Войти в систему
Войти с помощью соц. сетей:
«Я их сделал!»449
Аарон Барр был на седьмом небе от счастья. В феврале 2011 года директор компании HBGary Federal, предоставляющей услуги кибербезопасности, разослал коллегам радостные письма. Он хвалился тем, что обманул (или, как говорят хакеры, «поимел» – «pwned») хакерское объединение Anonymous, вторгшись туда и вычислив их реальные фамилии и адреса.
«Хочу вступить с ними в перепалку по сети. Круто будет, если это затянется надолго. Так мы сможем привлечь больше внимания и больше журналистов к этой крайне важной теме», – писал он. Ему казалось, что совсем скоро он раскроет и предъявит всему миру знаменитую группировку хакеров, которая взламывала MasterCard и Visa после того, как те отказались обрабатывать платежные операции WikiLeaks, опубликовавшей десятки тысяч засекреченных телеграмм правительства США450. На самом деле через несколько дней жизнь Барра изменится до неузнаваемости: разрушится его репутация вместе с репутацией его компании, а на карьере эксперта в области кибербезопасности будет фактически поставлен крест451.
Барр и впрямь подобрался к Anonymous практически вплотную. Хотя он и заявлял коллегам, будто хакеры его недооценили, сам Барр тоже плохо представлял, на что они способны.
На следующий день после триумфального «Pwned!» хакеры взломали весь его почтовый сервер. 40 тыс. писем попали в открытый доступ на торрент-трекер The Pirate Bay. Кроме того, хакеры сообщили, что удалили архивные файлы компании объемом более чем на терабайт и удаленно стерли все содержимое с айпада Барра. Дело приняло такой оборот, что учредитель HBGary Federal – компания, которая тоже называлась HBGary, – послал председателя совета директоров Пенни Ливи в открытый чат, и она попросила хакеров оставить компанию в покое. «Можно сказать, он всех нас взбесил», – обратилась Ливи к ликующим хакерам (цитата приводится по выложенному в открытый доступ логу чата)452. Хакеры потребовали от нее уволить Барра, продать принадлежащий HBGary контрольный пакет акций его компании, а выручку вместе с зарплатой Барра отдать на оплату адвоката для информатора WikiLeaks Челси Мэннинг. Барр ушел с поста директора HBGary Federal. Не прошло и года, как обе компании выкупила другая фирма, занимающаяся кибербезопасностью. Их репутация не подлежала восстановлению453.
Если верить тому, что Барр писал в слитых письмах, он преследовал вполне определенные цели: привлечь внимание ФБР и получить новые правительственные заказы. По иронии судьбы именно от тех действий, которым Барр не придавал значения, для ФБР было куда больше пользы, чем от потенциальной поимки нескольких хакеров.
Взломав серверы HBGary, группировка Anonymous, не теряя времени даром, получила доступ к ящикам важных лиц компании. Среди них был Грег Хоглунд, муж Ливи и один из лучших экспертов HBGary. Выдав себя за Хоглунда, хакеры убедили администратора одного из серверов HBGary поменять пароль на «changeme123»454. На этом сервере хранился исходный код от rootkit.com. Это был личный проект Хоглунда, посвященный программам, которые позволяют хакерам тайно получать доступ к компьютерам. На сайте был и форум, где пользователи обсуждали разновидности руткитов и выкладывали их код455. Получив доступ к серверу, хакеры из Anonymous сняли шифрование с базы данных учетных записей сайта и выложили их в открытый доступ.
В слитой базе уже другая команда экспертов по кибербезопасности обнаружила до боли знакомый логин. Виргинская компания Mandiant долгое время выслеживала группировку китайских хакеров, которым присвоила обозначение APT1, то есть постоянная угроза высшего уровня (advanced persistent threat). Среди специалистов по кибербезопасности такое обозначение обычно присваивают кибершпионам на государственном финансировании. Группировка, также известная как Comment Crew, провела несколько атак на крупные американские компании. Среди них были Coca-Cola, Lockheed Martin, а также ядерная энергетическая компания Westinghouse456. Взломаны были сети компаний, работа которых была связана с поддержанием жизненно важных инфраструктурных объектов: нефте- и газопроводов, электросетей, водопроводов. Больше всего последствий, впрочем, имела атака на компанию RSA, занимающуюся продажей решений для шифрования и многофакторной аутентификации. В перспективе это давало хакерам возможность незаметно проникнуть в сети тысяч компаний по всему миру457.
