Провал в киберпространстве: органы безопасности Исламской республики Иран против ЦРУ США
Вход
Авторизуйтесь, если вы уже зарегистрированы
В сентябре 2009 г. на открытии саммита «Группы двадцати» в Питтсбурге главы США, Франции и Великобритании сделали заявление о том, что Иран строит новый секретный завод по обогащению урана. По окончании саммита президент США Барак Обама дополнительно сообщил широкой общественности, что американские спецслужбы уже в течение многих лет отслеживает данный проект. В свою очередь иранское агентство ISNА со ссылкой на информированный источник подтвердило информацию о строительстве завода, а правительство Ирана официально уведомило об этом Международное агентство по атомной энергии (МАГАТЭ).
Источник: Yahoo news
Сразу после заявления Барака Обамы иранская контрразведка начала активный поиск источников утечки информации о ядерном потенциале страны. Уже в 2010 г. в рамках проводимых контрразведывательных мероприятий органами безопасности Исламской республики Иран был выявлен и перевербован агент американских спецслужб, который раскрыл принцип используемой ЦРУ системы оперативной связи с агентурой. Данная система состояла из нескольких платформ — безобидных с виду интернет-сайтов, через которые лица, привлеченные к конфиденциальному сотрудничеству, могли удаленно общаться со своими кураторами, исключив личные встречи. Использование этой системы позволяло также максимально ускорить оперативность постановки задач информаторам и передачи их отчетов в центральный офис ЦРУ. Сотрудники управления посчитали, что если у каждого агента будет свой собственный сайт, то вероятность разоблачения всей сети, даже при провале одного из её членов будет минимальна.
Стоит отметить, что данная коммуникационная интернет-платформа была разработана для связи с военнослужащими во время боевых действий на Ближнем Востоке. ЦРУ стало активно использовать эту систему для оперативной связи с агентурой благодаря её эффективности и простоте в эксплуатации, хотя в плане информационной безопасности пользователей система по мнению экспертов была весьма далека от совершенства. Как уже говорилось выше, изначально она не предназначалась для широкого тиражирования и использования (и тем более в условиях жесткого контрразведывательного режима). По сути, эта интернет-платформа была исключительно ситуативным решением.
Очень скоро иранские контрразведчики в рамках проводимых мероприятий по поиску источников утечки секретной информации получили от двойного агента предварительные сведения о формах и способах связи, использовавшихся американской разведкой[1]. В процессе анализа полученных данных был выявлен ряд закономерностей в создании и функционировании подобных интернет-платформ, позволивших создать их типовой паттерн[2].
Все сайты, использовавшиеся ЦРУ отлично индексировались Google и во всех из них содержались уникальные строки кода. Используя в качестве поискового инструмента Google Boolean Search[3], иранская контрразведка смогла обнаружить еще ряд аналогичных секретных интернет-платформ ЦРУ. В результате чего к маю 2011 г. органы безопасности Исламской республики Иран выявили в стране практически всю агентурную сеть ЦРУ, общей численностью до 30 человек.
Позже похожая ситуация сложилась в Китае, где органы безопасности КНР смогли ликвидировать в стране несколько агентурных сетей ЦРУ, полностью парализовав сбор разведданных на много лет вперед. Сами американские чиновники охарактеризовали этот провал, как один из самых масштабных и тяжелых за последние десятилетия.
По поводу реальной причины разоблачения разведывательных сетей в Китае существуют две основные версии. По одной из них, агентуру в КНР сдал «крот» в разведывательном сообществе США. По другой — китайцы смогли взломать секретную систему, которую ЦРУ использовало для связи со своими зарубежными источниками. Причем существует устойчивое мнение, что именно Иран помог Китаю в этих мероприятиях, передав техническую информацию по коммуникационной платформе американской разведки[4].
По некоторой информации израильская разведка предупреждала ЦРУ о том, что Иран, вероятно, смог идентифицировать некоторые из каналов связи с агентурой. Однако в силу до сих пор не совсем понятных обстоятельств ЦРУ не обратило на это должного внимания.
Кроме того, по информации газеты Daily Telegraph, в 2008 г. правительство США получило предупреждение об уязвимости своей системы связи от сотрудника одного из подрядчиков ЦРУ Джона Рейди, занимавшегося поддержанием технических каналов связи с агентурой[5].
