У занепалому районі передмістя Шанхаю височить 12-поверхова офісна будівля. У ній розміщено базу Народно-визвольної армії, де готують корпус кібервоїнів Китаю.

У будівлі обіч дороги, в оточенні ресторанів, масажних салонів та закладів імпортних вин розмістилася штаб-квартира її підрозділу 61398. Все нові докази майже не лишають сумнівів у тому, що переважна більшість нападів на американські корпорації, організації та державні установи здійснюється зсередини білої вежі чи будинків довкола. Це підтвердили й офіційні представники американської розвідки, які стверджують, що впродовж багатьох років відстежували діяльність цього військового підрозділу.

Незвично докладна доповідь обсягом 60 сторінок, оприлюднена у вівторок [12 лютого] американською фірмою з комп’ютерної безпеки Mandiant, вперше приводить окремих представників найкваліфікованіших китайських хакерських груп, відомих багатьом їхнім жертвах у Сполучених Штатах як Сomment Crew чи Shanghai Group, на поріг штаб-квартири військового підрозділу. Фірма не змогла розмістити хакерів по їхніх робочих місцях у 12-поверхій будівлі. Та вона доводить, що не існує іншого правдоподібного пояснення, чому так багато кібератак здійснюються з однієї порівняно невеликої площини.

«Або ці атаки здійснює підрозділ 61398, або ж ті, хто керує найбільш контрольованими та найбільш відстежуваними у світі мережами інтернету, не мають уявлення про тисячі тих, хто генерує кібератаки з цього передмістя», – сказав в інтерв’ю минулого тижня засновник і головний виконавчий директор Mandiant Кевін Мендіа (Kevin Mandia). Інші фірми з безпеки, які звернули увагу на заяву про Comment Crew, також вважають, що дії підрозділу 61398 спонсорує держава.

Нещодавній секретний документ національної розвідки, виданий як узгоджений для всіх розвідувальних агенцій США, містить вагомі аргументи, що багатьма цими хакерськими групами керують офіцери чи підрядчики, котрі працюють у таких командах, як цей військовий підрозділ. Такої думки дотримуються офіційні особи, ознайомлені зі змістом секретного документу.

Mandiant надав The New York Times сигнальний примірник своєї доповіді, сподіваючись «публічно висвітлити порушені у ній питання». Після цього журналісти NYT звірили її висновки з висновками інших фахівців із урядових і позаурядових кіл, які досліджували зв’язки між хакерськиими групами та китайською армією.

Хоча Comment Crew «виссала» терабайти даних із Coca-Cola, дедалі більше уваги вона зосереджує на компаніях, що відіграють ключову роль в інфраструктурі Сполучених Штатів – у мережах електричних енергосистем, газопроводів і гідротехнічних споруд. За даними дослідників у сфері безпеки, однією з її цілей була компанія з віддаленим доступом до понад 60 відсотків нафто- і газопроводів у Північній Америці. Названий військовий підрозділ був серед тих, хто вчинив кібератаку проти фірми з комп’ютерної безпеки RSA, коди якої захищали конфіденційні корпоративні та державні бази даних.

Представники китайського посольства у Вашингтоні, з якими вдалося зв’язатися, знову наполягали, що їхній уряд не причетний до комп’ютерних зламів і що така діяльність є незаконною. Вони зображують жертвою себе і вказують, що чимало хакерських груп існує в самих Сполучених Штатах.

Однак, як свідчать дослідники з безпеки, в останні роки кількість китайських кібератак значно зросла. Mandiant виявила з 2006 року понад 140 вторгнень Comment Crew. Американські розвідувальні агенції та приватні охоронні фірми, які відстежують діяльність багатьох із близько 20 інших китайських хакерних груп, постійно стверджують, що вони, очевидно, є підрядчиками, пов’язаними з військовим підрозділом.

У той час, як здійснювані ним операції та саме його існування вважається у Китаї державною таємницею, Майк Роджерс (Mike Rogers) – конгресмен-республіканець із Мічигану, який очолює комітет з розвідки Палати представників Конгресу, сказав в інтерв’ю, що доповідь Mandiant «повністю збігається з хакерською діяльністю, за якою комітет спостерігає упродовж певного часу». 

