Злыдни заморские

Источники кибератак на американские компании нашли в Китае и Восточной Европе

Фото: Jianan Yu / Reuters

Опубликованный в США отчет в очередной раз возложил ответственность за продолжительные атаки на сайты американских компаний на китайских хакеров, связанных с властями страны. Особенно в последний год китайцев интересовали системы американских СМИ: хакеры неоднократно пытались выяснить, кто снабжает журналистов информацией о достатке людей, приближенных к руководству КНР. Пекин по традиции опровергает свою причастность к любым незаконным действиям. Наряду со взломом систем американских газет хакерским атакам подверглись и крупные американские IT-компании: Facebook, Twitter и Apple. Интересно, однако, что этот след тянется уже совсем не в Китай, а в Восточную Европу.

За Вэня

В конце января газета The New York Times рассказала о том, что последние несколько месяцев подвергалась кибератакам, исходившим из Китая. Хакерам удалось влезть в компьютеры 53 сотрудников издания и взломать электронную почту как минимум двоих из них: Давида Барбосы (David Barboza), главы шанхайского подразделения газеты, и Джима Ярдли (Jim Yardley), ранее возглавлявшего представительство The New York Times в Китае, а сейчас руководящего южноазиатским бюро издания.

По данным газеты, атаки начались сразу после того, как в конце октября 2012 года в The New York Times вышла публикация о доходах семьи китайского премьер-министра Вэня Цзябао. Злоумышленники так хотели выяснить, кто именно «слил» журналистам данные, что даже не пытались украсть другую информацию со взломанных компьютеров. Впрочем, утверждает газета, своей цели хакеры так и не достигли.

Сразу после The New York Times о масштабных атаках, исходящих из Китая, сообщила другая американская газета, The Wall Street Journal. Почерк злоумышленников в обоих случаях был схож: системы WSJ и компьютеры ее сотрудников были взломаны в поисках сведений об информаторах газеты в Китае. При этом издание говорило не только за себя: по данным WSJ, американские СМИ уже несколько лет находятся под прицелом китайских хакеров.

И действительно, двумя этими изданиями дело не ограничивалось. Еще в первой публикации The New York Times говорилось о том, что в 2012 году китайские хакеры атаковали агентство Bloomberg. Случилось это после того, как в конце июня Bloomberg опубликовало статью о богатстве родственников Си Цзиньпина, занимавшего тогда пост вице-президента Китая. Более того, The New York Times выяснила, что и The Washington Post в прошлом году нашла у себя следы взлома, ведущие все к тем же китайским хакерам. На то, что в последние годы число атак на СМИ существенно возросло, указали позже и в американском Комитете по защите журналистов.

Впрочем, оказалось, что от хакеров страдают не только СМИ. Глядя на то, как все кругом сообщают о кибератаках, сервис микроблогов Twitter тоже решил признаться, что стал их жертвой. В результате хакеры могли получить доступ почти к четверти миллиона аккаунтов, включая, по неофициальным данным, твиттер президента США Барака Обамы и других американских политиков, журналистов и СМИ. В Twitter не стали указывать на возможных исполнителей атаки, но отметили, что инцидент, по их мнению, стоит в одном ряду с покушениями киберпреступников на американские медиакомпании.

В середине февраля 2013 года крупнейшая соцсеть в мире Facebook призналась, что в январе тоже стала жертвой хакеров. Служба безопасности социальной сети указала на некий сайт для разработчиков мобильных приложений, который оказался взломан и заражал компьютеры сотрудников Facebook. Еще через несколько дней об аналогичной хакерской атаке заявили и в корпорации Apple. Обе компании подчеркивали, что не видят свидетельств того, что хакерам удалось украсть информацию об их клиентах.

Корпорация Google о хакерских атаках пока не сообщала, но опубликовала в официальном блоге напоминание о том, как защититься от хакеров. Интернет-гигант не только отметил, что злоумышленники все чаще стали прибегать к взлому аккаунтов, но подчеркнул и свое активное участие в борьбе с хакерами.

Домик в пригороде

18 января все та же неугомонная The New York Times опубликовала обзор исследования, заказанного ею у компании Mandiant, занимающейся информационной безопасностью. Mandiant утверждает, что с 2004 года расследует кибератаки на организации, расположенные по всему миру. Компания выявила несколько десятков опытных групп хакеров, постоянно участвующих в таких атаках (Mandiant называет их APT — Advanced Persistent Threat, дословно «Продвинутая постоянная угроза»). Только на территории Китая действуют около двадцати APT, но доклад посвящен самой активной из них — APT1.

