Читаем Великий китайский файрвол полностью

В слитой базе уже другая команда экспертов по кибербезопасности обнаружила до боли знакомый логин. Виргинская компания Mandiant долгое время выслеживала группировку китайских хакеров, которым присвоила обозначение APT1, то есть постоянная угроза высшего уровня (advanced persistent threat). Среди специалистов по кибербезопасности такое обозначение обычно присваивают кибершпионам на государственном финансировании. Группировка, также известная как Comment Crew, провела несколько атак на крупные американские компании. Среди них были Coca-Cola, Lockheed Martin, а также ядерная энергетическая компания Westinghouse^[456]. Взломаны были сети компаний, работа которых была связана с поддержанием жизненно важных инфраструктурных объектов: нефте- и газопроводов, электросетей, водопроводов. Больше всего последствий, впрочем, имела атака на компанию RSA, занимающуюся продажей решений для шифрования и многофакторной аутентификации. В перспективе это давало хакерам возможность незаметно проникнуть в сети тысяч компаний по всему миру^[457].

В Comment Crew работали опытные хакеры и программисты, которые сами могли писать вирусы и настраивать под себя инструменты для взлома сетей. Однако используемый ими арсенал не отличался от методов, что применялись для атак на тибетскую диаспору с самого начала нулевых или для взлома сети Google в 2009 году. Хакеры из APT1 изучали информацию о компаниях, намечали список потенциальных жертв среди сотрудников и рассылали им тщательно и правдоподобно составленные фишинговые письма с невинно выглядящими вложениями. Если получатель открывал такое вложение, у хакеров появлялся неограниченный доступ к компьютеру жертвы или ко всей сети. Группировка существовала уже давно и отличалась завидной уверенностью, даже самоуверенностью. Годами применялись все те же вирусы, домены, IP-адреса, инструменты. Зачем было менять зарекомендовавшие себя схемы? Ведь их можно было пустить в ход практически при любой атаке.

О сохранении секретности хакеры тоже особенно не заботились. Один из участников группировки, известный под псевдонимом UglyGorilla, давно и регулярно появлялся на китайских форумах для военных и хакеров. В 2004 году, во время онлайн-конференции, организованной сайтом газеты «Цзефанцзюнь бао»^{11}, он процитировал отчеты о хакерском потенциале США и задал вопрос: есть ли у Китая своя «киберармия»^[458]? Точно не известно, был ли вопрос с подвохом от действующего бойца этой пресловутой киберармии или пользователя UglyGorilla завербовали уже позже. В его хакерском таланте сомневаться не приходилось. Эксперты Mandiant проследили историю его деятельности в интернете и узнали, что, среди прочего, он разрабатывал самую первую известную версию вредоносной программы из семейства Manitsme, которая позволяла хакерам загружать и скачивать файлы с зараженных компьютеров. Обычно у вредоносного ПО нет выходных данных, и тем более в них не указывается имя разработчика. То, что UglyGorilla не скрывал свою причастность к этой программе, только подтверждает: работал он, можно сказать, в очень дружелюбной, даже комфортной обстановке. Если посмотреть на код Manitsme, никаких сомнений не остается: там есть послание на ломаном английском, которое выглядит так: «v.10 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007» («версия 10, гарантированно взломать вас, писал UglyGorilla, 06/29/2007»).

Однако до взлома HBGary специалисты Mandiant не могли продвинуться дальше информации о содержании постов UglyGorilla на форумах и данных о вредоносной программе. В выложенной в открытый доступ базе данных rootkit.com было не только имя пользователя, но и адрес китайского хакера: uglygorilla@163.com. Этот адрес эксперты Mandiant проследили до доменных имен, которые зарегистрировал на себя UglyGorilla, а также еще до нескольких аккаунтов на форумах и хакерских сайтах. В слитой базе также содержался IP-адрес, с которого UglyGorilla зарегистрировал аккаунт на rootkit.com: 58.246.255.28. Он соответствовал довольно захудалому кварталу в шанхайском районе Пудун, новой застройке на осушенном болоте.

Да, за IP-адресом UglyGorilla мог бы и проследить, но эксперты узнали о нем в результате стечения обстоятельств, которые он никак не мог предусмотреть. Какова была вероятность того, что человек, связанный с rootkit.com, необдуманно пойдет войной на Anonymous, из-за чего сайт потом взломают и выложат базу в открытый доступ? Как и Барр, UglyGorilla недооценил противников и допустил несколько серьезных просчетов. Специалисты Mandiant обнаружили несколько аккаунтов, зарегистрированных на этот адрес, где в поле «Имя» было указано «Джек Ван». Сначала они решили, что это еще один псевдоним, китайский вариант распространенного сочетания имени и фамилии «Джек Смит». Однако в одном из аккаунтов UglyGorilla указал китайское имя – Ван Дун^[459].