Білий дім заявив, що знає про доповідь Mandiant. Прес-секретар Ради національної безпеки Томмі В’єтор (Tommy Vietor) сказав: «Ми неодноразово порушували наші проблеми про кіберкрадіжки з високопоставленими китайськими чиновниками, зокрема з військовими, і заявляли, що робитимемо це надалі».

Уряд США планує активніше захищатися від китайських хакерських груп. Згідно з директивою, підписаною президентом Обамою, він планує поділитися з американськими Інтернет-провайдерами зібраною інформацією про унікальні цифрові знаки найбільших хакерських груп, зокрема, Comment Crew та інших, які подають сигнали з місцини поблизу штаб-квартири 61398.

Однак у попередженнях американського уряду не буде відвертої прив'язки до цих груп чи гігантських комп'ютерних серверів, які вони використовують, до китайської армії. Питання про те, чи слід публічно називати військовий підрозділ і звинувачувати його у поширенні кіберкрадіжок, – предмет безперервних суперечок. «Це надзвичайно чутлива дипломатична справа», – розчаровано сказав один співробітник розвідки.

І все ж чиновники з адміністрації Обами стверджують, що мають намір у найближчі тижні заявити новим лідерам Китаю таке: масштаби й професійний рівень кібератак стали настільки інтенсивними, що загрожують основам відносин між Вашингтоном і Пекіном.

Американський уряд також має кібервоїнів. Співпрацюючи з Ізраїлем, Сполучені Штати використовували шкідливе програмне забезпечення Stuxnet, щоб зірвати іранську програму збагачення урану. Та американські урядовці наполягають, що вони працюють згідно з суворими, якщо не засекреченими, правилами, які забороняють використовувати наступальні озброєння у невійськових цілях чи для крадіжок корпоративних даних.

Сполучені Штати опинилися у стані асиметричної цифрової війни з Китаєм. «Під час холодної війни ми щодня зосереджували увагу на командних ядерних центрах навколо Москви, – заявив нещодавно високопоставлений співробітник міністерства оборони. – Сьогодні справедливо було б сказати, що нас так само непокоять комп'ютерні сервери у Шанхаї».

Тіньова група

Підрозділ 61398 (формально 2-е бюро 3-го відділу генерального штабу Народно-визвольної армії КНР) майже не фігурує в офіційних китайських військових джерелах. Тим не менш, аналітики з розвідки, які вивчали його діяльність, стверджують, що це – ключовий елемент китайського комп'ютерного шпигунства. Неурядова організація Project 2049 Institute  у штаті Вірджинія, що досліджує проблеми безпеки й політики в Азії, характеризує його як першорядну  організацію, спрямовану на США і Канаду. Найімовірніше вона зосереджує увагу на отриманні розвідувальних даних у сферах, пов’язаних з політикою, економікою та військовими справами.

Адміністрація Барака Обами ніколи не обговорювала діяльність китайського підрозділу публічно. Однак у секретній телеграмі, підготовленій за день до того, як 2008 року його було обрано президентом, докладно висловлювалася занепокоєність США кібертаками цього підрозділу на урядові сайти. (У той час американські спецслужби називали її Byzantine Candor – кодом, від якого відмовилися після того, як телеграму оприлюднив WikiLeaks).

Конкретними цілями, говорилося у телеграмі, були міністерство оборони та Державний департамент. У ній описувалося, як зловмисники надсилали електронні повідомлення, використовуючи під час кібератак метод так званого списового фішингу (spearphishing). Тільки-но шкідлива програма потрапляє у комп’ютер – достатньо одного кліку користувача, як вона проникає у системи.

Американські чиновники заявляють, що через дипломатичні проблеми та намір стежити за активністю хакерської групи уряд утримався від публічності. Однак доповідь Mandiant надає цій проблемі розголосу.

