Шейн Харрис - Кибервойн@. Пятый театр военных действий

Mandiant сосредоточилась только на одной из приблизительно 20 групп, деятельность которых отслеживала в течение нескольких лет. Этих хакеров собрали под крышей китайского аналога АНБ. Mandiant дала этой группе название APT1. Хакеры работали во Втором отделе Третьего подразделения Генерального штаба НОА, более известного под своим кодовым обозначением 61398. Генеральный штаб НОА – это что-то вроде Объединенного комитета начальников штабов армии США, а Третье подразделение занимается радиотехнической разведкой и компьютерными атаками и взломами. Mandiant назвала APT1 «одной из наиболее упорно действующих и опасных китайских кибергрупп».

Компания Mandiant, которая была основана бывшим киберкриминалистом ВВС меньше чем за 10 лет до описываемых событий фактически заложила мину в одной из наиболее болезненных и трудных сферах американской внешней политики. Отчет был принят как откровение. Не только потому, что в нем вполне конкретно шла речь о китайских хакерах – чего раньше никто из исследователей, ни частных, ни государственных, не делал, – но также и потому, что информация была очень подробной. Отчет занимал 74 страницы. В нем раскрывалась обширная шпионская инфраструктура, состоящая из 937 серверов или «подслушивающих приложений», размещенных на 849 различных интернет-адресах, большая часть которых зарегистрирована на организации из Китая, однако не менее 100 – из Соединенных Штатов. Следователи обнаружили сайты, которые были созданы хакерами так, чтобы их принимали за обычные новостные сайты, вроде CNN.com, однако на самом деле эти сайты скоординированно использовались во время атак APT. Mandiant назвала имена конкретных хакеров, в том числе и того, который скрывался под кличкой «Уродливая горилла» (Ugly Gorilla). Этот хакер несколькими годами ранее раскрыл себя в онлайн-беседе на тему китайских кибервойск, которую организовал ведущий специалист в области компьютерных наук, профессор, написавший множество книг по китайским «сетевым войнам». Mandiant использовала киберкриминалистические доказательства, для того чтобы установить связь между определенными хакерами, и была уверена, что некоторые из них не только лично знакомы друг с другом, но, возможно, работают в одном офисе. Отчет даже давал пару уроков по китайскому хакерскому сленгу: например, «мясом цыпленка» называли зараженный компьютер.

Также Mandiant пришла к выводу, что китайские киберподразделения получали «непосредственную поддержку от лингвистов, исследователей, анализирующих открытые источники, авторов вредоносного ПО и экспертов индустрии». Вероятно, работала целая команда, которая заказывала компьютерное оборудование, осуществляла его техническую поддержку и, кроме того, обеспечивала финансовый и организационный менеджмент, логистику и транспорт. Другими словами, это был хорошо организованный бюрократический аппарат, мало отличающийся от американских государственных агентств.

Отчет Mandiant содержал подробности, которые обычно характерны для секретных документов государственной разведки. Это еще одна причина, по которой отчет оказался столь знаменательным. Он продемонстрировал, что частные исследователи могут собрать и проанализировать информацию не менее, а может и более эффективно, чем это делают государственные разведывательные службы. Отчасти это свидетельствовало об уровне квалификации специалистов Mandiant. Но вместе с тем отчет выявил нечто новое в природе киберпространства. В неуправляемой среде, в которой хакеры могут перемещаться, используя совместную сетевую инфраструктуру, на самом деле не существует никаких секретов. При достаточном уровне подготовки и с помощью правильного инструментария частные сыщики могут отследить хакера точно так же, как это делают государственные агенты или военные оперативники. Отчет Mandiant не только сорвал покровы с китайского кибершпионажа, но еще и перевернул представления о том, что только государство готово к ведению борьбы в киберпространстве.

Отчет Mandiant имел скорые и весьма серьезные последствия. Представители Китая выступили со своими обычными опровержениями, назвав обвинения в управляемом властями шпионаже необоснованными. Менее чем через месяц советник по нацбезопасности США Том Донилон выступил с важной речью, в которой предостерег официальный Пекин и назвал китайский кибершпионаж «нарастающей угрозой нашим экономическим взаимоотношениям с Китаем» и «ключевой проблемой для обсуждения с китайской стороной на всех уровнях власти». Между обеими сторонами проводились переговоры за закрытыми дверями, в которых американские чиновники требовали, чтобы Китай прекратил свои агрессивные операции. Теперь эти обсуждения стали публичными. Замечания Донилона стали первым открытым заявлением представителей Белого дома касательно китайского кибершпионажа. Донилон говорил о том, что проблема «сместилась на передний план повестки Администрации», и призывал китайские власти обратить свое внимание на «актуальность и масштаб проблемы и на ту опасность, которую она представляет, – опасность для международной торговли, для репутации китайской промышленности и для отношений между двумя странами в целом». Впервые американцы потребовали от Китая заняться проблемой кибершпионажа. «Пекину следует предпринять самые серьезные меры для расследования и прекращения подобной деятельности и начать с нами конструктивный и прямой диалог для выработки приемлемых норм поведения в киберпространстве», – сказал Донилон.

Администрация Обамы, наконец, бросила вызов. И Mandiant помогла им в этом. Как и в случае с откровениями компании Google о китайском шпионаже, прозвучавшими после проведения операции Aurora, высшие американские чиновники начали открытое обсуждение проблемы, которая тихо раздражала их многие годы. Отчет Mandiant оказался подробным и, самое важное, несекретным документом, на основании которого можно было выдвинуть определенные обвинения. Государственные власти никогда бы не отважились на публикацию такого отчета.

Находки Mandiant произвели фурор. Однако публикация отчета была тщательно подготовлена, получила максимальное внимание прессы и была согласована с властями. Еще в октябре 2012 г., после нескольких лет сбора информации о китайских шпионах, руководители Mandiant собирались опубликовать отчет о своих находках. «Мы решили, что это интересная идея, и нам следует ее развивать», – говорит Дэн Маквортер, управляющий директор Mandiant, отвечавший за поиск информации о киберугрозах. Однако изначально компания планировала выпустить краткий отчет, который не имел ничего общего с тем многостраничным обвинительным заключением, опубликованным в итоге. План пришлось изменить уже в ноябре после телефонного звонка из The New York Times . Это был не просто звонок от репортера, желавшего получить экспертный комментарий для своей статьи. Это была просьба о помощи. В Times полагали, что их компьютеры кто-то взломал, и руководство газеты хотело, чтобы Mandiant провела расследование.