АНБ применило программу «QuantumInsert» для слежки за высокопоставленными работниками Организации стран-экспортеров нефти (ОПЕК) в здании ее штаб-квартиры в Вене. В обоих случаях трансатлантическое разведывательное сообщество получило беспрепятственный доступ к ценным экономическим сведениям при помощи программы «QuantumInsert».
Метод закладок и иные вариации системы «Quantum» напрямую связаны с созданной АНБ теневой сетью и собственной законспирированной инфраструктурой в виде скрытых роутеров и серверов. Очевидно, АНБ интегрирует чужие серверы в свою тайную сеть, размещая в них такие же закладки, что затем позволяет хакерам контролировать компьютеры на расстоянии.
Таким образом, разведслужба стремится распознавать и отслеживать свои цели по их цифровым следам. Такие следы включают в себя, к примеру, адреса интернет-почты или файлы «http cookie», установленные на взломанный компьютер. Естественно, файлы «cookie» не способны автоматически определять пользователя, но если дополнить их другими данными, в частности адресом интернет-почты, задача станет им под силу. В этом случае файл «cookie» превращается в интернет-эквивалент отпечатка пальца.
После сбора нужных данных о предпочтениях объекта, специалисты «ТАО» приступают непосредственно к атаке, перепрограммировав систему «Quantum» на полуавтоматический режим. Если пакет данных, содержащий адрес электронной почты или файл «cookie» объекта взлома пересылается по кабелю или роутеру под наблюдением АНБ, система отправляет сигнал тревоги. Система определяет сайт, на который объект пытается войти, после чего активирует один из тайных серверов агентства, известный под названием «FoxAcid».
Этот сервер АНБ принуждает пользователя установить связь со скрытой системой АНБ вместо тех сайтов, на которые он пытался войти. В случае с бельгийской компанией телекоммуникаций «Belgacom», инженеры, вместо входа на запрошенную страницу «LinkedIn», были направлены на серверы «FoxAcid» внутри сетей АНБ. Не раскрытая пользователем «зараженная» страница переслала вредоносные файлы, заранее созданные под лазейки в системе безопасности компьютера жертвы.
Такой метод представляет собой, по сути, гонку между серверами, кто быстрее ответит на запрос пользователя. Как и бывает на соревнованиях, иногда скрытые инструменты наблюдения сети «слишком медленны, чтобы победить». Но в большинстве случаев их производительности достаточно. Закладки с системой «QuantumInsert», в особенности при работе с сайтом «LinkedIn», показывают эффективность в 50 %, — говорится в документе АНБ.
Но множество внутренних извещений об успешных атаках вроде описанной выше — не единственный фактор, выделяющий «ТАО» из списка подразделений АНБ. В отличие от большинства операций АНБ, операции «ТАО» зачастую требуют наличия физического доступа к объекту. В конце концов, вам может понадобиться проникнуть в передающую станцию мобильного оператора, чтобы начать скачивать его цифровые данные.
При проведении операций подобного рода АНБ сотрудничает с другими разведывательными органами (ЦРУ, ФБР), имеющими своих агентов внутри объекта, способных оказать содействие в случае сложностей. Это позволяет «ТАО» атаковать даже изолированные сети, не связанные с интернетом. При необходимости ФБР может предоставить собственный реактивный самолет для переброски хакеров высокого класса на искомый объект. Самолет доставит их к нему в определенное время и поможет им незаметно скрыться после получаса работы.
Отвечая на запрос журнала «Spiegel», представители АНБ сделали следующее заявление: «Отдел специальных операций — уникальное национальное достояние — сражается на передовой борьбы АНБ по защите нации и ее союзников». В заявлении также сказано, что деятельность «ТАО» «направлена на получение доступа к компьютерным сетям в дополнение к сбору разведданных за рубежом». Представители агентства отказались обсуждать конкретные моменты деятельности ведомства.
«ТАО» использует специальную радиотехнику для «заражения» компьютеров и перехвата информации. Такая технология, применяющаяся по меньшей мере с 2008 года, позволяет агентству устанавливать слежку даже за компьютерами, не подключенными к интернету. К настоящему времени «заражено» уже по меньшей мере 100 тысяч компьютеров по всему миру.
В частности, для «заражения» компьютеров и перехвата информации могут использоваться специальные передающие устройства, скрытно вмонтированные в USB-штекер в кабеле. Такое устройство называется «Cottonmouth I». Оно по радиоканалу отправляет информацию с компьютера на мобильную станцию АНБ, называемую «Nightstand». При идеальных условиях обмен информацией между «Cottonmouth I» и «Nightstand» может производиться на расстоянии до почти 13 километров.
Мобильная станция может использоваться не только для перехвата информации и ее последующей передачи на сервера АНБ, но и для «заражения» компьютеров. Подсадное программное обеспечение отвечает за отправку информации с «зараженного» компьютера в случае его подключения к интернету, а также для формирования из «зараженных» машин сетей для кибератак.
Специальное радиооборудование может быть установлено в компьютер несколькими способами: агентом АНБ, невнимательным пользователем (например, подключающим без осмотра переходники или кабели) или производителем компьютерного оборудования. Последний вариант был использован для установления слежки за в/ч 61398 Национально-освободительной армии Китая, поскольку считалось, что она провела несколько кибератак против США.
В оборудование, производимое в Китае, интегрировались передающие устройства, выявить которые неспециалисту практически невозможно. В качестве принимающих станций и серверов передачи информации могут выступать китайские представительства крупных американских компаний. По аналогичной схеме было установлено наблюдение за русскими военными, мексиканскими полицейскими, компьютерными сетями и европейскими торговыми организациями.
Не брезгует АНБ и перехватом отправленных посылок. Если нужный объект заказывают новый компьютер или дополнительное оборудование, «ТАО» может перехватить покупку и доставить ее в свои секретные мастерские. На этих так называемых «загрузочных станциях» сотрудники аккуратно открывают упаковки, внедряют закладки, а иногда даже заменяют аппаратные элементы, дающие разведслужбам возможность осуществлять слежку.
Все последующие шаги можно производить с удаленного компьютера. Эти небольшие вмешательства в процесс доставки покупок являются одними из «наиболее продуктивных операций», проведенных хакерами АНБ, — сказано в одном из секретных документов. Данный метод позволяет «ТАО» получать доступ к сетям «по всему миру», — говорится в нем.
В данный момент «ТАО» имеет уже другое название — Операции в компьютерной сети «СNO» (англ. Computer Network Operations) и занимается кибервойной.
5. Система «Эшелон»
Среди важнейших достижений 1950-х годов было создание сети наземных станций слежения вдоль сухопутных границ Советского Союза и стран Варшавского Договора, перехватывавших советские радиограммы и сигналы радиолокаторов. На территориях, граничащих с СССР стран НАТО, Японии, Кореи и Аляски оборудовано более 60 разведывательных центров, имеющих в своем составе около 5 тысяч стационарных и подвижных постов.