Злыдни заморские Источники кибератак на американские компании нашли в Китае и Восточной Европе
Фото: Jianan Yu / Reuters
Опубликованный в США отчет в очередной раз возложил ответственность за продолжительные атаки на сайты американских компаний на китайских хакеров, связанных с властями страны. Особенно в последний год китайцев интересовали системы американских СМИ: хакеры неоднократно пытались выяснить, кто снабжает журналистов информацией о достатке людей, приближенных к руководству КНР. Пекин по традиции опровергает свою причастность к любым незаконным действиям. Наряду со взломом систем американских газет хакерским атакам подверглись и крупные американские IT-компании: Facebook, Twitter и Apple. Интересно, однако, что этот след тянется уже совсем не в Китай, а в Восточную Европу.
За Вэня
В конце января газета The New York Times рассказала о том, что последние несколько месяцев подвергалась кибератакам, исходившим из Китая. Хакерам удалось влезть в компьютеры 53 сотрудников издания и взломать электронную почту как минимум двоих из них: Давида Барбосы (David Barboza), главы шанхайского подразделения газеты, и Джима Ярдли (Jim Yardley), ранее возглавлявшего представительство The New York Times в Китае, а сейчас руководящего южноазиатским бюро издания.
По данным газеты, атаки начались сразу после того, как в конце октября 2012 года в The New York Times вышла публикация о доходах семьи китайского премьер-министра Вэня Цзябао. Злоумышленники так хотели выяснить, кто именно «слил» журналистам данные, что даже не пытались украсть другую информацию со взломанных компьютеров. Впрочем, утверждает газета, своей цели хакеры так и не достигли.
Сразу после The New York Times о масштабных атаках, исходящих из Китая, сообщила другая американская газета, The Wall Street Journal. Почерк злоумышленников в обоих случаях был схож: системы WSJ и компьютеры ее сотрудников были взломаны в поисках сведений об информаторах газеты в Китае. При этом издание говорило не только за себя: по данным WSJ, американские СМИ уже несколько лет находятся под прицелом китайских хакеров.
И действительно, двумя этими изданиями дело не ограничивалось. Еще в первой публикации The New York Times говорилось о том, что в 2012 году китайские хакеры атаковали агентство Bloomberg. Случилось это после того, как в конце июня Bloomberg опубликовало статью о богатстве родственников Си Цзиньпина, занимавшего тогда пост вице-президента Китая. Более того, The New York Times выяснила, что и The Washington Post в прошлом году нашла у себя следы взлома, ведущие все к тем же китайским хакерам. На то, что в последние годы число атак на СМИ существенно возросло, указали позже и в американском Комитете по защите журналистов.
Впрочем, оказалось, что от хакеров страдают не только СМИ. Глядя на то, как все кругом сообщают о кибератаках, сервис микроблогов Twitter тоже решил признаться, что стал их жертвой. В результате хакеры могли получить доступ почти к четверти миллиона аккаунтов, включая, по неофициальным данным, твиттер президента США Барака Обамы и других американских политиков, журналистов и СМИ. В Twitter не стали указывать на возможных исполнителей атаки, но отметили, что инцидент, по их мнению, стоит в одном ряду с покушениями киберпреступников на американские медиакомпании.
В середине февраля 2013 года крупнейшая соцсеть в мире Facebook призналась, что в январе тоже стала жертвой хакеров. Служба безопасности социальной сети указала на некий сайт для разработчиков мобильных приложений, который оказался взломан и заражал компьютеры сотрудников Facebook. Еще через несколько дней об аналогичной хакерской атаке заявили и в корпорации Apple. Обе компании подчеркивали, что не видят свидетельств того, что хакерам удалось украсть информацию об их клиентах.
Корпорация Google о хакерских атаках пока не сообщала, но опубликовала в официальном блоге напоминание о том, как защититься от хакеров. Интернет-гигант не только отметил, что злоумышленники все чаще стали прибегать к взлому аккаунтов, но подчеркнул и свое активное участие в борьбе с хакерами.
Домик в пригороде
18 января все та же неугомонная The New York Times опубликовала обзор исследования, заказанного ею у компании Mandiant, занимающейся информационной безопасностью. Mandiant утверждает, что с 2004 года расследует кибератаки на организации, расположенные по всему миру. Компания выявила несколько десятков опытных групп хакеров, постоянно участвующих в таких атаках (Mandiant называет их APT — Advanced Persistent Threat, дословно «Продвинутая постоянная угроза»). Только на территории Китая действуют около двадцати APT, но доклад посвящен самой активной из них — APT1.
