Поскольку компания HBGary Federal (дочернее предприятие HBGary для работы по заказам федерального правительства) уже давно испытывала ощутимые финансовые затруднения, директору этой фирмы Аарону Барру пришла в голову роковая идея попытаться заработать на интересе ФБР к анонимусам. Имея значительный опыт в сборе и сопоставлении разрозненных персональных данных с различных сайтов интернета, Аарон Барр и его сотрудник, путем прочесывания чатов, социальных сетей Facebook и Twitter, набрали достаточно большое количество «установочной информации» о предположительных лидерах и активистах анонимного движения. Скомпилировав соответствующее досье, Барр намеревался выгодно продать его властям США. Однако на деле всё вышло совершенно не так, как мечталось инициативному разведчику.
Началом катастрофы стало опрометчивое интервью, которое Барр дал газете Financial Times и где он, не скрывая гордости, объявил, что успешно сдёрнул покровы секретности с анонимусов — установив их лидеров и продемонстрировав, что не такие уж они «анонимные». В этом же интервью, дабы привлечь побольше внимания к своему досье со стороны властей, Аарон Барр сообщил, что доложит о методах и итогах своих изысканий на ближайшей конференции по инфобезопасности в Сан-Франциско.
Практически сразу же вслед за этой публикацией некие безвестные умельцы проникли в несколько компьютерных систем как HBGary Federal, так и родительской HBGary (хотя опозоренный «родитель» ныне старательно дистанцируется от своей в хлам скомпрометированной «дочки», настаивая на том, что юридически это самостоятельная компания; на деле у обеих фирм одни и те же владельцы, один общий офис, общие серверы, специалисты и так далее). Проникнув же в системы HBGary — фирмы, напомним, позиционирующей себя в качестве экспертов компьютерно-сетевой защиты, — анонимусы отыскали там составленное Барром досье, а также очень много чего другого и интересного. Например, большущий, примерно на 67 000 писем, архив электронной почты обеих фирм, весьма деликатного свойства внутреннюю документацию и всяческие прочие файлы, совершенно не предназначавшиеся для глаз посторонних.
Мало того, что все эти материалы были анонимусами выкачаны, а многие из них, включая архив почты и досье на Anonymous, тут же выложены в пиринговые сети для всеобщего свободного скачивания и ознакомления (со словами типа «Барр хотел продать это досье ФБР, мы же дарим его им абсолютно бесплатно, потому что собрана там сплошная чепуха»). Попутно анонимусы хакнули и опустили веб-сайты, связанные с бизнесом HBGary, захватили аккаунты их руководства и сотрудников Twitter, где стали публиковать всякие нелицеприятные слова о компании, уничтожили резервные архивы данных фирмы, а ради уязвления лично Аарона Барра дистанционно стёрли информацию в его планшете iPad.
Короче говоря, масштаб катастрофы, постигшей компанию HBGary, без всякого преувеличения можно называть фатальным. Чтобы хоть как-то сохранить лицо, сооснователь и исполнительный директор HBGary Грег Хоглунд даёт прессе интервью примерно в таких сдержанно-угрожающих выражениях: «И прежде то, что делали эти ребята, было технически незаконным, однако всё это совершалось ради прямой поддержки сливов компромата на власти [что нелегальным в общем-то не является]. Но теперь мы имеем ситуацию, когда они совершают федеральное преступление, похищая частные данные и засылая их в торрент-сети... Они атаковали не просто какую-то там компанию — ведь мы пытаемся защищать правительство США от хакеров. Они не могли выбрать себе худшую цель для атаки»...
Судя по происходящему, крайне маловероятно, что хоть кого-то из анонимусов способны испугать подобные угрозы со стороны тотально раздавленной HBGary. Особенно если принимать во внимание характер и содержание той информации о деятельности данной фирмы, что ныне стали общеизвестными. Реальную основу бизнеса HBGary, судя по конфиденциальной переписке компании, составляла не столько защита от вредоносного ПО, сколько написание новых, всё более опасных и неистребимых руткитов, троянов, бэкдоров и прочих шпионских программ. Изготовляемых, естественно, по заказам видных корпораций военно-промышленного комплекса США под всякими нейтральными названиями типа «Проект С», «Задание Z», «Задание M», «Задание B» и так далее.
