В середине 1980-х годов Хакер-конспиролог Карл «Хагбард» Кох организовал в Ганновере группу единомышленников. С лета 1986 года они из смеси идейных и финансовых интересов начали сотрудничать с КГБ в поисках американских военных секретов через компьютерные сети. Дело шло неплохо, и всё могло оказаться незамеченным — но сисадмин одной из попавших в сферу их интересов лабораторий по имени Клиффорд Столл заметил странности и решил разобраться в происходящем. Всю осень 1986-го с растущим изумлением наблюдал за тем, как загадочные хакеры увлечённо бродят по серверам военных баз, заводов, полигонов и научных центров. И ладно бы только это — но американские спецслужбы в силу бюрократических маразмов упорно не желали браться за расследование. Их не проняло даже скачивание личных данных сотрудников ЦРУ — но в ноябре Столлу удалось выяснить ещё более дивное: эти самые неизвестные входили в американский сегмент сети через MITRE Corp., полусекретный центр, предоставляющий конфиденциальные услуги военным и спецслужбам.
И вот, в очередной раз изрядно изумившись от нарастающего идиотизма происходящего, Столл решил продолжить действовать самостоятельно. Врубив, как ещё только учившийся этому искусству Кевин Митник, навыки социальной инженерии, Клиффорд вновь связался с помогшей ему с данными о MITRE сотрудницей телефонной компании. Включив small talk, он выяснил, что её сын обожает астрономию. Сам Столл, напомним, мечтал о научной карьере астронома, и в сисадмины угодил вынужденно из-за рейгановских урезаний финансирования науки. Он продолжал посещать лекции на космические темы, имел немало знакомых в астрономической среде и мог добыть уникальные для тех лет фотографии космических объектов. В обмен на бандероль с оными он убедил сотрудницу телефонной компании копнуть по телефонам искомой организации немного глубже, чем это позволяли разнообразные инструкции. Попутно Столл копнул через знакомых информацию о загадочной и не особенно публичной MITRE, и выяснил, что одним из важных направлений её сотрудничества с ЦРУ и АНБ является как раз обеспечение безопасности компьютеров и сетей американских спецслужб. Кафкианский абсурд ситуации продолжал нарастать: получалось, что загадочные хакеры откуда-то с другого конца планеты, явно ищущие секреты американских военных и ВПК, делают это под носом у профессиональных инфобезопасников.
Он набрал в MITRE и стал продираться через нескольких секретарей к кому-то, кто имеет отношение к их компьютерной сети. Наконец, на том конце линии оказался сотрудник по имени Билл Чендлер — который весьма удивился заявлению Клиффорда, ибо был твёрдо уверен, что в его организации проникновение хакера невозможно в принципе. Однако сисадмин рассказал ему слишком много подробностей для простой шутки или ошибки — и Чендлер, поколебавшись, согласился организовать отслеживание любых контактов из сети MITRE в сторону Беркли. Затем Столл уже привычно связался с агентом ТиДжеем из ЦРУ, рассказал ему, что и как узнал. Тот поначалу категорически не поверил: MITRE по всей логике должна была быть в числе наименее подозрительных организаций. Перенося на советские реалии, ситуация звучала примерно, как если бы сотрудники московской станции ЦРУ устроили курилку с подслушивающей аппаратурой через дорогу от здания КГБ на Лубянке. ТиДжей выспросил все подробности, но вновь ничего не смог пообещать кроме очередного разговора с начальством. Затем Клиффорд для очистки совести вновь позвонил в ФБР, где его уже привычно послали в седьмой раз, а заодно напомнили, что за использование нелегального доступа к личным данным граждан и организаций США нахлобучить и посадить могут его самого. Знакомые безопасники из вооружённых сил США вновь проявили искреннее участие — но тоже привычно ничего не смогли пообещать.
