Експертам з комп’ютерної безпеки вдалося таємно відстежити дії зловмисників і убезпечити редакцію від подальших зламів системи.

Хакерські атаки співпали з публікацією 25 жовтня минулого року розслідування The New York Times,  у якому йшлося про те, що родина прем'єр-міністра Держради КНР Вень Цзябао  (Wen Jiabao) завдяки діловим оборудкам накопичили декілька мільярдів доларів.

Аби виявити та блокувати комп'ютерні  атаки, експерти з безпеки, яких найняла газета, зібрали цифрові  докази того, що китайські хакери  ламали мережу NYT, користуючись методами, які застосовують китайські військові. Вони зламали електронну пошту завідувача шанхайського бюро газети Девіда Барбози (David Barboza),   який писав про родичів Вень Цзябао, та Джима Ярдлі (Jim Yardley) – завідувача делійського бюро у Південній Азії, який раніше очолював бюро NYT у Пекіні.

«Експерти з комп'ютерної безпеки не виявили жодних доказів того, що хакерам вдалося здобути доступ до засекречених і електронних повідомлень  чи файлів з даними для наших статей про родину Дзябао, завантажити чи скопіювати їх», - заявила головний редактор  The New York Times Джилл Абрамсон  (Jill Abramson).

Хакери намагалися приховати, звідки вони чинять кібератаки на NYT, проникаючи спочатку у комп'ютери американських університетів,   засвідчили експерти з безпеки Mandiant -  компанії, яку найняла газета для проведення розслідування.  Це відповідає хитрощам, які вона відстежувала  під час багатьох інших китайських електронних атак.

Спочатку нападники установили  шкідливу програму, що дало їм змогу отримати доступ до будь-якого комп'ютера у мережі NYT. Експерти вважають те, що атаки розпочиналися з тих же університетських комп'ютерів, якими  китайські  військові користувалися раніше для кібератак на американських військових підрядників.

Експерти з безпеки виявили доказ того, що хакери викрали корпоративні паролі кожного співробітника NYT і  використовували їх, щоб отримати  доступ до персональних комп'ютерів 53 осіб,  переважно за межами ньюзруму. Натомість вони не виявили свідчень, що зловмисники використовували паролі, аби отримати інформацію, не пов’язану з повідомленнями про родину Веня Цзябао.  За словами експертів, не було викрадено жодних даних постійних  клієнтів NYT.

Відповідаючи на запитання, чи  існують  докази того, що сліди хакерів ведуть   у Пекін і, можливо, до військових,  міністерство національної оборони КНР заявило: «Китайські закони забороняють будь-які дії, зокрема, злами, що завдають шкоди безпеці Інтернету». І додало: «Звинувачувати без твердих доказів  китайських військових у  здійсненні кібератак не професійно й необґрунтовано».

Ці напади, очевидно, є частиною ширшої кампанії комп'ютерного шпигунства проти американських новинних медіа,  які повідомляли про китайських лідерів та корпорації.

Торік мішенню китайських хакерів, стала Bloomberg News.  Комп'ютери деяких її співробітників були інфіковані. За свідченням особи, обізнаної з  внутрішнім розслідуванням компанії, це сталося після того, як Bloomberg News опублікувала 29 червня статтю про статки,  накопичені родичами Сі Цзіньпіня (Sy Jinping) – тодішнього заступника Голови КНР, який торік у листопаді став Генеральним секретарем ЦК Компартії і, як очікується, у березні цього року стане Головою КНР [найвища державна посада в країні – MS]. Речник  Bloomberg News Ті Тріппет (Ty Trippet) підтвердив, що хакери намагалися, однак не спромоглися завдати шкоди жодній комп’ютерній   системі.

Що за лаштунками кампанії?

Зростання числа кібератак, сліди яких вели у Китай,  наводить на думку, що за спиною задіяних хакерів ведеться  далекосяжна шпигунська кампанія, мета якої - розширення комплексу цілей, що включають корпорації, державні установи, групи активістів та медіа у Сполучених Штатах. Ця кампанія по збору розвідувальних даних, стверджують експерти із зовнішньої політики й дослідники з комп'ютерної безпеки, є, з одого боку, спробою контролювати публічний імідж Китаю всередині країни й за кордоном, з іншого, викраденням торгових секретів.