Фірма відстежувала діяльність Comment Crew, названої так через схильність нападників впроваджувати у веб-сторінки приховані коди чи коментарі, упродовж понад шести років. На основі частини цифр, які залишала хакерська група, було розпізнано, що нападники  використовували під час атак одні й ті ж шкідливі програми, веб-домени, IP-адреси, хакерські знаряддя й методи. Mandiant відстежила 141 атаку групи, яку назвала «APT-1» – абревіатурою вислову Advanced Persistent Threat 1 – «Передова постійна загроза-1».

«Однак це лише ті кібератаки, які ми змогли ідентифікувати», – говорить містер Мендіа. Інші експерти з безпеки вважають, що підрозділ вчинив тисячі нападів.

IP-адреси та інші цифрові докази, зафіксовані фірмою Mandiant, привели  безпосередньо до району у Шанхаї, де розташована штаб-квартира підрозділу 61398. Доповідь цієї фірми з 3 тис. адрес та іншими показчиками, які можна використати, щоб з’ясувати, звідки здійснювалися кібератаки, – це «сукупність доказів», що приводить до висновку: «APT-1 ніщо інше як підрозділ 61398».

Mandiant виявила, що два набори IP-адрес, які використовувалися під час кібератак, були зареєстровані у районі поблизу будівлі підрозділу 61398.

«Звідти ми відстежили понад 90 відсотків кібератак», – говорить Мендіа.

Найбільш захопливі елементи доповіді фірми Mandiant стосуються операцій з відтворення натискання клавішів комп’ютерів, що їх, як вважає фірма, здійснювали декілька хакерів на замовлення Національно-визвольної армії. Mandiant стежила за їхньою активністю з комп'ютерних систем американських компаній, в які вони проникали. Щоб позбутися китайських шпигунів, вони надали розслідувачам Mandiant повний доступ.

Одним з найпомітніших хакерів, за яким стежили, була «Потворна горилла» (UglyGorilla), яка вперше з'явилася на китайському військовому форумі у січні 2004 року, запитуючи, чи Китай має «у своїй кіберармії силу, подібну до тієї, що її створюють американські військові».

До 2007 року «Потворна горилла» випустила набір шкідливих програм, творець яких «чітко визначається за ключовими знаками». Інший хакер – DOTA  (як його назвали в Mandiant) створив аккаунти електронної пошти для впровадження шкідливих програм. Він часто використовував паролі на основі назви своєї військової частини. UglyGorilla та DOTA використовують одні й ті ж IP-адреси, пов'язані з місцем розташування підрозділу 61398.

Mandiant виявив також меморандум китайського телекому для внутрішнього вжитку, в якому обговорювалося рішення державної телекомунікаційної компанії щодо установки високошвидкісних волоконно-оптичних ліній для штаб-квартири підрозділу 61398.

Міністерство оборони Китаю заперечувало відповідальність за початок кібератак. «Звинувачувати китайських військових у старті кібератак без будь-яких переконливих доказів не професійно й безпідставно», – говорилося в одній з його заяв за минулий місяць. Саме це й спонукало Mandiant оприлюднити свої докази.

Атаки посилюються

Mandiant вважає, що підрозділ 61398 час від часу здійснював кібератаки  проти американських корпоративних і та урядових  комп'ютерні мереж. Перша з виявлених датується 2006 роком. Два роки тому кількість атак збільшилася. Mandiant виявила, що вторгнення були тривалими. Пересічно підрозділ лишався у мережі, викрадаючи дані й паролі упродовж року. В одному випадку він мав доступ упродовж 4 років і 10 місяців.

Mandiant відстежувала, як хакерська група викрадала технологічні креслення, документи про виробничі процеси, результати клінічних випробувань, про ціноутворення, про стратегію ведення переговорів та іншу конфіденційну інформацію у понад 100 клієнтів, переважно у Сполучених Штатах. Фірма ідентифікувала атаки у 20 галузях – від військових підрядчиків до хімічних заводів, гірничодовидобувних компаній, супутникових і телекомунікаційних корпорацій.

У доповіді Mandiant жертви, які зазвичай наполягають на анонімності, не називаються. За свідченням осіб, яким відомі результати розслідування, вчинена 2009 року атака проти Coca-Cola співпала з невдалою спробою американського гіганта напоїв придбати за $2,4 млрд. китайську компанію з виробництва соків Huiyuan Juice Group.

