Американские хакеры нечаянно отключили интернет в Сирии в 2012-м году

    В большом интервью журналу Wired Эдвард Сноуден рассказал много интересного о ежедневной работе ЦРУ и АНБ, например, о программе реагирования на иностранные кибератаки MonsterMind с автоматическим ответным ударом, о секретной системе хранения данных в Блаффдейле (Юта) под названием Mission Data Repository с йоттабайтами информации. Раньше хранилище называлось Massive Data Repository, но старое название сочли слишком жутким (и точным).

    Ещё одна история — о забавном случае, который произошёл в TAO (Tailored Access Operations), оперативном подразделении АНБ, которое занимается практическим внедрением бэкдоров на серверы, компьютеры и мобильные телефоны по всему миру, где это требуется для выполнения практических текущих задач.

    В 2012 году хакеры из TAO попытались удалённо установить эксплойт на один из маршрутизаторов крупнейшего интернет-провайдера Сирии, тогда как страна находилась в состоянии гражданской войны. Эксплойт дал бы разведке доступ к почтовому и другому интернет-трафику большинства пользователей (возможно, нужно было изменить таблицы маршрутизации в BGP-маршрутизаторе). Но что-то пошло не так, и маршрутизатор внезапно выключился и полностью перестал реагировать. В результате этого сбоя вся Сирия внезапно потеряла связь с интернетом.

    В четверг 29 ноября в 10:26 UTC (14:26 МСК) международные каналы связи с Сирией полностью отключились. В глобальной таблице маршрутизации все 84 блока сирийских IP-адресов стали недоступны, эффективно удалив это государство из интернета.



    Процесс отключения Сирии от интернета отслеживался западными компаниями Renesys и Cloudflare.



    Западные повстанцы заподозрили в отключении связи правительство страны, а мировое сообщество искренне возмутилось лишением мирных граждан интернета.

    Немного о работе TAO
    Судя по ранее рассекреченным документам, TAO использует разные методы. Например, отфильтровывает из интернет-трафика сообщения о сбоях, если пользователь нажал на кнопку «Отправить отчёт в Microsoft». Эти отчёты содержат идентификационную информацию о компьютере, с помощью которой TAO может затем отслеживать трафик конкретного ПК в интернете, не инсталлируя бэкдор.



    Ещё одним методом слежки за конкретными индивидуумами является Quantum Insert — установка скрытых серверов на уровне бэкбона (у магистральных провайдеров и в точках обмена трафиком по всему миру), которые перехватывают запросы от пользователей в адрес конкретных сайтов — и отвечают на них раньше, чем настоящие серверы, для которых предназначены эти запросы. Технически, подобную атаку можно назвать MiTM с инъекцией пакетов.

    По имеющейся информации, в подразделении TAO числятся около 600 сотрудников, гражданских и военных. Они работают как минимум в семи разных офисах. TAO считается ключевым компонентом подразделения АНБ под названием Signal Intelligence Directorate (SIGINT).



    Иногда операции TAO заканчиваются неудачей, как показывает пример Сирии.

    Никто не знал, что к отключению связи в Сирии причастны США. В командном центре TAO паникующие государственные хакеры испытали то, что Сноуден в интервью называет ситуацией «полный п%здец» (“oh shit” moment).

    Они судорожно пытались удалённо починить маршрутизатор и скрыть следы атаки, чтобы сирийцы не обнаружили сложное ПО, с помощью которого удалось проникнуть в сеть и провести атаку. Но поскольку оборудование полностью вышло из строя — маршрутизатор вообще не включался — исправить ошибку не удалось.

    «К счастью для АНБ, сирийцы явно сконцентрировались на восстановлении работоспособности интернета в стране, — пишет Wired со слов Сноудена, — чем на выяснении причины сбоя. Но в командном центре TAO повисшее напряжение удалось разрядить шуткой: “Если засекут, всё можно свалить на Израиль”».
    Support the author
    Share post

    Comments 40

      +18
      на один из маршрутизаторов крупнейшего интернет-провайдера Сирии
      В результате этого сбоя вся Сирия внезапно потеряла связь с интернетом.

