Ловушка для тигра. Секретная шпионская война Америки против Китая

Глава 21 КИБЕРШПИОНЫ

В двадцать первом столетии, шпионы, наконец, достигли того, о чем могли только мечтать практики их древнего ремесла в прошлом: благодаря Интернету они на самом деле стали невидимыми.

От Пентагона до Государственного департамента, от Лабораторий ядерного оружия Сандия до Министерства внутренней безопасности, злоумышленникам удавалось взламывать американские правительственные компьютеры со все увеличивающейся частотой. Многие из нападений, похоже, исходили из Китая.

В 2009 году группа канадских исследователей в Университете Торонто назвала «китайский кибершпионаж» «важной глобальной проблемой». Их доклад уверенно предполагал, что китайское правительство, а не только индивидуальные хакеры, стояло за широко распространенными компьютерными атаками, нацеленными на Соединенные Штаты и 102 другие страны.

Китайские хакеры, сказали исследователи, взламывали компьютеры в Соединенных Штатах, Тайване, Индии и других странах, манипулируя ими так, чтобы загрузить «троянского коня» — разрушительную программу, замаскированную под полезное программное обеспечение — под названием «Призрачная крыса». Как в типичных хакерских нападениях, программа затем позволяла нападавшему получить в реальном времени контроль над компьютерами, превращая их в зомби или прокси, без ведома их владельцев.

Как только компьютеры попадали под чужой контроль, злоумышленники могли искать и загружать файлы, и даже тайно управлять «микрофонами и веб-камерами», отмечал доклад канадских ученых. Согласно Нарту Вильнёву, одному из авторов доклада, эти возможности в духе романа Оруэлла означают, что если у компьютера есть веб-камера, она может подглядывать в спальню или офис и позволить нападавшему тайно наблюдать за всем происходящим, со звуком. Если у компьютера есть только микрофон, то он может быть активизирован, чтобы подслушивать помещение, где расположен компьютер.

Начиная с 2003 года, серии нападений на Пентагон и другие правительственные учреждения, исходящих от вебсайтов в Китае, американские следователи дали кодовое наименование «TITAN RAIN» («Титановый дождь»). Правительство засекретило эти компьютерные атаки и очень мало сообщало о них. Однако с «Титанового дождя» вуаль секретности частично была снята из-за необычного эпизода в месторасположении Национальных лабораторий Сандия в Альбукерке, Нью-Мексико.

В 2004 году Шоун Карпентер, тридцатишестилетний аналитик компьютерной безопасности в лаборатории ядерного оружия, изучил ряд взломов в Сандия и проследил их до серверов, которые, как оказалось, были расположены в провинции Гуандун в южном Китае. В свободное время он продолжал прослеживать технологически сложные и быстрые атаки обратно к их источнику, делясь своей информацией сначала с контрразведывательной службой армии, а позже с ФБР.

Вместо того чтобы похвалить Карпентера за его усилия по защите лаборатории, руководство Сандия отобрало у него допуск по категории Q и уволило его за то, что он вышел за рамки установленного порядка субординации. Карпентер подал иск и в 2007 году выиграл в суде Нью-Мексико огромную компенсацию в размере 4.7 миллиона долларов. Суд пришел к выводу, что его увольнение из лабораторий Сандия было «злонамеренным, преднамеренным, опрометчивым, необоснованным, мошенническим или недобросовестным».

Нападения на компьютерные сети Министерства обороны и другие правительственные компьютеры продолжаются. В 2008 году генерал ВВС Кевин П. Чилтон, командующий Стратегическим авиационным командованием, сказал, что сети оборонного ведомства получали каждый день по миллиону подозрительных «ударов». Не называя непосредственно Китай, генерал сказал, что, по его мнению, взломы могли относиться к «шпионской работе».

Для компьютерных нападений уязвимы не только объекты, связанные с военными ведомствами. В 2009 году «Уолл-Стрит джорнал» сообщил, что кибершпионы из Китая, России и других мест проникли в энергосистемы Соединенных Штатов, и внедрили туда «malware» («зловред»), или вредоносное программное обеспечение, программы, которые могли использоваться для разрушения систем. Газета цитировала неназванных чиновников, утверждавших, что водопровод, канализация и другие системы инфраструктуры тоже находились в опасности.

Позже в том же году бывший директор ЦРУ Джеймс Вулси изобразил пугающую картину того, что могло случиться. «Вывод из строя сетей коммунальных систем на несколько месяцев настолько близок к ядерному нападению на Соединенные Штаты с использованием большого количества оружия, как ничто иное. Наступило бы массовое голодание и смерть от жажды и все остальное».

Годом ранее Том Донахью, главный чиновник ЦРУ по кибернетической безопасности, сказал на встрече в Новом Орлеане руководителей служб безопасности коммунальных служб и энергетических компаний, что хакеры на самом деле нарушили работу компьютеров энергетических компаний в другой стране и вызвали отключение электричества в нескольких городах, хотя это сообщение позже подверглось сомнению.

