RSS
Перевод осуществлён Клубом "Суть Времени"
Корпорации Гугл (Google) и Интел (Intel) были предсказуемыми объектами нападения базирующихся в Китае хакеров, с учетом того, что информация в компьютерах этих компаний представляет огромную ценность. Кибератака на обслуживающий отели Интернет-провайдер АйБан (iBahn) нуждается в некотором объяснении.
АйБан предоставляет высокоскоростной доступ в Интернет клиентам таких гостиничных сетей как Марриот Интернешнл (Marriott International), в том числе и представителям транснациональных компаний, проводящим деловые встречи прямо в отеле. По словам высокопоставленного сотрудника американской разведки, взлом сети АйБан мог позволить хакерам получить доступ к миллионам частных писем (в том числе зашифрованных), например таких, в которых приехавшие из Дубая в Нью-Йорк менеджеры сообщали в штаб-квартиру о разработке нового продукта или ходе торговых переговоров.
Ник Перкоко (Nick Percoco), глава подразделения СпайдерЛабс (SpiderLabs) корпорации ТрастВейв (TrustWave), занимающегося вопросами информационной безопасности, говорит, что ещё большую опасность представляет то, что хакеры вполне могли использовать взломанную сеть АйБан в качестве трамплина для проникновения в связанные с ней корпоративные сети и получения доступа к секретам корпораций, что осуществляется через командированных сотрудников (чьи компьютеры или почта оказались взломанными).
Интерес хакеров к таким небольшим компаниям, как расположенный в Солт-Лейк Сити АйБан, наглядно иллюстрирует размах проводимой Китаем кибервойны. За последние десять лет атакам одной и той же группы высококвалифицированных китайских хакеров подверглись сети более 760 компаний, исследовательских университетов, Интернет-провайдеров и правительственных организаций. Блумберг Ньюс (Bloomberg News) стало известно, что жертвами компьютерных шпионов становятся разные фирмы - от крупнейших корпораций до нишевых инновационных компаний, работающих в аэрокосмической отрасли, полупроводниковых и фармацевтических технологиях, в биотехнологиях. Например, атакам подверглись такие фирмы как Ресёрч ин Моушен (Research in Motion) (известная как производитель бизнес-смартфонов Блэкберри (Blackberry)) и Бостон Сайнтифик (Boston Scientific) (один из ведущих производителей медицинского оборудования).
«Крадётся всё»
«Хакеры крадут всё, что не приколочено, и масштабы этого стремительно растут», - говорит член Палаты представителей США Майк Роджерс (Mike Rogers), занимающий пост председателя Постоянного специального комитета по разведке при Палате представителей.
Согласно вышедшему в прошлом месяце правительственному докладу, Китай сделал промышленный шпионаж неотъемлемой частью своей экономической политики, используя украденную информацию для обгона Соединённых Штатов и других своих соперников и создания в дальнейшем самой сильной в мире экономики.
Ричард Кларк (Richard Clarke), бывший специальным советником президента Дж. Буша мл. по кибербезопасности, на прошедшей в октябре конференции по сетевой безопасности заявил, что «события последних 5 лет обусловлены тем, что Китай, если говорить откровенно, стремился получить доступ к информации всех компаний, входящих в базу данных Дан и Брэдстрит (Dun & Bradstreet), независимо от того расположены они в США, Азии или Германии. Данные выкачивались подчистую, терабайтами и петабайтами. Полагаю, всем очевидна степень нанесённого нашей стране ущерба».
Иностранные правительства
По словам Кларка, американские хакеры, в отличие от китайских, охотятся прежде всего за информацией правительств и вооружённых сил зарубежных государств, а также террористических групп, а не коммерческих компаний, и цель США - «защитить себя от будущих угроз».
Обвинения в адрес Китая усилились, когда в совместном отчёте 14 американских разведывательных агентств от 3 ноября Китай был указан как угроза номер 1 для бизнеса Соединённых Штатов. В то время как администрация Обамы предпринимает беспрецедентные шаги по разоблачению шпионских действий Китая, правительство, разведывательные агентства и члены Конгресса стремятся получить оценку ущерба, наносимого кибератаками, и выяснить что же нужно сделать чтобы их остановить до того как они вызовут негативный общественный резонанс.
