Дракон неясной национальности

(Февраль 2011)

Если вполне ординарный случай тихого промышленного шпионажа раздувают до масштабов экстраординарного «события», значит, кому-то это очень нужно.

night-dragon

Крупнейший в мире форум по компьютерной безопасности, RSA Conference, открывающийся на этой неделе в г. Сан-Франциско, уже давно стал необъятным и не поддающимся общим обзорам мероприятием. Для конференций и выставок такого масштаба остается лишь выделять какие-то отдельные события, пытаясь усмотреть за ними общую тенденцию.

Среди презентаций нынешнего форума одним из таких знаковых событий, наверное, можно считать заранее анонсированный доклад от руководства видной антивирусной компании McAfee, посвященный некой сетевой атаке под названием «Ночной Дракон». Предваряя свое выступление на конференции, технический директор McAfee Джордж Курц (George Kurtz) вкратце рассказал об этой истории в своем блоге, благодаря чему и мы имеем возможность получить комментарии, что называется, из первых рук.

Как сообщает в своем блоге Курц, в 2010 году исследовательское подразделение их компании, McAfee Labs, ежедневно обрабатывало в среднем порядка 55 000 новых образцов вредоносных программ. Столь умопомрачительная цифра уже сама по себе делает довольно маловероятной такую ситуацию, когда какая-нибудь конкретная активность киберпреступников могла бы привлечь к себе особое внимание аналитиков.

Тем не менее, атака, о которой пойдет далее речь и которая получила в McAfee особое название Night Dragon, была сочтена вполне заслуживающей того, чтобы о ней рассказали отдельно.

Ибо данная крупномасштабная атака – согласно оценкам Курца – являет собой ясный и наглядный пример того, как киберпреступность за последние годы эволюционировала от развлечения безответственных людей, забавляющихся сетевыми проникновениями в качестве хобби, к чрезвычайно профессиональной криминальной деятельности.

Согласно картине, восстановленной к настоящему времени в McAfee, начиная, по меньшей мере, с ноября 2009 года (а может, и еще двумя годами ранее) против целого ряда крупных транснациональных корпораций нефтегазовой и нефтехимической индустрии были запущены скрытые кибератаки.

Сторону, организовавшую эти систематические атаки, интересовали закрытая информация фирм об их промышленных процессах, проектно-финансовая документация и контрактные предложения по суммам, выделяемым на разведку и освоение новых месторождений. Вся эта конфиденциальная информация имеет в высшей степени чувствительный к разглашениям характер, а в потенциале способна обеспечивать или, напротив, срывать многомиллиардные сделки в таком секторе бизнеса, который известен чрезвычайно острой конкуренцией.

В подробном аналитическом отчете McAfee, совокупно исследующем эту многоцелевую атаку под названием «Ночной Дракон» и выложенном ныне на сайте антивирусной компании [PDF ], упоминаются не менее двенадцати корпораций нефтегазового и энергетического комплексов, ставших жертвами скоординированных попыток злоумышленников по глубокому проникновению в их сети.

Пять фирм из этой дюжины, по свидетельству McAfee, уже признали и подтверждают факт данных атак. Остальные семь пока воздерживаются от комментариев.

Как показали исследования аналитиков McAfee, задача по проникновению в компьютерные сети данных корпораций решалась злоумышленниками без спешки, очень обстоятельно и методично. Первая фаза атаки стабильно сводилась к компрометации внешнего сервера, обеспечивающего работу веб-сайта компании. Затем хакерские инструменты загружались в скомпрометированную машину и использовались для облегчения внешнего доступа во внутренние сети корпораций. После чего использовались инструменты, обеспечивающие сбор имен-логинов и соответствующих им паролей для еще более глубокого проникновения в недра сети.