Однако через несколько дней на Клиффорда вышел специальный агент Майк Гиббонс из организации, о которой Столл даже как-то не задумывался. Secret Service, Секретная служба при министерстве финансов США — в общем-то, старейшая из американских спецслужб, но довольно-таки узкопрофильная. Она занимается двумя специфическими темами: охрана президентов США и высших должностных лиц, и борьба с фальшивомонетчиками. Ловля хакеров и контрразведка к сферам деятельности Секретной службы никогда не относилась — но агент Гиббонс пояснил, что они с недавнего времени стали заниматься и защитой банковской системы от хакерских атак. Для этого в организацию набрали некоторое количество юных компьютерных гиков — ярким примером которых и был новый знакомый Клиффорда. Судя по голосу, тому не было и тридцати, но он уже являлся бывалым юниксоидом, а в свободное от службы времени увлечённо рубился в компьютерные игры и D&D. Ещё агент Гиббсон, наконец, обрадовал Столла тем, что с точки зрения Секретной службы таинственный хакер таки нарушал федеральное законодательство — а именно только что вступивший в силу Computer Fraud and Abuse Act 1986 года. И при обязательной, по словам Гиббсона, поимке ему светило около пяти лет тюрьмы.
18 ноября после почти двух недель отсутствия хакер вновь зашёл в лабораторию Столла как к себе домой — и пошёл бродить по ресурсам в MilNet в поисках информации по запросам Nuclear и SDI (СОИ). Клиффорд кинулся к телефону и набрал MITRE — но сначала обещавшего сотрудничество Чендлера не оказалось на месте, а наличествовавший сотрудник панически боялся сделать хоть шаг без санкции начальства. Затем Чендлер появился и даже подтвердил, что таки да, кто-то чужой подключиться через телефонную линию и связался с Беркли — но тут выяснилось, что их сеть настолько запутанна и сложна, что отследить подробности подключения представляет собой нетривиальную задачу. Впрочем, эта неудача и сопровождавшее её общение с Чендлером натолкнула Столла на мысль о том, что подключение в MITRE могло происходить в обход протоколов безопасности Интер / Арпанета через довольно популярную тогда коммерческую международную сеть Tymnet. Утром воскресенья 23 ноября Клиффорд попробовал влезть на компьютеры MITRE через тот же номер, что и хакер, даже без согласования с Чендлером из Tymnet — и в очередной раз уронил челюсть на пол. Подключение прошло легко, просто и без каких бы то ни было паролей — и более того, там уже было предпрописанное подключение дальше в Беркли. Более того, оттуда он легко вошёл во вроде бы надёжно защищённую сеть AeroVAX для расчётов траекторий взлёта и посадки в аэропортах — и обнаружил, что там работает настроенное на систематическую кражу паролей в Tymnet хакерское ПО. Тихим незлым словом помянув самоуверенность Чендлера, у которого прямо в защищённой сети стратегически важной полусекретной организации со строжайшим пропускным режимом зияла дыра размером с Большой Каньон, Столл стал звонить в MITRE.
Естественно, Чендлер появился только с наступлением рабочего дня — и поначалу категорически отказывался верить Клиффорду, просто потому, что «такое в принципе невозможно». Однако поверить пришлось. Чендлеру пришлось намекнуть Столлу, чтобы тот не слишком распространялся о произошедшем — а в обмен тот выговорил для анализа данные обо всех расходах на телефонные соединения из MITRE за прошедшие полгода. Получив их, Клиффорд грустно осознал разницу в расходах на гражданскую науку и на вопросы безопасности (которую ещё и защищали, как оказалось, крайне криво и лениво): их лаборатория скрупулёзно считала каждый цент на подключения каждого сотрудника, тогда как сотрудники MITRE даже не задумывались, что компьютерная связь по линиям AT&T стоила тогда очень солидных денег. Их просто по умолчанию и без лимитов оплачивала бухгалтерия организации по факту. В полученном от Чендлера списке перечень одних только номеров составлял сотни пунктов, соединений было более пяти тысяч, и для анализа всего этого массива данных Столлу пришлось потратить не одни авральные сутки.