До настоящего времени усилия правительства были направлены на повышение бдительности среди управляющего персонала компаний и получение от них обязательств по усилению мер компьютерной безопасности. Роджерс внёс законопроект (пока ещё не принятый), который позволит правительству делиться секретной информацией с частными фирмами, что позволит им вовремя обнаруживать угрозы, такие как сигнатуры вредоносного китайского программного обеспечения.
Отрицание причастности
Китайское правительство постоянно отказывалось признать свою причастность к хакерским атакам, проводимым с расположенных на его территории серверов. Генг Шуанг (Geng Shuang), пресс-секретарь посольства Китая в Вашингтоне, не ответил на электронные письма и телефонные звонки, в которых его просили прокомментировать ситуацию. Вэнг Баодонг (Wang Baodong), другой сотрудник пресс-службы китайского посольства в Вашингтоне, также никак не ответил на запросы.
По словам Майка Роджерса, в прошлом агента ФБР, анализ фактов, касающихся кибератак проводимых с территорий Китая, России и других стран, даёт оценку стоимости украденных из компьютеров американских корпораций чертежей, химических формул и другой информации в 500 миллиардов долларов.
Похищенная информация
Скотт Борг (Scott Borg), экономист и директор некоммерческой исследовательской организации Сайбер Консеквенсес Юнит (U.S. Cyber Consequences Unit) говорит, что американских чиновников сильно беспокоит то, каким же образом будут использованы украденные данные. По словам одного из высокопоставленных разведчиков сумма нанесённого хакерами ущерба зависит от трудно оцениваемых факторов, таких как эффективность и быстрота с которыми злоумышленники воспользуются украденной информацией и реализуют её в промышленности и науке.
Борг заявил что, хотя точную цифру ущерба трудно получить, общая интенсивность атак является очевидной: «Речь идёт о краже информации критически важной для целых отраслей экономики. Это, по-видимому, самый большой из всех известных в истории переход капиталов из одних рук в другие за короткий промежуток времени».
Те доказательства, которые используются в обвинениях в адрес Китая Белым домом, Роджерсом и другими членами Конгресса, собирались разведкой в течении нескольких лет, и значительная часть этой информации остаётся засекреченной. По сообщению представителя частной охранной компании, пожелавшего, в целях безопасности, остаться анонимным, взломавшие сеть АйБан хакеры входят в число наиболее квалифицированных из, по меньшей мере, 17 базирующихся в Китае и идентифицированных разведкой кибершпионских групп.
Большая шпионская сеть
Один из имеющих отношение к работе по отслеживанию хакерских групп сотрудников сообщил, что кибервзломщики являются частью огромной шпионской сети, получившее у американских оперативников кодовое наименование «Византийский Плацдарм» (Byzantine Foothold). Преступники специализируются на рассылке начинённых вирусами фишинговых электронных писем (в результате чего происходит взлом системы защиты). При этом они часто оставляют задачу собственно вывода данных другим группам.
Этот же источник сообщает, что распределение задач между разными группами и хорошее техническое обеспечение были продемонстрированы Конгрессу разведкой в качестве доказательства координации операций взлома из одного центра. По оценкам спецслужб в «Византийский Плацдарм» входит минимум не сколько десятков хакеров, максимум - более сотни.
Ричард Бейтлич (Richard Bejtlich), глава службы безопасности фирмы Мандиант (Mandiant), специализирующейся на вопросах компьютерного шпионажа, говорит, что «парни, которые пытаются взломать систему первыми, являются лучшими. Если их постигнет неудача, то другие ничего не смогут сделать. Мы видели, что у людей, занимавшихся выкачиванием данных со взломанных компьютеров, есть проблемы с квалификацией. Полагаю, они считают, что, если их не сумели поймать до этого момента, то дальше у них есть все шансы на удачное перемещение информации даже менее квалифицированными специалистами».