В 2010 г. Рейди снова попытался предупредить ЦРУ о частичной компрометации, так как заметил ряд аномалий в поведении источников, которые неожиданно перестали выходить на связь. Сразу после этих заявлений он был отстранен от субподрядов ЦРУ, но из-за сложной процедуры оформления допуска новых сотрудников продолжил свою работу. В 2011 г. Рейди в очередной раз сообщил о возможной компрометация системы связи, но уже в ноябре того же года он был окончательно уволен из-за «конфликта интересов». За то, что он якобы параллельно с работой на ЦРУ развивал собственный бизнес. Хотя сам Рейди считал, что ему отомстили за его разоблачения[6].
Этот провал не только показал всю сложность использования высокотехнологичных способов разведывательной деятельности, но и то, что сами по себе высокие технологии не являются панацеей без должного уровня экспертизы и контроля их применения.
В 2022 г. агентство Reuters провело большое расследование «иранских событий», сопроводив его техническим анализом инструментов обмена сообщениями, использовавшихся ЦРУ. В качестве консультантов агентство привлекло двух независимых кибераналитиков — Билла Марчака из Citizen Lab Университета Торонто и Зака Эдвардса из Victory Medium, которые считаются признанными экспертами в области кибербезопасности с большим опытом анализа разведывательных операций в сети Интернет. Помимо этого, Reuters дополнительно опросило шесть граждан Ирана, осужденных за шпионаж в интересах ЦРУ в период с 2009 по 2015 гг., а также 10 бывших сотрудников американской разведки, осведомленных об операциях в Исламской Республике Иран.
ЦРУ отказалось комментировать выводы Reuters и свои операции в Иране. Министерство иностранных дел Ирана и его представительство при ООН в Нью-Йорке не ответили на запросы агентства о комментариях.
В качестве типового примера реального использования американской разведкой интернет-технологий рассмотрим работу сотрудников ЦРУ с иранским инженером-технологом Голамрезом Хоссейни, разоблаченного в конце 2010 г. иранскими органами безопасности. Как показало годичное расследование Reuters Хоссейни стал одной из жертв откровенной халатности сотрудников ЦРУ. В 2007 г. Хоссейни с помощью общедоступного веб-сайта ЦРУ связался с разведывательными органами США отправив через форму связи письмо на персидском языке: «Я инженер, работавший на ядерной площадке в Натанзе, и у меня есть информация». Месяц спустя он, к своему удивлению, получил ответное электронное письмо из ЦРУ. Еще через три месяца во время своего визита в Дубай Хоссейни вступил в непосредственный контакт с сотрудниками ЦРУ, с которыми до этого он обменивался сообщениями в чат-платформе Google. После ряда проверок и выполнения тестовых заданий у Хоссейни отобрали подписку о том, что он не будет предоставлять сведения, которые будет собирать в интересах ЦРУ, другому правительству. Два бывших сотрудника ЦРУ подтвердили Reuters, что такая практика действительно реально существует и направлена на усиление чувства приверженности американской разведке со стороны её информатора.
Во время этой же встречи, сотрудник ЦРУ ознакомил Хоссейни с секретной интернет-платформой для поддержания оперативной связи со своими кураторами. По его словам, это был весьма примитивный веб-сайт футбольных новостей на персидском языке с названием Iraniangoals.com.
Привлеченные Reuters специалисты по кибербезопасности обнаружили, что этот сайт до сих пор остается общедоступным в интернет-архиве. Исследуя Iraniangoals.com Марчак и Эдвардс быстро установили, что секретное окно обмена сообщениями, якобы скрытое от посторонних, можно легко обнаружить, просто щелкнув правой кнопкой мыши на странице, вызывая показ кодировки веб-сайта. Причем этот код содержал в себе полное описание функций платформы, в том числе слова «сообщение» и «составить», что легко идентифицировало возможность обмена секретными сообщениями. Причем сам код для строки поиска, которая запускала программное обеспечение для обмена секретными сообщениями, был помечен как «пароль». Ввод пароля в строку поиска запускал процесс входа в систему. Успешный вход открывал доступ к скрытому интерфейсу обмена сообщениями для связи с ЦРУ.
