Еще утром по линии спецслужб в Центр поступила уточненная «Вводная». Оказывается, антивирусными сторожами «Каспера» вблизи охраняемого термоядерного объекта обнаружена необычная сетевая активность известного червя «Fanny», который позволяет получать данные с компьютера, даже если он совсем отключен от мировой паутины.

Кроме того, в пояснительной записке самого «Каспера» к полученной «Вводной» сообщалось, что известная кибергруппировка «Equation Group» часто использует для скрытного проникновения именно червя «Fanny». Этот «Fanny» является арсеналом новаторских программных инструментов, называемых эксплойтами, для скрытного проникновения в изолированные сети. Эксплойты этого червя «Fanny» вскоре появились и в мощнейших американо-израильских киберразработках типа StuxNet, а затем и во «Flame». По всей вероятности, «Equation Group» делилась с коллегами имевшимися у нее эксплойтами, использующими уязвимости нулевого дня. Наибольшее количество жертв кибергруппировки «Equation Group» было зафиксировано как раз в России и в Иране.

– Профессор, а по каким признакам мы будем искать следы этого червя «Fanny»? – спросил Егор. – Ведь наша задача пока выглядит, как в сказке: «Пойди туда, не знаю куда, найди то, не знаю что!»

– Хороший вопрос, да еще заданный вовремя, зря не пропадает! – отшутилась Латышева. – Только боюсь, майор, что этот дедушка «Fanny» уже давно на пенсии и на инспектируемом объекте нам следует искать следы его продвинутых внуков и правнуков, таких, например, как «Angler». Этот новейший набор эксплойтов может использовать шифрование и сам умеет обнаруживать опасные для него антивирусные средства. А его вредоносные программы работают прямо в оперативной памяти, даже без записи на жестких дисках.

– Я вчера прочитал в одном IT-журнале, – прервал Егор своего учителя, – что «Лаборатория Каспера» впервые обнаружила модули, которые позволяют перепрограммировать операционную систему жестких дисков 12 основных мировых производителей. Поэтому, зловредный «троян», однажды попав в ОС жесткого диска, во-первых, не может быть с него удален даже в случае форматирования жесткого диска. А во-вторых, он создает там себе «тихую гавань» в виде секретного хранилища информации.

– Майор, вы растете прямо на глазах, раз начали читать такие журналы! Но эта ваша информация нам вряд ли пригодится, ибо у нас пока нет средств обнаружения подобных «секретных хранилищ». Надеюсь, что из Центра нам дошлют подходящую информацию вдогонку. А иначе, нам придется это выяснять самим и прямо на месте. И не исключено, что «врукопашную»…

Когда Буцефал и Росинант прибыли на объект, Латышева приказала рассредоточиться в заранее подготовленных флешках-укрытиях с контролем доступа вне охраняемого периметра. И затаиться обоим в режиме строгого радиомолчания на длительное время, чтобы собрать первичную информацию об окружающей виртуальной сетевой обстановке.

Заранее установленное стационарное сетевое оборудование уже собрало массу статистики и подготовило спектральные портреты типовых рабочих режимов обмена инспектируемого объекта открытой информацией с внешним миром. Именно обнаруженные недавно «Каспером» отличия этих частотных радиопортретов от типовых статистических данных и вызвали тревогу спецслужб. А потом и заставили обратиться к нам в Центр как к профессионалам антивирусной сетевой безопасности.

Особое внимание Латышева уделила серверам так называемых межсетевых экранов, которые управляют допуском извне в охраняемые домены и размещаются на выходах из доменов в мировую паутину. Своего Буцефала Латышева разместила в искусственном укрытии вблизи одного из таких выходов. А Егор со своим Росинантом замаскировался в малоприметном месте внутри RAID-контроллера сервера. Таким образом, вместе они могли держать под непрерывным наблюдением пограничную зону канала связи с обеих сторон межсетевого экрана.

Вот уже более половины дня провели инспекторы в засаде в режиме строгого радиомолчания, наблюдая за магистральным каналом связи. Но, судя по настроенным на известные признаки злоумышленников индикаторам автоматического обнаружения у Буцефала и Росинанта, в канале ничего существенного пока не происходило.