Пробравшись туда, шпионы отключали внутренние настройки параметров таким образом, чтобы получать дистанционный доступ к машинам во внутренних корпоративных сетях. Как только это удавалось сделать, конфиденциальные документы, внутренние производственные данные и прочие чувствительные к компрометации файлы, как установлено анализом, сначала выявлялись, а затем и скрытно выкачивались в массовых количествах.

Как комментирует всю эту технологию хищений Грег Дэй (Greg Day), директор по стратегиям безопасности в McAfee, применявшиеся злоумышленниками программные инструменты и методы проникновений в сущности являются совсем несложными, давно известными и широко распространенными в сетевом андеграунде. Однако, если судить по конечному результату, эффективность данных атак от этого ничуть не уменьшилась.

Пытаясь объяснить, почему же тогда злоумышленникам удавалось шпионить в сетях корпораций так долго, многие месяцы оставаясь незаметными для стандартных средств сетевой защиты и сотрудников служб безопасности, в руководстве McAfee выдвигают аргументы примерно такого рода. Как пишет в своем блоге Джордж Курц, дело здесь в том, что весь этот технический инструментарий шпионов внешне выглядит как стандартный набор сетевого администратора, использующего свои административные полномочия для рутинного управления сетью…

Трудно сказать, для кого подобные аргументы могут прозвучать убедительно. Но как бы там ни было, к настоящему времени, по заверениям McAfee, и они, и другие вендоры безопасности, обслуживающие нефтегазовый комплекс, уже смогли успешно выявить те вредоносные программы и инструменты, что применялись в атаках «Ночной Дракон». И в своих обновленных средствах защиты, соответственно, предоставляют все необходимые меры лечения.

Кроме того, аналитики McAfee пристально изучали, кто же мог бы стоять за всеми этими скоординированными атаками. Как говорится в отчете компании и в блоге ее директора, у них имеются сильные свидетельства, дающие основания полагать, что атакующая сторона в данном случае базировалась в Китае. Те инструменты, методы и сетевые приемы, что применялись в атаках, главным образом характерны для Китая, широко доступны и обсуждаются на китайских веб-форумах, и вообще чаще всего применяются именно китайскими хакерскими группами.

Поскольку безликая природа киберпреступлений такова, что вопрос о вероятных авторах атаки обычно представляется наиболее сложным в своем разрешении, эту часть исследования McAfee имеет смысл рассмотреть поподробнее. Приложение к опубликованному отчету McAfee предоставляет такие, в частности, детали о китайских следах в этой шпионской операции.

Хотя не представляет никакого сомнения, что в данных атаках принимали участие многие действующие лица, у исследователей была возможность точно идентифицировать по меньшей мере одного человека – предоставлявшего атакующей стороне принципиально важные элементы управляющей инфраструктуры. Этот человек проживает в городе Хецэ, провинция Шандонг восточного Китая. И хотя нет никаких оснований считать именно его организатором и вдохновителем атак, вполне вероятно, что он располагает информацией, позволяющей идентифицировать по крайней мере некоторых участников, группы или организации, ответственные за шпионские вторжения Night Dragon.

О соучастии этого человека в атаках, по мнению авторов отчета, свидетельствует то, что он владеет компанией, которая, согласно рекламной информации, предоставляет «хост-серверы на территории США без ведения журналов учета» – по цене хостинга порядка 10 долларов в год за 100 Мбайт дискового пространства. Серверы именно этой фирмы в США были использованы для размещения командно-управляющей программы zwShell, которая применялось для дистанционного контроля за машинами в корпорациях, ставших жертвами шпионских вторжений Night Dragon.

Помимо этой цепочки связей с хостинг-сервисом, говорится в отчете McAfee, имеются и многие другие свидетельства, указывающие на вероятно китайское происхождение шпионов.

Начать можно с использования пароля вида «zw.china», который охраняет вход в «командный пункт управления троянами», программу zwShell. Кроме того, аналитики McAfee установили, что все операции шпионов по хищению данных происходили с IP-адресов, находящихся в Пекине, причем деятельность эта отмечалась строго по будням, в периоды времени с 9:00 утра до 5:00 вечера по пекинскому времени.