Коли керівники Coca-Cola вели переговори про найбільше закордонне придбання китайської компанії, Comment Crew через свою комп’ютерну систему вочевидь намагався дізнатися більше про стратегію переговорів Coca-Cola.

Атака проти Coca-Cola розпочалася, як і сотні попередніх, з нібито з нешкідливого електронного повідомлення керівництву компанії, що було по суті списовою кібератакою. Коли користувач натиснув на шкідливий лінк до e-mail, нападники закріпися у комп’ютерній мережі Coca-Cola. Звідти непомітно на щотижневій основі вони надсилали конфіденційні файли компанії через лабіринт комп'ютерів у Шанхаї.

Два роки потому Сomment Crew була однією із, щонайменше, трьох китайських груп, які вчинили подібну атаку на RSA – компанію з комп'ютерної безпеки, що є власністю великої технологічної компанії EMC. Вона найбільш відома як виробник жетонів SecurID, що ними користуються у Сполучених Штатах співробітники спецслужб, військових підрядчиків і багатьох великих фірм. (The New York Times також використовує фірмові маркери для доступу до своєї електронної пошти та віддалених виробничих систем). RSA запропонувала замінити маркери SecurID для клієнтів з тим, щоб додати до своєї продукції нові рівні безпеки.

Як і у випадку з Coca-Cola кібератака розпочалася з цілеспрямованого, спритно інфікованого електронного повідомлення, надісланого співробітнику RSA. Два місяці потому хакери зламали Lockheed Martin – найбільшого оборонного підрядчик країни, частково використовуючи інформацію, отриману внаслідок атаки на RSA.

Mandiant – не єдина приватна фірма, яка відстежувала Comment Crew. 2011 року дослідник Dell SecureWorks Джо Стюарт (Joe Stewart), аналізуючи використання шкідливої програми під час атаки проти RSA, виявив, що нападники, аби замаскувати своє справжнє місцерозташування, використали знаряддя хакерів.

Внаслідок зворотньої інженерії він з’ясував: переважна більшість вкрадених даних були передані у тому ж діапазоні IP-адрес, які згодом Mandiant виявила у Шанхаї.

Dell SecureWorks вважає, що Comment Crew входить до тієї ж групи нападників, які здійснювали операцію Shady RAT. Йдеться про виявлену 2011 року масштабну шпигунську комп'ютерну кампанію, що здійснювалася упродовж півдесятиліття проти 70 організацій, зокрема, проти ООН, урядових установ у Сполучених Штатах, Канаді, Південній Кореї, на Тайвані та у В'єтнамі.

У небезпеці – інфраструктура

Американських розслідувачів найбільше турбує те, що остання серія кібератак, що здійснюється підрозділом 61398, зосереджується не тільки на крадіжках інформації, а й на тому, щоб набути спроможність маніпулювати ключовими сферами американської інфраструктури: електричними мережами та іншими комунальнами послугами.

Співробітники Digital Bond – невеликої фірми, що займається комп’ютерною охороною промислових об’єктів, заявили, що торік у червні її безуспішно атакувала Comment Crew. Одному з них, що працює неповний робочий день, надійшло електронне повідомлення нібито від свого боса Дейла Петерсона (Dale Peterson). У ньому досконалою англійською мовою обговорювалися недоліки у безпеці критично важливих систем інфраструктури і містилося прохання клацнути на лінк до документа, щоб отримати додаткову інформацію.

Петерсон виловив імейл і надіслав його іншим розслідувачам. Ті виявили, що лінк містить знаряддя віддаленого доступу, що надавало нападникам можливість встановити контроль над комп’ютером співробітника і, можливо, постійний доступ до конфіденційної інформації про клієнтів Digital Bond. Вона включає дані про великий гідропроект, електростанції та гірничовидобувну компанію.