Картина, благодаря полученным-таки подробным данным обо всех контактах неизвестных хакеров через дыру в безопасности MITRE, вырисовывалась значительно более полная — и значительно более мрачная с точки зрения нацбезопасности США. Хакер, а точнее, группа хакеров — которыми были немцы из гамбургской группы Карла Коха на неформальном контракте с берлинским офисом КГБ — успели как следует прошерстить компьютеры множества военных объектов по всей территории Соединённых Штатов: авиабазы ВВС, верфи ВМС, важнейшие заводы ВПК, центры разработок, испытательные полигоны. Многие подключения ограничивались менее чем минутой: как понял на основе предыдущих наблюдений Столл, осуществлялся поиск по ключевым словам, прежде всего Nuclear и SDI (СОИ). Те самые вопросы, которые с 1984 года более всего беспокоили Политбюро и руководство вооружённых сил СССР, и на поиск максимально подробной информации о которых были ориентированы все ветви советской разведки. При этом Чендлер, на сей раз всерьёз проникшийся паранойей, попросту вырубил модемы в MITRE — и некоторое время хакер не появлялся.
Однако 28 ноября, аккурат в День благодарения 1986 года, о котором Уильям Берроуз написал весьма ядовитое стихотворение, взломщик опять явился на машины лаборатории. Он проверил, всё ли там по-старому, и ушёл. Проверка показала, что заходил он на сей раз не через MITRE. Посещения продолжились, но вычислить источник нового подключения не получалось. К 6 декабря в таблице Столла были сведены данные о 135 подтверждённых, по его мнению, визитах хакера, по которым можно было попытаться вычислить какие-то паттерны. Также, по сопоставлению известных логинов и паролей Клиффорд предполагал, что хакер много курит сигареты нескольких конкретных международных марок, он скорее всего старше 20 и младше 30 лет, и почему-то, не в обыкновении множества компьютерщиков-полуночников, всегда появлялся утром или вечером, но никогда в районе полуночи. Что, в общем-то, логично — в Гамбурге в это время уже было 9 утра, и все уважающие себя хакеры уже либо спали, либо были в офисе на официальной работе. Обдумывая эту странность, Столл вспомнил свои расчёты предполагаемого времени прохождения сигналов: 6000 миль всего, из них 2000 от MITRE на Восточном побережье до Беркли на Западном. Дополнительно он выяснил, что сигнал из Лондона соответствует примерно 5000 милям — следовательно, если речь шла о Европе, то хакер находился несколько восточнее Британии. Чем дальше Клиффорд сопоставлял время появления хакера в будни и в выходные, тем больше уверялся, что тот находится где-то в Западной или Центральной Европе, и, скорее всего, имеет официальную пятидневную работу. Тогда всё стыковалось: с поправкой на 9 часов разницы по часовым поясам, в будние дни тот вламывался на американские сервера вечером после офиса, а в будни мог начать после обеда по центральноевропейскому CET / UTC+1/2. Картина начала складываться. При этом, в реалиях 1986 года, по идее это мог быть кто-то из стран НАТО вроде ФРГ или Франции. Страны Восточного блока вроде ГДР, Чехословакии и Венгрии, к Интернету подключены ещё не были.
Ранним утром субботы 6 декабря 1986 года, роковой день для истории группы Карла Коха, Столл решил сунуть нос в Usenet и поискать сквозным поиском упоминания хакеров из Европы. Слово было модным, в среде компьютерщиков, составлявших тогда львиную долю аудитории, оно чаще использовалось как комплимент в смысле чьей-то крутизны, и искать пришлось долго. Однако одним из относительно свежих сообщений оказалась чья-то жалоба о взломе со стороны неких членов Chaos Computer Club — того самого крупнейшего хакерского сообщества ФРГ, гамбургскую ячейку которого и составляла группа Карла Коха. Однако в тот момент Клиффорд не обратил особого внимания на эту гипотезу. Вскоре хакер вновь появился — и стал с утроенным энтузиазмом бродить по ресурсам с расширенным списком запросов: теперь к Nuclear и SDI прибавились CIA, ICBM, NORAD и WSMR (ЦРУ, межконтинентальная баллистическая ракета, командование воздушно-космической обороны Северной Америки, испытательный ракетный полигон в Уайт-Сэндс). Клиффорд подсчитал, что за этот набег он побывал на 42 компьютерах на разных военных объектах и околовоенных организациях США. Со взломами в этот раз у него не получилось, но он скорее бегло просматривал на первое дело, нет ли где очередных ротозеев, оставивших двери открытыми. Вероятно, товарищ Серж из КГБ дал Коху и его команде расширенный список интересующих тем, и они пока просто прикидывали, с чего проще и быстрее начать.
