Автор: Forbidden World
Что-то в последнее время мы слышали из СМИ только о предполагаемых провалах разведки РФ, пора вспомнить и о том, как ошибалось ЦРУ. Провалы разведок не всегда громки, часто дело спускается “на тормозах” — общественность не посвящают в суть событий, в неведении остаются и семьи погибших агентов.
Самый громкий шпионский скандал того периода (2009-2011) — вирус STUXNET, о нем неоднократно уже писали, и на Хабре тоже. Но параллельно с этой блистательной операцией ЦРУ и UNIT 8200 у ЦРУ случился не менее “блистательный” провал.
Провал — ценой которого стали жизни десятков агентов и информаторов.
Провал — о котором предупреждали.
Провал — который основывался на высоких технологиях и нововведениях ЦРУ.
«Десятки людей по всему миру погибли из-за этого» (The Daily Telegraph)
Только в конце 2020 года, появилось достаточно сведений из источников в правительстве и силовых ведомствах США о тех событиях.
Обнаружение системы
В 2009 году администрация Обамы открыто заявила, что знает об Иранском секретном заводе по обогащению Урана в Натанзе. В Иране немедленно началась “охота на кротов” - пытались выйти на любых возможных информаторов и иностранных агентов.
В 2010 году в рамках этой охоты Иранской разведкой был завербован двойной агент ЦРУ, который обратил внимание персов на используемую систему связи. Выглядела она как набор безобидных с виду сайтов, через которых информаторы могли общаться со своими кураторами удаленно, без организации личных встреч. Рискованные личные встречи были больше не нужны, а для каждого информатора был свой сайт, казалось бы, все хорошо? Нет.
Идея этой системы была разработана во время боевых действий на Ближнем Востоке.
Она НЕ предназначалась для долгосрочного использования. НЕ была создана для того, чтобы противостоять мало-мальски компетентной контрразведке, особенно контрразведке Ирана. По сути, эта система были лишь временным решением, если не “одноразовым”. Но нет ничего более постоянного, чем временное.
Да, ей было легко пользоваться, ее было легко развернуть, но удобство и безопасность — всегда на разных полюсах. Не существует удобного, незаметного и надежного способа связи с источниками во враждебной среде.
Компрометация сети
Иранцы очень скоро поняли, что все, созданные ЦРУ сайты, похожи. Все они индексировались Google и во всех из них содержались уникальные строки…
Одного поиска по такой строке в Google Advanced Search позволял обнаружить ВСЕ сайты данной системы связи. Robots.txt? Полностью уникальные сайты? Вычистить их хотя бы из дружественного гугла? И так сойдет!
Обнаружив все сайты связи ЦРУ, Иран без труда отследил их посетителей.
И, к 2011 году, все участники данной сети оказались “под колпаком”. ЦРУ начало процедуру экстренной эвакуации, но десятки агентов все же были казнены или получили длительные тюремные сроки.
Сразу после этого начались аресты агентов ЦРУ в Китае, где…. использовалась точно такая же система связи! И вот совпадение: именно в это время на высоком уровне был объявлен “обмен данными по киберпроблемам” между Китаем, Ираном и РФ. Данный союз был разработан в противовес разведке США и их партнерам альянса Five Eyes (договора о совместном сотрудничестве в области связи и электронных коммуникаций).
Официальные лица США также считают, что китайские чиновники впоследствии поделились информацией о своем проникновении в секретную систему связи ЦРУ со своими российскими коллегами.
Но в отличие от Китая и Ирана, в РФ получилось “сдержать удар” в первую очередь потому, что компрометация сети произошла позднее, чем в Китае и Иране. Агенты ЦРУ в РФ быстро скорректировали свои связи с источниками. К тому же, особенности операций ЦРУ в России исторически были изолированы от остальной части агентства, что, вероятно, помогло минимизировать ущерб.
ЦРУ закрывает глаза
Но неужели никто не предупредил ЦРУ о возможной компрометации?
О небезопасности системы в целом?
Или хотя бы о том, что часть сайтов уже обнаружены?
Сразу после предательства двойного агента израильская разведка дала понять ЦРУ, что Иран, вероятно, идентифицировал некоторые из сайтов. ЦРУ не обратило на это внимание.
В 2008 году Джон Рейди, сотрудник подрядчика ЦРУ, задачей которого было управление агентами ЦРУ в Иране, забил тревогу о возможном массовом провале в системе связи с источниками. Его никто не услышал.
В 2010 году Рейди предупреждал о частичной компрометации, которая в будущем и затронет всю инфраструктуру сайтов ЦРУ. Он заметил аномалии в поведении источников, они неожиданно перестали выходить на связь и, по его мнению, 70% операций с источниками уже были скомпрометированы. После своих заявлений Рейди был отстранен от субподрядов ЦРУ, но из-за сложной процедуры защиты информаторов он остался работать.
В течении 2010 и 2011 года компрометация системы связи расширялась и Рейди сообщил об этом, а уже к ноябрю 2011 был уволен якобы из-за "конфликта интересов". За то, что он поддерживал собственный бизнес в параллель с работой. Хотя сам Рейди считал, что ему так "отплатили" за разоблачение. ЦРУ и в этот раз не услышало — дело было "спущено на тормозах".