Аналіз дослідника з безпеки фірми AlienVault Хайме Бласко (Jaime Blasco) комп’ютерних серверів, які використовувалися під час атаки, привів його до інших жертв, зокрема, до групи Майкла Чертоффа (Michael Chertoff). На цій фірмі, яку очолює колишній міністр внутрішньої безпеки,  хакери моделювали удаваний масштабний кібернапад на Сполучені Штати. Інші атаки було вчинено на підрядчика Національної агенції геопросторової  розвідки (National Geospatial-Intelligence Agency) та Національної асоціації виробників електрообладнання (National Electrical Manufacturers Association) – лобістської групи, яка представляє компанії, що продукують компоненти для електричних мереж. Ці організації підтвердили, що вони зазнали кібератак, однак заявили, що перешкодили зловмисникам отримати доступ до своїх мереж.

Ґрунтуючись на даних судової експертизи, Бласко сказав, що всі жертви постраждали від Comment Crew. Однак на сьогодні найбільшу тривогу, як стверджують експерти з безпеки, викликає успішне вторгнення в комп’ютерні системи канадського відділення Telvent. Фірма, яка належить Schneider Electric, проектує програмне забезпечення для компаній із будівництва нафто- і газопроводів та операторів енергосистем віддаленого доступу.

Telvent зберігає детальні креслення на більш ніж половину всіх нафто- і газопроводів у Північній та Південній Америці, маючи доступ до їхніх систем. Торік у вересні канадське відділення Telvent повідомило своїх клієнтів, що нападники зламали його системи і викрали файли проектів. Доступ їм було невдовзі перекрито, тож зловмисники не змогли встановити контроль над системами.

Представник Schneider Electric Ханна Мартін (Hanna Martin) відмовилася від коментарів. Однак експерти з безпеки, які досліджували використання під час цієї кібератаки шкідливих програм, зокрема, Стюарт з Dell SecureWorks та Бласко з AlienVault підтвердили, що то були зловмисники з Comment Crew.

Президент США мав на увазі цю тривожну проблему у Зверненні до нації, в якому він не назвав Китай чи будь-яку іншу державу. «Ми знаємо, що зарубіжні країни та компанії крадуть наші корпоративні секрети, – сказав він. – Нині наші вороги шукають також можливостей підірвати наші енергосистеми, наші фінансові інститути, наші системи контрою над повітряним транспортом. Ми не можемо озирнутися через роки, щоби запитати, чому ми нічого не зробили».

Барак Обама перед постійним вибором: чи варто життєво важливі відносини з Китаєм, що розширюються, приносити в жертву серйозній конфронтації через комп’ютерні злами між найбільшою та другою за величиною світовими економіками?

Декілька років тому представники американської адміністрації заявляли, що крадіжки інтелектуальної власності викликають роздратування, яке призводить до втрати мільярдів доларів доходу. Однак очевидно, що відтоді відбулися зміни. Накопичення доказів про державну підтримку, посилення зухвалості підрозділу 61398 та все більша загроза американській інфраструктурі приводить урядовців до висновку про необхідність набагато сильнішої відповіді.

«Нині у китайців немає жодного стимулу припинити займатися цим, – каже голова Комітету з розвідки Палати представників Роджерс. – Якщо ми не встановимо високої ціни, процес лише прискорюватиметься».

***

Наступного дня після того, як Mandiant звинуватила китайських військових у веденні кібервійни проти американських корпорацій, організацій та державних установ, міністерство оборони КНР категорично це заперечило і наполягало на тому, що її доповідь не відповідає дійсності.

На прес-конференції, яка відбулася в Пекіні, речник відомства Джень Яншень (Geng Yansheng) заявив, що Китай сам став жертвою кібератак із боку Сполучених Штатів і що Mandiant хибно охарактеризувала діяльність Китаю.

«Китайські збройні сили ніколи не підтримували жодних акцій хакерів, – сказав він. – Твердження компанії Mandiant, що Китай займається військовим шпигунством в інтернеті, насправді не мають жодних підстав».

Раніше, у вівторок, прес-секретар китайського міністерства закордонних справ Хун Лей (Hong Lei) стверджував, що кібератаки важко простежити, бо їх «часто здійснювали на міжнародному рівні, а це, як правило, робиться анонімно».

Джерело: The New York Times

Автори: Девід Сенджер, Девід Барбоза, Нікол Перлрот

Переклад: Аркадій Сидорук