Експерти з комп'ютерної безпеки заявили, що, починаючи з 2008 року, китайські хакери взяли на приціл західних журналістів, щоб виявити й  залякати тих, хто постачав їм інформацію і контактних осіб. Йдеться  про запобігання появі  публікацій, які могли б завдати  шкоди репутації китайських керівників.

У грудневій розвідці компанія Mandiant засвідчила: внаслідок декількох розслідувань виявлено докази того, що китайські хакери викрали повідомлення з електронної пошти, контакти й файли понад 30 журналістів і керівників західних медіа-організацій та уклали  «короткий список» журналістів, аккаунти яких вони неодноразово атакувати.

У той час як експерти з комп'ютерної безпеки стверджують, що найбільшу   активність і наполегливість виявляє Китай, він -  не єдиний здійснює  кібернапади для досягнення різноманітних національних цілей, зокрема, корпоративного шпигунства. У розробці та розгортанні кібернетичної зброї підозрюють, зокрема, Сполучені Штати,  Ізраїль, Росію, Іран, інші держави.

США та Ізраїль ніколи публічно цього не визнавали. Однак існує  доказ того, що, починаючи приблизно з 2008 року, вони запустили досконалого комп'ютерного хробака, що проліз, а згодом  завдав шкоди головному ядерному підприємству по збагаченню урану в Ірані. Тегеран, як вважають, відповів комп'ютерними атаками по цілях у США, зокрема, по американських банках та по закордонних нафтових компаніях.

Росію підозрюють у тому, що вона  використовувала кібернапади під час війни з Грузією 2008 року.

Подальша розповідь про кібератаку на The New York Times, що ґрунтується на   інтерв'ю з її керівниками й журналістами  та з експертами з безпеки, дає можливість побіжно глянути на одну з таких шпигунських кампаній. Після того, як  виданню  стало відомо про попередження  китайського уряду, що її розслідування  багатства родичів Веня Цзябао «матиие  наслідки», керівництво видання звернулася 24 жовтня з проханням до AT&T [однієї з найбільших американських телекомунікаційних компаній. – MS], яка моніторить комп'ютерну мережу NYT, відстежити  незвичайну діяльність.

25 жовтня – того дня, як статтю було опубліковано online, AT&T інформувала  газету: за її спостереженнями, модель поведінки збігається з іншими атаками, що їх, як вважають, чинили китайські військові.

NYT  поставила до відома і коротко проінформувала про кібернапади ФБР. Потім, ще не знаючи масштабів проникнення у свої комп'ютери, газета співпрацювала з AT&T, щоб відстежувати зловмисників, намагаючись видворити їх зі своєї системи.

7 листопада, коли стало очевидно, що, незважаючи на всі спроби, це не вдається, NYT  найняла Mandiant, яка  спеціалізується у реагуванні на порушення комп’ютерної безпеки. Спочатку з AT&T, а потім з Mandiant  газета моніторила, як нападники нишпорили довкола її  систем.

Хакерські  команди зазвичай регулярно починали роботу о 8 годині ранку за пекінським часом. Як правило, вони працювали стандартний робочий день,  іноді - до опівночі. Часом кібератаки з незрозумілих причин припинялися на два тижні. 

Розслідувачам і досі не відомо, як хакери  зламами системи The New York Times.   Існує підозра, що вони вдавалися до так званих фішингових атак (spear-phishing attack), надсилаючи співробітникам газети  електронні повідомлення, що містили лінки до заражених вірусом посилань чи додатків. Щоб встановити «засоби віддаленого доступу» (RATs), хакерові достатньо, аби хтось одного разу клікнув на посилання, відкриваючи електронну пошту. Тоді він може скачувати безліч даних - паролі, зображення на екранах,  перехоплювати натискання клавіатури, а в деяких випадках -  записи з комп'ютерних мікрофонів та вебкамер і надсилати  інформацію на сервери нападників.

