Канал связи ЦРУ с агентами через фан-сайты оказался слишком примитивным

Для связи с агентами по всему миру ЦРУ создало сотни веб-сайтов на различные темы — новости, спорт, развлечения и здоровье — и на десятках языков. Эти сайты выглядели абсолютно невинно: фан-сайты комиксов, ресурсы о бразильской музыке или экстремальных видах спорта. Но ввод пароля в строку поиска запускал скрытую авторизацию, открывая доступ к конфиденциальной переписке с разведкой США. Из-за небрежности, с которой была создана сеть цифровых тайников, она считается одной из крупнейших ошибок американской разведки последних десятилетий.

В 2018 году Yahoo News сообщил, что неисправная система тайной интернет-связи привела к аресту и казни десятков информаторов ЦРУ в Иране и Китае. Первое раскрытие этой схемы произошло в Иране. Один из крупнейших провалов разведки последнего десятилетия начался в 2009 году, когда администрация Обамы объявила об обнаружении секретного иранского подземного обогатительного объекта — части безудержного стремления Ирана к ядерному оружию. Иранские спецслужбы начали охоту на кротов, ища иностранных шпионов, и обнаружили сеть сайтов для связи с агентами. По данным расследования Yahoo News, утечка из Ирана сыграла ключевую роль в крушении всей системы и привела к массовым арестам и убийствам агентов ЦРУ в Китае в 2011–2012 годах.  Впоследствии агентство закрыло свою инфраструктуру.

Слишком примитивная система связи

Бывшие американские чиновники заявили, что интернет-платформа не была создана для того, чтобы выдерживать сложные контрразведывательные усилия государственных субъектов, таких как Китай или Иран. «Она никогда не предназначалась для долгосрочного использования при общении с источниками, — сказал один бывший чиновник. — Проблема была в том, что она работала хорошо слишком долго, со слишком большим количеством людей. Но это была элементарная система».

Независимый исследователь Сиро Сантили провел собственное расследование. Одним из ключевых поводов для новых поисков послужила статья Reuters от 2022 года, в которой описывались ошибки в маскировке сайтов — в частности, то, что IP-адреса у них шли подряд, и это позволило находить целые группы доменов. На скриншотах из расследования Сантили заметил названия файлов, указывавшие на исходные URL. Это дало ему зацепки, которые привели к сотням дополнительных ресурсов.

Свою работу он описывает как хакерское расследование, основанное на анализе доменов, HTML-кода, использования сервиса viewdns.info и архива Wayback Machine, причем для обхода ограничений архива он задействовал армию Tor-ботов. Все инструменты — открытые и бесплатные.

К примеру, сайт starwarsweb.net выглядел как типичный фан-ресурс времен расцвета Xbox 360 — с цитатой Йоды «Like these games you will», подборкой игр вроде Star Wars Battlefront 2 и рекламой конструктора Lego Star Wars. Но ввод пароля в строку поиска запускал скрытую авторизацию, открывая доступ к конфиденциальной переписке с разведкой США.

Скриншоты были получены Санчили с помощью интернет-архива Wayback Machine. Тогда URL-адресом был starwarsweb.net; Сегодня нажатие на эту ссылку ведет на официальный сайт ЦРУ — cia.gov.

Wayback Machine — это общедоступный веб-архив, который позволяет просматривать веб-сайты такими, какими они были раньше. Архив, которым управляет ассоциация Internet Archive, годами сохраняет скриншоты миллиардов веб-сайтов и позволяет пользователям «вернуться в прошлое» и увидеть, как выглядел определенный веб-сайт в определенную дату.

Ранее агентство Reuters обнаружило секретный сайт связи ЦРУ iraniangoals.com, в интернет-архиве, где он остается общедоступным. Как выяснилось, секретное окно обмена сообщениями, скрытое внутри Iraniangoals.com, можно было обнаружить, просто щелкнув правой кнопкой мыши на странице, чтобы открыть кодировку веб-сайта. Этот код содержал описания секретных функций, включая слова «сообщение» и «написать» — легко обнаруживаемые подсказки о том, что на сайте была встроена возможность обмена сообщениями. Кодировка для строки поиска, которая запускала программное обеспечение для секретного обмена сообщениями, была помечена как «пароль».

Инструмент для менее ценных источников

Iraniangoals.com, далекий от того, чтобы быть высококлассным шпионским инструментом, был одним из сотен веб-сайтов, массово производимых ЦРУ для предоставления его источникам, пришли к выводу независимые аналитики. Как сообщили агентству Reuters два бывших сотрудника ЦРУ, каждый фальшивый веб-сайт был закреплен только за одним шпионом, чтобы ограничить раскрытие информации обо всей сети в случае поимки хотя бы одного агента.

Но ЦРУ упростило идентификацию этих сайтов, заявили независимые аналитики. Они обнаружили более 350 веб-сайтов, содержащих одну и ту же секретную систему обмена сообщениями, все из которых были отключены в течение как минимум девяти лет и заархивированы. Проанализированные ими онлайн-записи показывают, что хостинговое пространство для этих подставных веб-сайтов часто закупалось оптом дюжинами, часто у одних и тех же интернет-провайдеров, на одном и том же серверном пространстве. Результатом стало то, что числовые идентификаторы или IP-адреса для многих из этих веб-сайтов были последовательными, как дома на одной улице.

В целом, эти особенности означали, что обнаружение одного шпиона, использующего один из этих веб-сайтов, позволило бы иранской разведке раскрыть дополнительные страницы, используемые другими информаторами ЦРУ. Как только эти сайты были бы идентифицированы, поимка оперативников, использующих их, была бы простой: иранцам оставалось только ждать и смотреть, кто появится.

Уязвимость вышла далеко за пределы Ирана. Написанные на разных языках, веб-сайты, по-видимому, были каналом для связи ЦРУ с оперативниками по меньшей мере в 20 странах, среди которых Китай, Бразилия, Россия, Таиланд и Гана, обнаружили аналитики.

По словам бывших американских чиновников, агентство не было в курсе того, что эта система была взломана, до 2013 года, когда многие его агенты начали пропадать без вести.

Тем не менее, ЦРУ никогда не считало сеть достаточно безопасной для своих самых ценных источников. Информаторы высшего уровня получают индивидуальные инструменты для скрытой связи, созданные с нуля в штаб-квартире агентства в Лэнгли, штат Вирджиния, чтобы легко вписаться в жизнь шпиона, не привлекая внимания, сказали три бывших сотрудника ЦРУ.

По их словам, массово созданные сайты предназначались для источников, которые либо не считались полностью проверенными, либо имели ограниченный, хотя и потенциально ценный, доступ к государственным секретам.

«Это касается человека, который, как считается, не заслуживает инвестиций в передовые профессиональные навыки», — сказал один из бывших сотрудников ЦРУ.

ЦРУ отказалось комментировать информацию о системе секретной связи и провале разведки.

По словам Сантили, теперь, спустя более 15 лет, раскрытие этих сайтов не столько представляет угрозу, сколько дает уникальную возможность прикоснуться к цифровым артефактам шпионской эпохи. Исследователь сравнил это с посещением музея — благодаря архиву интернет-страниц каждый желающий может посмотреть на «живые» следы проваленной спецоперации.

«Детали», Ю.Л. Фото: Depositphotos.com ∇