Сохраним Тибет > Взломано в Китае

Взломано в Китае


6 апреля 2009. Разместил: savetibet
Команда IT-специалистов из Канады и Великобритании обнаружила крупнейшую по охвату хакерскую сеть, задействованную во взломах компьютеров в министерствах, посольствах и международных организациях в 103 странах. Оставленные взломщиками следы ведут в Китай, который, судя по всему, уже готов к мировой информационной войне.

Неограниченный доступ

"В этом вполне могли быть замешаны агенты ЦРУ или русские. Интернет - это царство мрака, и мы лишь приоткрыли завесу",- говорит Рональд Дейберт, один из сотрудников Центра международных исследований имени Мунка в Торонтском университете. Дейберт и несколько его коллег оказались на прошлой неделе в центре внимания после того, как опубликовали доклад о крупнейшей на сегодня хакерской сети, которую они назвали Ghostnet. С использованием этой сети оказались взломаны 1295 компьютеров более чем в половине стран мира. Хакеры не только получали доступ к секретным документам государственных ведомств разных стран: они могли в режиме реального времени записывать данные с веб-камер и микрофонов.

По данным команды Дейберта, основная часть компьютеров Ghostnet находится в Китае. Однако исследователи предпочитают не выдвигать прямых обвинений, объясняя, что любые данные в интернете можно при необходимости подделать. "Они остановились в шаге от того, чтобы обвинить во взломах власти Китая,- говорит один из сторонних экспертов.- Но группа, работавшая параллельно с ними, четко дает понять: здесь замешано китайское правительство".

Расследование, которое привело к обнаружению Ghostnet, началось прошлым летом с проверки компьютеров тибетского правительства в изгнании. Представители далай-ламы заподозрили, что кто-то крадет их данные, и обратились за помощью к экспертам. В офис далай-ламы в индийском городе Дхарамсала приехали Грег Уолтон из канадского Центра имени Мунка и Шишир Нагараджа из Иллинойского университета. Они обнаружили, что компьютеры тибетского правительства в изгнании были заражены вирусом, который давал взломщикам возможность просматривать содержимое жестких дисков и скрыто управлять компьютерными устройствами.

Вернувшись в Торонто, Уолтон показал собранную информацию коллегам. Один из них, Нарт Вильнев, обнаружил в зараженных файлах код, который стал подсказкой для дальнейших поисков. С его помощью Вильневу удалось установить, что хакеры переправляли интересующие их документы через сайт, размещенный на серверах на китайском острове Хайнань. Заразив вирусом один из компьютеров в своей лаборатории, 12 марта Вильнев заметил, как на экране промелькнуло несколько команд: кто-то просматривал информацию на его жестком диске, но, не найдя ничего интересного, скрылся.

Проникнув на обнаруженный Вильневом сайт, исследователи узнали много интересного (и при этом, по их словам, не нарушили ни одного закона более чем за три недели экспериментов). Выяснилось, что с мая 2007 года тем же способом, что и в офисе далай-ламы, в мире было взломано почти 1300 компьютеров, многие из которых, по-видимому, содержали сверхсекретную информацию. Сетью Ghostnet оказались охвачены министерства иностранных дел Ирана, Латвии, Брунея, Филиппин и Индонезии, а также посольства Индии, Южной Кореи, Таиланда, Португалии и Германии.

Психическая атака

Хакеры подходили к взлому компьютеров очень избирательно. Они вели шпионаж против межгосударственных и неправительственных организаций, среди которых - Ассоциация государств Юго-Восточной Азии, Азиатский банк развития и некоторые информационные агентства, а также тибетские организации в Дхарамсале, которые первыми забили тревогу.

Монахи из тибетского правительства в изгнании, по замечанию компьютерных экспертов, почти не заботились об информационной безопасности. Они, к примеру, отправляли электронные письма по открытому каналу, и их, соответственно, мог перехватить кто угодно. Для своих почтовых ящиков они использовали пароли, которые можно взломать доступной в интернете программой всего за 15 минут. Шишир Нагараджа, составивший отдельный доклад о сети Ghostnet, считает, что электронные почтовые ящики сторонников далай-ламы были вскрыты в первую очередь: в них не раз проникали неизвестные пользователи из Китая и Гонконга.

Злоумышленники, таким образом, смогли узнать все интересующие их электронные адреса, но не это было их главной целью. Важнее было понять, о чем переписываются представители тибетских организаций в Дхарамсале, чтобы затем подделывать их сообщения. Хакеры подробно изучали стиль и манеру оформления писем. Им удавалось составлять сообщения, которые ни у кого не вызывали подозрений - они приходили с адресов тех людей, кому получатели доверяли. К письмам прикреплялись зараженные документы в форматах Microsoft Word или Adobe Acrobat, причем именно те, которые ожидал увидеть получатель. "Подобные атаки больше опираются не на технические уловки,- замечает Шишир Нагараджа,- а на психологические".

Открывая прикрепленные файлы, получатели незаметно для себя устанавливали программу под названием Gh0st RAT, которая успешно обходила антивирусную защиту и открывала хакерам доступ ко всем функциям компьютера. Ни о чем не подозревая, монахи в Дхарамсале пересылали зараженные письма коллегам. Вирус быстро распространялся.

Сотрудники тибетского правительства заподозрили неладное, только обратив внимание на цепочку странных совпадений. Они, к примеру, приглашали некоторых политиков на встречу с далай-ламой по электронной почте. Однако еще до официального подтверждения приглашения китайское правительство обращалось к этим политикам с убедительной просьбой отменить встречу.

Впрочем, Шишир Нагараджа считает, что неудобства, связанные с похищениями личных посланий и графиков встреч далай-ламы, не самая серьезная причина для беспокойства. "Некоторые похищенные документы могут быть использованы китайским правительством для судебных преследований людей из Тибета и Китая",- говорится в докладе, подготовленном при участии Нагараджи. Документы, украденные программой Gh0st RAT с компьютеров в Дхарамсале, пересылались, по его словам, на серверы в провинции Сычуань, "где находится отдел китайской разведки, который следит за офисом далай-ламы".

Впрочем, взломщики, судя по всему, действовали из нескольких мест. Электронные почтовые ящики монахов вскрывали с компьютеров из Синьцзян-Уйгурского автономного района, и Нагараджа уверен, что это не случайно. "Там находятся отделения полиции и китайской разведки, имеющие дело с борцами за независимость Тибета",- поясняется в его докладе.

Специалисты из Центра имени Мунка, в отличие от Нагараджи не обвиняющие китайское правительство прямо, считают, что эта версия наиболее обоснованна. В своем докладе они пишут: "Страны, в которых нашлись зараженные компьютеры, формируют своеобразную полусферу к югу от Китая, будто попавшую в зону действия радара,- это Индия, Бутан, Бангладеш, Вьетнам, Лаос, Бруней и Филиппины. Многие объекты хакерских атак относятся к наиболее неприятным для Китая политическим направлениям - прежде всего к Тибету и Тайваню. Следы, которые оставили взломщики, приводят к нескольким серверам на острове Хайнань, где находится разведывательная база Линьшуй и Третий департамент (радиоэлектронной разведки.- "Власть") Народно-освободительной армии Китая".

Стратегические расчеты


Китайские власти, естественно, отвергают все обвинения. Представитель министерства иностранных дел Цинь Ган заявил, что "некоторые люди за пределами Китая склонны распространять лживые сведения о так называемых китайских компьютерных шпионах. Их попытки очернить Китай обречены на провал".

Китай обвиняли в кибератаках и раньше. Полтора года назад представители Пентагона заявили, что их сеть для обмена незасекреченной информацией была взломана, а хакеры, проникнувшие в нее, находились в Китае. Чиновники из американского министерства обороны обвинили в атаке китайских военных, которые якобы отрабатывали методы информационной войны против Тайваня и его союзников.

Примерно в то же время правительство Германии заявило, что на многих компьютерах в министерствах страны было обнаружено шпионское программное обеспечение, которое переправляло данные в Китай. Наконец, прошлым летом, во время президентской гонки в США компьютерные сети предвыборных кампаний Барака Обамы и Джона Маккейна были взломаны неизвестными злоумышленниками из Китая. Документы, в которых хранились данные о внешнеполитических программах кандидатов, были похищены.

Некоторые эксперты по информационной безопасности обвинили китайское правительство и в поддержке киберпреступников, которые в ноябре прошлого года проникли в компьютеры Белого дома и скачали оттуда письма членов американской администрации.

Нельзя исключить, конечно, что во всех случаях в деле были замешаны частные интернет-пользователи из Китая, где сформировалась самая крупная интернет-аудитория - почти 300 млн пользователей. Пока еще ни одно расследование политически мотивированных хакерских атак из Китая не установило личности тех, кто несет за них ответственность. Однако, как заметил в конце марта директор национальной разведки США Деннис Блэр, "самая серьезная киберугроза исходит в основном от государств, а не хакеров-одиночек, и наибольшими возможностями в этой сфере располагает Китай, который проявляет высокую активность".

Обеспокоенность растущим влиянием Китая в сфере информационных технологий высказал и председатель британского объединенного комитета по разведке Алекс Алан. В январе он встретился с членами кабинета министров и предупредил их о том, что к компьютерной угрозе со стороны Китая нужно относиться с повышенным вниманием. Британскую разведку волнует то, что вскоре крупнейшая в их стране телефонная и интернет-компания BT перейдет на новую платформу, созданную китайской компанией Huawei за ?10 млрд. Директор Huawei Жэнь Чжэнфэй пришел в компанию из Национально-освободительной армии Китая, где он руководил исследованиями в области связи. Некоторые эксперты поэтому считают, что у Китая на случай войны с Великобританией припасены средства, чтобы разрушить британскую информационную систему, от которой зависят поставки электричества, воды и продовольствия.

В США тоже с опаской наблюдают за тем, как интернет проникает во все сферы жизни общества - от правительства до коммунальных служб. Благодаря фильму "Крепкий орешек 4", который вышел в 2007 году, многие американцы смогли увидеть то, что может стать с их страной, если начнется полномасштабная атака на информационные узлы: отключения электричества, нарушения связи, неработающие светофоры, и даже хуже - обрушение финансовой сферы, беспорядок в армии и наконец полная потеря правительством способности управлять страной.

Несколько месяцев назад все эти страхи в очередной раз получили подтверждение в 400-страничном докладе, который подготовили 12 членов американского конгресса. Они заявили, что Китай обладает настолько развитыми и сложными методами ведения информационной войны, что может при желании нарушить развертывание американских войск во время конфликта, не говоря уж о коммунальных службах. И даже если американские конгрессмены преувеличивают, по сравнению с таким уровнем технологий хакерские сети вроде Ghostnet, несмотря на свою сложность, выглядят детской игрушкой.

Егор Низамов
Коммерсант-Власть