Шеф служби безпеки  The New York Times Майкл Хіггінс (Michael Higgins) сказав: «Зловмисники полюють на фізичних осіб. Вони надсилають на аккаунт вашої електронної пошти  шкідливий код. Ви його відкриваєте -  і він вже проникнув  у вашу мережу».

У засідці

Після проникнення хакерів їх важко  викурити. Наприклад, коли  2011 року було зламано комп’ютерні системи Торговельної палати США  (US Chamber of Commerce), її робоча група тісно співпрацювала з ФБР,  щоб закрити доступ до неї.  Однак через декілька місяців було виявлено: підключені до Інтернету пристрої  в одній  корпоративній квартирі  та принтери в  офісах, як і раніше, були  з’єднані з комп'ютерами у Китаї.

Щоб частково не допустити цього, NYT дозволила хакерам  упродовж чотирьох місяців  розкручувати цифрову мережу.  Метою було визначити кожний «чорний вхід», який вони використовували. Потім NYT замінила кожний заражений комп'ютер, сподіваючись встановити нові лінії оборони й  надалі не допускати хакерів.

«Нападники беруть компанії на приціл. Навіть якщо ви їх викурите, вони намагатимуться повернутися, - говорить  Нік Беннетт (Nick Bennett) - консультант з безпеки, який керував  розслідуванням Mandiant. - Ми хотіли гарантовано мати повне уявлення про масштаби їхнього доступу. Щоб наступного разу, коли вони спробують  проникнути знову, можна було б швидко зреагувати».

На підставі експертизи, що тривала декілька місяців, схоже, що хакери зламали комп'ютери NYT 13 вересня, коли стаття про Веня була вже майже готова. Вони встановили на комп'ютерах користувачів, принаймні, три «чорних входи», використовуючи їх як цифрову базу даних. Звідти упродовж  двох тижнів хакери відстежували комп’ютерні системи газети, перш ніж визначити контролера домена, що містить імена користувача  та хеші чи    зашифровані паролі кожного співробітника NYT.

Оскільки хеші паролів ускладнюють злам, хакери можуть легко усунути  цю перешкоду, використовуючи так звані райдужні таблиці. Це  – легко  доступні бази даних значення хеш-функцій майже для кожної комбінації літер і цифр. Деякі хакерські сайти видають до 50 млрд. цих значень.

Розслідувачі знайшли докази того, що зловмисники зламали паролі та  використовували їх, аби отримати доступ до багатьох комп'ютерів. Вони створили спеціальне програмне забезпечення, яке дозволило їм знайти й викрасти інформацію з електронних пошт Барбози та Ярдлі, документи з сервера електронної пошти NYT.

Упродовж трьох місяців хакери  встановили 45 пристроїв зі шкідливими програмами для користувачів. За даними Mandiant, антивірусна  програма  Symantec, що нею користується NYT, лише одного разу виявила небезпеку і помістила вірус на карантин. Представник Symantec заявив, що компанія дотримується принципу не коментувати дії своїх клієнтів.

Особливу активність  нападники виявили у період після 25 жовтня у зв’язку з публікацією у NYT статті  про родичів  Вень Цзябао. Це  викликало стурбованість редакторів газети, поінформованих  про те, що  хакери можуть спробувати  паралізувати  електронну або видавничу систему газети. Та їхні дії вказували на те,  що їх цікавило, передусім,  листування електронною поштою Барбози.

«Вони могли спричинити безлад у  наших системах,  - вважає директор з інформаційних технологій NYT Марк Лоб  (Mark Lob). -  Та у них на меті було інше».

Схоже, хакери шукали імена тих, хто  міг  надали інформацію Барбозі.

Дослідження, яке він проводив для написання статей (про це NYT повідомляла  раніше) ґрунтувалися на архівах, зокрема, на тисячах  корпоративних документів Державного управління Китаю з промисловості й  торгівлі (State Administration for Industry and Commerce). Ці документи, доступні  за символічну платню адвокатам і консалтинговим фірмам, були використані ним для відстеження бізнес-інтересів родичів  Вень Цзябао.

