубляже Сейлормун японские имена, надо обязательно поменять ан привычные.
                        Это печалит.
                    • +4
                      Только меня смущает то, что повалив один раутер рухнул интернет всей страны?
                      • +8
                        Я вам больше скажу, весь Катар, (или Эмираты?) оказалось сидели одно время за NAT-ом с одного IP. И когда какого-то тролля забанили в Википедии по IP, лишилась доступа вся страна.
                        • 0
                          В это я с натяжкой, но могу поверить. Но тут 84 блока. Мне слабо верится, что они адвертайзились с одного девайса.
                        • 0
                          Меня вообще-то тоже как-то это смутило. Ну ок, Сирия, не очень «развитая» страна. Еще и относительно небольшая. Но там что, один маршрутизатор на всю страну?
                          • 0
                            Нет, конечно. Едиственное что я могу себе представить это, например, что это какой-нибудь route reflector. Но непродублированные?
                            И в Сирии, все-таки, 3 разных ASN (два из которых, правда, принадлежат одной организации).

                            Не понятно, короче.
                            • +4
                              Может, там всего одна оптика в страну заходила, и грохнули как раз Тот Самый роутер?

                              Я, кстати, сочувствую тем, кто работали с этим роутером. Малейший баг или малейшая ошибка — и страна без интернета.

                              И может оказаться, что NSA железку крэшнули, напоровшись на очередной баг, а не поднялась она из-за бракованной микроновской памяти :)
                              • 0
                                Так память оказалась микроновской?
                                • +1
                                  Ну есть два факта в пользу этого — сравнение маркировки на трупах и статья на WSJ. Наверняка микрон.
                                  • +3
                                    Так-так, любопытные подробности! Сотрудник АНБ, перелогинтесь пожалуйста.
                            • +5
                              Во-первых, не факт, что у сирийцев рухнул весь интернет — возможно, речь шла о Дамаске и алавитском прибрежном районе, которые как-раз сидели на том-самом «раутере», а что там происходило в провинции — не знает никто.

                              Во-вторых, ради удобства местного Сиркомнадзора в принципе могли и посадить всю страну на один раутер.

                              В-третьих, на Ближнем Востоке есть народная примета — если есть проблемы с интернетом и спутниковой связью, то это Израиль использует средства РЭБ для последующей бомбардировки сирийских военных объектов. Интересно было бы посмотреть по архивам новостей, не отбомбился ли в те дни Израиль по «мирной колонне» грузовиков, которые везли «гуманитарные ракеты» Хизбалле.
                            • +2
                              We accidentially all your internets.
                            • +3
                              Кажется я знаю как этот маршрутизатор выглядел
                            • +5
                              Может, всё-таки как-то пригласить Эдварда Сноудена на Хабр? Он вроде русский уже знает, а если и на английском напишет — думаю, нестрашно, как исключение пойдёт.
                              Наверняка многим было бы интересно поспрашивать его про технические подробности и нюансы.
                              • –6
                                Опасно это. Слишком много разных сочных политических подробностей он может рассказать. Дальше либо наше правительство, либо буржуйское так или иначе добьётся, что будет хабр капут.
                                • +9
                                  Я пробовал пробиться через адвоката — не вышло.
                                  • +3
                                    Спасибо за попытку.
                                • –1
                                  “Если засекут, всё можно свалить на Израиль”
                                  Я теперь знаю, что клиентам говорить!
                                    • 0
                                      — Алло, Сирия?
                                      — А… Да!
                                      — Беспокоят из АНБ, из Америки… Кто у вас там маршрутизаторами занимается?
                                      — А… Чего?
                                      — Ну, ящики такие большие, гудят, мигают…
                                      — А… Телевизор?
                                      — Не, лампочками мигают. Есть такие?
                                      — Ну вроде да. И что?
                                      — Тот, что слева стоит, ребутните! И ничего на нем не трогайте, а главное — прошивку не меняйте!
                                      • –1
                                        > Тот, что слева стоит, ребутните!

                                        — Чего сделать?
                                        — Ну там кнопка на нем есть, большая такая, нажмите ее, лампочки погаснут. Через секунд 10 нажмите ее еще раз — лампочки загорятся.

                                        (с) реальный случай
                                        • 0
                                          Для этого Сирия не нужна, такой «случай» можно наблюдать в каждом втором офисе, чуть ли не каждый третий день )

                                          Я вот не удивился бы, случись АНБ-шникам еще и конфиг сирийских BGP-роутеров подтюнинговать, а может, и прошивку пропатчить — чтобы самим удобнее работать было )

                                          Хотя, конечно, странно оно звучит, не верится, что все AS-ки Сирии зачем-то обслуживались через одну железку (не важно, корневой ли это маршрутизатор, или просто оптический модем).

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.