Китайские военные причастны к хакерским атакам против США
Chinese Army Unit Is Seen as Tied to Hacking Against U.S.
20 февраля 2013 перевод Janna Shelko
DAVID E. SANGER, DAVID BARBOZA, NICOLE PERLROTH
[The New York Times / Опубликовано: 18 февраля 2013 года]
На окраине Шанхая, в захудалом районе выделяется 12-этажное белое офисное здание, в котором находится база Народно-освободительной армии (PLA) для развивающейся китайской корпорации кибервоинов.
Здание на Datong Road, в окружении ресторанов, массажных салонов и винного импортера - штаб-квартира подразделения 61398 PLA. Растущий объем цифровых улик - подтвержден американской разведкой, которая утверждает, что она проникала в деятельность воинской части в течение многих лет - оставляет мало сомнений в том, что подавляющий процент нападений на американские корпорации, организации и государственные учреждения происходит внутри и вокруг белой башни.
Необычно подробный 60-страничный доклад (http://intelreport.mandiant.com/), который был опубликован во вторник Mandiant, американской фирмой компьютерной безопасности, отслеживает данные старта отдельных частей самых сложных китайских хакерских атак - известных многим из его жертв в Соединенных Штатах как "Comment Crew" или "Shanghai Group"- на пороге штаб-квартиры военного блока. Фирма не разместила хакеров внутри 12-этажного здания, но в данном случае нет другого правдоподобного объяснения, почему так много атак выходит из одной сравнительно небольшой территориальной площади.
"Либо они идут из самого подразделения 61398", - сказал Kevin Mandia, основатель и главный исполнительный директор Mandiant, в интервью на прошлой неделе: "Или от людей, которые попали под наибольший контроль, большинство контролируемых сетей Интернет в мире без понятия о тысячах людей, генерирующих атаки из этой окрестности".
Другие фирмы безопасности, которые проследили "Comment Crew" говорят, что они также считают, что группа спонсируется государством, и последнее объявление национальной разведки ( http://topics.nytimes.com/top/reference/timestopics/organizations/i/us_intelligence_community/national_intelligence_estimates/index.html?inline=nyt-classifier), выпущенное в виде согласованного документа для всех 16 агентств разведки Соединенных Штатов, доказывает, что многие из этих хакерских групп либо в ведении армейских офицеров или подрядчики, работающие на такие команды, как подразделение 61398, по мнению официальных лиц, которые знают его секретное содержание.
Mandiant предоставил сигнальный экземпляр своего доклада New York Times, заявив, что надеется "показать видимые проблемы, затронутые в докладе". Журналисты Times затем проверили выводы с другими специалистами как внутри, так и вне правительства, которые исследовали ссылки между хакерскими группами и армией (Mandiant был нанят The New York Times Company, чтобы исследовать происхождение сложных китайских нападений на их новостную операционную систему, но пришел к выводу что это не работа Comment Crew, а другая китайская группа. Фирма в настоящее время не работает в компании, но это в дискуссии о деловых отношениях).
Хотя Comment Crew слила терабайты данных из таких компаний, как Coca-Cola, но все больше и больше внимания уделяется компаниям, участвующим в основной инфраструктуре Соединенных Штатов - его электрической энергосистеме, газопроводах и гидротехнических сооружениях. По данным исследователей в области безопасности, одной из целей была компания с удаленным доступом к более чем 60% нефте-и газопроводов в Северной Америке. Этот вирус также был среди тех, кто напал на фирму компьютерной безопасности RSA, чьи компьютерные коды защищают конфиденциальные корпоративные и государственные базы данных.
Связавшись в понедельник, должностные лица из китайского посольства в Вашингтоне вновь настаивали, что их правительство не участвует в компьютерных хакерских атаках и что такая деятельность является незаконной. Они описывают сам Китай как жертву компьютерного взлома, и утверждают, что есть много хакерских групп внутри самих Соединенных Штатов. Но в последние годы китайские атаки значительно выросли, говорят исследователи по вопросам безопасности. Mandiant обнаружил более 140 вторжений Comment Crew с 2006 года. Американские спецслужбы и частные охранные фирмы, которые отслеживают многие из 20 или около того других китайских групп каждый день говорят что эти группы, по всей видимости, имеют подрядчиков со ссылками на компонент программы.
Китайские министерства иностранных дел заявили во вторник, что обвинения "непрофессиональны''.
"Сделанные необоснованные обвинения основаны на предварительных результатах, что является безответственым и непрофессиональным, и не полезным для решения соответствующей проблемы,'' - сказал Хун Лэй, официальный представитель министерства: ''Китай выступает решительно против хакерских действий и приняты соответствующие законы и правила и принимаются строгие правоохранительные меры, чтобы защититься от онлайн взлома."
В то время как существование подразделения и его деятельность является китайской государственной тайной, Mike Rogers, представитель от Мичигана, республиканский председатель Палаты комитета по разведке, сказал в интервью, что доклад Mandiant "полностью соответствует той деятельности, которую Комитет по разведке наблюдает в течение некоторого времени".