Винахідливий пошук

Відстежити, хто чинить напад  на певний  об’єкт чи на країну, буває важко, оскільки хакери зазвичай намагаються приховати свою ідентичність і місцезнаходження.

Ведучи шпигунську  кампанію проти NYT,  нападники використовували чимало  заражених вірусами комп'ютерних систем,  зареєстрованих в університетах  Північної Кароліни, Арізони, Вісконсіна та Нью-Мексико, а також у невеликих компаніях та в Інтернет-провайдерів по всій території США. Це засвідчує розслідування Mandiant.

Хакери також постійно переходили з однієї IP-адреси на іншу.  IP-адреса  – це унікальний ідентифікаційний  номер кожного підключеного до Інтернету пристрою, яких налічується по всьому світу мільярди. Отже, повідомлення чи будь- яка інша інформація,  надіслана з одного пристрою, безпомилково потрапить на ті, для кого вона призначалася.

Мета використання університетських комп'ютерів як підставних та зміна IP- адрес - приховати, звідки здійснювалися кібернапади. Схема, яку виявили експерти Mandiant,  майже тотожня з попередніми кібератаками, сліди яких ведуть у Китай.  Наприклад, після того, як 2010 року було вчинено атаку на Google і зламано аккаунти Gmail китайських правозахисників, розслідувачі   змогли простежити, що вони здійснювалися з двох освітніх китайських установ, одна з яких пов’язана з військовими.

Експерти з безпеки стверджують: спрямовуючи кібератаки через сервери в інших країнах і наводячи на слід кваліфікованих хакерів, китайські військові підтримують правдоподібне заперечення.

«Якщо ви подивитеся на кожну атаку окремо, ви не можете  сказати, що це – справа рук китайських військових», - говорить керівник служби безпеки Mandiant  Річард  Беджтліч (Richard  Bejtlich). Та якщо методи та  моделі   схожі, це означає, що діють одні й ті ж хакери чи пов’язані з ними.

«Коли ви бачите, як одна й та ж група викрадає  дані про китайських дисидентів і тибетських активістів, а потім атакує  аерокосмічні компанії, це  наводить вас на правильні висновки», - каже  він.

Mandiant відстежила близько 20 груп, які шпигують за організаціями у США та по всьому світу. Її розслідувачі заявили на підставі доказів (використанні шкідливих програм,   пошкоджених  командно-контрольних центрів   і хакерських прийомів), що атаки на NYT  здійснювала  група китайських хакерів "A.P.T. Number 12”, яку  Mandiant відносить до внутрішніх.

Літери абревіатури  розшифровуюються як Advanced Persistent Threat (Підвищена  постійна загроза). Цей термін фахівці з комп'ютерної безпеки та  урядовці використовують, щоб описати цільові атаки. Чимало хто вважає, що це стало синонімом атак, вчинених китайцями.  AT&T і ФБР відстежували дії тієї ж групи. Вони також визначили, що її слід веде до Китаю. Щоправда, у своїй роботі вони користуються іншими назвами.

За висновком Mandiant, група хакерів  діяла «вельми активно», проникла у системи сотень інших західних організацій, зокрема декількох американських військових підрядників.

Щоб позбутися їх, NYT заблокувала пошкоджені зовнішні комп'ютери, вилучила зі своєї мережі усі «чорні входи», змінила паролі кожного  співробітника і створила додаткові заходи безпеки довкола своїх систем.

Поки що, схоже,  це спрацювало, та розслідувачі й керівники газети очікують від хакерів нових  каверз.

«Це ще не кінець історії, - вважає містер Белджтліч. -  Якщо їм сподобалася жертва, вони мають звичку повертатися. Це не просто  комп’ютерна крадіжка. Злодії поцупили -  і зникли  геть. Це вимагає дотримуватися  моделі внутрішньої  пильності».

Автор: Ніколь Перлрот (Nicole Perlroth)

Джерело: The New York Times

Переклад: Аркадій Сидорук