Виртуальное господство: как китайские хакеры завоевывают мир через смартфоны

Виртуальное господство: как китайские хакеры завоевывают мир через смартфоны

За последние несколько лет китайские хакеры стали почти так же опасны и неуловимы, как русские: они перенаправляют трафик, читают почту через смартфоны и крадут военные тайны

Оказавшись два года назад на втором месте по финансированию кибервойн, по данным Zecurion Analytics, Китай явно не собирается останавливаться на достигнутом. Сегодня, когда типичные заголовки Reuters и Bloomberg сообщают об очередной кибератаке на Siemens, Trimble, Moody's и даже о попытках хакеров повлиять на конфликт в Южно-Китайском море, можно констатировать, что такими темпами китайские хакеры скоро перехватят первенство у русских. Австралия отказалась от Huawei в качестве подрядчика на подводном кабеле, соединяющем ее с Соломоновыми Островами, опасаясь угрозы национальной безопасности в получении Китаем доступа к интернет-инфраструктуре страны.

Bloomberg сообщает, что в 2016 году общее число китайских кибератак утроилось: тогда жертвами атак по всему миру стали сразу семь оборонных предприятий, специализирующихся на производстве ракет, радаров и навигационных технологий, пять министерств, четыре авиационные компании и две организации из сферы ядерной энергетики. Эксперты Лаборатории Касперского также фиксируют участившиеся в 2017 году кибератаки китайских хакеров на государственные структуры и военную промышленность России. При этом глава бюро кибербезопасности Управления киберпространства КНР Чжао Цзэлян даже не скрывает готовности Китая применить военную силу для обеспечения своей информационной безопасности.

Господряд

В обнародованном в сентябре 2017-го обвинительном заключении федеральные прокуроры в Питтсбурге утверждают, что компания Boyusec (официальное название Bo Yu Guangzhou Information Technology Co.), специализирующаяся на кибербезопасности, в частности трое ее китайских сотрудников (двое из которых соучредители Boyusec), причастны к взлому трех крупных компаний: промышленного гиганта Siemens, агентства по экономическому анализу Moody's и компании-оператора GPS Trimble. Эти компании зафиксировали утечку важных данных. Согласно опубликованным данным, добычей злоумышленников стали около 407 Гб данных, относящихся к категории коммерческой тайны касательно энергетических, технологических и транспортных предприятиям Siemens.

Получив несанкционированный доступ к внутреннему почтовому серверу Moody's Analytics, хакеры разместили правило пересылки электронной почты топ-менеджмента компании на учетную запись, контролируемую злоумышленниками. Помимо этого, сотни файлов, включая сжатые данные, которые помогли бы конкуренту Trimble создать аналогичный продукт, не затрачивая миллионы долларов на исследования, были похищены с серверов GPS-оператора.

Теперь, когда Wall Street Journal утверждает, что компания прекратила свою деятельность месяц назад, мало кто вспомнит, что именно Boyusec подозревали в осуществлении кибер-шпионажа в пользу Разведывательной службы Министерства государственной безопасности Пекина, а также в связях с глобальной ИКТ-компанией Китая Huawei Technologies, которая была уличена Пентагоном в связях с китайскими военными.

Согласно внутреннему отчету Объединенного управления разведки J-2 Пентагона, Boyusec и Huawei работали вместе над созданием продуктов безопасности, которые были загружены в компьютерное и телефонное оборудование китайского производства, что позволяло китайской разведке собирать данные и контролировать компьютерное и телекоммуникационное оборудование.

Анонимная группа, известная как Intrusion Truth, опубликовала данные, которые связывают «подрядчика» китайской разведки Boyusec с кибератаками, которые были совершены группой кибершпионажа, известной как APT3. Согласно Intrusion Truth и Recorded Future, Boyusec является лишь одним из многих подрядчиков по кибербезопасности, которые китайское правительство использует для поддержки своих операций по сбору информации в рамках киберразведки. Оба источника утверждают, что Boyusec отчитывается перед Центром оценки безопасности информационных технологий в Гуандуне (или ITSEC провинции Гуандун), который является местным подразделением Центра оценки информационных технологий Китая (CNITSEC), организации, управляемой Министерством государственной безопасности Китая (MSS). Эта иерархическая структура хорошо известна и ранее была раскрыта в публикациях Оксфордского университета.

Смартфоны-терминаторы

Сотрудник, специализирующейся на безопасности в IТ-компании Kryptowire, купил на отдыхе смартфон BLU R1 HD и случайно обнаружил подозрительный сетевой трафик, который генерирует новый гаджет. Позднее Kryptowire определила несколько моделей мобильных устройств Android, содержащих прошивку, которая собирала конфиденциальные личные данные о своих пользователях и передавала эти конфиденциальные данные на сторонние серверы без раскрытия или согласия пользователей — эти устройства были доступны через крупные интернет-магазины в США (Amazon, BestBuy, например) и включали самые популярные смартфоны. Масштабы бедствия, который, как оказалось, не был ограничен одним телефоном, и вправду поражают: New York Times оценил количество пораженных телефонов и прочих интеллектуальных устройств, которые держали связь с китайскими серверами, принадлежащими компании Shanghai Adups Technology Company, более известной как Adups, более чем в 700 млн.

По словам вице-президента Kryptowire Тома Кариянниса, вредоносное программное обеспечение поставлялось предустановленным в устройства и осуществляло наблюдение втайне от пользователей. Подобный вирусный функционал был обнаружен также на телефонах компании Huawei и еще одной крупной китайской телекоммуникационной фирмы ZTE (второй по величине после Huawei) и представлял, по мнению экспертов, встроенный «бэкдор», отправляющий каждый 72 часа полное содержимое текстовых сообщений, списков контактов, журналов вызовов, информации о местоположении и других данных с устройств на сторонний сервер в Китае.