Mandiant практически уверена: APT1 является подразделением Народно-освободительной армии Китая. Компания установила, что практически все атаки этой группировки исходят из четырех шанхайских подсетей. Две из них относятся к тому же району в пригороде Шанхая, где расположено 12-этажное здание второго бюро третьего департамента Генштаба китайской армии, также известного как Отдел 61398. Официально задачи подразделения не раскрываются, но еще в 2011 году американская неправительственная организация The Project 2049 Institute установила: Отдел 61398 предназначен для кибершпионажа против США и Канады. В отчете Mandiant отмечается, что в подразделение набирают только людей с опытом работы в сфере компьютерной безопасности и знанием английского языка, а провайдер China Telecom в целях «национальной обороны» специально для Отдела 61398 обеспечивает сетевую инфраструктуру.

Компания пишет, что хакеры из APT1 атакуют западные компании с 2006 года. За это время пострадала как минимум 141 организация, 115 из которых расположены в США, еще пять в Великобритании и две в Канаде (России в списке жертв нет). В общей сложности 87 процентов всех компаний, оказавшихся под прицелом хакеров, были англоязычными. Причем злоумышленники не были нацелены на какую-то отдельную сферу деятельности: среди пострадавших есть представители IT-индустрии, транспортной, финансовой, химической, энергетической и других отраслей.

Действия хакеров носили систематический характер, они могли месяцами красть информацию из организации. Так, среднее время несанкционированного нахождения в сетях жертв составляет почти год. Самый большой «надой» с одной компании составил 6,5 терабайта данных (это примерно 1,3 тысячи стандартных DVD-дисков). Mandiant приводит в отчете множество технических деталей атак и даже профайлы некоторых участников APT1, чтобы службы безопасности компаний могли проверить, не оказались ли они в числе жертв хакеров.

Подводя итоги исследования, специалисты делают издевательский вывод: либо крупная китайская организация много лет занимается кибершпионажем прямо под носом у Отдела 61398 (дублируя функции этого военного подразделения), либо эта организация и есть Отдел 61398. Официальный Китай, понятное дело, с обвинениями не согласен.

Китайцы сразу завели привычную шарманку, которая играет всякий раз, когда Пекин обвиняют в поддержке хакерских атак: такая деятельность в стране незаконна, а все обвинения беспочвенны. Представитель министерства обороны Китая Гэн Яньшэн (Geng Yansheng) заметил, что компьютеры, используемые армией, тоже подвергаются кибератакам, в том числе и с американских IP-адресов. Он, впрочем, не стал обвинять США в участии в этих атаках, подчеркнув, что настоящие IP злоумышленники могли и маскировать. И Гэн Яньшэн, и другие китайские специалисты настаивают: доклад Mandiant не может считаться достоверным, поскольку он основывается только на том, что IP-адреса хакеров относятся к адресам армейских сетей.

Русский след

Могло бы показаться, что за атаками на Twitter, Facebook и Apple тянется все тот же «китайский след» — тем более что компании заявили о них сразу после сообщений об атаках из Китая на американские СМИ. Однако пока никаких достоверных указаний на это нет. Напротив: следы ведут в Восточную Европу и, возможно, в Россию.

СМИ удалось выяснить, что сайт, из-за которого оказались заражены компьютеры сотрудников Facebook, Apple и Twitter (а в общей сложности не менее 40 компаний), посвящен разработке приложений под iPhone и называется «iPhonedevsdk» (адрес сайта не приводится в целях безопасности — «Лента.ру»). Сначала владелец сайта уверял журналистов, что понятия не имеет о взломе и что с ним представители пострадавших компаний не связывались. Позднее он признал, что хакерам действительно удалось взломать аккаунт одного из администраторов ресурса и внедрить в тему сайта скрипт, который использовал ранее неизвестную уязвимость, позволявшую злоумышленникам проникать в компьютеры пользователей. Владелец ресурса заверил, что атака прекратилась 30 января и в результате ничьи личные данные украдены не были.