Фирмы скрывают ущерб
Компании Соединённых Штатов и других государств держат в тайне особенности своей компьютерной безопасности. Расположенная в Калифорнии Гугл является самой большой в мире фирмой по разработке поисковых систем. Сделанное компанией в 2010 году заявление о том, что китайские хакеры атаковали её сети, было редким примером американской фирмы, публично признавшей, что целью кибератаки была интеллектуальная собственность компании (в случае Гугл это исходные коды программного обеспечения). Гугл также заявила, что жертвами той же атаки стали ещё 34 крупные компании, однако из них лишь две фирмы - Интел и Адоб Системс (Adobe Systems) предложили помощь в расследовании и сообщили относящуюся к делу информацию.
Гугл очень сильно недооценила размах действий шпионов. Согласно документам разведки, полученным Блумберг Ньюс, китайские хакеры охотились за технологиями и информацией десятков экономических секторов, в том числе и некоторых малоизвестных, зародившихся в 2001 и ускоривших своё развитие за последние 3 года. Многие жертвы были взломаны несколько раз.
Византийский плацдарм
Одна из жертв «Византийского плацдарма», компания Ассошиэйтед Компьютер Системс (Associated Computer Systems), подразделение корпорации Ксерокс, является поставщиком услуг по обеспечению функционирования внутриорганизационных информационных систем (например, относящихся к бухгалтерской отчётности и управлению кадрами) для тысяч многонациональных фирм и правительственных агентств в более чем ста странах. Согласно веб-сайту компании, её деятельность охватывает оцифровку и хранение документов, и эта информация о корпоративных клиентах компании, в число которых входят производители автомобилей и компьютеров, представляют собой настоящее сокровище.
Другими объектами интереса данной группы являются такие фирмы как Хьюлетт-Пакард (Hewlett-Packard), Фольксваген (Volkswagen) и Яху! (Yahoo!). Более мелкие фирмы, работающие в стратегически важных секторах, также подверглись нападению - это, например, уже упоминавшийся АйБан, Инноватив Солюшенс и Сапорт (Innovative Solutions & Support), занимающаяся производством лётных компьютеров, или же Массачусетский технологический институт, сеть итальянских академических и исследовательских организаций, а также сеть Калифорнийского государственного университета.
Неформальная рабочая группа, состоящая из правительственных следователей и экспертов по кибербезопасности из частного сектора, определила жертв нападения хакеров, отслеживая пути, по которым информация передавалась из взломанных сетей на управляемые шпионскими группами сервера. В некоторых случаях жертвы даже не знали о том, что их взломали.
Народно-освободительная армия Китая
Пожелавший остаться анонимным представитель разведки сообщил, что подобное отслеживание иногда становится возможным благодаря небрежности и ошибкам хакеров. К примеру, один из высокопоставленных офицеров НОАК общался со своей любовницей через тот же самый сервер, который использовался в хакерских операциях.
Оказалось, что многие кибератаки приурочены к особым событиям, связанным с Китаем - информация об этом передавалась по секретным дипломатическим каналам и была опубликована Викиликс. Фирма МакАфи (McAfee), проанализировавшая информацию с использовавшихся в атаках серверов, сообщила, что за пять лет, начиная с 2006 года, вторая группа китайских хакеров вторглась в сети более семи десятков частных фирм, правительственных организаций, научно-исследовательских институтов и некоммерческих групп.
Операция «Подозрительная крыса»
Специализирующаяся на кибербезопасности фирма в августе опубликовала отчёт под названием «Операция «Подозрительная крыса», в котором описывались детали этих вторжений. В отчёте не указывались ни страна базирования хакеров, ни названия взломанных ими фирм. Основной автор отчёта, Дмитрий Альперович (Dmitri Alperovitch), который сейчас возглавляет собственную фирму Асиметрик Сайбер Оперэйшнс (Asymmetric Cyber Operations), подтвердил, что страной пребывания этих хакеров является Китай. Он также сказал, что во время одной из ранних атак кибершпионы в июле 2006 года взломали сеть южнокорейского стального гиганта POSCO, третьего в мире по величине, причём это произошло в тот же месяц, когда POSCO купила контрольный пакет акций большого сталелитейного завода в Восточном Китае. Газета Эпох Таймс (Epoch Times), основанная последователями запрещённой в Китае секты Фалуньгун, первой обратила внимание на возможность связи между этими двумя событиями.