Аналитики пришли к выводу, что Iraniangoals.com — это не высокотехнологичный специализированный разведывательный продукт, а один из сотен простейших типовых интернет-ресурсов, которые ЦРУ массово создавало для связи со своими источниками. Они были весьма топорно сделаны и посвящены различным бытовым темам, таким как красота, фитнес или развлечения.
По словам бывших сотрудников ЦРУ каждый такой веб-сайт был предназначен только для одного информатора, чтобы ограничить раскрытие всей сети в случае захвата одного из ее членов. Всего независимые кибераналитики обнаружили более 350 интернет-ресурсов, содержащих единую систему обмена секретными сообщениями. Все они на момент проведения исследования уже были заархивированы и недоступны для прямого использования в течение как минимум девяти лет.
В своем отчете аналитики отметили, что регистрация сайтов и приобретение услуг их хостинга осуществлялась крайне халатно и шаблонно, легко позволяя идентифицировать большинство объектов созданной секретной сетевой структуры. Так, услуги хостинга часто приобретались оптом, у одних и тех же интернет-провайдеров, в том числе и на одном и том же сервере. В результате чего IP-адреса для многих из этих секретных платформ были последовательными, как дома на одной улице.
Кроме того, многие сайты носили весьма сходные названия. Например, помимо сайта Iraniangoals.com, существовал и ресурс под названием Iraniangoalkicks.com. Аналитики выявили, что по крайней мере два десятка из более чем найденных 350 сайтов, созданных ЦРУ, использовали персидский язык и, скорее всего, предназначались для обмена сообщениями с гражданами Ирана. Так же было установлено, что веб-сайты, созданные на разных языках, служили каналом связи ЦРУ с агентурой, как минимум в 20 странах, включая Китай, Бразилию, Россию, Таиланд и Гану.
Все это еще раз подтверждало версию о том, что выявление одного члена агентурной сети ЦРУ, использующего один из типовых веб-сайтов, позволило бы иранской контрразведке выявить все веб-страницы, используемые другими иранскими информаторами ЦРУ. По сути, исследование еще раз установило, что по необъяснимой халатности ЦРУ использовало один и тот же вид типовых интернет-платформ для своих источников по всему миру, что серьезно облегчало работу контрразведывательных органов.
По словам опрошенных бывших сотрудников американской разведки, ЦРУ не было осведомлено о том, что эта система была скомпрометирована вплоть до 2013 года, уже после того, как многие из его агентов стали бесследно исчезать.
В качестве оправдания экс-сотрудники ЦРУ уточнили, что подобные массовые интернет-ресурсы были предназначены для источников разведки, которым либо не доверяли до конца, либо считали малоценными, несмотря на потенциально имевшиеся у них разведывательные возможности.
В частном порядке бывшие сотрудники американской разведки признались Reuters в том, что механизм защиты ЦРУ своих информаторов работает весьма избирательно, согласно скользящей шкале, основанной на предполагаемой ценности агента, причем эта постоянно меняющаяся разведывательным органом оценка почти никогда полностью не доводится до источника. В этой связи у информатора порождаются иллюзии о постоянной заботе ЦРУ о его безопасности.
На вершине этой пирамиды находятся те, кого ЦРУ считает «тщательно проверенными активами». Это как правило высокопоставленные правительственные чиновники или ученые-ядерщики, которые имеют прямой постоянный доступ к сведениям, составляющим государственную тайну своей страны. На разработку подобных объектов разведывательного интереса и установление с ними контактов ЦРУ иногда может потратить несколько лет.
После успешной вербовки и одобрения ее центральным офисом, новоиспеченному агенту открывается банковский счет, на который бухгалтерия ЦРУ зачисляет стандартное денежное содержание. Подобным агентам может выдаваться эксклюзивная техника связи, и они проходят серьезное обучение разведывательному ремеслу. По словам экс-сотрудников, ЦРУ в отдельных случаях даже годы спустя агентство может найти ребенка или супругу казненного столь ценного агента, чтобы предложить денежную компенсацию и медаль в память о жертве.