В Comment Crew работали опытные хакеры и программисты, которые сами могли писать вирусы и настраивать под себя инструменты для взлома сетей. Однако используемый ими арсенал не отличался от методов, что применялись для атак на тибетскую диаспору с самого начала нулевых или для взлома сети Google в 2009 году. Хакеры из APT1 изучали информацию о компаниях, намечали список потенциальных жертв среди сотрудников и рассылали им тщательно и правдоподобно составленные фишинговые письма с невинно выглядящими вложениями. Если получатель открывал такое вложение, у хакеров появлялся неограниченный доступ к компьютеру жертвы или ко всей сети. Группировка существовала уже давно и отличалась завидной уверенностью, даже самоуверенностью. Годами применялись все те же вирусы, домены, IP-адреса, инструменты. Зачем было менять зарекомендовавшие себя схемы? Ведь их можно было пустить в ход практически при любой атаке.
О сохранении секретности хакеры тоже особенно не заботились. Один из участников группировки, известный под псевдонимом UglyGorilla, давно и регулярно появлялся на китайских форумах для военных и хакеров. В 2004 году, во время онлайн-конференции, организованной сайтом газеты «Цзефанцзюнь бао», он процитировал отчеты о хакерском потенциале США и задал вопрос: есть ли у Китая своя «киберармия»458? Точно не известно, был ли вопрос с подвохом от действующего бойца этой пресловутой киберармии или пользователя UglyGorilla завербовали уже позже. В его хакерском таланте сомневаться не приходилось. Эксперты Mandiant проследили историю его деятельности в интернете и узнали, что, среди прочего, он разрабатывал самую первую известную версию вредоносной программы из семейства Manitsme, которая позволяла хакерам загружать и скачивать файлы с зараженных компьютеров. Обычно у вредоносного ПО нет выходных данных, и тем более в них не указывается имя разработчика. То, что UglyGorilla не скрывал свою причастность к этой программе, только подтверждает: работал он, можно сказать, в очень дружелюбной, даже комфортной обстановке. Если посмотреть на код Manitsme, никаких сомнений не остается: там есть послание на ломаном английском, которое выглядит так: «v.10 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007» («версия 10, гарантированно взломать вас, писал UglyGorilla, 06/29/2007»).
Однако до взлома HBGary специалисты Mandiant не могли продвинуться дальше информации о содержании постов UglyGorilla на форумах и данных о вредоносной программе. В выложенной в открытый доступ базе данных rootkit.com было не только имя пользователя, но и адрес китайского хакера: [email protected]. Этот адрес эксперты Mandiant проследили до доменных имен, которые зарегистрировал на себя UglyGorilla, а также еще до нескольких аккаунтов на форумах и хакерских сайтах. В слитой базе также содержался IP-адрес, с которого UglyGorilla зарегистрировал аккаунт на rootkit.com: 58.246.255.28. Он соответствовал довольно захудалому кварталу в шанхайском районе Пудун, новой застройке на осушенном болоте.
Да, за IP-адресом UglyGorilla мог бы и проследить, но эксперты узнали о нем в результате стечения обстоятельств, которые он никак не мог предусмотреть. Какова была вероятность того, что человек, связанный с rootkit.com, необдуманно пойдет войной на Anonymous, из-за чего сайт потом взломают и выложат базу в открытый доступ? Как и Барр, UglyGorilla недооценил противников и допустил несколько серьезных просчетов. Специалисты Mandiant обнаружили несколько аккаунтов, зарегистрированных на этот адрес, где в поле «Имя» было указано «Джек Ван». Сначала они решили, что это еще один псевдоним, китайский вариант распространенного сочетания имени и фамилии «Джек Смит». Однако в одном из аккаунтов UglyGorilla указал китайское имя – Ван Дун459.