Белый дом заявил, что "знает" о докладе Mandiant, а Tommy Vietor, пресс-секретарь Совета национальной безопасности, сказал: "Мы неоднократно поднимали наши проблемы с киберкражами на самом высоком уровне с высокопоставленными китайскими чиновниками, в том числе военными, и мы будем продолжать это делать".
Правительство США планирует начать более агрессивную защиту от китайских хакерских групп, начиная со вторника. В соответствии с директивой, подписанный президентом Обамой на прошлой неделе, правительство планирует поделиться с американскими интернет-провайдерами информацией, которую она собрала вокруг уникальной цифровой подписи крупнейших вирусов, в том числе Comment Crew и других, вытекающих из мест, где располагается подразделение 61398.
Но правительство предупреждает, что не будет напрямую связывать эти группы или гигантские компьютерные серверы, которые они используют, с китайской армией. Вопрос о том, чтобы публично назвать устройство и обвинить его в широкомасштабной краже, является предметом непрекращающихся споров.
"Здесь существует огромная дипломатическая уязвимость", - сказал сотрудник разведки с разочарованием в голосе.
Но официальные представители администрации Обамы говорят, что они планируют сообщить новым лидерам Китая в ближайшие недели, что объем и сложность атак стал настолько интенсивным, что они угрожают фундаментальным отношениям между Вашингтоном и Пекином.
Правительство США также имеет кибервоенных. В работе с Израилем, Соединенные Штаты использовали вредоносное програмное обеспечение под названием Stuxnet (http://topics.nytimes.com/top/reference/timestopics/subjects/c/computer_malware/stuxnet/index.html?inline=nyt-classifier), чтобы сорвать программу Ирана по обогащению урана. Но правительственные чиновники настаивают, что они работают под строгим, если классифицировать, правилом, запрещающим использование наступательных вооружений для невоенных целей или кражи корпоративных данных.
Соединенные Штаты оказались в некотором смысле в асимметричной цифровой войне с Китаем. "В холодной войне мы были ежедневно сосредоточены на ядерных центрах вокруг Москвы", - сказал недавно высокопоставленный сотрудник министерства обороны: "Сегодня справедливо будет сказать, что мы так же беспокоимся о компьютерных серверах в Шанхае".
Темная единица
Спецподразделение 61398 - формально, 2-е бюро 3-го отдела Народно-освободительной армии Генерального штаба - не существует почти нигде в официальных китайских военных описаниях. Тем не менее, аналитики разведки, которые изучали группы, говорят, что это центральный элемент китайского компъютерного шпионажа. Подразделение было описано в 2011 году как "главная структура, ориентированная на США и Канаду, скорее всего с упором на политическую, экономическую и военную информацию", институтом Проект 2049, неправительственной организацией, расположенной в штате Вирджиния и исследующей вопросы безопасности и политики в Азии.
В то время как администрация Обамы никогда публично не обсуждала деятельность китайского подразделения, секретная депеша Госдепартамента (http://www.nytimes.com/2010/12/05/world/asia/05wikileaks-china.html?pagewanted=all&_r=0) за день до того, как Барак Обама был избран президентом в ноябре 2008 года, сообщила и подробно описала озабоченность по поводу нападения группы на американские правительственные сайты. (В то время американские спецслужбы называют ее кодовым словом "Byzantine Candor" кодовое слово убрали после того, как депеша была размещена на WikiLeaks.)
Министерство обороны и Государственный департамент были конкретными целями, говорится в депеше, описывая, как группы-злоумышленники отправляли электронную почту, что называется "spearphishing" атака, которая размещала вредоносные программы на целевых компьютерах при нажатии на них один раз получателем. Оттуда они переходили внутрь системы.
Американские официальные лица говорят, что сочетание дипломатических проблем и желание поддержать деятельность аппарата остановило правительство от огласки. Но доклад Mandiant вынес вопрос на всеобщее обозрение.
За более чем шесть лет, Mandiant отслеживал действия Comment Crew, названный так за склонность нападавших встраивать скрытый код или комментарии в веб-страницы. На основе цифрового следа, который оставили атаки - стало известно, что его нападавшие использовали те же вредоносные программы, веб-домены, адреса интернет-протокола, хакерские инструменты и методы по-атак - Mandiant выявил 141 нападение со стороны группы, которую он назвал "APT 1" (Расширенная постоянная угроза 1).
"Но это только те, которые мы смогли легко идентифицировать", - сказал г-н Mandia. Другие эксперты по безопасности считают, что группа несет ответственность за тысячи нападений.
Когда Mandiant отследил адреса Интернет-протокола и другие биты цифровых доказательств, все это привело к окраине района Пудун города Шанхай, прямо у штаб-квартиры подразделения 61398. В докладе группы, на основе 3000-адресов и других показателей, которые могут быть использованы для определения источника атаки, заключается, что "совокупность доказательств" приводит к выводу, что "APT 1 это подразделение 61398".
Mandiant обнаружили, что два набора IP адреса, используемые в атаках были зарегистрированы в том же районе, у здания подразделения 61398.
"Это место, откуда родом более 90 процентов атак," - сказал г-н Mandia.
Есть только еще одна другая вероятность, делается вывод в докладе с оттенком сарказма, что какая-то "тайная организация, обладающая ресурсами всего материкового Китая с прямым доступом к шанхайской телекоммуникационной инфраструктуре занимается многолетним масштабным компьютерным шпионажем прямо за воротами подразделения 61398".
Самым интересным элементом доклада Mandiant являются клавиши-на-клавиши (keystroke-by-keystroke) действия нескольких хакеров, которые фирма считает работой для PLA. Mandiant отследила их деятельность внутри компьютерных систем американских компаний, в которые они вторгались. Компании дали следователям Mandiant полный доступ для избавления их от китайских шпионов.
Одним из самых заметных хакеров является UglyGorilla, которые впервые появились на китайском военном форуме в январе 2004 года, затребовав от Китае "подобные силы" в "кибер-армиях", какие создаются американскими военными.
К 2007 году UglyGorilla превращает из набора вредоносных программ то, что доклад называет "четко идентифицированные подписи". Другой хакер, которого Mandiant называет "DOTA", создал учетные записи электронной почты, которые использовались для запуска вредоносных программ. Этот хакер часто использует пароль, который обозначенает его воинскую часть. DOTA и UglyGorilla используют I.P. адреса приводящие обратно в окрестности подразделения 61398.
Mandiant обнаружил несколько случаев, когда злоумышленники вошли в свой Facebook и Twitter аккаунт, чтобы обойти брандмауэр Китая, который блокирует доступ рядового гражданина, что облегчает отслеживание их реальной идентичности.
Mandiant также обнаружил внутренние памятки China Telecom где государственная телекоммуникационная компания обсуждает вопросы установки высокоскоростных волоконно-оптических линий для штаб-квартиры подразделения 61398.
Министерство обороны Китая отрицает, что несет ответственность за начало атаки. "Это непрофессионально и безосновательно обвинять китайских военных в запуске кибератак без каких-либо убедительных доказательств", - говорится в одном из заявлений в прошлом месяце, которое побудило Mandiant обнародовать свои доказательства.
Наращивание атак
Mandiant считает, что подразделение 61398 проводит спорадические нападения на американские корпоративные и правительственные компьютерные сети; самые ранние относятся к 2006 году. Два года назад их число резко выросло. Mandiant обнаружил, что некоторые из вторжений были длительными. В среднем группа оставалась внутри сети, воруя данные и пароли, в течение года, а в одном случае она имела доступ в течение четырех лет и 10 месяцев.
Mandiant has watched the group as it has stolen technology blueprints, manufacturing processes, clinical trial results, pricing documents, negotiation strategies and other proprietary information from more than 100 of its clients, mostly in the United States. Mandiant identified attacks on 20 industries, from military contractors to chemical plants, mining companies and satellite and telecommunications corporations.
В отчете Mandiant не называет жертв, которые обычно настаивают на анонимности. Нападение на Coca-Cola в 2009 году совпало с неудачной попыткой гиганта напитков приобрести компанию соков Китая Huiyuan за $ 2,4 млрд., по словам людей, знакомых с результатами исследования компании.
Когда руководители Coca-Cola вели переговоры, что было бы крупнейшим иностранным приобретением китайской компании, Comment Crew рылся в их компьютерах в явной попытке узнать больше о стратегии переговоров Coca-Cola.
Нападение на Coca-Cola началась, как и с сотнями до него, с казалось бы, безобидной электронной почты исполнительной власти, которая была, по сути, направленной фишинг атакой. Когда получатель нажал на вредоносную ссылку в сообщении электронной почты, он дал нападавшим закрепиться внутри сети Coca-Cola. Изнутри, они посылали конфиденциальные файлы компании через лабиринт компьютеров в Шанхае, на еженедельной основе, незаметно.
Два года спустя, Comment Crew был одним из по меньшей мере трех китайских групп на основе которых было проведено аналогичное нападение на RSA, компанию компьютерной безопасности, принадлежащую EMC, крупной компании компъютерных технологий. Она является самым известным за свой SecurID знак, используемый сотрудниками спецслужб Соединенных Штатов, военных подрядчиков и многих крупных компаний. (The New York Times также использует маркеры этой фирмы для доступа к своей электронной почте и производственным системам удаленно.) RSA предложил клиентам заменить SecurID маркеры и сказал, что добавил новые уровни безопасности для своих продуктов.
Как и в случае с Coca-Cola, атака началась с целенаправленного, ловкого отравления электронной почты работнику RSA. Два месяца спустя, хакеры нарушили работу Lockheed Martin, крупнейшего оборонного подрядчика страны, частично используя информацию, почерпнутую из атаки RSA.
Mandiant не единственная частная фирма, отследившая Comment Crew. В 2011 году Джо Стюарт (Joe Stewart), исследователь Dell SecureWorks, проанализировал вирус, используемый в атаке на RSA. Он обнаружил, что нападавшие использовали инструменты хакеров, чтобы замаскировать свое истинное местоположение.
Когда он проследил технологию обратной связи, он обнаружил, что подавляющее большинство украденных данных было передано в том же диапазоне IP адресов, которые Mandiant впоследствии выяснил, находятся в Шанхае.
Dell SecureWorks считает, что Comment Crew входит в группу нападавших за операции Shady RAT, обширную кампанию компьютерного шпионажа, обнаруженную в 2011 году, которая была направлена на более, чем 70 организаций за пятилетний период, включая Организацию Объединенных Наций, правительственные учреждения в Соединенных Штатах , Канаде, Южной Корее, Тайвани и Вьетнаме.
Инфраструктура в опасности
Что больше всего беспокоит американских исследователей, это то, что последний набор атак показывает внимание окружения подразделения 61398 не только на кражу информации, но и на получение способности манипулировать американскими важными инфраструктурами: электрическими сетями и другими коммунальными услугами.
Сотрудники Digital Bond, небольшой охранной фирмы, которая специализируется на компьютерах промышленного управления, сообщают, что в прошлом июне Comment Crew безуспешно атаковал его. В предпраздничный рабочий день Digital Bond получил электронную почту, которая исходила от его босса, Дэйл Петерсон (Dale Peterson). В электронной почте, на прекрасном английском языке обсуждались недостатки в безопасности критически важных систем инфраструктуры, и попросили сотрудника щелкнуть ссылку на документ для получения дополнительной информации. Г-н Петерсон поймал электронную почту и поделился ею с другими исследователями, которые обнаружили ссылку, содержащую инструмент удаленного доступа, который дал бы нападавшим контроль над компьютером сотрудника и, возможно, доступ к конфиденциальной информации клиентов Digital Bond, которые включают в себя крупный водный проект, электростанции и горнодобывающую компанию.
Джейми Бласко, исследователь безопасности в AlienVault, проанализировал компьютерные серверы, используемые в атаке, которая привела его к другим жертвам, в том числе к Chertoff Group. Эта фирма, которую возглавляет бывший секретарь Департамента Национальной Безопаности, Майкл Чертофф, подверглась нападению, подобному обширному цифровому нападению на Соединенные Штаты. Другие нападения были сделаны на подрядчика для национальной геопространственной разведки и Национальную ассоциацию производителей электрооборудования, лоббистскую группу, которая представляет компании, которые делают компоненты для электрических сетей. Эти организации подтвердили, что они подверглись нападению, но сказали, что они помешали злоумышленникам получить доступ к своей сети.
Г-н Бласко сказал, что согласно экспертам, все жертвы пострадали от Comment Crew. Но самым тревожным нападением на сегодняшний день, говорят эксперты по безопасности, было успешное вторжение в канадское отделение Telvent. Компания в настоящее время принадлежит Schneider Electric, дизайн программного обеспечения, которое дает нефте-и газопроводным компаниям и операторам энергосистем удаленный доступ к клапанам, переключателям и системам безопасности.
Telvent хранит подробные чертежи на более чем половину всех нефте-и газопроводов в Северной и Южной Америке, и имеет доступ к их системам. В сентябре канадский Telvent сообщил клиентам, что нападавшие ворвались в его систему и скопировали файлы проекта. Этот доступ был немедленно отрезан, так что злоумышленники не смогли взять на себя руководство системой.
Мартин Ханна (Martin Hanna), представитель Schneider Electric, не ответил на просьбы о комментарии, но исследователи по вопросам безопасности, которые изучали вредоносные программы, используемые в атаке, в том числе г-н Стюарт из Dell SecureWorks и г-н Бласко из AlienVault, подтвердили, что преступниками были Comment Crew.
"Это страшно, потому что - если забыть о стране - если кто-то нанял меня, и сказал мне, что хотел бы иметь наступательные возможности вывезти столько критических систем, сколько возможно, я бы пошел по поставщикам и делал то, что случилось с Telvent ", - сказал Г-н Петерсон из Digital Bond: "Это святой Грааль".
Г-н Обама упомянул эту проблему в выступлении, без упоминания Китая или любой другой страны: "Мы знаем, зарубежных страны и компании крадут наши корпоративные секреты", - сказал он: "Теперь наши враги также ищут возможность повредить наши энергосистемы, наши финансовые институты, наши системы управления воздушным движением. Мы не можем позволить себе оглянуться несколько лет спустя и удивляться, почему мы ничего не сделали".
Г-н Обама сталкивается с неприятной выбором: стоят ли разросшиеся жизненно важные отношения с Китаем серьезной конфронтации между крупной и второй по величине экономикой в мире за компьютерный взлом?
Представители администрации говорят, что несколько лет назад кражи интеллектуальной собственности приводили к потере миллиардов долларов дохода. Но ясно, что что-то изменилось. Накапливается все больше данных о государственной поддержке, увеличении смелости подразделения 61398 и растущей угрозе американской инфраструктуре привела чиновников к выводу, что это гораздо важнее, чем оставлять без ответа.
"Сейчас нет никакого стимула для китайцев прекратить это делать", - сказал г-н Роджерс, председатель Палаты представителей по разведке: "Если мы не поднимем планку, это только ускорит процесс".
http://tibet.net/2013/02/20/chinese-army-unit-is-seen-as-tied-to-hacking-against-u-s/
20 февраля 2013 перевод Janna Shelko
DAVID E. SANGER, DAVID BARBOZA, NICOLE PERLROTH
[The New York Times / Опубликовано: 18 февраля 2013 года]
На окраине Шанхая, в захудалом районе выделяется 12-этажное белое офисное здание, в котором находится база Народно-освободительной армии (PLA) для развивающейся китайской корпорации кибервоинов.
Здание на Datong Road, в окружении ресторанов, массажных салонов и винного импортера - штаб-квартира подразделения 61398 PLA. Растущий объем цифровых улик - подтвержден американской разведкой, которая утверждает, что она проникала в деятельность воинской части в течение многих лет - оставляет мало сомнений в том, что подавляющий процент нападений на американские корпорации, организации и государственные учреждения происходит внутри и вокруг белой башни.
Необычно подробный 60-страничный доклад (http://intelreport.mandiant.com/), который был опубликован во вторник Mandiant, американской фирмой компьютерной безопасности, отслеживает данные старта отдельных частей самых сложных китайских хакерских атак - известных многим из его жертв в Соединенных Штатах как "Comment Crew" или "Shanghai Group"- на пороге штаб-квартиры военного блока. Фирма не разместила хакеров внутри 12-этажного здания, но в данном случае нет другого правдоподобного объяснения, почему так много атак выходит из одной сравнительно небольшой территориальной площади.
"Либо они идут из самого подразделения 61398", - сказал Kevin Mandia, основатель и главный исполнительный директор Mandiant, в интервью на прошлой неделе: "Или от людей, которые попали под наибольший контроль, большинство контролируемых сетей Интернет в мире без понятия о тысячах людей, генерирующих атаки из этой окрестности".
Другие фирмы безопасности, которые проследили "Comment Crew" говорят, что они также считают, что группа спонсируется государством, и последнее объявление национальной разведки ( http://topics.nytimes.com/top/reference/timestopics/organizations/i/us_intelligence_community/national_intelligence_estimates/index.html?inline=nyt-classifier), выпущенное в виде согласованного документа для всех 16 агентств разведки Соединенных Штатов, доказывает, что многие из этих хакерских групп либо в ведении армейских офицеров или подрядчики, работающие на такие команды, как подразделение 61398, по мнению официальных лиц, которые знают его секретное содержание.
Mandiant предоставил сигнальный экземпляр своего доклада New York Times, заявив, что надеется "показать видимые проблемы, затронутые в докладе". Журналисты Times затем проверили выводы с другими специалистами как внутри, так и вне правительства, которые исследовали ссылки между хакерскими группами и армией (Mandiant был нанят The New York Times Company, чтобы исследовать происхождение сложных китайских нападений на их новостную операционную систему, но пришел к выводу что это не работа Comment Crew, а другая китайская группа. Фирма в настоящее время не работает в компании, но это в дискуссии о деловых отношениях).
Хотя Comment Crew слила терабайты данных из таких компаний, как Coca-Cola, но все больше и больше внимания уделяется компаниям, участвующим в основной инфраструктуре Соединенных Штатов - его электрической энергосистеме, газопроводах и гидротехнических сооружениях. По данным исследователей в области безопасности, одной из целей была компания с удаленным доступом к более чем 60% нефте-и газопроводов в Северной Америке. Этот вирус также был среди тех, кто напал на фирму компьютерной безопасности RSA, чьи компьютерные коды защищают конфиденциальные корпоративные и государственные базы данных.
Связавшись в понедельник, должностные лица из китайского посольства в Вашингтоне вновь настаивали, что их правительство не участвует в компьютерных хакерских атаках и что такая деятельность является незаконной. Они описывают сам Китай как жертву компьютерного взлома, и утверждают, что есть много хакерских групп внутри самих Соединенных Штатов. Но в последние годы китайские атаки значительно выросли, говорят исследователи по вопросам безопасности. Mandiant обнаружил более 140 вторжений Comment Crew с 2006 года. Американские спецслужбы и частные охранные фирмы, которые отслеживают многие из 20 или около того других китайских групп каждый день говорят что эти группы, по всей видимости, имеют подрядчиков со ссылками на компонент программы.
Китайские министерства иностранных дел заявили во вторник, что обвинения "непрофессиональны''.
"Сделанные необоснованные обвинения основаны на предварительных результатах, что является безответственым и непрофессиональным, и не полезным для решения соответствующей проблемы,'' - сказал Хун Лэй, официальный представитель министерства: ''Китай выступает решительно против хакерских действий и приняты соответствующие законы и правила и принимаются строгие правоохранительные меры, чтобы защититься от онлайн взлома."
В то время как существование подразделения и его деятельность является китайской государственной тайной, Mike Rogers, представитель от Мичигана, республиканский председатель Палаты комитета по разведке, сказал в интервью, что доклад Mandiant "полностью соответствует той деятельности, которую Комитет по разведке наблюдает в течение некоторого времени".
Белый дом заявил, что "знает" о докладе Mandiant, а Tommy Vietor, пресс-секретарь Совета национальной безопасности, сказал: "Мы неоднократно поднимали наши проблемы с киберкражами на самом высоком уровне с высокопоставленными китайскими чиновниками, в том числе военными, и мы будем продолжать это делать".
Правительство США планирует начать более агрессивную защиту от китайских хакерских групп, начиная со вторника. В соответствии с директивой, подписанный президентом Обамой на прошлой неделе, правительство планирует поделиться с американскими интернет-провайдерами информацией, которую она собрала вокруг уникальной цифровой подписи крупнейших вирусов, в том числе Comment Crew и других, вытекающих из мест, где располагается подразделение 61398.
Но правительство предупреждает, что не будет напрямую связывать эти группы или гигантские компьютерные серверы, которые они используют, с китайской армией. Вопрос о том, чтобы публично назвать устройство и обвинить его в широкомасштабной краже, является предметом непрекращающихся споров.
"Здесь существует огромная дипломатическая уязвимость", - сказал сотрудник разведки с разочарованием в голосе.
Но официальные представители администрации Обамы говорят, что они планируют сообщить новым лидерам Китая в ближайшие недели, что объем и сложность атак стал настолько интенсивным, что они угрожают фундаментальным отношениям между Вашингтоном и Пекином.
Правительство США также имеет кибервоенных. В работе с Израилем, Соединенные Штаты использовали вредоносное програмное обеспечение под названием Stuxnet (http://topics.nytimes.com/top/reference/timestopics/subjects/c/computer_malware/stuxnet/index.html?inline=nyt-classifier), чтобы сорвать программу Ирана по обогащению урана. Но правительственные чиновники настаивают, что они работают под строгим, если классифицировать, правилом, запрещающим использование наступательных вооружений для невоенных целей или кражи корпоративных данных.
Соединенные Штаты оказались в некотором смысле в асимметричной цифровой войне с Китаем. "В холодной войне мы были ежедневно сосредоточены на ядерных центрах вокруг Москвы", - сказал недавно высокопоставленный сотрудник министерства обороны: "Сегодня справедливо будет сказать, что мы так же беспокоимся о компьютерных серверах в Шанхае".
Темная единица
Спецподразделение 61398 - формально, 2-е бюро 3-го отдела Народно-освободительной армии Генерального штаба - не существует почти нигде в официальных китайских военных описаниях. Тем не менее, аналитики разведки, которые изучали группы, говорят, что это центральный элемент китайского компъютерного шпионажа. Подразделение было описано в 2011 году как "главная структура, ориентированная на США и Канаду, скорее всего с упором на политическую, экономическую и военную информацию", институтом Проект 2049, неправительственной организацией, расположенной в штате Вирджиния и исследующей вопросы безопасности и политики в Азии.
В то время как администрация Обамы никогда публично не обсуждала деятельность китайского подразделения, секретная депеша Госдепартамента (http://www.nytimes.com/2010/12/05/world/asia/05wikileaks-china.html?pagewanted=all&_r=0) за день до того, как Барак Обама был избран президентом в ноябре 2008 года, сообщила и подробно описала озабоченность по поводу нападения группы на американские правительственные сайты. (В то время американские спецслужбы называют ее кодовым словом "Byzantine Candor" кодовое слово убрали после того, как депеша была размещена на WikiLeaks.)
Министерство обороны и Государственный департамент были конкретными целями, говорится в депеше, описывая, как группы-злоумышленники отправляли электронную почту, что называется "spearphishing" атака, которая размещала вредоносные программы на целевых компьютерах при нажатии на них один раз получателем. Оттуда они переходили внутрь системы.
Американские официальные лица говорят, что сочетание дипломатических проблем и желание поддержать деятельность аппарата остановило правительство от огласки. Но доклад Mandiant вынес вопрос на всеобщее обозрение.
За более чем шесть лет, Mandiant отслеживал действия Comment Crew, названный так за склонность нападавших встраивать скрытый код или комментарии в веб-страницы. На основе цифрового следа, который оставили атаки - стало известно, что его нападавшие использовали те же вредоносные программы, веб-домены, адреса интернет-протокола, хакерские инструменты и методы по-атак - Mandiant выявил 141 нападение со стороны группы, которую он назвал "APT 1" (Расширенная постоянная угроза 1).
"Но это только те, которые мы смогли легко идентифицировать", - сказал г-н Mandia. Другие эксперты по безопасности считают, что группа несет ответственность за тысячи нападений.
Когда Mandiant отследил адреса Интернет-протокола и другие биты цифровых доказательств, все это привело к окраине района Пудун города Шанхай, прямо у штаб-квартиры подразделения 61398. В докладе группы, на основе 3000-адресов и других показателей, которые могут быть использованы для определения источника атаки, заключается, что "совокупность доказательств" приводит к выводу, что "APT 1 это подразделение 61398".
Mandiant обнаружили, что два набора IP адреса, используемые в атаках были зарегистрированы в том же районе, у здания подразделения 61398.
"Это место, откуда родом более 90 процентов атак," - сказал г-н Mandia.
Есть только еще одна другая вероятность, делается вывод в докладе с оттенком сарказма, что какая-то "тайная организация, обладающая ресурсами всего материкового Китая с прямым доступом к шанхайской телекоммуникационной инфраструктуре занимается многолетним масштабным компьютерным шпионажем прямо за воротами подразделения 61398".
Самым интересным элементом доклада Mandiant являются клавиши-на-клавиши (keystroke-by-keystroke) действия нескольких хакеров, которые фирма считает работой для PLA. Mandiant отследила их деятельность внутри компьютерных систем американских компаний, в которые они вторгались. Компании дали следователям Mandiant полный доступ для избавления их от китайских шпионов.
Одним из самых заметных хакеров является UglyGorilla, которые впервые появились на китайском военном форуме в январе 2004 года, затребовав от Китае "подобные силы" в "кибер-армиях", какие создаются американскими военными.
К 2007 году UglyGorilla превращает из набора вредоносных программ то, что доклад называет "четко идентифицированные подписи". Другой хакер, которого Mandiant называет "DOTA", создал учетные записи электронной почты, которые использовались для запуска вредоносных программ. Этот хакер часто использует пароль, который обозначенает его воинскую часть. DOTA и UglyGorilla используют I.P. адреса приводящие обратно в окрестности подразделения 61398.
Mandiant обнаружил несколько случаев, когда злоумышленники вошли в свой Facebook и Twitter аккаунт, чтобы обойти брандмауэр Китая, который блокирует доступ рядового гражданина, что облегчает отслеживание их реальной идентичности.
Mandiant также обнаружил внутренние памятки China Telecom где государственная телекоммуникационная компания обсуждает вопросы установки высокоскоростных волоконно-оптических линий для штаб-квартиры подразделения 61398.
Министерство обороны Китая отрицает, что несет ответственность за начало атаки. "Это непрофессионально и безосновательно обвинять китайских военных в запуске кибератак без каких-либо убедительных доказательств", - говорится в одном из заявлений в прошлом месяце, которое побудило Mandiant обнародовать свои доказательства.
Наращивание атак
Mandiant считает, что подразделение 61398 проводит спорадические нападения на американские корпоративные и правительственные компьютерные сети; самые ранние относятся к 2006 году. Два года назад их число резко выросло. Mandiant обнаружил, что некоторые из вторжений были длительными. В среднем группа оставалась внутри сети, воруя данные и пароли, в течение года, а в одном случае она имела доступ в течение четырех лет и 10 месяцев.
Mandiant has watched the group as it has stolen technology blueprints, manufacturing processes, clinical trial results, pricing documents, negotiation strategies and other proprietary information from more than 100 of its clients, mostly in the United States. Mandiant identified attacks on 20 industries, from military contractors to chemical plants, mining companies and satellite and telecommunications corporations.
В отчете Mandiant не называет жертв, которые обычно настаивают на анонимности. Нападение на Coca-Cola в 2009 году совпало с неудачной попыткой гиганта напитков приобрести компанию соков Китая Huiyuan за $ 2,4 млрд., по словам людей, знакомых с результатами исследования компании.
Когда руководители Coca-Cola вели переговоры, что было бы крупнейшим иностранным приобретением китайской компании, Comment Crew рылся в их компьютерах в явной попытке узнать больше о стратегии переговоров Coca-Cola.
Нападение на Coca-Cola началась, как и с сотнями до него, с казалось бы, безобидной электронной почты исполнительной власти, которая была, по сути, направленной фишинг атакой. Когда получатель нажал на вредоносную ссылку в сообщении электронной почты, он дал нападавшим закрепиться внутри сети Coca-Cola. Изнутри, они посылали конфиденциальные файлы компании через лабиринт компьютеров в Шанхае, на еженедельной основе, незаметно.
Два года спустя, Comment Crew был одним из по меньшей мере трех китайских групп на основе которых было проведено аналогичное нападение на RSA, компанию компьютерной безопасности, принадлежащую EMC, крупной компании компъютерных технологий. Она является самым известным за свой SecurID знак, используемый сотрудниками спецслужб Соединенных Штатов, военных подрядчиков и многих крупных компаний. (The New York Times также использует маркеры этой фирмы для доступа к своей электронной почте и производственным системам удаленно.) RSA предложил клиентам заменить SecurID маркеры и сказал, что добавил новые уровни безопасности для своих продуктов.
Как и в случае с Coca-Cola, атака началась с целенаправленного, ловкого отравления электронной почты работнику RSA. Два месяца спустя, хакеры нарушили работу Lockheed Martin, крупнейшего оборонного подрядчика страны, частично используя информацию, почерпнутую из атаки RSA.
Mandiant не единственная частная фирма, отследившая Comment Crew. В 2011 году Джо Стюарт (Joe Stewart), исследователь Dell SecureWorks, проанализировал вирус, используемый в атаке на RSA. Он обнаружил, что нападавшие использовали инструменты хакеров, чтобы замаскировать свое истинное местоположение.
Когда он проследил технологию обратной связи, он обнаружил, что подавляющее большинство украденных данных было передано в том же диапазоне IP адресов, которые Mandiant впоследствии выяснил, находятся в Шанхае.
Dell SecureWorks считает, что Comment Crew входит в группу нападавших за операции Shady RAT, обширную кампанию компьютерного шпионажа, обнаруженную в 2011 году, которая была направлена на более, чем 70 организаций за пятилетний период, включая Организацию Объединенных Наций, правительственные учреждения в Соединенных Штатах , Канаде, Южной Корее, Тайвани и Вьетнаме.
Инфраструктура в опасности
Что больше всего беспокоит американских исследователей, это то, что последний набор атак показывает внимание окружения подразделения 61398 не только на кражу информации, но и на получение способности манипулировать американскими важными инфраструктурами: электрическими сетями и другими коммунальными услугами.
Сотрудники Digital Bond, небольшой охранной фирмы, которая специализируется на компьютерах промышленного управления, сообщают, что в прошлом июне Comment Crew безуспешно атаковал его. В предпраздничный рабочий день Digital Bond получил электронную почту, которая исходила от его босса, Дэйл Петерсон (Dale Peterson). В электронной почте, на прекрасном английском языке обсуждались недостатки в безопасности критически важных систем инфраструктуры, и попросили сотрудника щелкнуть ссылку на документ для получения дополнительной информации. Г-н Петерсон поймал электронную почту и поделился ею с другими исследователями, которые обнаружили ссылку, содержащую инструмент удаленного доступа, который дал бы нападавшим контроль над компьютером сотрудника и, возможно, доступ к конфиденциальной информации клиентов Digital Bond, которые включают в себя крупный водный проект, электростанции и горнодобывающую компанию.
Джейми Бласко, исследователь безопасности в AlienVault, проанализировал компьютерные серверы, используемые в атаке, которая привела его к другим жертвам, в том числе к Chertoff Group. Эта фирма, которую возглавляет бывший секретарь Департамента Национальной Безопаности, Майкл Чертофф, подверглась нападению, подобному обширному цифровому нападению на Соединенные Штаты. Другие нападения были сделаны на подрядчика для национальной геопространственной разведки и Национальную ассоциацию производителей электрооборудования, лоббистскую группу, которая представляет компании, которые делают компоненты для электрических сетей. Эти организации подтвердили, что они подверглись нападению, но сказали, что они помешали злоумышленникам получить доступ к своей сети.
Г-н Бласко сказал, что согласно экспертам, все жертвы пострадали от Comment Crew. Но самым тревожным нападением на сегодняшний день, говорят эксперты по безопасности, было успешное вторжение в канадское отделение Telvent. Компания в настоящее время принадлежит Schneider Electric, дизайн программного обеспечения, которое дает нефте-и газопроводным компаниям и операторам энергосистем удаленный доступ к клапанам, переключателям и системам безопасности.
Telvent хранит подробные чертежи на более чем половину всех нефте-и газопроводов в Северной и Южной Америке, и имеет доступ к их системам. В сентябре канадский Telvent сообщил клиентам, что нападавшие ворвались в его систему и скопировали файлы проекта. Этот доступ был немедленно отрезан, так что злоумышленники не смогли взять на себя руководство системой.
Мартин Ханна (Martin Hanna), представитель Schneider Electric, не ответил на просьбы о комментарии, но исследователи по вопросам безопасности, которые изучали вредоносные программы, используемые в атаке, в том числе г-н Стюарт из Dell SecureWorks и г-н Бласко из AlienVault, подтвердили, что преступниками были Comment Crew.
"Это страшно, потому что - если забыть о стране - если кто-то нанял меня, и сказал мне, что хотел бы иметь наступательные возможности вывезти столько критических систем, сколько возможно, я бы пошел по поставщикам и делал то, что случилось с Telvent ", - сказал Г-н Петерсон из Digital Bond: "Это святой Грааль".
Г-н Обама упомянул эту проблему в выступлении, без упоминания Китая или любой другой страны: "Мы знаем, зарубежных страны и компании крадут наши корпоративные секреты", - сказал он: "Теперь наши враги также ищут возможность повредить наши энергосистемы, наши финансовые институты, наши системы управления воздушным движением. Мы не можем позволить себе оглянуться несколько лет спустя и удивляться, почему мы ничего не сделали".
Г-н Обама сталкивается с неприятной выбором: стоят ли разросшиеся жизненно важные отношения с Китаем серьезной конфронтации между крупной и второй по величине экономикой в мире за компьютерный взлом?
Представители администрации говорят, что несколько лет назад кражи интеллектуальной собственности приводили к потере миллиардов долларов дохода. Но ясно, что что-то изменилось. Накапливается все больше данных о государственной поддержке, увеличении смелости подразделения 61398 и растущей угрозе американской инфраструктуре привела чиновников к выводу, что это гораздо важнее, чем оставлять без ответа.
"Сейчас нет никакого стимула для китайцев прекратить это делать", - сказал г-н Роджерс, председатель Палаты представителей по разведке: "Если мы не поднимем планку, это только ускорит процесс".
http://tibet.net/2013/02/20/chinese-army-unit-is-seen-as-tied-to-hacking-against-u-s/