Через Рона Вивьера из Tymnet удалось установить, откуда хакер входит в американский сегмент сети теперь, когда окно в MITRE было закрыто. Последние сомнения в его европейской локализации исчезли: соединение проходило через геостационарный спутник Westar 3, висевший над Атлантикой и обеспечивавший связь между Северной Америкой и Западной Европой. Соединение происходило по линии, которая соединялась с абонентами в четырёх странах: Испании, Франции, ФРГ и Великобритании. Рон немедленно подключил к попыткам отследить местоположение хакера, точнее своего знакомого англичанина Стива Уайта из центрального офиса Tymnet — он в силу служебной необходимости имел значительно большие возможности по отслеживанию подключений. Когда хакер появился снова — Стив сумел определить, что он выходил в сеть точно из ФРГ, и даже выяснил адрес вызова DNIC-2624-542104214 из тогдашней западногерманской сети Datex. По нему через Бундеспочту ФРГ, в силу традиционного немецкого бюрократизма и зарегулированности всего и вся, можно было определить конкретную точку подключения вплоть до дома или квартиры. Правда, работавший с международными сетями Стив тут же охладил энтузиазм Клиффорда: даже в США закон против хакерства был принят только что, осенью 1986 года, а ФРГ оно всё ещё не считалось преступлением в принципе (чем вовсю пользовались члены сообщества Chaos Computer Club). Даже если Бундеспочту удастся убедить дать каким-то парням из США данные о местоположении компьютера — при отсутствии запроса со стороны американских спецслужб по поводу шпионажа, по западногерманским законам предъявить ему технически было особо нечего.
Следующим утром, в воскресенье 7 декабря, хакер вновь появился — и теперь в его поисковых запросах появились слова Cheyenne и Colorado: он искал информацию про бункерный центр управления NORAD в горе Шайенн, штат Колорадо. Также его интересовал Пентагон и какой-то KH11. Побродя по тридцати машинам на разных военных базах, он вернулся в лабораторию Столла и начал флегматично заниматься созданием в её системе улавливателя паролей. С одной стороны, Клиффорд не мог допустить такой наглости, с другой — спугнуть хакера в момент приближения эндшпиля он тоже не хотел. Решение было найдено быстро — Столл стал механически манипулировать кабелями в серверной, чтобы создать впечатление технических проблем с соединением. Уловка удалась — и через некоторое время хакер ушёл. Клиффорд набрал Стиву, который следил за подключением через Tymnet, тот рассказал, что в ФРГ соединение вновь шло из того же самого места. Затем Клиффорд снова начал звонить своим контактам в спецслужбах. В ФБР его послали в восьмой раз, в службе безопасности ВВС Кристи сказал, что свяжется с коллегами в Западной Европе. Компьютерщик Феннел из ЦРУ даже в воскресенье оказался застигнут на бегу на срочное совещание, поблагодарил за информацию о ФРГ, и вновь не смог ничего пообещать. Остальные «конторы» в уикенд на связь не выходили — и Столл пошёл в Usenet разузнать побольше о хакерах из ФРГ.
Спустя несколько часов поисков он наткнулся на канадского физика из университета Торонто Боба Орра, который как раз бомбил по поводу «шалостей» хакеров. К ним в систему через бэкдор вломились какие-то чуваки, перед тем взломавшие сеть швейцарского ЦЕРНа и похитившие немало пар логин-пароль разных пользователей-учёных. Попутно он упомянул, что на аналогичный случай ему недавно жаловался ещё один коллега из Национальной лаборатории Ферми в США — где, как и в ЦЕРН, занимаются физикой высоких энергий на ускорителях элементарных частиц. И там хакеры обнаглели настолько, что использовали, «скорее всего», свои основные логины. Hagbard и Pengo. То есть — это были сам Карл Кох и его коллега Ганс Хюбнер. Следуя дальше по цепочке сообщений о недавних взломах в научных организациях, Клиффорд узнал о появлении хакера с ником Hagbard и в сети Стэнфордского университета. При этом, видимо, в порядке глума, Hagbard и Pengo намекнули на своё отношение к Chaos Computer Club. Клиффорд предположил, что эти взломы в научных организациях могут быть как-то связаны с «его» хакером.