Землетрясения и спутниковая связь
Два года спустя китайские спасатели во время работ по ликвидации последствий сильного землетрясения в провинции Сычуань использовали средства спутниковой связи производства датской фирмы Трейн и Трейн (Thrane & Thrane). Якобы официальная газета Чайна Дейли (China Daily) с восторгом описала работу датского оборудования. «С такими поклонниками и враги не нужны», - комментирует Альперович. «Трейн и Трейн» была взломана хакерами через три месяца после землетрясения.
Джон Александерсен (John Alexandersen), представитель Люндтофте (Lundtofte), голландского подразделения Трейн и Трейн, сказал, что хотя он не исключает возможности взлома, конфиденциальная информация похищена не была. В POSCO заявили что хакеры не проникли в важные сегменты их сети и не получили доступ к интеллектуальной собственности.
Принятие Китаем самого последнего пятилетнего экономического плана демонстрирует ещё одну ниточку между политикой китайского правительства и кибершпионажем. Два имеющих информацию о жертвах взлома высокопоставленных сотрудника спецслужб США указали на то, что план, принятый в марте Всекитайским собранием народных представителей определяет для хакеров несколько приоритетных целей. По данным аудиторской фирмы КПМГ Интернэшнл (KPMG International) в число этих целей входят: экологически чистая энергия, передовые полупроводниковые технологии, информационные технологии, высокоуровневое производство (например, аэрокосмического и телекоммуникационного оборудования) и биотехнологии, включающие в себя производство лекарств и медицинского оборудования.
Единый список
Согласно данным разведслужб, хакеры, взломавшие АйБан, во многих случаях, по-видимому, работали, ориентируясь на один список жертв. К примеру, они атаковали такие компании, занимающиеся биотехнологиями, как Бостон Сайнтифик, создающую медицинское оборудование, и Эббот Лабораторис (Abbott Laboratories) и Уайет (Wyeth) (сейчас входит в состав корпорации Фицер (Pfizer)), производящие лекарства.
Пожелавший в целях секретности остаться неизвестным госслужащий, имевший отношение к отслеживанию хакеров, передал Блумберг Ньюс документы, из которых стало известно, что хакеры также прочесали сеть Паркландского компьютерного центра, расположенного в городе Роквилл, штат Мэриленд. Этот компьютерный центр находится в ведении Администрации по контролю за продуктами питания и лекарствами, и там хранятся данные о тестах лекарств, химические формулы и другая информация, касающаяся практически каждого важного лекарства продающегося на территории Соединённых Штатов.
Производственный сектор
В производственном секторе нападению подверглись Кипресс Семикондактор (Cypress Semiconductor), занимающаяся производством передовых полупроводниковых микросхем для телекоммуникационного оборудования, Аэроспейс (Aerospace), проводящая научные исследования в области относящихся к национальной безопасности космических программ, и Энвайронментал Системс Ресёрч Институт (Environmental Systems Research Institute (ESRI)), производящий геоинформационные системы. В Китае эти отрасли развиваются очень быстро. Согласно данным аудиторской фирмы ПрайсвотерхаусКупер (PricewaterhouseCoopers) (ПвК) китайские компании в третьем квартале 2011 года приняли участие в 10 из 13 публичных выпусков новых акций производственных компаний. Также в отчёте ПвК отмечено, что эти новые компании специализируются на информационных и полупроводниковых технологиях, а также на разработках технологий получения экологически чистой энергии, таких как гелиоэнергетика.
Резкое возрастание деятельности Китая в области кибершпионажа обусловлено тем, что хакерство дешевле самостоятельной разработки, особенно с учётом того, что количество хакеров в Китае огромно. В их число входят и члены народного ополчения, которые работают на комиссионной основе. Целью атак являются компьютерные, фармацевтические и работающие в сфере высоких технологий компании, разработка которыми готовых продуктов требует много времени и денег.
