Хакеры использовали целый арсенал продвинутых методов взлома: целевой фишинг, качественно подделанные письма с вирусами во вложении, программы для извлечения паролей из памяти компьютера, кейлоггеры, которые фиксируют все нажатия на клавиатуру, например при вводе логина, и получили учетные данные администратора Gaia[400]
. Также они взломали репозитории с исходным кодом системы, чтобы найти в ней новые уязвимости.В отделе безопасности Google под руководством Хезер Эдкинс, которая работала в компании с 2002 года, были собраны лучшие. Эти люди, пережившие бессчетное множество хакерских атак, носили футболки с надписью «Do know evil»{10}
, часами вылавливали в коде продуктов компании баги и находили уязвимости[401]. В 2009 году, когда им стало известно о взломе, хакеры уже год как внедрились на серверы компании[402]. В своей штаб-квартире в Маунтин-Вью компания оборудовала самый технически оснащенный командный центр в истории, а для расследования атаки даже привлекла экспертов из Агентства национальной безопасности, что привело в ярость борцов за конфиденциальность в интернете.Отдел Эдкинс начал следствие со снятия виртуальных отпечатков пальцев. В их распоряжении были логи, которые показывали, куда хакеры сливали данные с серверов Google. Так смогли составить «фоторобот» злоумышленников и узнать, за чем они охотились.
Неожиданное открытие привело экспертов в ужас: хакеры не только внедрились в ключевые системы жизнеобеспечения компании, но и взломали на Gmail почту известных китайских и тибетских оппозиционеров. Среди них были аккаунты художника Ай Вэйвэя и Тензина Селдона, двадцатилетнего студента, регионального координатора организации «Студенты за свободный Тибет»[403]
. Эта улика и несколько других помогли подтвердить, что организатор атаки находится в Китае. При взломе использовались самые современные технологии, продолжалась атака почти целый год, на что требуется немало денег. Это позволило предположить, что хакеры работают на правительство[404].Эксперты по безопасности из компании Symantec позже выяснят, что группа хакеров, которую они назвали Elderwood, атаковала несколько десятков крупных американских компаний. Среди них были Yahoo, Adobe, оружейный концерн Northrop Grumman, Dow Chemical[405]
. По некоторым данным, целей было более сотни[406]. В отчете эксперты Symantec писали: «Чаще всего Elderwood использует тактику целевого фишинга: отправляет правдоподобно составленное электронное письмо от доверенного адресанта, убеждающее получателя пройти по ссылке или открыть вложение. При открытии ссылки или вложения на компьютер получателя устанавливается троян, создающий лазейку для кибершпионажа. Во многих случаях применялось дорогостоящее вредоносное ПО, использующее уязвимость нулевого дня, то есть ранее неизвестные слабые места, защита от которых еще не разработана. На цифровом черном рынке такая технология стоит миллионы, поэтому можно сделать вывод, что группа получает практически неограниченное финансирование»[407].Из обнародованных WikiLeaks телеграмм госдепартамента США тоже можно сделать вывод: американские дипломаты подозревали, что атакой руководит правительство Китая. По всей видимости, они не поделились с Google этой информацией. Чэнь Цзежэнь, редактор сайта китайского комсомола и племянник члена постоянного комитета КПК Хэ Гоцяна, сообщил сотрудникам посольства США, что атаку координировал отдел информации Госсовета КНР, главный орган по цензуре. По словам Чэня, заказчиками атаки были Ли Чанчунь, давний враг Ли Кайфу, и министр безопасности Чжоу Юнкан. При этом остальные члены политбюро не были поставлены в известность[408]
. По мнению Чэня, повод для атаки был на 100 % политическим. Ли Кайфу, как он потом сообщил дипломатам, подозревал, что Ли Чанчунь работает на Baidu и действует целенаправленно против интересов Google в Китае.Сергею Брину давно не нравилось то, что Google делает в Китае. Он был шокирован, когда хакеры взломали ящики оппозиционеров на сервисе Gmail. Родители Брина, русские евреи, уехали из СССР в 1979 году, когда ему было шесть лет. Отец-астрофизик[409]
хотел, чтобы чиновники из Кремля не мешали его работе[410]. Брин лично возглавил операцию по противодействию атаке. В своих интервью он проводил параллель между взломом ящиков оппозиционеров и историей своей семьи, сказав, в частности, что в этом случае наблюдаются те же признаки тоталитаризма, они весьма тревожны[411].