Ганновер, 1986: западные хакеры работают на КГБ⁠⁠

Пока в СССР судили Уртембаева за хулиганство, западные подростки сами шли продавать взломанные данные советской разведке. За деньги и наркотики. КГБ не очень понимал что покупает. Один из участников был найден сожжённым в лесу.

Это история которую рассказал Клиффорд Столл - астроном из Лаборатории Лоуренса Беркли, который случайно обнаружил хакера в своей системе в 1986 году, потратил год на его отслеживание и в итоге раскрыл шпионскую операцию КГБ.

Книга Столла «The Cuckoo's Egg» (1989) - один из первых детальных документальных отчётов о реальном кибершпионаже. Документальный фильм «The KGB, the Computer, and Me» снят по мотивам.

Источники: Столл К., «The Cuckoo's Egg» (1989); Wikipedia (Karl Koch, Markus Hess); Chaos Computer Club history; Internet Archive (36C3 доклад «The KGB Hack: 30 Years Later», 2019); Phrack Magazine #25 (1989)

Персонажи

Карл Кох (псевдоним «Hagbard», по персонажу трилогии «Illuminatus!» Роберта Антона Уилсона). Родился 1965, Ганновер. Тяжёлая наркотическая зависимость. Убеждён что живёт внутри теории заговора иллюминатов. Найден сожжённым в лесу под Ганновером 23 мая 1989 года. Официально: самоубийство. Неофициально: открытый вопрос.

Маркус Хесс (псевдоним «Urmel»). Тот самый хакер которого полтора года выслеживал Столл. Проникал в компьютеры военных сетей США через подключение к сети Berkeley Lab.

Ханс Хайнрих Хюбнер (псевдоним «Pengo»). Впоследствии добровольно сдался властям, воспользовавшись амнистией для шпионов в западногерманском законодательстве.

Петер Карл. Вербовщик группы, организовавший первый контакт с КГБ.

Агент КГБ Сергей Марков (Восточный Берлин). Принимал материалы и платил.

Хронология

1985: На хакерской встрече в Ганновере Петер Карл вербует Коха в кольцо хакеров для взлома западных компьютерных систем, особенно военных и оборонных.

Сентябрь 1986: Карл и Бжезинский едут в советское торговое представительство в Восточном Берлине с предложением продавать секретную информацию с американских военных компьютеров. Агент КГБ Марков соглашается.

1986-1988: Группа взламывает компьютеры американских военных и оборонных организаций, скачивает документы и программы, передаёт их КГБ в Восточном Берлине. Оплата: деньги наличными и наркотики.

1986 (параллельно): Столл в Беркли обнаруживает расхождение в 75 центов в биллинге. Начинает отслеживать хакера. ФБР, ЦРУ, АНБ - никто не заинтересован. Нет законов, нет юрисдикции, нет понимания что это такое.

Июнь 1987: Американские и западногерманские власти при помощи Столла отслеживают звонок Хесса из Беркли до его квартиры в Ганновере. Из-за ошибки полиции Хесса не поймали на месте взлома. Арестован, но отпущен под апелляцию.

Лето 1988: Кох и Хюбнер независимо друг от друга сдаются властям, воспользовавшись амнистией для шпионов.

2 марта 1989: Арестованы 8 человек, включая Хесса, Хюбнера, Коха, Бжезинского, Карла. Большинство отпущены через несколько дней.

23 мая 1989: Карл Кох найден сожжённым в лесу под Ганновером. Записки нет.

Технический разбор

Метод проникновения: Маркус Хесс использовал DEC VAX систему и эксплуатировал подключение Беркли к Space Physics Analysis Network (SPAN) - научной сети связывавшей университеты и исследовательские лаборатории. Это дало доступ к военным сетям которые были связаны с той же инфраструктурой.

Характерный признак который выдал происхождение: хакер постоянно использовал команду ps -eafg. Флаг -f был лишним под Berkeley Unix, но стандартным под AT&T Unix. Столл понял: хакер либо с восточного побережья США, либо из-за рубежа.

Это первый задокументированный пример поведенческого профилирования хакера - определения происхождения по операционным привычкам, а не по IP-адресу.

Что продавали: документы и ПО с военных компьютеров. Стратегическая разведка: структуры военных сетей, доступ к системам Министерства обороны.

Что КГБ с этим делал: по имеющимся данным - не очень понимал. Это была первая встреча советской разведки с хакерами как инструментом. Ни методологии, ни инфраструктуры для работы с цифровой разведкой ещё не существовало.

Юридический разбор

Западная Германия 1989: Хакеры осуждены за шпионаж, получили условные сроки около двух лет. Суд констатировал минимальный ущерб для Германии.

Почему условно: воспользовавшись амнистией для шпионов и добровольно сдавшись, Кох и Хюбнер получили защиту от уголовного преследования. Именно это разозлило Столла - он потратил год жизни, а виновные фактически не сели.

США: никакого преследования - не было законов, не было юрисдикции для иностранных хакеров.

Прецедент для международного права: это дело стало одним из первых которые показали необходимость международных договоров о киберпреступлениях. Конвенция Совета Европы о киберпреступности (Будапештская конвенция) появится только в 2001 году - через 15 лет после этих событий.

Подводные камни

Закрытость научных сетей - иллюзия безопасности. SPAN и аналогичные сети считались «закрытыми» потому что это не публичный интернет. Но они были связаны друг с другом и с военными системами. Концепция «безопасная сеть = закрытая сеть» не работает когда есть мостиковые соединения.

75 центов как стартовая точка. Столл нашёл хакера из-за копеечного расхождения в биллинге. Это аномалия - и это урок: мониторинг мелких расхождений важнее чем мониторинг крупных событий. Крупные события видны сразу. Мелкие аномалии - признак длительного скрытого присутствия.

КГБ не понимал что покупает. Разведчики не имели технической экспертизы для оценки ценности материалов. Это значит возможна ситуация когда продавец завышал ценность информации, а покупатель не мог проверить. Тот же паттерн что и в современных схемах продажи «банковских легенд».

Судьба Коха. Найден сожжённым. Никаких объяснений. Это единственный участник кто не дожил до суда. Случайность или нет - официально неизвестно.

Финал: всё что вы знали о первом кибершпионаже - неправда

В 2005 году на портале Provider.net.ru появился меморандум за подписью ArkanoiD - одного из участников петербургской группы которая продала доступ Левину. В нём он уточнял историю дела Citibank. Эти уточнения можно спроецировать на историю с КГБ.

Возможно первый успешный западный кибершпионаж в пользу СССР был не столько о технических способностях исполнителей, сколько о том что КГБ первым начал платить людям с доступом. Не за технику. За доступ.

Эта модель - платить за доступ, а не за умение взламывать - остаётся актуальной. В 2016 году казахстанский инсайдер фотографировал экран с IMSI-данными и пересылал фотографии за деньги. Не отличается от Карла Коха везущего дискеты в Восточный Берлин в 1986-м.

Инструменты менялись. Модель осталась.

Ссылки: Stoll C., «The Cuckoo's Egg» (1989, книга); en.wikipedia.org/wiki/Karl_Koch_(hacker); en.wikipedia.org/wiki/Markus_Hess; archive.org (36C3 talk «The KGB Hack: 30 Years Later», 2019); Phrack Magazine #25 (1989, «News From The KGB/Wily Hackers»)