Mandiant практически уверена: APT1 является подразделением Народно-освободительной армии Китая. Компания установила, что практически все атаки этой группировки исходят из четырех шанхайских подсетей. Две из них относятся к тому же району в пригороде Шанхая, где расположено 12-этажное здание второго бюро третьего департамента Генштаба китайской армии, также известного как Отдел 61398. Официально задачи подразделения не раскрываются, но еще в 2011 году американская неправительственная организация The Project 2049 Institute установила: Отдел 61398 предназначен для кибершпионажа против США и Канады. В отчете Mandiant отмечается, что в подразделение набирают только людей с опытом работы в сфере компьютерной безопасности и знанием английского языка, а провайдер China Telecom в целях «национальной обороны» специально для Отдела 61398 обеспечивает сетевую инфраструктуру.
Здание, в котором размещен Отдел 61398
Фото: city8.com
Компания пишет, что хакеры из APT1 атакуют западные компании с 2006 года. За это время пострадала как минимум 141 организация, 115 из которых расположены в США, еще пять в Великобритании и две в Канаде (России в списке жертв нет). В общей сложности 87 процентов всех компаний, оказавшихся под прицелом хакеров, были англоязычными. Причем злоумышленники не были нацелены на какую-то отдельную сферу деятельности: среди пострадавших есть представители IT-индустрии, транспортной, финансовой, химической, энергетической и других отраслей.
Действия хакеров носили систематический характер, они могли месяцами красть информацию из организации. Так, среднее время несанкционированного нахождения в сетях жертв составляет почти год. Самый большой «надой» с одной компании составил 6,5 терабайта данных (это примерно 1,3 тысячи стандартных DVD-дисков). Mandiant приводит в отчете множество технических деталей атак и даже профайлы некоторых участников APT1, чтобы службы безопасности компаний могли проверить, не оказались ли они в числе жертв хакеров.
Подводя итоги исследования, специалисты делают издевательский вывод: либо крупная китайская организация много лет занимается кибершпионажем прямо под носом у Отдела 61398 (дублируя функции этого военного подразделения), либо эта организация и есть Отдел 61398. Официальный Китай, понятное дело, с обвинениями не согласен.
Страны, в которых установлена деятельность APT1
Изображение: Mandiant
Китайцы сразу завели привычную шарманку, которая играет всякий раз, когда Пекин обвиняют в поддержке хакерских атак: такая деятельность в стране незаконна, а все обвинения беспочвенны. Представитель министерства обороны Китая Гэн Яньшэн (Geng Yansheng) заметил, что компьютеры, используемые армией, тоже подвергаются кибератакам, в том числе и с американских IP-адресов. Он, впрочем, не стал обвинять США в участии в этих атаках, подчеркнув, что настоящие IP злоумышленники могли и маскировать. И Гэн Яньшэн, и другие китайские специалисты настаивают: доклад Mandiant не может считаться достоверным, поскольку он основывается только на том, что IP-адреса хакеров относятся к адресам армейских сетей.
Русский след
Могло бы показаться, что за атаками на Twitter, Facebook и Apple тянется все тот же «китайский след» — тем более что компании заявили о них сразу после сообщений об атаках из Китая на американские СМИ. Однако пока никаких достоверных указаний на это нет. Напротив: следы ведут в Восточную Европу и, возможно, в Россию.
СМИ удалось выяснить, что сайт, из-за которого оказались заражены компьютеры сотрудников Facebook, Apple и Twitter (а в общей сложности не менее 40 компаний), посвящен разработке приложений под iPhone и называется «iPhonedevsdk» (адрес сайта не приводится в целях безопасности — «Лента.ру»). Сначала владелец сайта уверял журналистов, что понятия не имеет о взломе и что с ним представители пострадавших компаний не связывались. Позднее он признал, что хакерам действительно удалось взломать аккаунт одного из администраторов ресурса и внедрить в тему сайта скрипт, который использовал ранее неизвестную уязвимость, позволявшую злоумышленникам проникать в компьютеры пользователей. Владелец ресурса заверил, что атака прекратилась 30 января и в результате ничьи личные данные украдены не были.
Как пишет Bloomberg, за атакой на сайт стоит хакерская группировка из России или Восточной Европы. Исследователям удалось выявить сервер на территории Украины, которым пользовались злоумышленники. Источники издания подчеркивают: есть ряд доказательств того, что атаку осуществляла хакерская группировка, а не связанные с китайскими властями специалисты (в том числе использованное вредоносное программное обеспечение).
Как бы то ни было, серии атак на американские СМИ и IT-корпорации показывают всю их уязвимость перед киберугрозами. С одной стороны, это вполне может отпугнуть некоторых информаторов (в первом случае) и пользователей (во втором), не готовых к тому, что их личные данные достанутся сторонним лицам. В случае с Китаем это к тому же чревато санкциями со стороны государства. С другой стороны, конкретно в этих случаях серьезного ущерба причинено не было, что дает компаниям шанс заняться совершенствованием собственных средств защиты и подготовиться к будущим неприятностям.
Что же касается Вашингтона, то для него вся эта шумиха является отличной возможностью пригрозить странам, «поддерживающим» хакеров (или не мешающим им). В этот список, кроме Китая, теперь попали Индия и Россия.