Как правило, заказчиком всех этих «изделий» обычно выступала известная фирма американского ВПК General Dynamics, а стоимость отдельных заказов могла исчисляться сотнями тысяч долларов. Особый же интерес представляет совсем свежий контракт HBGary, обсуждаемый в январе 2011 года в личной переписке Грега Хоглунда с некой фирмой Farallon. Не самая знаменитая, мягко говоря, в ИТ-безопасности корпорация, Farallon формулирует свою официальную миссию следующими словами: «объединять продвинутые коммерческие технологии и компании, которые их разрабатывают, с запросами и потребностями правительства США». В развернутом письме-презентации Хоглунда для этого интегратора описывается одно из конкретных предложений на запросы американского правительства — совершенно новая разработка HBGary под названием "супер-руткит Magenta".
Цитируя содержательную часть данного документа:
"Magenta — это новый тип руткита под все нынешние разновидности ОС Windows, который в HBGary получил название мульти-контекстного руткита. Тело этого руткита, на 100 процентов реализованного на языке ассемблер и имеющего размер порядка 4 кбайт или менее того, вводится в память ядра ОС с помощью техники частичной загрузки DriverEntry. Однажды внедрённый в память ядра, руткит Magenta автоматически выявляет там контекст активных процессов и тредов, чтобы встраивать себя в них через механизм APC (асинхронный вызов процедуры). Как только APC срабатывает в контексте нового процесса, тут же выполняется и код руткита. При завершении каждой активации APC Magenta перемещает себя на новое место в памяти и автоматически выявляет новые комбинации процессов/тредов для запуска одного или нескольких дополнительных APC.
Среди ключевых особенностей руткита можно отметить, что это совершенно новый тип, не имеющий аналогов в открытых публикациях. Его практически невозможно удалить из живой работающей системы. Любые инструменты, основанные на физическом анализе памяти, которые позволяют увидеть текущее местоположение тела Magenta, будут почти бесполезны, поскольку к тому времени, когда аналитик попытается проверить свой результат, Magenta уже переместится в новое место и в новый контекст. Руткит невидим для оборонительных компонентов режима ядра и оснащён элегантной и мощной системой инструкций командования и управления (C&C message system), для которых имеется практически бесконечное количество способов их внедрения в физическую память сетевого компьютера даже при нулевых полномочиях…"
Переходя к не менее любопытной и до последнего времени столь же незримой деятельности дочерней фирмы, HBGary Federal, несложно увидеть, что с заказами федерального правительства у неё как-то с самого начала не задалось. Однако задачи, которые эта компания с энтузиазмом бралась решать для столкнувшихся с проблемами богатых клиентов, вроде Bank of America или Торговой палаты США, в каком-то смысле ничуть не уступают коммерческому изготовлению шпионских руткитов. А с точки зрения сомнительной легальности творимого, быть может, даже и превосходят.
Когда осенью прошлого года Торговая палата США пожелала собрать информацию о некоторых из своих наиболее рьяных оппонентов в рядах профсоюзов, Аарон Барр почуял большие деньги и объединился с двумя другими компаниям по инфобезопасности, чтобы предложить Палате радикальное решение. Суть предложения — создать крутую и абсурдно дорогостоящую «ячейку синтеза» для быстрого и эффективного сбора компрометирующих материалов на оппонентов, по типу тех ячеек, что «создают и применяют в JSOC» (крайне засекреченном американском Командовании совместных спецопераций) для оперативной борьбы с национальными угрозами. Аналогичная инициатива для бизнес-структур, по подсчётам Барра и его подельников, обошлась бы Палате в круглую сумму — два миллиона долларов ежемесячно.
Ещё даже не получив предварительное «добро» или тем более контракт на операцию, три фирмы уже начали собирать твиты и прочие сетевые публикации либеральных активистов, а также составлять диаграммы социальных связей между людьми. Для этого они использовали продвинутые программы анализа контактов, чаще всего применяемые в спецслужбах и разведывательном сообществе.
Примерно тогда же, в ноябре 2010 года, когда руководители одного из крупнейших банков США, Bank of America, начали с беспокойством искать способы, с помощью которых можно было бы как-то прищучить WikiLeaks (где в ближайшем будущем обещано опубликовать большой массив компромата на BoA), Аарон Барр и тут предложил свои услуги. Он оперативно сгенерировал презентацию-план [PDF], в котором HBGary Federal вызывалась организовать «кибератаки против инфраструктуры WikiLeaks, чтобы добыть данные об источниках-поставщиках документов». Когда же дело дойдёт до прессования этих поставщиков, то в итоге, по мысли Барра, это убьёт и весь проект. Другой сильной идеей была фабрикация компрометирующих документов с подсовыванием их для слива через WikiLeaks. После этого планировалось предоставить факты и доказательства, указывающих на подделку и продемонстрировать всем, что WikiLeaks — это крайне сомнительный источник всякого мусорного хлама.
