Главным оружием в арсенале хакеров была программа, изначально разработанная китайскими программистами и переведенная на английский. Называлась она Gh0st Remote Administration Tool, или сокращенно Gh0st Rat^{8}[380]. Попав на компьютер жертвы, вирус тут же создавал несколько файлов, в том числе исполняемых, в системной папке Windows. В результате вредоносная программа запускалась при каждой перезагрузке компьютера. Кроме того, вирус создавал лазейку, через которую мог подключаться к интернету и связываться с управляющим сервером^[381]. С помощью Gh0st Rat хакеры видели происходящее на зараженном компьютере в режиме бога. Отслеживались все нажатия клавиш, все созданные или измененные файлы. Если требовалось более специализированное ПО, например для вскрытия запароленной папки, вирус сам его скачивал и устанавливал без участия пользователя. Этот функционал состоял из простых команд, они отправлялись с сервера и исполнялись на зараженном компьютере с названиями вроде «COMMAND_DELETE_FILE» и «COMMAND_WEBCAM»^[382].

Версия Gh0st Rat, которую пытались отследить Вильнев, Уолтон и их коллеги, отправляла умело составленные письма якобы от заслуживающих доверия адресантов с правдоподобными вложениями. Например, одно из таких писем пришло с адреса campaigns@freetibet.org, а в приложении был документ Microsoft Word под названием «Перевод брошюры Движения за свободу для тибетцев в изгнании». На первый взгляд, письмо внушало доверие: в теле была шапка для писем правительства Тибета в изгнании, а текст увещевал сделать добровольный взнос в общий фонд Движения за свободу Тибета. При попытке открыть вложение благодаря уязвимости в Word устанавливался вирус Gh0st Rat и компьютер жертвы переходил в полное распоряжение хакеров.

В ходе расследования в Дхарамсале специалисты Citizen Lab установили, что вирусы, рассылаемые тибетцам, связывались с серверами в Хайнане, островной провинции на юге Китая рядом с Вьетнамом. Как правило, после анализа вирусов на зараженных компьютерах удавалось установить лишь то, какая информация перехватывалась и куда она отправлялась.

Вильнев долго выслеживал серверы злоумышленников и перебирал комбинации адресов. Когда он все-таки нашел управляющий сервер, получил список всех компьютеров, зараженных в ходе атаки. Размах впечатлял: группа хакеров, которую в Citizen Lab прозвали GhostNet, за два года сумела проникнуть на 1300 компьютеров более чем в ста странах мира. Около 400 из них принадлежали видным персонам из мира политики, экономики, прессы и телевидения. На большинстве компьютеров вирус жил около 145 дней, при этом на сотне зараженных устройств он присутствовал более 400 дней. Потом владельцы все-таки проверяли компьютер антивирусом и удаляли его или же хакеры сами переставали выходить на связь с устройством^[383].

Хакеры GhostNet атаковали не только тибетских оппозиционеров в глухой индийской провинции. Слежка велась за множеством дипломатов, высокопоставленных военных, депутатов, журналистов и сотнями других людей.

В отчете исследователи писали: «С уверенностью можно сказать, что вредоносное ПО удаляет документы незаметно для владельцев, фиксирует все нажатия на клавиатуру, скрыто активирует веб-камеры и средства записи звука». Заказчик атаки назван не был, однако исследователи пришли к такому выводу: «Наиболее очевидное объяснение, которое подтверждается большей частью косвенных доказательств: атака на высокопоставленные цели организована властями Китая, преследующими военные, стратегические и разведывательные цели»^[384].

К такому выводу в Citizen Lab пришли не только потому, что вредоносное ПО было разработано в Китае и связывалось с китайскими же серверами. Главным фактором стало конкретное местонахождение серверов. В то время в хайнаньском городе Линшуй располагался комплекс радиотехнической разведки. Также там базировалось подразделение Третьего технического управления Народно-освободительной армии, китайский аналог американского Агентства национальной безопасности^[385]. Тогда о деятельности этого управления было известно немного, но совсем скоро о нем будут рассказывать в новостях по всему миру.

Глава 14

NoGuGe

Бесславный конец Google в Китае

В модном пекинском районе Чаоян к северу от министерства иностранных дел и дорогого, но вечно ремонтируемого торгового комплекса «Саньлитунь» находится здание посольства США в Китае – восемь этажей из стекла и металла площадью 46 500 квадратных метров. Вокруг него – металлические ограждения с проходными, а по всему периметру дежурят солдаты китайской армии на случай если какой-нибудь потенциальный невозвращенец решит укрыться в посольстве другой страны^[386].