Однако большая часть сведений, получаемых ЦРУ, по словам бывшего старшего аналитика ЦРУ по Ближнему Востоку Пола Пиллара, исходит от информаторов низкого уровня, которые несут основные риски разоблачения, и никогда не становятся «полноправными членами реестра шпионов».
Такие информаторы могут иметь лишь фрагменты интересующей разведку информации. Они получают менее серьезную защиту, чем их высокопоставленные и более ценные коллеги, причем часто они не получают регулярных выплат и обещанной ЦРУ помощи в случае их поимки.
Как показывает практика, в описанной ситуации с интернет-платформами ЦРУ подвергло жизни и свободу своих малоценных (с точки зрения ЦРУ) агентов серьезному риску, без каких-либо обязательств перед ними. Из шести бывших агентов ЦРУ, опрошенных Reuters, четверо остались в Иране после своего освобождения из тюрьмы, двое уехали из страны, один в — Турцию, другой — в Швейцарию. Все шестеро сказали Reuters, что, учитывая их жертвы, они надеялись, что правительство Соединенных Штатов найдет способ связаться с ними и предложить помощь в построении новой жизни в США или другой стране. Однако никто из них так и не получил денежной компенсации за просчеты американской разведки и тем более приглашения на проживание в США. Переселение в Соединенные Штаты — весьма редкая награда со стороны ЦРУ, которая используется только для самых ценных информаторов.
Восстановление связи с отбывшими наказание агентами с точки зрения ЦРУ сопряжено с огромным риском и весьма нерационально, так как в местах лишения свободы они либо перевербовываются органами безопасности, либо после освобождения попадают под усиленный присмотр контрразведывательных органов своей страны.
***
Должные выводы из «иранского» провала в американском разведсообществе так и не были сделаны. По информации New York Times, в 2021 г. в серии внутренних телеграмм руководство ЦРУ в очередной раз констатировало, что морально и технически устаревшие методы связи с информаторами продолжают угрожать разведывательной деятельности управления. Причем в качестве примера этих проблем приводилась описанная выше потеря большей части агентурной сети ЦРУ в Исламской республике Иран.
Стоит заметить, что несмотря на то, что представители американских спецслужб, в своих рекламных видеороликах твердо обещают всем завербованным агентам анонимность и безнаказанность их шпионской деятельности , действительность более прозаична, и история знает многочисленные провалы агентурных сетей ЦРУ именно из-за небрежности и безразличия в способах поддержания безопасного контакта с американской разведкой.
[1] Dorfman Z. Botched CIA Communications System Helped Blow Cover of Chinese Agents // Zach Dorfman. Foreign Policy. 15.08.2018. URL: https://foreignpolicy.com/2018/08/15/botched-cia-communications-system-helped-blow-cover-chinese-age... (дата обращения 21.04.2024).
[2] Паттерн (англ. pattern — образец, шаблон; форма, модель; схема, диаграмма) — схема-образ, действующая как посредствующее представление, или чувственное понятие, благодаря которому в режиме одновременности восприятия и мышления выявляются закономерности, как они существуют в природе и обществе.
[3] Boolean Search — поиск с помощью логических операторов, таких как «AND» и «OR».
[4] Murphy M. Dozens of US spies killed after Iran and China uncovered CIA messaging service using Google // Margi Murphy. Daily Telegraph, 03.11.2018. URL: https://www.telegraph.co.uk/technology/2018/11/03/dozens-us-spies-killed-iran-china-uncovered-cia-me... (дата обращения 21.04.2024).
[5] Murphy M. Dozens of US spies killed after Iran and China uncovered CIA messaging service using Google // Margi Murphy. Daily Telegraph, 03.11.2018. URL: https://foreignpolicy.com/2018/08/15/botched-cia-communications-system-helped-blow-cover-chinese-age... (дата обращения 21.04.2024).
[6] Murphy M. Dozens of US spies killed after Iran and China uncovered CIA messaging service using Google // Margi Murphy. Daily Telegraph, 03.11.2018. URL: https://www.telegraph.co.uk/technology/2018/11/03/dozens-us-spies-killed-iran-china-uncovered-cia-me... (дата обращения 21.04.2024).
К.э.н., доцент, советник генерального директора ООО «ЕС-лизинг софт»
Блог: Блог Александр Доронин
Рейтинг: 0