Американские хакеры нечаянно отключили интернет в Сирии в 2012-м году

    В большом интервью журналу Wired Эдвард Сноуден рассказал много интересного о ежедневной работе ЦРУ и АНБ, например, о программе реагирования на иностранные кибератаки MonsterMind с автоматическим ответным ударом, о секретной системе хранения данных в Блаффдейле (Юта) под названием Mission Data Repository с йоттабайтами информации. Раньше хранилище называлось Massive Data Repository, но старое название сочли слишком жутким (и точным).

    Ещё одна история — о забавном случае, который произошёл в TAO (Tailored Access Operations), оперативном подразделении АНБ, которое занимается практическим внедрением бэкдоров на серверы, компьютеры и мобильные телефоны по всему миру, где это требуется для выполнения практических текущих задач.

    В 2012 году хакеры из TAO попытались удалённо установить эксплойт на один из маршрутизаторов крупнейшего интернет-провайдера Сирии, тогда как страна находилась в состоянии гражданской войны. Эксплойт дал бы разведке доступ к почтовому и другому интернет-трафику большинства пользователей (возможно, нужно было изменить таблицы маршрутизации в BGP-маршрутизаторе). Но что-то пошло не так, и маршрутизатор внезапно выключился и полностью перестал реагировать. В результате этого сбоя вся Сирия внезапно потеряла связь с интернетом.

    В четверг 29 ноября в 10:26 UTC (14:26 МСК) международные каналы связи с Сирией полностью отключились. В глобальной таблице маршрутизации все 84 блока сирийских IP-адресов стали недоступны, эффективно удалив это государство из интернета.



    Процесс отключения Сирии от интернета отслеживался западными компаниями Renesys и Cloudflare.



    Западные повстанцы заподозрили в отключении связи правительство страны, а мировое сообщество искренне возмутилось лишением мирных граждан интернета.

    Немного о работе TAO
    Судя по ранее рассекреченным документам, TAO использует разные методы. Например, отфильтровывает из интернет-трафика сообщения о сбоях, если пользователь нажал на кнопку «Отправить отчёт в Microsoft». Эти отчёты содержат идентификационную информацию о компьютере, с помощью которой TAO может затем отслеживать трафик конкретного ПК в интернете, не инсталлируя бэкдор.



    Ещё одним методом слежки за конкретными индивидуумами является Quantum Insert — установка скрытых серверов на уровне бэкбона (у магистральных провайдеров и в точках обмена трафиком по всему миру), которые перехватывают запросы от пользователей в адрес конкретных сайтов — и отвечают на них раньше, чем настоящие серверы, для которых предназначены эти запросы. Технически, подобную атаку можно назвать MiTM с инъекцией пакетов.

    По имеющейся информации, в подразделении TAO числятся около 600 сотрудников, гражданских и военных. Они работают как минимум в семи разных офисах. TAO считается ключевым компонентом подразделения АНБ под названием Signal Intelligence Directorate (SIGINT).



    Иногда операции TAO заканчиваются неудачей, как показывает пример Сирии.

    Никто не знал, что к отключению связи в Сирии причастны США. В командном центре TAO паникующие государственные хакеры испытали то, что Сноуден в интервью называет ситуацией «полный п%здец» (“oh shit” moment).

    Они судорожно пытались удалённо починить маршрутизатор и скрыть следы атаки, чтобы сирийцы не обнаружили сложное ПО, с помощью которого удалось проникнуть в сеть и провести атаку. Но поскольку оборудование полностью вышло из строя — маршрутизатор вообще не включался — исправить ошибку не удалось.

    «К счастью для АНБ, сирийцы явно сконцентрировались на восстановлении работоспособности интернета в стране, — пишет Wired со слов Сноудена, — чем на выяснении причины сбоя. Но в командном центре TAO повисшее напряжение удалось разрядить шуткой: “Если засекут, всё можно свалить на Израиль”».

