Красная война

Китайские хакеры, сотрудничающие с государственной разведкой КНР, активизировались с новой силой и снова стали частыми героями материалов американских СМИ о масштабных угрозах. Они шпионят за военными из других государств и крадут их стратегические разработки, следят за крупными бизнес-компаниями и захватывают интернет-сети. Их уже поймали за кражей американских разработок в области вооружения и при взломах системы космических спутников. Как киберпреступники из Китая терроризируют крупные страны — в материале «Ленты.ру».

За последний год интернет-шпионов из КНР уличили в нападениях сразу на несколько инфраструктур США. Под удар попали космическая и телекоммуникационная отрасли, а также компьютерные сети военно-морских сил. Все улики указывают на то, что атаку совершали не просто рядовые взломщики, а штатные военные разведчики, существование которых китайское правительство продолжает отрицать.

В начале октября 2018 года источники Bloomberg сообщили, что китайская военная разведка в течение нескольких лет следила за почти 30 американскими организациями. В числе жертв оказались коммерческие IT-гиганты Apple и Amazon, крупные финансовые организации и правительственные военные подрядчики. В оборудование компаний были встроены не входящие в комплектацию микрочипы. В материале значилось, что инородные устройства размером с рисовое зерно могли быть включены в платы во время их производства, способны обмениваться данными с внешними источниками и подготовить устройство к перекодированию. Сами технологические компании эту информацию опровергли.

Выяснилось, что шпионское оборудование якобы было внедрено в серверы Supermicro. Фирма является основным поставщиком плат на рынке. Бывший сотрудник американской разведки, пожелавший остаться анонимным, назвал компанию «Microsoft в мире ПО». «Это похоже на нападение на весь мир», — заключил он. До этого анонимные источники ЦРУ сообщали о планах КНР внедриться в «железо», предназначающееся для американских компаний. Среди рискованных партнеров назывались китайские гиганты Huawei и ZTE, которые якобы тесно сотрудничают с китайскими военными. Однако в отсутствие прецедентов ФБР не могло предъявить никому никаких обвинений. Правительство Китая в ответ заявило, что является решительным защитником компьютерной безопасности.

Эксперты в области кибербезопасности заметили, что уже встречали подобные «жучки» в железе других производителей. Все это оборудование производилось в Китае. Подобные чипы могут годами незаметно следить за деятельностью компании и незаметны для виртуальных систем безопасности. Позднее оказалось, что корпоративные тайны были не единственным интересом хакеров: атакам подвергались и чувствительные правительственные сети.

Это разоблачение усложнило и без того напряженные отношения между США и Китаем. 10 октября американский Департамент правосудия арестовал высокопоставленного чиновника Министерства государственной безопасности Китая Сюя Яньдзюня. Его обвиняют в экономическом шпионаже. Мужчина был задержан в Бельгии 1 апреля и экстрадирован по запросу американских властей. Китай назвал обвинения в адрес Сюя сфабрикованными.

Исследователи утверждают, что именно Министерство государственной безопасности руководит огромной армией китайских хакеров, которая организованно атакует цели за рубежом. Бывший руководитель службы безопасности Facebook Алекс Стамос убежден: государственные киберсолдаты Китая будут мстить за потерю своего функционера, а потому активность взломщиков впредь будет только возрастать.

Бывший помощник генпрокурора Джон Карлин в своей книге «Рассвет кодовой войны: битва Америки против России, Китая и растущей глобальной киберугрозы» уверяет: главной проблемой стало неумение американцев защищать свои цифровые технологии. «Китай, в частности, вместе с Россией, Северной Кореей и Ираном знает об этой уязвимости, и они ежедневно наносят по нам удары», — заключает он. Согласно докладу торгового представителя США, экономический шпионаж в пользу Китая стоит США от 225 до 600 миллиардов долларов в год. Даже Национальный центр кибербезопасности в своем новом докладе о шпионаже в цифровой среде отодвинул российскую угрозу на второе место. На первом — красная армия.