      Tp-link не иначе…
        +10
        Сотни, тысячи Tp-Link, связанных изолентой…
        +49
        Что-то припоминается, да. Емнимс, после этого были громкие заголовки про кровавую сирийскую диктатуру, безжалостно лишающую народ интернета…
        Страшно сказать — инициатива властей по замещению импортного оборудования вовсе не такой уж бредовой выглядит в свете новостей, а?
          +6
          Так, мысли хорошие пошли.
          А например АвтоВаз надо продолжать спонсировать или пусть сдохнет? (подсказка в военное время будет трудно найти запчасти на тайоту...)
            +7
            АвтоВАЗ не контролируется Россией (более 50% акций у Renault-Nissan) и вроде бы не производит военную технику.

            Хотя, если судить по последним слухам о Lada Vesta, то может быть не все потеряно и у завода появится вторая после классической нивы нормальная модель.
            +1
            Грустные, честно говоря, мысли.
            У одних спецслужбы свободно, демократически и при поддержке населения играют в кибервоинов, другие спецслужбы мрачно, тоталитарно, но при этом точно так же при поддержке населения(которому вполне обоснованно тревожны игры первых) стараются огородиться, и так по нарастающей.
            А проигрывают в результате все, бо шансов на то, что сохранится тот интернет который мы его знали — ровно ноль…
              0
              В военное время заводы контролируются на акциями а суровыми парнями с автоматами.
              +1
              Это вроде же про Египет было?
              habrahabr.ru/post/112778/
              habrahabr.ru/post/112949/
              habrahabr.ru/post/113053/
                –1
                Замещение помогает от заводских закладок, и то не всегда (комплектующие-то со всего мира).
                От взлома через ту или иную дырку (а именно об этом речь в статье) это не защитит.
                0
                А с каких пор «oh shit» переводится как «полный п%здец»?
                  +5
                  В эпоху ализаровщины возможно все.
                    +3
                    С тех же пор, с каких сабах к аниме появляются маты и слэнг из фильма про ментов.
                      –2
                      Вы Глухаря-то не трогайте! Это все-таки популярное аниме!
                      +8
                      Это называется адаптация перевода.

                      Хотя в принципе между адаптацией и надмозговым переводом грань зыбкая.
                        +1
                        Ну, я человек кронсервативный. Если я читаю английскую книгу в перводе или смотрю мультфильм японский, мне хочтся не адаптации, а максимально точного перевода содержания. Некоторых переводчиков просто заносит. Если они не профессионалы, они любят выпендриться и пкоазать свое остроумие, а профессионалы наоборот уверены, что читатели и зрители идиоты, и как же можно оставить в америкакнском дубляже Сейлормун японские имена, надо обязательно поменять ан привычные.
                        Это печалит.
                      +4
                      Только меня смущает то, что повалив один раутер рухнул интернет всей страны?
                        +8
                        Я вам больше скажу, весь Катар, (или Эмираты?) оказалось сидели одно время за NAT-ом с одного IP. И когда какого-то тролля забанили в Википедии по IP, лишилась доступа вся страна.
                          0
                          В это я с натяжкой, но могу поверить. Но тут 84 блока. Мне слабо верится, что они адвертайзились с одного девайса.
                          0
                          Меня вообще-то тоже как-то это смутило. Ну ок, Сирия, не очень «развитая» страна. Еще и относительно небольшая. Но там что, один маршрутизатор на всю страну?
                            0
                            Нет, конечно. Едиственное что я могу себе представить это, например, что это какой-нибудь route reflector. Но непродублированные?
                            И в Сирии, все-таки, 3 разных ASN (два из которых, правда, принадлежат одной организации).