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 40

      +18
      на один из маршрутизаторов крупнейшего интернет-провайдера Сирии
      В результате этого сбоя вся Сирия внезапно потеряла связь с интернетом.

      Tp-link не иначе…
        +10
        Сотни, тысячи Tp-Link, связанных изолентой…
        +49
        Что-то припоминается, да. Емнимс, после этого были громкие заголовки про кровавую сирийскую диктатуру, безжалостно лишающую народ интернета…
        Страшно сказать — инициатива властей по замещению импортного оборудования вовсе не такой уж бредовой выглядит в свете новостей, а?
          +6
          Так, мысли хорошие пошли.
          А например АвтоВаз надо продолжать спонсировать или пусть сдохнет? (подсказка в военное время будет трудно найти запчасти на тайоту...)
            +7
            АвтоВАЗ не контролируется Россией (более 50% акций у Renault-Nissan) и вроде бы не производит военную технику.

            Хотя, если судить по последним слухам о Lada Vesta, то может быть не все потеряно и у завода появится вторая после классической нивы нормальная модель.
            • UFO just landed and posted this here
              +1
              Грустные, честно говоря, мысли.
              У одних спецслужбы свободно, демократически и при поддержке населения играют в кибервоинов, другие спецслужбы мрачно, тоталитарно, но при этом точно так же при поддержке населения(которому вполне обоснованно тревожны игры первых) стараются огородиться, и так по нарастающей.
              А проигрывают в результате все, бо шансов на то, что сохранится тот интернет который мы его знали — ровно ноль…
                0
                В военное время заводы контролируются на акциями а суровыми парнями с автоматами.
                +1
                Это вроде же про Египет было?
                habrahabr.ru/post/112778/
                habrahabr.ru/post/112949/
                habrahabr.ru/post/113053/
                  –1
                  Замещение помогает от заводских закладок, и то не всегда (комплектующие-то со всего мира).
                  От взлома через ту или иную дырку (а именно об этом речь в статье) это не защитит.
                  0
                  А с каких пор «oh shit» переводится как «полный п%здец»?
                    +5
                    В эпоху ализаровщины возможно все.
                      +3
                      С тех же пор, с каких сабах к аниме появляются маты и слэнг из фильма про ментов.
                        –2
                        Вы Глухаря-то не трогайте! Это все-таки популярное аниме!
                        +8
                        Это называется адаптация перевода.

                        Хотя в принципе между адаптацией и надмозговым переводом грань зыбкая.
                          +1
                          Ну, я человек кронсервативный. Если я читаю английскую книгу в перводе или смотрю мультфильм японский, мне хочтся не адаптации, а максимально точного перевода содержания. Некоторых переводчиков просто заносит. Если они не профессионалы, они любят выпендриться и пкоазать свое остроумие, а профессионалы наоборот уверены, что читатели и зрители идиоты, и как же можно оставить в америкакнском дубляже Сейлормун японские имена, надо обязательно поменять ан привычные.
                          Это печалит.
                        +4
                        Только меня смущает то, что повалив один раутер рухнул интернет всей страны?
                          +8
                          Я вам больше скажу, весь Катар, (или Эмираты?) оказалось сидели одно время за NAT-ом с одного IP. И когда какого-то тролля забанили в Википедии по IP, лишилась доступа вся страна.
                            0
                            В это я с натяжкой, но могу поверить. Но тут 84 блока. Мне слабо верится, что они адвертайзились с одного девайса.
                            0
                            Меня вообще-то тоже как-то это смутило. Ну ок, Сирия, не очень «развитая» страна. Еще и относительно небольшая. Но там что, один маршрутизатор на всю страну?
                              0
                              Нет, конечно. Едиственное что я могу себе представить это, например, что это какой-нибудь route reflector. Но непродублированные?
                              И в Сирии, все-таки, 3 разных ASN (два из которых, правда, принадлежат одной организации).

                              Не понятно, короче.
                                +4
                                Может, там всего одна оптика в страну заходила, и грохнули как раз Тот Самый роутер?

                                Я, кстати, сочувствую тем, кто работали с этим роутером. Малейший баг или малейшая ошибка — и страна без интернета.

                                И может оказаться, что NSA железку крэшнули, напоровшись на очередной баг, а не поднялась она из-за бракованной микроновской памяти :)
                                  0
                                  Так память оказалась микроновской?
                                    +1
                                    Ну есть два факта в пользу этого — сравнение маркировки на трупах и статья на WSJ. Наверняка микрон.
                                      +3
                                      Так-так, любопытные подробности! Сотрудник АНБ, перелогинтесь пожалуйста.
                                +5
                                Во-первых, не факт, что у сирийцев рухнул весь интернет — возможно, речь шла о Дамаске и алавитском прибрежном районе, которые как-раз сидели на том-самом «раутере», а что там происходило в провинции — не знает никто.

                                Во-вторых, ради удобства местного Сиркомнадзора в принципе могли и посадить всю страну на один раутер.

                                В-третьих, на Ближнем Востоке есть народная примета — если есть проблемы с интернетом и спутниковой связью, то это Израиль использует средства РЭБ для последующей бомбардировки сирийских военных объектов. Интересно было бы посмотреть по архивам новостей, не отбомбился ли в те дни Израиль по «мирной колонне» грузовиков, которые везли «гуманитарные ракеты» Хизбалле.
                                +2
                                We accidentially all your internets.
                                  –3
                                  *accidentally
                                  +3
                                  Кажется я знаю как этот маршрутизатор выглядел
                                    0
                                    Linksys WRT54G?
                                      0
                                      South Park — Over Logging
                                    +5
                                    Может, всё-таки как-то пригласить Эдварда Сноудена на Хабр? Он вроде русский уже знает, а если и на английском напишет — думаю, нестрашно, как исключение пойдёт.
                                    Наверняка многим было бы интересно поспрашивать его про технические подробности и нюансы.
                                      –6
                                      Опасно это. Слишком много разных сочных политических подробностей он может рассказать. Дальше либо наше правительство, либо буржуйское так или иначе добьётся, что будет хабр капут.
                                        +9
                                        Я пробовал пробиться через адвоката — не вышло.
                                          +3
                                          Спасибо за попытку.
                                        –1
                                        “Если засекут, всё можно свалить на Израиль”
                                        Я теперь знаю, что клиентам говорить!
                                            0
                                            — Алло, Сирия?
                                            — А… Да!
                                            — Беспокоят из АНБ, из Америки… Кто у вас там маршрутизаторами занимается?
                                            — А… Чего?
                                            — Ну, ящики такие большие, гудят, мигают…
                                            — А… Телевизор?
                                            — Не, лампочками мигают. Есть такие?
                                            — Ну вроде да. И что?
                                            — Тот, что слева стоит, ребутните! И ничего на нем не трогайте, а главное — прошивку не меняйте!
                                              –1
                                              > Тот, что слева стоит, ребутните!

                                              — Чего сделать?
                                              — Ну там кнопка на нем есть, большая такая, нажмите ее, лампочки погаснут. Через секунд 10 нажмите ее еще раз — лампочки загорятся.

                                              (с) реальный случай
                                                0
                                                Для этого Сирия не нужна, такой «случай» можно наблюдать в каждом втором офисе, чуть ли не каждый третий день )

                                                Я вот не удивился бы, случись АНБ-шникам еще и конфиг сирийских BGP-роутеров подтюнинговать, а может, и прошивку пропатчить — чтобы самим удобнее работать было )

                                                Хотя, конечно, странно оно звучит, не верится, что все AS-ки Сирии зачем-то обслуживались через одну железку (не важно, корневой ли это маршрутизатор, или просто оптический модем).

                                            Only users with full accounts can post comments. Log in, please.