Имя Ван Дун не было псевдонимом. В 2014 году, где-то через год после выхода в свет отчета Mandiant, большое жюри присяжных Западного района штата Пенсильвания признало пятерых служащих воинского формирования № 61398 НОАК виновными по 31 пункту обвинения, включая злоумышленное использование компьютерной техники по предварительному сговору, экономический шпионаж и хищение коммерческой тайны460. В пресс-релизе суда об этом деле, помимо описания обстоятельств преступлений, были фотографии под заголовком «ИХ РАЗЫСКИВАЕТ ФБР» крупным шрифтом, белым текстом на красном фоне. На одной из фотографий был пухлощекий, бритый налысо мужчина с торчащими ушами, в очках без оправы, которые, казалось, были малы для его широкого лица. Подпись под фотографией гласила: «Ван Дун, также известный под именем Джек Ван, или UglyGorilla».
«В рамках дела по обвинению в экономическом шпионаже против служащих китайской армии впервые в истории обвинение в киберпреступлении такого рода предъявляется государственному субъекту, – заявил при вынесении обвинительного приговора генеральный прокурор США Эрик Холдер. Эти слова повергли в шок весь мир. – Объем похищенных в результате этого преступления объектов коммерческой тайны и прочей конфиденциальной информации очень велик, что требует от нас жесткой реакции. Добиваться успеха на мировом рынке нужно только за счет инноваций и конкурентоспособности, а не за счет того, что у какого-то правительства есть финансовая возможность вести шпионаж и красть конфиденциальную информацию. Действующая администрация не потерпит никаких попыток незаконно саботировать деятельность американских компаний и нарушать правила честной конкуренции на свободном рынке со стороны какого-либо государства».
Обвинение в адрес воинского формирования № 61398 стало своего рода предупредительным выстрелом в направлении тех, кто руководил китайской кибершпионской операцией. Видимо, в результате их действий американским компаниям был нанесен слишком серьезный урон. Иначе вряд ли Вашингтон пошел бы на обострение отношений со своим самым важным торговым партнером. При этом сами Штаты уже давно проводили хакерские атаки против других стран.
Через несколько месяцев после публикации первого отчета Mandiant о подразделении № 61398 бывший сотрудник Агентства национальной безопасности Эдвард Сноуден бежал в Гонконг, откуда обнародовал шокирующую информацию об истинном размахе правительственного шпионажа и наблюдения со стороны США. Кроме того, многие утверждали, что США совместно с израильской разведкой разработали и успешно пустили в ход вирус Stuxnet – сложное, виртуозно изготовленное кибероружие. С его помощью была уничтожена до основания иранская ядерная программа. Тем не менее в глазах американцев между их действиями и китайскими хакерами была существенная разница. Целью атак китайских хакеров были частные компании. По всей видимости, делалось это в интересах китайского бизнеса.
Одно дело украсть чертежи сверхзвукового истребителя, чтобы разработать меры защиты от него. Совсем другое – взломать сеть компании, украсть информацию по ее гражданским искам к китайским конкурентам или документы по предстоящей сделке, чтобы ее сорвать. В этом и обвинялось подразделение № 61398. «Китайское правительство слишком долго безо всякого стыда прибегало к приемам кибершпионажа, чтобы добиться экономического преимущества для государственных предприятий», – заявил при оглашении обвинения тогдашний директор ФБР Джеймс Коми. Несмотря на то что ФБР удалось раскрыть подразделение № 61398, китайские хакеры готовились провести самую дерзкую в их истории атаку.
Тучи начали сгущаться в апреле 2015 года. Тогда инженер по безопасности Управления кадров США (OPM), крупного административного органа федерального правительства, обнаружил, что из внутренней сети уходят запросы на сайт под названием opmsecurity.org461. Инженер Брендан Солсбери сразу заподозрил неладное. Он знал, что у OPM не было ресурса с таким доменным именем. Значит, его завел кто-то, кто хотел одурачить админов, отвечающих за исходящий трафик.
Разобрав исходящий запрос на составляющие, он обнаружил и другие подозрительные моменты. Файл, который обращался к сайту opmsecurity.org, назывался mcutil.dll. Согласно описанию, это был файл из антивирусного пакета McAfee. Но в OPM стоял другой антивирус, не McAfee. Как скоро выяснили Солсбери и его коллеги, этот файл действительно был вирусом. Внедрившись на серверы OPM, он открывал на них лазейку, а через нее у злоумышленников появлялся доступ к крайне важной секретной информации.