В январе и феврале 2018 года хакеры из Китая похитили массив данных объемом 617 гигабайт у подрядчика ВМС США, военной организации из Ньюпорта. Среди похищенных документов была информация по проекту Пентагона «Морской дракон», а также секретный план разработки сверхзвуковой поражающей противокорабельной ракеты.

Вооружение планировалось ввести в эксплуатацию на американских подлодках к 2020 году, на его разработку было потрачено более 300 миллионов долларов. Кража такой информации может нанести непоправимый ущерб национальной безопасности страны.

Вероятно, Китай пытается захватить данные о вооружении, которое может быть использовано против него. Американские военные считают подводный флот своим главным козырем в конфликтах с КНР. Следователи утверждают, что взломщики связаны с Министерством государственной безопасности Китая, которое занимается разведкой. Киберпреступники действовали из провинции Гуандун, где базируется крупное подразделение проправительственных хакеров.

Военные эксперты уверены, что Китай умышленно саботирует работу американских военных. В феврале директор национальной разведки Даниэл Коутс заявил, что наибольшее количество киберопераций КНР сосредоточены на оборонных подрядчиках или фирмах, поддерживающих правительственные разработки. Действительно, до атаки на ВМС жертвами взломов пали наработки для множества проектов Пентагона. Среди них — программа F-35 Joint Strike Fighter (многофункциональный истребитель-бомбардировщик), усовершенствованная ракетная система Patriot PAC-3, армейская система для стрельбы по баллистическим ракетам, известная как «Терминал обороны большой высоты» (THAAD), новейшее прибрежное боевое судно ВМФ и небольшое надводное судно, предназначенное для прибрежных операций.

В июне 2018 года специалисты по кибербезопасности компании Symantec сообщили о новой масштабной атаке китайских взломщиков на оборонные комплексы США. Помимо военных, атакам также подверглись телекоммуникационный и космический секторы. Авторство взлома приписали китайской группировке Thrip. «Мы определили три компьютера в Китае, которые используются для запуска атак Thrip. Их мотивом, вероятно, является шпионаж, и его цели включают в себя средства связи, геоинформационные системы и оборонный комплекс как в Соединенных Штатах Америки, так и в Юго-Восточной Азии», — заявили специалисты.

Опасное ПО было нацелено на кражу всей информации с зараженного компьютера, в том числе учетные данные для входа. Судя по всему, злоумышленники планировали получить полный контроль над захваченными системами, включая управление спутниками.

Последней мощной спецоперацией китайских хакеров стала кампания группировки cloudhopper, которую неоднократно связывали напрямую с правительством Китая. Власти США сообщили об атаке в начале октября. Со слов чиновников из Министерства внутренних дел, иностранные преступники развернули масштабную кампанию по краже данных, направленную на поставщиков технологических услуг. Среди жертв cloudhopper могут оказаться организации, занятые в сфере информационных технологий, энергетики, здравоохранения, связи и производства.

До этого группировка почти год тренировалась на пользователях по всему миру: их одноименная операция cloud hopper, запущенная в начале 2017 года, заражала определенные компьютеры, которые интересовали хакеров. Исследователи утверждали, что за разработкой заражающих троянов стоит одиозная группа китайских хакеров APT10, также известная как MenuPass, POTASSIUM, Stone Panda, Red Apollo, или CVNX.

Все эти атаки происходят на фоне «цифрового перемирия», которое власти США и Китая заключили еще в 2015 году. Тогда президент Барак Обама заявил, что обе страны достигли «общего понимания» в вопросах кибершпионажа. Главы государств обсудили растущие угрозы в сети и договорились не проводить и не поддерживать взломы и хищения интеллектуальной собственности.

При этом Си Цзиньпин на встрече с Обамой не признал преступной деятельности китайских хакеров. Власти США же давно настаивают на том, что американское государство не шпионит за другими странами ради коммерческой выгоды. Также они отрицали, что спецслужбы передают в американские коммерческие компании информацию, полученную с помощью разведывательных операций.