Как пишет Bloomberg, за атакой на сайт стоит хакерская группировка из России или Восточной Европы. Исследователям удалось выявить сервер на территории Украины, которым пользовались злоумышленники. Источники издания подчеркивают: есть ряд доказательств того, что атаку осуществляла хакерская группировка, а не связанные с китайскими властями специалисты (в том числе использованное вредоносное программное обеспечение).

Как бы то ни было, серии атак на американские СМИ и IT-корпорации показывают всю их уязвимость перед киберугрозами. С одной стороны, это вполне может отпугнуть некоторых информаторов (в первом случае) и пользователей (во втором), не готовых к тому, что их личные данные достанутся сторонним лицам. В случае с Китаем это к тому же чревато санкциями со стороны государства. С другой стороны, конкретно в этих случаях серьезного ущерба причинено не было, что дает компаниям шанс заняться совершенствованием собственных средств защиты и подготовиться к будущим неприятностям.

Что же касается Вашингтона, то для него вся эта шумиха является отличной возможностью пригрозить странам, «поддерживающим» хакеров (или не мешающим им). В этот список, кроме Китая, теперь попали Индия и Россия.

Обсудить
Пекин«Все меньше остается от старого Пекина»
Как меняется жизнь китайской столицы при Си Цзиньпине
Ради денег и справедливости
Взлет и падение создателя величайшей наркоимперии
ALANYA, TURKEY - DECEMBER 1, 2016: Russia's Foreign Minister Sergei Lavrov (L) and his Turkish counterpart Mevlut Cavusoglu at a ceremony to sign joint documents following a meeting of the Russian-Turkish Joint Strategic Planning Group (JSPG) at the Rubi Platinum Hotel. Alexander Shcherbak/TASSКурортный роман
О чем на берегу Средиземного моря договорились главы МИД России и Турции
Опасней, чем ИГ
Почему Евросоюз боится российской пропаганды
В Россию вернулся «Прогресс»
Кто виноват в падении «Прогресса» и почему это — приговор космической отрасли
Чужими молитвами
В Лос-Анджелесе наградили лучшие видеоигры и показали будущие бестселлеры
Четыре мужика в одной палатке
Какие прелести таит продолжение японской культовой ролевой игры Final Fantasy XV
«Великобритания не знает, относится ли она к Европе»
Даг Уоллас о русской и британской литературе и самосознании
INDIO, CA - OCTOBER 14:  (L-R) Musician Keith Richards, singer Mick Jagger and musician Charlie Watts of The Rolling Stones perform during Desert Trip at the Empire Polo Field on October 14, 2016 in Indio, California.  (Photo by Kevin Winter/Getty Images)Че-то приуныли
Как The Rolling Stones записали первый альбом за 11 лет — возможно, и последний
Девочки или виденья
Кино недели с Денисом Рузаевым: от «Союзников» до «Плохого Санты 2»
Ленинград в зазеркалье
Как питерские фотографы-любители определили эстетику конца XX века
BEVERLY HILLS, CA - OCTOBER 04:  Internet personality Casey Neistat accepts the First Person award onstage the 6th annual Streamy Awards hosted by King Bach and live streamed on YouTube at The Beverly Hilton Hotel on October 4, 2016 in Beverly Hills, California.  (Photo by Mike Windle/Getty Images for dick clark productions)Закрой канал, я ухожу
Почему интернет-звезды отказываются от миллионов и завязывают с YouTube
Владимир Познер«Я за сопротивление хамству, бескультурью и мракобесию»
Владимир Познер о духовных скрепах, байкере Хирурге и поиске национальной идеи
Дмитрий МедведевПо секретным каналам
Где раскрываются тайны российской политики
Прикормленные детки
Как политическую элиту США посчитали сектой педофилов
«Вы приехали»
Длительный тест Toyota Camry с «Яндекс.Навигатором»
Безумные трюки грузовиков Volvo
Самые необычные видеоролики с грузовиками Volvo
Выбираем лучший компактный седан
Длительный тест Octavia, Elantra, Corolla и Mazda3
Как полиция перехватывает машины
Полицейские лайфхаки или 8 инновационных способов остановить преступника
Конец близок
Уходящий 2016 год может стать последним для ипотеки
Лестница в ад
Неприглядная правда об интеллигентных обитателях центра Москвы
Да он упоротый просто
Самые странные дома мира в фотографиях из Instagram
Худо будет
Москвичи тратят миллионы на квартиры, в которых невозможно жить