Степень важности этой информации стала известна совсем скоро. На закрытом совещании с сенаторами директор ФБР Коми сообщил, что злоумышленники получили доступ к личным данным 18 млн действующих, бывших и потенциальных новых федеральных служащих462. Там было все: отпечатки пальцев, медицинские карточки, отчеты о проверках службы безопасности, сведения о судимостях, а также множество других потенциально компрометирующих сведений о служащих и членах их семей. Хакеры проникли в самое сердце сети OPM, одного из наиболее важных компонентов федеральной инфраструктуры. Сеть создавалась как цифровая крепость, но, по всей видимости, ею не стала. Говоря словами из разгромного отчета Конгресса, этот взлом поставил под угрозу национальную безопасность на целое поколение, если не больше. Составители отчета добавляли, что значимость украденной информации – анкетных данных служащих – для иностранного государства, с точки зрения разведки и контрразведки, невозможно переоценить463. Эксперт, которого привлекли к расследованию утечки, точно и образно описал эту ситуацию в письме начальнику: «Они по уши в дерьме».
После обнародования факта появилось множество сообщений, в которых атаку связывали с группами хакеров на содержании у китайского правительства, в частности НОАК. В правоохранительных органах считали, что злоумышленники, скорее всего, планировали собрать большую базу данных федеральных служащих, чтобы потом шантажировать их или использовать их личные данные в своих целях. Атака затронула несколько десятков государственных органов464. Как и в остальных случаях, официальный Китай с негодованием все отрицал. Однако в середине 2017 года в связи с этим делом ФБР арестовало гражданина КНР, который приехал в США на конференцию по вопросам компьютерной безопасности465.
Сразу после разоблачения подразделения № 61398 и атаки на OPM президент США Барак Обама принимал в Белом доме главу КНР Си Цзиньпина. Было подписано важное двустороннее соглашение, в котором, в частности, говорилось: правительства обеих стран обязуются не осуществлять и заведомо не поддерживать хищение с помощью компьютерных средств интеллектуальной собственности, в том числе составляющих коммерческую тайну или иную конфиденциальную информацию466. Для Обамы это соглашение стало серьезной дипломатической удачей: к концу второго срока ему так и не удалось добиться от Китая сколько-нибудь значительных уступок, хотя в начале срока он провозгласил курс на разворот в сторону Азии и пытался сдержать растущие аппетиты КНР в акватории Южно-Китайского моря. Стратегический исследовательский центр RAND, тесно связанный с правительством США и военной промышленностью, назвал соглашение хорошим началом. Тем не менее многие выразили сомнение в том, что Китай будет послушно соблюдать все его условия467.
Поначалу все шло хорошо. Согласно отчету агентства по компьютерной безопасности FireEye за 2016 год, отмечался существенный спад количества хакерских атак из Китая по данным на территории США и еще 25 стран. По мнению FireEye, основными причинами этого были действия ФБР и, как следствие, повышенное внимание общественности к китайским хакерским группировкам. Хотя в отчете среди возможных причин того, что атаки стали более точечными и тщательно подготовленными, назывались реформа НОАК и борьба с коррупцией468, отмечалось, что хакерам могли попросту приказать оставить США в покое и переключиться на другие цели.
Примерно в то же время, когда FireEye готовило свой отчет, московская «Лаборатория Касперского» зафиксировала трехкратное увеличение числа хакерских атак из Китая на российские компании и государственные структуры469.
Контролю за соблюдением соглашения помешали выборы в США в 2016 году и связанный с этим переполох вокруг предполагаемой атаки русских хакеров на Национальный комитет Демократической партии и другие организации. Образ всесильной банды хакеров, угрожающих всем общественным структурам США, в массовом сознании американцев переместился из Пекина в Москву. Поэтому мало кто обращал внимание, что правительство Китая отнюдь не прекратило спонсировать взломы. В прессе и по телевидению только и было разговоров о том, что лица, связанные с Кремлем или близкие к Путину, делали в течение нескольких месяцев перед избранием Дональда Трампа. Тем же, кто и дальше подвергался атакам элитных китайских хакеров, приходилось искать другое решение.
Войти с помощью соц. сетей: