Читаем Великий Китайский Файрвол полностью

Имя Ван Дун не было псевдонимом. В 2014 году, где-то через год после выхода в свет отчета Mandiant, большое жюри присяжных Западного района штата Пенсильвания признало пятерых служащих воинского формирования № 61398 НОАК виновными по 31 пункту обвинения, включая злоумышленное использование компьютерной техники по предварительному сговору, экономический шпионаж и хищение коммерческой тайны⁴⁶⁰. В пресс-релизе суда об этом деле, помимо описания обстоятельств преступлений, были фотографии под заголовком «ИХ РАЗЫСКИВАЕТ ФБР» крупным шрифтом, белым текстом на красном фоне. На одной из фотографий был пухлощекий, бритый налысо мужчина с торчащими ушами, в очках без оправы, которые, казалось, были малы для его широкого лица. Подпись под фотографией гласила: «Ван Дун, также известный под именем Джек Ван, или UglyGorilla».

«В рамках дела по обвинению в экономическом шпионаже против служащих китайской армии впервые в истории обвинение в киберпреступлении такого рода предъявляется государственному субъекту, – заявил при вынесении обвинительного приговора генеральный прокурор США Эрик Холдер. Эти слова повергли в шок весь мир. – Объем похищенных в результате этого преступления объектов коммерческой тайны и прочей конфиденциальной информации очень велик, что требует от нас жесткой реакции. Добиваться успеха на мировом рынке нужно только за счет инноваций и конкурентоспособности, а не за счет того, что у какого-то правительства есть финансовая возможность вести шпионаж и красть конфиденциальную информацию. Действующая администрация не потерпит никаких попыток незаконно саботировать деятельность американских компаний и нарушать правила честной конкуренции на свободном рынке со стороны какого-либо государства».

Обвинение в адрес воинского формирования № 61398 стало своего рода предупредительным выстрелом в направлении тех, кто руководил китайской кибершпионской операцией. Видимо, в результате их действий американским компаниям был нанесен слишком серьезный урон. Иначе вряд ли Вашингтон пошел бы на обострение отношений со своим самым важным торговым партнером. При этом сами Штаты уже давно проводили хакерские атаки против других стран.

Через несколько месяцев после публикации первого отчета Mandiant о подразделении № 61398 бывший сотрудник Агентства национальной безопасности Эдвард Сноуден бежал в Гонконг, откуда обнародовал шокирующую информацию об истинном размахе правительственного шпионажа и наблюдения со стороны США. Кроме того, многие утверждали, что США совместно с израильской разведкой разработали и успешно пустили в ход вирус Stuxnet – сложное, виртуозно изготовленное кибероружие. С его помощью была уничтожена до основания иранская ядерная программа. Тем не менее в глазах американцев между их действиями и китайскими хакерами была существенная разница. Целью атак китайских хакеров были частные компании. По всей видимости, делалось это в интересах китайского бизнеса.

Одно дело украсть чертежи сверхзвукового истребителя, чтобы разработать меры защиты от него. Совсем другое – взломать сеть компании, украсть информацию по ее гражданским искам к китайским конкурентам или документы по предстоящей сделке, чтобы ее сорвать. В этом и обвинялось подразделение № 61398. «Китайское правительство слишком долго безо всякого стыда прибегало к приемам кибершпионажа, чтобы добиться экономического преимущества для государственных предприятий», – заявил при оглашении обвинения тогдашний директор ФБР Джеймс Коми. Несмотря на то что ФБР удалось раскрыть подразделение № 61398, китайские хакеры готовились провести самую дерзкую в их истории атаку.

Тучи начали сгущаться в апреле 2015 года. Тогда инженер по безопасности Управления кадров США (OPM), крупного административного органа федерального правительства, обнаружил, что из внутренней сети уходят запросы на сайт под названием opmsecurity.org⁴⁶¹. Инженер Брендан Солсбери сразу заподозрил неладное. Он знал, что у OPM не было ресурса с таким доменным именем. Значит, его завел кто-то, кто хотел одурачить админов, отвечающих за исходящий трафик.

Разобрав исходящий запрос на составляющие, он обнаружил и другие подозрительные моменты. Файл, который обращался к сайту opmsecurity.org, назывался mcutil.dll. Согласно описанию, это был файл из антивирусного пакета McAfee. Но в OPM стоял другой антивирус, не McAfee. Как скоро выяснили Солсбери и его коллеги, этот файл действительно был вирусом. Внедрившись на серверы OPM, он открывал на них лазейку, а через нее у злоумышленников появлялся доступ к крайне важной секретной информации.