«Византийская геенна»
Высшие офицеры американской контрразведки несколько лет отслеживали действия группы китайских шпионов, получившей кодовое название «Византийская геенна» (Byzantine Hades) и о деятельности которой в секретной телеграмме Госдепартамента США от 27 марта 2009 года (позже опубликованной Викиликс) говорилось, что это «группа, осуществляющая скоординированные взломы компьютерных сетей, имеющая очевидное отношение к Китаю». «Византийский плацдарм», «Византийская откровенность» (Byzantine Candor) и «Визинтайский якорь» (Byzantine Anchor) представляют собой различные группы хакеров, входящих в китайскую шпионскую сеть.
Жертвами «Византийского плацдарма» стали Интернет-провайдеры из более чем 10 стран, включая Канаду, Швейцарию, Бангладеш, Венесуэлу и Россию. Провайдеры использовались в качестве стартовых площадок для проведения атак на других жертв и для маскировки шпионами своих действий.
В октябре 2008 года в телеграмме Госдепартамента сообщалось, что китайские хакеры получили доступ к нескольким сетям одного из американских Интернет-провайдеров. Взломщики использовали ресурсы провайдера для похищения «минимум 50 мегабайт электронных писем и приложений к ним, а также полного списка пользователей и паролей из сети неустановленного» правительственного агентства США.
Третий департамент НОАК
В телеграмме утверждалось, что хакеры базируются в Шанхае и связаны с Третьим Департаментом НОАК, который, согласно отчёту Государственной комиссии по мониторингу экономических вопросов и вопросов безопасности в отношениях между США и Китаем за 2009 год, отвечает за кибероперации. «Мнения о том, что за действиями хакеров не стоит правительство - ошибочны», - говорит Майк Роджерс.
Установлено, что пятнадцать частных компаний и университетов были атакованы теми же хакерами, которые взломали сети АйБан. Эти организации при обращениях сотрудников Блумберг Ньюс либо отказались комментировать происходящее, сказав что им ничего неизвестно о взломе, либо вообще не ответили на запросы. Эрик Фаллис (Erik Fallis), представитель сети Калифорнийского государственного университета, сказал, что по результатам расследования «не было обнаружено доказательств того что данные из сети Университета подверглись опасности».
По мнению Ричарда Кларка у чиновников администрации президента Обамы, сейчас пытающихся придумать здравую программу ответных действий и адекватную дипломатическую реакцию, есть несколько хороших вариантов решения проблемы.
Совет безопасности ООН
Китай, будучи членом Совета безопасности ООН, имеет право накладывать вето на направленные против него инициативы. Джеймс Льюис (James Lewis), эксперт по кибербезопасности Вашингтонского Центра стратегических и международных исследований утверждает, что наложение санкций на китайские товары из попавших под удар кибершпионов секторов - экологически чистая энергия, производство лекарств и полупроводниковых приборов - будет проблематичным и может вызвать торговую войну.
Американские чиновники, полагающие, что следует защищать основные корпоративные сети как важные для национальной безопасности носители информации, встречаются с оппозицией в лице даже некоторых жертв хакеров, являющихся сторонниками традиционного для интернета «принципа невмешательства», - говорит Ричард Фолкенрат (Richard Falkenrath), возглавляющий изучение контртеррористической деятельности и вопросов национальной безопасности в Совете по международным отношениям. «То, что мы видим сейчас - результат трёх десятилетий пассивной политики правительства по отношению к развитию Интернета».
Отсутствие рычагов
К настоящему времени чиновники администрации пришли к осознанию того что у них отсутствуют способы оказать влияние на Китай, чтобы тот изменил своё поведение. Холодная война, по мнению Фолкенрата, «является очень хорошей аналогией нынешней ситуации. Никогда не было серьёзных попыток изменить внутренний характер советского государства».
Министр обороны Эстонии Март Лаар считает, что, по крайней мере, вышеупомянутый ноябрьский отчёт разведагентств от 3 ноября действительно указывает на поворотный момент в этом конфликте. Эстония, которая в 2007 году подверглась массированной кибератаке (по утверждениям эстонских властей, она проводилась из России) агитирует за создание в рамках НАТО альянса по защите от киберугроз. «Я помню, как изменился ход Холодной Войны, помню это предчувствие приближения конца Советов - когда Рональд Рейган прямо назвал СССР Империей Зла», - говорит Лаар.
