Нажимая клавиши (сборник) - Авенир Егоров

– А вот вам и простой пример, как известный троян StuxNet мог бы проникнуть внутрь нашего, казалось бы, изолированного и строго охраняемого периметра, – показал Семен Аркадьевич на музыкальный DVD-RW-диск, лежащий на одном из столов. – И без всяких перекинутых поверх несанкционированных каналов связи.

Молодой аспирант, хозяин стола, покраснел и тотчас же убрал пресловутый диск в стол со словами:

– Да этот диск вообще не мой! Он давно валяется на столе и был записан задолго до обнаружения «Каспером» этого зловредного трояна StuxNet.

– Bonjour, мадам! Что-то ты, милая, сегодня опять не в духе, – как старую знакомую, приветствовала покупательницу кассирша. – Да и водка в твоей корзине – плохой знак. Ведь прошла всего-то неделя после знакомства. Неужто пьяница попался?

– Да нет, что вы, это я слесарю – магарыч, – грустно ответила Марина Андреевна.

– Милая, не переживай ты так… C'est la vie! Mieux vaut tard que jamais! А сразу гони ты своего «слесаря» взашей! Вон ты какая умница-красавица! Небось, сотни людей у тебя в подчинении. Ищи, милая, лучше другого! Qui cherche, trouve! Хотя где его найти-то? Я по себе знаю, как это трудно! Ведь оставшиеся свободные мужики – все либо кобели да «ходоки», либо горькие пьяницы…

Еще на утренней лекции профессор Латышева сообщила майору Сабурову, что сегодня сразу после обеда им вместе предстоит провести секретную инспекционную операцию в одном из российских наукоградов, занимающихся разработкой проблемы мирного термояда. Подобные инспекции на разных объектах проводились Центром довольно регулярно, но на сей раз необходимость в ней имела особые основания.

– Не скрою, что задача инспекции возникла не на пустом месте, – пояснила Латышева. – Спецслужбы добыли тревожную информацию о некоей сетевой угрозе наподобие обнаруженного недавно в Иране вируса StuxNet, который тогда серьезно затормозил иранскую государственную программу обогащения урана. Майор, с нами в тесном контакте будут работать лучшие специалисты по антивирусной безопасности, и нам надо отнестись к поставленной задаче со всей серьезностью и профессионализмом. Возможно, что мы с вами «зависнем» в засаде на несколько суток. Поэтому заранее готовьте расширенный комплект боевого снаряжения № 7. Майор, вылет через полтора часа, – напомнила Латышева.

Еще утром по линии спецслужб в Центр поступила уточненная «Вводная». Оказывается, антивирусными сторожами «Каспера» вблизи охраняемого термоядерного объекта обнаружена необычная сетевая активность известного червя «Fanny», который позволяет получать данные с компьютера, даже если он совсем отключен от мировой паутины.

Кроме того, в пояснительной записке самого «Каспера» к полученной «Вводной» сообщалось, что известная кибергруппировка «Equation Group» часто использует для скрытного проникновения именно червя «Fanny». Этот «Fanny» является арсеналом новаторских программных инструментов, называемых эксплойтами, для скрытного проникновения в изолированные сети. Эксплойты этого червя «Fanny» вскоре появились и в мощнейших американо-израильских киберразработках типа StuxNet, а затем и во «Flame». По всей вероятности, «Equation Group» делилась с коллегами имевшимися у нее эксплойтами, использующими уязвимости нулевого дня. Наибольшее количество жертв кибергруппировки «Equation Group» было зафиксировано как раз в России и в Иране.

– Профессор, а по каким признакам мы будем искать следы этого червя «Fanny»? – спросил Егор. – Ведь наша задача пока выглядит, как в сказке: «Пойди туда, не знаю куда, найди то, не знаю что!»

– Хороший вопрос, да еще заданный вовремя, зря не пропадает! – отшутилась Латышева. – Только боюсь, майор, что этот дедушка «Fanny» уже давно на пенсии и на инспектируемом объекте нам следует искать следы его продвинутых внуков и правнуков, таких, например, как «Angler». Этот новейший набор эксплойтов может использовать шифрование и сам умеет обнаруживать опасные для него антивирусные средства. А его вредоносные программы работают прямо в оперативной памяти, даже без записи на жестких дисках.

– Я вчера прочитал в одном IT-журнале, – прервал Егор своего учителя, – что «Лаборатория Каспера» впервые обнаружила модули, которые позволяют перепрограммировать операционную систему жестких дисков 12 основных мировых производителей. Поэтому, зловредный «троян», однажды попав в ОС жесткого диска, во-первых, не может быть с него удален даже в случае форматирования жесткого диска. А во-вторых, он создает там себе «тихую гавань» в виде секретного хранилища информации.

– Майор, вы растете прямо на глазах, раз начали читать такие журналы! Но эта ваша информация нам вряд ли пригодится, ибо у нас пока нет средств обнаружения подобных «секретных хранилищ». Надеюсь, что из Центра нам дошлют подходящую информацию вдогонку. А иначе, нам придется это выяснять самим и прямо на месте. И не исключено, что «врукопашную»…

Когда Буцефал и Росинант прибыли на объект, Латышева приказала рассредоточиться в заранее подготовленных флешках-укрытиях с контролем доступа вне охраняемого периметра. И затаиться обоим в режиме строгого радиомолчания на длительное время, чтобы собрать первичную информацию об окружающей виртуальной сетевой обстановке.

Заранее установленное стационарное сетевое оборудование уже собрало массу статистики и подготовило спектральные портреты типовых рабочих режимов обмена инспектируемого объекта открытой информацией с внешним миром. Именно обнаруженные недавно «Каспером» отличия этих частотных радиопортретов от типовых статистических данных и вызвали тревогу спецслужб. А потом и заставили обратиться к нам в Центр как к профессионалам антивирусной сетевой безопасности.

Особое внимание Латышева уделила серверам так называемых межсетевых экранов, которые управляют допуском извне в охраняемые домены и размещаются на выходах из доменов в мировую паутину. Своего Буцефала Латышева разместила в искусственном укрытии вблизи одного из таких выходов. А Егор со своим Росинантом замаскировался в малоприметном месте внутри RAID-контроллера сервера. Таким образом, вместе они могли держать под непрерывным наблюдением пограничную зону канала связи с обеих сторон межсетевого экрана.

Вот уже более половины дня провели инспекторы в засаде в режиме строгого радиомолчания, наблюдая за магистральным каналом связи. Но, судя по настроенным на известные признаки злоумышленников индикаторам автоматического обнаружения у Буцефала и Росинанта, в канале ничего существенного пока не происходило.

– Не клюет, товарищ подполковник… Может, пора уже сменить это «прикормленное» местечко на какое-либо другое? – позевывая, Егор связался с Латышевой по внутренней связи Центра.

– Т-с-с… Майор, тишина в эфире! – возмутилась Латышева. – Своим зеванием вы распугаете всю виртуальную живность, резвящуюся на «вечерней зорьке»!

Именно в этот момент в «пограничную зону» канала вместе с очередным e-Mail прибыло «Нечто», которое было весьма массивным в мегабайтах. Это «Нечто» отцепилось от письма-перевозчика, выполнявшего функции попутной лошади. Затем, прихватив свой «багаж» – несколько прикрепленных файлов-архивов, оно направилось внутрь RAID-контроллера сервера. Поскольку это «Нечто» село практически на голову Росинанта, так удачно замаскировавшегося в нужном месте, Егор едва удержался от инстинктивного желания подвинуться. Индикатор «свой – чужой» на мониторе в капсуле Егора мерцал «чужим» красным цветом.

Прежде всего это «Нечто», невзирая на попытку блокировки его действий антивирусом «Каспер», сразу обеспечило себе в настройках права и привилегии администратора домена.

– Откуда у него взялись логин и пароль администратора? – недоумевала Латышева. – Наверняка в инспектируемом домене уже сидит давно засланный «троян» – клавиатурный шпион, который подсмотрел и записал все пароли. И поэтому на данном объекте надо обязательно ужесточить принципы авторизации пользователей, например с помощью кодовых таблеток, проксимити-карт, отпечатков пальцев или даже контроля рисунка сетчатки глаз, – Латышева набросала для себя текст рекомендации по результатам инспекции.

Продолжая обустраиваться далее, «Нечто» запрятало свой «багаж» в скрытые сектора жесткого диска и пометило их как Bad. Затем «Нечто» попыталось путем лихой кавалерийской атаки преодолеть многоуровневый брандмауэр домена. Но на это ему «Каспер» не оставил никаких шансов. Конечно, на месте «Нечто» можно было бы попытаться поискать тайные «черные» ходы разработчика, подобрать их логины и пароли! Но подобное даже для программного робота очень трудоемкая и длительная работа. А «просверлить свои собственные норы» в брандмауэре «Каспера» без хорошо подготовленной масштабной вирусной атаки было практически нереально. По видимому, все известные приемчики, заложенные в тактике персонального нападения этого «Нечто» на выбранный объект, были исчерпаны. И злоумышленнику, по-видимому, ничего другого не оставалось, как ждать помощи извне. Например, надеяться на DDos-атаку, организованную внешними «зомбированными» компьютерами из мировой паутины. Только тогда, в условиях искусственного хаоса, вызванного переполнением всех вычислительных ресурсов сервера, еще могли возникнуть кое-какие шансы для удачного проникновения в защищенный «Каспером» домен. Поэтому от нечего делать, дожидаясь внешней помощи, «Нечто» стало осматриваться и сканировать на предмет халявного доступа все окружающие его носители информации.