И тут шестерни машинерии американских спецслужб завертелись: ему набрал Гиббонс из Секретной службы. Вообще-то, он в воскресенье навещал родителей в Денвере — но настоятельные попытки Столла связаться имели результат, потому что, как пожаловался агент, у них в службе всегда «24-часовой режим готовности». Он уже был в курсе свежих данных о ФРГ, и лишь запросил максимально полные и свежие данные со всеми подробностями. Едва Клиффорд положил трубку, набрал агент ТиДжей из ЦРУ и сказал, что в связи с не-американской локализацией хакера ему стоит срочно набрать в Центр компьютерной безопасности АНБ. Там трубку сразу взял ещё один знакомый Зик Хенсон и тоже запросил максимально подробные данные. Следующие несколько дней Клиффорд буквально не убирал трубку телефона от уха — так как много месяцев игнорировавшие алерты спецслужбы теперь осаждали его и требовали всё больше самых мелких подробностей и уточнений по технической части. Вскоре к ним прибавились также требовавшие детальных отчётов сисадмины военных объектов, оборонных предприятий и научных центров разной степени секретности.
В процессе Клиффорд узнал, что за непонятный KH11 искал хакер — это был тип тяжёлых разведывательных спутников KH-11 KENNAN, также известный как Key Hole 11. 19 устройств этого типа габаритами 20 на 3 метра пяти поколений запускали в космос с 1976 по 2022 год. Каждый из них стоил астрономическую сумму примерно в пол-авианосца (!), и по состоянию на 1986 год над планетой побывали уже шестеро. Впервые в истории американской космической разведки передавали данные не только в спускаемых на Землю капсулах, но и почти в режиме онлайн транслировали на секретную Базу 58 в Виргинии снимки советских военных объектов очень высокого для того времени разрешения через специальные спутники связи. Программа до сих пор засекречена настолько, что и сейчас в сети отсутствуют фотографии KH-11 — и известно лишь, что позже они послужили основой для разработки уже гражданского космического телескопа Hubble. Однако в 1978 году сотрудник ЦРУ продал КГБ часть данных о проекте — и сел на 40 лет за шпионаж и госизмену. Широкой публике аббревиатура KH-11 не говорила ничего, зато была до крайности интересна советским разведчикам — и это определённо было одной из главных причин того, что ЦРУ и прочие стали шевелиться после известия об интересе к ней со стороны «хакера Клиффорда Столла».
Вскоре пришли данные от Бундеспост: судя по номеру, источником входа был компьютер VAX из Бременского университета, однако в его администрации никакой подозрительной деятельности вокруг него не замечали. В этот самый момент начальник Клиффорда категорически потребовал завязывать с поисками хакера, заблокировать, наконец, их доступ в систему лаборатории и сосредоточиться на прямых рабочих обязанностях — но после звонка из «компетентных органов» резко передумал. 19 декабря хакер появился снова — и на сей раз номер указывал на какую-то другую локацию в ФРГ. Через Вольфганга Хоффмана, нового немецкого знакомого Уайта из Бундеспост, удалось оперативно установить, что речь шла о Ганновере. Однако тут в дело вмешалась традиционная немецкая законопослушность: дальнейшую трассировку начальство Хоффмана было готово согласовать исключительно после консультаций с юристами и судебными органами. За дело взялся бременский государственный обвинитель герр фон Фок — но начать действовать он был согласен исключительно после официального запроса со стороны компетентной правоохранительной организации из США. А именно — ФБР. Которое, в отличие от ЦРУ, АНБ и Секретной службы, всё ещё не собиралось хотя бы почесаться.
Прооравшись как следует перед лицом уже международного бюрократического маразма и перспективой быть посланным ФБР в почётный девятый раз, Столл в очередной начал обзванивать свои разведывательные контакты. Впрочем, успешный для него и роковой для Карла Коха финал истории был ближе, чем он думал в тот момент.
© 2025 ООО «МТ ФИНАНС»
Telegram-канал со скидками, розыгрышами призов и новостями IT 💻