Иначе говоря, все выглядело так, словно в качестве «шпионов» тут явно выступали люди, приходящие для этого на службу в некую компанию или организацию, а не «вольные стрелки» или неорганизованные хакеры-любители. Ну и вдобавок к этому, как уже упоминалось, шпионы применяли хакинг-инструменты китайского происхождения, преобладающие именно в китайских форумах сетевого андеграунда. Среди инструментов этого рода упомянуты Hookmsgina и WinlogonHack – популярные инструменты для перехвата запросов на вход в систему, с последующим захватом имен-логинов и паролей доступа…

Самое же, пожалуй, необычное во всей этой истории то, что когда «невидимую» многомесячную активность злоумышленников, наконец, все же удалось-таки заметить, то быстро выяснилось, что они ничуть не беспокоились о заметании своих «китайских следов». Скорее даже наоборот, как будто даже хотели, чтобы не оставалось никаких сомнений, откуда тут все идет.

Подводя итог своим наблюдениям, авторы отчета пишут:

«Хотя и имеется возможность того, что все перечисленные признаки – не более чем отвлекающие маневры, применяемые для перевода подозрений на атаки китайских хакеров, мы полагаем, что это в высшей степени маловероятно. Более того, неясно, кому бы вообще могла потребоваться подобная мотивация – заходить столь экстраординарно далеко, чтобы вину за подобные атаки перекладывать на кого-то другого»…

Наверное, вполне можно допустить, что для антивирусных аналитиков McAfee предпринятые шпионами действия по маскировке своего реального происхождения могут представляться «экстраординарно далеко» заходящими. Однако для настоящих шпионских операций спецслужб подобные вещи выглядят вполне обычным делом.

Чтобы далеко не ходить за примерами, достаточно напомнить недавний случай из реальной жизни. Когда в городе Вене появился русский физик-ядерщик и тайно передал иранской стороне чертежи реального взрывателя для ядерных боеприпасов, разработанного в одном из секретных центров СССР по созданию атомного оружия…

Внешне происходящее выглядело как вполне очевидные попытки коварных русских в очередной раз осложнить хрупкую международную безопасность и тайно помочь Ирану в его устремлениях к собственному ядерному оружию. Однако на самом деле все это было не очень удачной и наверняка не самой умной операцией ЦРУ США, которое столь экстравагантным способом зондировало атомные амбиции иранцев (подробности см. в материале «Тайны операции Мерлин«).

Возвращаясь же к операции «Ночной Дракон», определенно можно констатировать, что никаких следов американских или каких-либо еще западных спецслужб за ней, конечно же, не наблюдается. Однако и про знаменитых китайских хакеров хорошо известно, что они не имеют обыкновения работать столь открыто и вызывающе, конструируя пароли вроде «Вперед, Китай!» и организуя тайные кибератаки с пекинских IP-адресов.

С другой стороны, не является секретом, что крупные транснациональные корпорации, будь они нефтегазовые или какие еще, ныне имеют мощные и агрессивные службы безопасности, по своим задачам и методам действий вполне сопоставимые со спецслужбами государств средней руки. Причем работают в этих структурах все больше бывшие сотрудники государственных разведок и контрразведывательных органов. Применяя при этом весьма и весьма продвинутые методы технического шпионажа.

Иначе говоря, то, что в данном случае налицо имеется классический пример промышленного шпионажа – никаких сомнений не вызывает. Не подлежит сомнению и то, что в столь прибыльной и остроконкурентной сфере, как нефтегазовый бизнес, компании-игроки очень энергично шпионят друг за другом (см. материал «Шпионы нарасхват«).

Сильные сомнения тут вызывает лишь тезис, согласно которому за всеми киберкознями непременно должны стоять китайцы. Или, понимаешь, россияне.

# # #