Итог
Таким образом эта элементарная система Интернет-связи:
Созданная быть временной — стала постоянной.
Созданная на время боевых действий — использовалась вне их.
Созданная для ближнего Востока — использовалась по всему миру.
Уязвимая перед контрразведкой — с ней и столкнулась.
Расследование Конгресса началось лишь после массовых арестов в Иране и Китае. До этого момента могли быть спасены десятки жизней агентов и информаторов.
Этот провал поставил под сомнение надежность "высокотехнологичных" способов связи с информаторами, ведь ранее считалось, что высокие технологии решают все проблемы связи. Это оказалось не так, и олдскульные разведчики — фанаты “отметок мелом”, закладок и передачи конвертов через мусорки — это припомнили. Мы же можем припомнить блютус-камень в Москве от разведки Великобритании =) (Но это совсем другая история)
Главная же проблема США в том, что ответственные за это так и не были до сих пор привлечены к ответственности.
Конгресс ничего не сделал с виновными, а, значит, урок не был выучен.
Такие дела.
Источники:
Автор: Forbidden World
kometakot
Ctm5
Откуда такая уверенность?
Ответственных за такую сверх халатность могли просто тихо убрать и все, т.к. слишком много знают, а в простую тюрьму таких не посадить, а родственникам сказать, что погибли при исполнении задания.
garwall
Как там, по памяти... Intelligence service have nothing common with intilligence.
NeoCode
Несколько лет назад на каком-то форуме наткнулся на рассказ о том, что на сайте ЦРУ в форме обратной связи написано предупреждение, чтобы пользователи из РФ ничего им через сайт не отправляли. Интересно, у ЦРУ были основания считать, что хакеры из РФ взломали их сервер? В новостях никаких подобных заявлений не проходило (хотя это и не удивительно — никто не будет о таком писать).
pae174
Как задидосить контразведку недостраны и уменьшить её население заодно:
1) создаем кучу одинаковых лэндингов с одинаковыми бессмысленными строками на них.
2) загоняем их в гугл через search console — что бы не ждать когда-же там гугл найдёт их сам.
3) сливаем недостране двойного агента с инфой о том, что «лендинги с такой-то строкой внутри сделаны специально для шпионов. Честно-честно :-)».
4) контразведка недостраны находит лендинги, начинает мониторить запросы к DNS и снифать SNI своих холопов, пытаясь определить, кто из них пользуется шпионскими сайтами.
5) заходим на тамошний популярный бложик про котиков (никакой политики, только котики, честно) и лупим туда хотлинк на котиков с лендингов.
6) контразведка недостраны видит в DNS и SNI массовое проявление интереса к лендингам для шпионов.
7) В недостране начинаются массовые облавы, аресты, допросы, пытки и расстрелы. Местные холопы, конечно, всё отрицают, но никто этих предателей слушает.
8) PROFIT
Catx2 Автор
Котики довольны. Мы с вами свяжемся :3
1tuz
Ну это совсем не интересно. Вот если таргетировано высокопосставленным военным или госслужащим ссылку на «котиков» прислать, вот тогда уже повеселей расследования будут:) Но как бы двойного агента не потерять
T_Cirkla
Собственно, на это и похоже, вы правы. Ибо ради связи агентов как-то странно именно свои сайты-лендинги делать. Зачем? Это как если бы раньше до интернета разведки регистрировали свои печатные СМИ для связи агентов через, скажем объявления.
JPEGEC
7. Ну само собой, в контразведке же тупые.
Но определенный смысл во всем этом есть. Заддосить можно почти что угодно, в том числе контразведку.
Gutt
Да, не используйте PoC в проде, теперь это знают и в ЦРУ.
fivehouse
Современные разведки и контрразведки (и ЦРУ в том числе) в текущем своем состоянии уязвимы к кибератакам и будут производить и использовать ненадежные технические средства еще долго. Фундаментальная проблема в устаревшей внутренней организации и в принципиально устаревшей мотивации, особенно руководства (которое повсеместно озабочено исключительно личным благополучием, исключительно личным карьерным ростом и почитанием себя подчиненными, повсеместно больно аллергией на специалистов). Все точно также как и в крупных бизнес корпорациях. Такая комбинация мотиваций, даже теоретически не в состоянии противостоять системе, в которой минимальные ошибки могут ее целиком разрушить. А именно так устроены все современные информационные системы.
К чему приводит такая атмосфера внутри хорошо рассказывается на примере ЦРУ в фильме «Цель номер один». И феномен Сноудена совсем не случаен. Думаю таких сноуденов еще десятка 2.
Так что мы будем еще долго слышать о всевозможных провалах всевозможных разведок и о проделках хакеров.
Alexwoodmaker
Практически за каждой серьезной утечкой данных стоит инсайдер, который делает свое черное дело не только из-за денег, что бывает гораздо чаще, но и по другим, иногда банальным причинам. О проблеме инсайдерской угрозе в США можно почитать здесь: rpubs.com/alex-lev/741828.
qyix7z
Если бы Гугл ничего не знал об этих сайтах, то и контрразведка искала бы их чуть менее, чем всю жизнь.
prodx
Админу Гугла стало интересно, что за сайты ЦРУ попросила не индексировать. И это мог быть не гугл, а яндекс. Чем меньше круг осведомленных, тем меньше вероятность дискредитировать сайты.