Хотя сотрудничество телеком-операторов и технологических компаний США с родным Агентством Национальной Безопасности в организации тотального прослушивания было крайне масштабным, оно не позволяло решить все те задачи, которые АНБ ставило перед собой. Для работы на неподконтрольных США территориях и чтения контента, который передавался по Сети лишь в зашифрованном виде, АНБ разработало целый арсенал вредоносных приложений, имевших максимальную функциональность: кража файлов и учетных записей, перехват сетевого трафика, использование встроенных микрофонов и веб-камер для подслушивания. Новые публикации демонстрируют, что использовать этот арсенал АНБ планировало отнюдь не точечно — специальные экспертные системы в инфраструктуре АНБ призваны автоматизировать управление миллионами зараженных машин.
Хотя ботнеты, то есть сети зараженных компьютеров, далеко не новы, их "коммерческая" разновидность, взятая на вооружение киберкриминалом, может управляться автоматизированно, это легко. Все зараженные компьютеры либо хором выполняют одну команду, скажем, рассылать спам, либо собирают конкретные данные по заранее заданным правилам, а затем отсылают информацию на сервер, где данные просто складываются в общую таблицу.
Например, злоумышленники обычно охотятся за номерами кредитных карт и паролями к онлайн-банку. В случае с ботнетом АНБ такой уровень автоматизации невозможен, поскольку кто-то должен принять решение, несет ли информация с конкретного компьютера разведывательную ценность. Именно поэтому первая волна "шпионских" программ АНБ была установлена лишь на единицах тысяч компьютеров, куда подсажена целенаправленно. Значительный рост числа инфицированных устройств требует найма сотрудников, которые будут управлять этой армией. Судя по новым документам, в АНБ подошли к решению проблемы вполне современно, разработав экспертную систему, возможно, с зачатками искусственного интеллекта, которая сама принимает решение, работать ли с конкретным зараженным компьютером и что с него тащить
Сценарий примерно таков: АНБ пытается заражать компьютеры, посылая владельцам завлекательные "фишинговые" письма со вредоносными ссылками внутри. Перейдя по ссылке, пользователь заражает свой компьютер. Вторым вариантом является подсовывание пользователю фальшивого, зараженного, сайта вместо легитимного. По имеющимся сведениям, одной из "обманок" был клон Facebook. В любом случае, после успешного заражения троянец отправляет на сервер целый пакет данных, описывающих компьютер, который удалось заразить. В пакет входят уникальные идентификаторы компьютера, имена пользователя в Gmail, Skype, и др. На основании этих данных, экспертная система на сервере отдает команды — воровать ли с компьютера данные, какие именно, включать ли прослушивание с микрофона, и т.п.
Вмешательство человека в каждом индивидуальном случае вовсе не требуется — достаточно общих настроек системы, вроде "искать военных из СНГ" или "искать системных администраторов". Кстати, последние действительно относятся к группе повышенного риска, поскольку через них можно захватить контроль над сетями, которые этим людям подотчетны.
Описанная технология при достаточных серверных мощностях позволяет в деталях следить за жизнью миллионов людей, даже если они не пользуются американскими веб-сервисами и применяют технологии защиты конфиденциальности. Судя по тому, как развиваются юридические дебаты в США, шансы на то, что подобные программы массовой слежки будут быстро свернуты, невелики. Единственное утешение состоит в том, что технологии АНБ далеки от магии, и, заражая миллионы машин, троянские программы неизбежно попадут под прицел антивирусных компаний, технологии которых как раз оптимизированы на выявление новых, массовых троянцев. Многие фирмы, в частности, российская «Лаборатория Касперского», публично заявили что будут обнаруживать и удалять вредоносное ПО вне зависимости от его происхождения.