                            Не понятно, короче.
                              +4
                              Может, там всего одна оптика в страну заходила, и грохнули как раз Тот Самый роутер?

                              Я, кстати, сочувствую тем, кто работали с этим роутером. Малейший баг или малейшая ошибка — и страна без интернета.

                              И может оказаться, что NSA железку крэшнули, напоровшись на очередной баг, а не поднялась она из-за бракованной микроновской памяти :)
                                0
                                Так память оказалась микроновской?
                                  +1
                                  Ну есть два факта в пользу этого — сравнение маркировки на трупах и статья на WSJ. Наверняка микрон.
                                    +3
                                    Так-так, любопытные подробности! Сотрудник АНБ, перелогинтесь пожалуйста.
                              +5
                              Во-первых, не факт, что у сирийцев рухнул весь интернет — возможно, речь шла о Дамаске и алавитском прибрежном районе, которые как-раз сидели на том-самом «раутере», а что там происходило в провинции — не знает никто.

                              Во-вторых, ради удобства местного Сиркомнадзора в принципе могли и посадить всю страну на один раутер.

                              В-третьих, на Ближнем Востоке есть народная примета — если есть проблемы с интернетом и спутниковой связью, то это Израиль использует средства РЭБ для последующей бомбардировки сирийских военных объектов. Интересно было бы посмотреть по архивам новостей, не отбомбился ли в те дни Израиль по «мирной колонне» грузовиков, которые везли «гуманитарные ракеты» Хизбалле.
                              +2
                              We accidentially all your internets.
                                –3
                                *accidentally
                                +3
                                Кажется я знаю как этот маршрутизатор выглядел
                                  0
                                  Linksys WRT54G?
                                    0
                                    South Park — Over Logging
                                  +5
                                  Может, всё-таки как-то пригласить Эдварда Сноудена на Хабр? Он вроде русский уже знает, а если и на английском напишет — думаю, нестрашно, как исключение пойдёт.
                                  Наверняка многим было бы интересно поспрашивать его про технические подробности и нюансы.
                                    –6
                                    Опасно это. Слишком много разных сочных политических подробностей он может рассказать. Дальше либо наше правительство, либо буржуйское так или иначе добьётся, что будет хабр капут.
                                      +9
                                      Я пробовал пробиться через адвоката — не вышло.
                                        +3
                                        Спасибо за попытку.
                                      –1
                                      “Если засекут, всё можно свалить на Израиль”
                                      Я теперь знаю, что клиентам говорить!
                                          0
                                          — Алло, Сирия?
                                          — А… Да!
                                          — Беспокоят из АНБ, из Америки… Кто у вас там маршрутизаторами занимается?
                                          — А… Чего?
                                          — Ну, ящики такие большие, гудят, мигают…
                                          — А… Телевизор?
                                          — Не, лампочками мигают. Есть такие?
                                          — Ну вроде да. И что?
                                          — Тот, что слева стоит, ребутните! И ничего на нем не трогайте, а главное — прошивку не меняйте!
                                            –1
                                            > Тот, что слева стоит, ребутните!

                                            — Чего сделать?
                                            — Ну там кнопка на нем есть, большая такая, нажмите ее, лампочки погаснут. Через секунд 10 нажмите ее еще раз — лампочки загорятся.

                                            (с) реальный случай
                                              0
                                              Для этого Сирия не нужна, такой «случай» можно наблюдать в каждом втором офисе, чуть ли не каждый третий день )

                                              Я вот не удивился бы, случись АНБ-шникам еще и конфиг сирийских BGP-роутеров подтюнинговать, а может, и прошивку пропатчить — чтобы самим удобнее работать было )

                                              Хотя, конечно, странно оно звучит, не верится, что все AS-ки Сирии зачем-то обслуживались через одну железку (не важно, корневой ли это маршрутизатор, или просто оптический модем).

                                          Only users with full accounts can post comments. Log in, please.