Все это привело к ряду действий со стороны США и ее союзников по отключению китайских ИКТ-гигантов от американского рынка. В январе один из крупнейших американских операторов мобильной связи AT&T Inc. отказался от планов продажи телефонов Huawei в США, а в апреле власти США запретили китайской ZTE закупать продукцию американских технологических компаний, в том числе используемые компанией процессоры Intel и Qualcomm в течение семи лет. Кроме того, по данным Reuters, санкции США могут повлечь невозможность использования операционной системы Android от Google для мобильных устройств ZTE, что фактически поставило под вопрос существование самой компании.

Ранее индийские власти также запретили использование китайского оборудования от компаний Huawei и ZTE в приграничном регионе. Все это напоминает очередной эпизод торговой войны в силу косвенности отдельных доказательств и с учетом того, что упомянутые ИКТ-гиганты из Китая представляют серьезную конкуренцию продукции американских компаний, которые также были замешаны в слежке за своими пользователями. NSA и другие американские разведывательные агентства вряд ли действительно беспокоятся о том, что Huawei и ZTE шпионят за пользователями через «бэкдоры» в их телефонах. Они скорее обеспокоены тем, что китайские ИКТ-гиганты могут получить техническую возможность контроля телекоммуникационного оборудование, которое китайская компания успешно поставляет в США, и на котором строится сетевая инфраструктура страны.

Великая пушка

«Великая пушка» (Great Cannon) вошла в лексику кибервойны наряду с «Золотым щитом», или Великим Китайским файерволом, после того как новый инструмент цензуры в Поднебесной был назван и описан исследователями из Университета Торонто. В отличие от Великого файервола, который активно изучает весь трафик на проложенных проводах, идущих в Китай и из Китая, «Великая пушка» — это оружие нападения, отличный инструмент атаки, который перехватывает зарубежный интернет-трафик, поступающий на китайские интернет-сайты, «дополняет» его вредоносным кодом и перенаправляет по своему усмотрению. «В то время как источником атаки является часть инфраструктуры Великого файервора, атака осуществляется отдельной наступательной системой с различными возможностями и архитектурой, которую мы называем «Великой пушкой», — пишут авторы исследования.

По мнению авторов исследования из Университета Калифорнии в Беркли и Университета Торонто, недавно «Большая пушка» собрала трафик, предназначавшийся для Baidu (крупнейший китайский поисковик, аналог Google), а затем перенаправила его, уже в виде DDoS-атаки, на популярный у программистов сервис GitHub и сайт GreatFire.org, помогающий обходить применяемые в Китае интернет-блокировки, а также размещающий «зеркала» СМИ, запрещенных в Китае (например, The New York Times). Атака, которая длилась 4 дня, использовала в качестве оружия трафик обычных пользователей китайского интернета. Временные задержки при загрузке тех или иных ресурсов увеличились всего на 1,75% — именно столько потребовалось на перехват трафика и его превращение во вредоносные запросы. Это сделало атаку незаметной для осуществляющих ее веб-серферов.

Возможности «Великой пушки» не ограничиваются банальными, пусть и очень мощными, DDoS-атаками. Cистема может быть легко модернизирована для осуществления шпионажа и за любым пользователем интернета, на чей компьютер загружается какой-либо контент с сервера, расположенного в Китае. Для этого вовсе не обязательно заходить на китайский сайт — достаточно, например, отображения на любом сайте рекламы из китайской рекламной сети.

Впрочем, есть один простой способ защититься от «Великой пушки» — шифровать все веб-сайты в интернете. Система при всей своей сложности не сможет манипулировать трафиком, который эффективно шифруется. Протоколы SSL/TLS (которые большинство пользователей обычно используют, когда видят на веб-сайтах аббревиатуру HTTPS вместо HTTP) отбрасывают соединения, в которых обнаруживаются следы постороннего вмешательства, такие, как оставляет «Великая пушка». Немалую роль в борьбе с этим орудием сыграл проект Linux Foundation — Let's Encrypt, предоставляющий всем желающим с середины 2015 года бесплатные SSL-сертификаты. Поскольку перехваченными рискуют стать сообщения, которые общаются с любым сервером из Китая, не использующим криптографические защиты, это объясняет то, что ядрами «Великой пушки» становятся преимущественно рядовые китайские пользователи, которые ограничены «Великим китайским файерволом» в возможности использования и посещения зашифрованных ресурсов.

«Великая пушка» Китая является третьим известным правительственным орудием на просторах интернета, которое использует технологию подделки незашифрованного интернет-трафик пользователей для контроля над информацией или организаций атаки. Его предшественниками были QUANTUM, используемая Агентством национальной безопасности США, и британская GCHQ, о которой стало известно благодаря утечкам Эдварда Сноудена. Именно это обстоятельство не позволяет западным странам подвергнуть убедительной критике те методы обеспечения «киберсуверенитета», которые применят Китай.

Как и в случае со слежкой за пользователями смартфонов, Китай не является первопроходцем в данных направлениях, а лишь умело копирует западный подход с учетом национальных особенностей, заявляя о себе как о равноценном участнике кибервойн. В конце концов, кибервойна, как и обычная война, есть не что иное как продолжение политики другими средствами, как говорил прусский военачальник Карл фон Клаузевиц. И во многом в череде взаимных обвинений и уступок просматривается в первую очередь политическая мотивация, и один из последних твитов Дональда Трампа тому явное подтверждение: «Председатель Китая Си и я сотрудничаем в деле предоставления возможности крупной китайской телефонной компании ZTE быстро вернуться в бизнес. Слишком много людей в Китае потеряли работу. Министерство торговли проинструктировано сделать все как надо!»

Источник: forbes.ru