Американские чиновники лукавили не меньше китайских коллег. Даже если разведка США не гонялась за тайнами бизнеса, то в вопросах госбезопасности она использовала все доступные методы шпионажа и хакерства. На это указывают детали секретной программы PRISM, рассекреченной Эдвардом Сноуденом. Под колпаком оказались миллионы американцев: власти контролировали их телефонные разговоры и интернет-трафик. Еще до публикаций этих данных информагентство Associated Press обвинило министерство юстиции США в прослушке журналистов — госслужащие не стали отпираться и оправдались неким расследованием.

Запрет на кражу коммерческих тайн не только не остановил хакеров из Китая, но и, судя по всему, подстегнул их во взломах, выходящих за рамки соглашения. Китайское правительство занялось национальным шпионажем, в то время как американцы планировали остановить их в бизнес-сфере. Вероятно, решение Обамы было продиктовано докладом ФБР 2014 года, в котором сотрудники спецслужбы сообщили о росте темпов экономической разведки на 53 процента (большая часть атак координировалась из КНР). Тогда представители Конгресса назвали «цифровое перемирие» существенной победой.

Перед переговорами в 2015 году хакеры из Китая выкрали огромный массив личной информации об американских госслужащих, — более 21 миллиона человек, в том числе данные о секретных сотрудниках в других странах. В базе также находились изображения отпечатков пальцев, используемые для электронного доступа к объектам. Тогда эксперт в области кибербезопасности Джон Макафи назвал этот инцидент «кибертоптанием китайских ботинок по Штатам».

До этого крупная компания Mandiant (сейчас является частью известной организации FireEye) опубликовала обстоятельное расследование о связи опасного хакерского подразделения «отряд 61398» с Народно-освободительной армией Китая (официальные вооруженные силы страны). По мнению экспертов, китайское правительство уже давно само разрабатывает и проводит кибератаки. «Детали, которые мы проанализировали в ходе сотен исследований, убеждают нас в том, что группы, проводящие эти мероприятия, базируются в основном в Китае и что китайское правительство знает о них», — заявили они.

Исследователи уличили подразделение «61398» в кибершпионаже за США и Канадой. По их мнению, именно для этого большое здание-офис в Шанхае было оснащено оптоволокном за государственный счет. Министерство иностранных дел КНР в тот же день ответило заявлением о «бездоказательности» этих «безответственных обвинений».

В то же время неизвестные атаковали сайты изданий The Washington Post, The New York Times и агентства Bloomberg. Интересно, что все нападения происходили после резонансных разоблачительных публикаций о сказочном богатстве правящей верхушки КНР (Си Цзиньпина и Вэня Цзябао). Анонимные взломщики искали на редакционных компьютерах данные об источниках информации. По такому почерку было легко узнать как исполнителей, так и заказчиков.

Невероятные слухи о мощи китайских хакеров появились еще в начале нулевых. Китай разрабатывал стратегию кибервойны и тренировался на американских сайтах: хакеры изменяли оформление государственных порталов и угрожали «невиданной силой».

В 2010 году журналисты издания Foreign Policy сообщили, что мощная хакерская армия КНР состоит из ста тысяч специалистов. Наиболее известной операцией китайских шпионов-взломщиков стала «Операция Аврора» 2010 года. Атаке подверглись 35 организаций, в том числе корпорации Google, Yahoo, Symantec, Morgan Stanley. Хакерам удалось получить часть исходного кода Google, а также доступ к информации о китайских активистах. Предполагалось, что злоумышленники хотели получить доступ к аккаунтам Gmail, принадлежащим их соотечественникам-диссидентам. Сейчас специалисты приписывают эту атаку так называемому «отряду 61398».

В конце 2017 года исследователи сообщили, что второй страной-жертвой китайскоговорящих хакеров после США может стать Россия. Специалисты отметили, что целевые нападения киберпреступников в течение нескольких месяцев были связаны с государственными проектами и аффилированными компаниями, выполняющими госзаказы. Вероятно, «красная армия» в скором времени расширит фронт и пойдет боем на соседей. Встанет ли страна на борьбу с цифровой угрозой или сдастся и будет умалчивать потери — пока неизвестно.

Софья Кадочникова