– Не клюет, товарищ подполковник… Может, пора уже сменить это «прикормленное» местечко на какое-либо другое? – позевывая, Егор связался с Латышевой по внутренней связи Центра.

– Т-с-с… Майор, тишина в эфире! – возмутилась Латышева. – Своим зеванием вы распугаете всю виртуальную живность, резвящуюся на «вечерней зорьке»!

Именно в этот момент в «пограничную зону» канала вместе с очередным e-Mail прибыло «Нечто», которое было весьма массивным в мегабайтах. Это «Нечто» отцепилось от письма-перевозчика, выполнявшего функции попутной лошади. Затем, прихватив свой «багаж» – несколько прикрепленных файлов-архивов, оно направилось внутрь RAID-контроллера сервера. Поскольку это «Нечто» село практически на голову Росинанта, так удачно замаскировавшегося в нужном месте, Егор едва удержался от инстинктивного желания подвинуться. Индикатор «свой – чужой» на мониторе в капсуле Егора мерцал «чужим» красным цветом.

Прежде всего это «Нечто», невзирая на попытку блокировки его действий антивирусом «Каспер», сразу обеспечило себе в настройках права и привилегии администратора домена.

– Откуда у него взялись логин и пароль администратора? – недоумевала Латышева. – Наверняка в инспектируемом домене уже сидит давно засланный «троян» – клавиатурный шпион, который подсмотрел и записал все пароли. И поэтому на данном объекте надо обязательно ужесточить принципы авторизации пользователей, например с помощью кодовых таблеток, проксимити-карт, отпечатков пальцев или даже контроля рисунка сетчатки глаз, – Латышева набросала для себя текст рекомендации по результатам инспекции.

Продолжая обустраиваться далее, «Нечто» запрятало свой «багаж» в скрытые сектора жесткого диска и пометило их как Bad. Затем «Нечто» попыталось путем лихой кавалерийской атаки преодолеть многоуровневый брандмауэр домена. Но на это ему «Каспер» не оставил никаких шансов. Конечно, на месте «Нечто» можно было бы попытаться поискать тайные «черные» ходы разработчика, подобрать их логины и пароли! Но подобное даже для программного робота очень трудоемкая и длительная работа. А «просверлить свои собственные норы» в брандмауэре «Каспера» без хорошо подготовленной масштабной вирусной атаки было практически нереально. По видимому, все известные приемчики, заложенные в тактике персонального нападения этого «Нечто» на выбранный объект, были исчерпаны. И злоумышленнику, по-видимому, ничего другого не оставалось, как ждать помощи извне. Например, надеяться на DDos-атаку, организованную внешними «зомбированными» компьютерами из мировой паутины. Только тогда, в условиях искусственного хаоса, вызванного переполнением всех вычислительных ресурсов сервера, еще могли возникнуть кое-какие шансы для удачного проникновения в защищенный «Каспером» домен. Поэтому от нечего делать, дожидаясь внешней помощи, «Нечто» стало осматриваться и сканировать на предмет халявного доступа все окружающие его носители информации.

И тут ему наконец улыбнулась удача. «Нечто» нашел то, на что особенно и не надеялся. Он получил доступ к старому перезаписываемому DVD-RW-диску с какими-то музыкальными треками. Он расчистил там для себя немного свободного пространства, удалив несколько последних музыкальных записей, немедленно скопировал туда свой архив с комплектом эксплойтов и ловко переместился туда сам.

Всю эту многоходовую операцию воочию наблюдали Латышева с Егором и подробно фиксировали ее средствами объективного контроля.

– А ты, майор, предлагал «прикормленное» место поменять… – подначивала Егора Латышева. – Да лучше твоего места прямо под «задницей» у злоумышленника трудно было и придумать! Майор, доложите обстановку в Центр, но пока без деталей, и продолжайте наблюдение! Ведь на такое серьезное задание уважающие себя «трояны» по одному не ходят. А я пока побеспокоюсь, чтобы этот «счастливый» DVD-RW-диск попал в надежные руки. Теперь в «Лаборатории Каспера» появится прекрасный объект для детального исследования.