В 2008 году государственная компания «Теннесси-Вэлли Оторити» (TVA), которая снабжает электричеством девять миллионов человек в семи южных штатах, была подвергнута критике Управлением правительственной отчетности за слабое обеспечение безопасности. Председатель комиссии Палаты представителей по кибербезопасности сказал, что TVA, самый большой национальный производитель электроэнергии, «подвергается риску разрушения своего функционирования в результате киберинцидента».

И национальная энергетическая сеть уязвима. Исследователи в Национальной лаборатории Министерства энергетики в Айдахо продемонстрировали в 2007 году в ходе эксперимента, названного «Тест генератора Аврора», что кибернетическое нападение могло фактически «вырубить» энергосистему. На потрясающем видео, выпущенном Министерством внутренней безопасности, видно, как турбину электростанции, такую же, как и множество других, использующихся в Соединенных Штатах, заставили перегреться и выйти из строя после получения компьютерных команд в моделируемом хакерском нападении. На видео огромная турбина дрожит, трясется и изрыгает черно-белый дым, когда ее части отлетают в разные стороны.

В 2009 году президент Обама подтвердил, что «компьютерные злоумышленники проверяли на прочность нашу сеть энергоснабжения», и «в других странах кибератаки погрузили все города в темноту». Хотя он не уточнял, но программа новостей Си-Би-Эс сообщила, что компьютерная атака в Бразилии в 2005 году затронула три города, а другая в 2007 году в той же стране вызвала отключение освещения, затронувшее более трех миллионов человек. Впрочем, это сообщение Си-Би-Эс было опровергнуто бразильскими чиновниками, которые возлагали ответственность за отключение света на закопченные изоляторы

Китай рьяно отрицал свою ответственность за любые компьютерные нападения, направленные против Соединенных Штатов или других стран. В ответ на сообщения, что Пекин вторгался в компьютеры Пентагона, например, Цзян Ю, представитель китайского Министерства иностранных дел, заявил: «Китайское правительство всегда выступало против любых преступлений в сети Интернет, включая хакерство, и наказывало за них по закону».

Такие опровержения являются частыми, но не полностью убедительными. Китайское правительство пытается жестко контролировать все аспекты Интернета в своей стране, резко ограничивая содержание сети, которое могут видеть его граждане. В последние годы, интернет-активисты вне Китая создали программное обеспечение, которое дало возможность относительно маленькому проценту китайских компьютерных пользователей обойти межсетевую защиту правительства. Даже в этом случае представляется невероятным, что большое количество частных китайских хакеров, якобы действуя самостоятельно, могли бы проводить повторяющиеся атаки на компьютерные сети американских оборонных учреждений и спецслужб — если бы правительство Китая не организовывало, направляло, или не поощряло эти вторжения, или, по крайней мере, не потворствовало бы им.

В книге, изданной более десятилетия назад, два китайских специалиста по Интернету признали, что «использование хакеров для получения военной информации из компьютерных сетей это очень эффективный метод». Более свежая книга, изданная в Китае в 2003 году, «Расшифровка информационной безопасности», обсуждает вопрос создания университета, специализирующегося на компьютерной безопасности, своего рода «хакерского университета», с курсами о «создании и использовании программ компьютерных вирусов» и «исследовании методов хакерских нападений».

Усилия доказать, что китайское правительство могло бы стоять за нападениями на Соединенные Штаты вроде «Титанового дождя», сталкиваются с тем, что компьютерные эксперты по безопасности называют проблемой «атрибуции» — установления авторства. Так как хакерам сравнительно легко можно замаскировать свою страну происхождения и точное местоположение, сегодняшние кибершпионы могут скрываться за виртуальным плащом, а их кинжал является электронным. Хакер в Восточной Европе может создать впечатление, что его электронную почту послали через сервер в Шанхае.

По этой причине, когда компания «Гугл» в начале 2010 года раскрыла атаки на его службу электронной почты и на тридцать четыре американские компании, многие из которых были заняты в оборонной промышленности, она не смогла достоверно определить точный источник, но заявила, что, по ее мнению, вторжения исходили из Китая. Позже некоторые исследователи полагали, что нападения могли быть прослежены к двум школам в Китае, и одна из них была тесно связана с вооруженными силами.

Директор ФБР Роберт Мюллер описал эту проблему в своей речи в Сан-Франциско в 2009 году. — В начале расследования компьютерного преступления мы не знаем, имеем ли мы дело со шпионом, с человеком из внутреннего круга компании, или с организованной преступной группой, — сказал он. — Кое-что, что похоже на обычное интернет-мошенничество, может быть попыткой террористической группы получить финансирование для своей операции.

Правительство попыталось помешать нападениям на важные сети оборонного значения. НАСА, мишень кибернетических вторжений, как в Космическом центре Кеннеди во Флориде, так и в Космическом центре Джонсона в Хьюстоне, начало программу под кодовым названием «Авокадо», чтобы блокировать подозреваемые китайские компьютерные атаки. Программа «Эйнштейн» Министерства внутренней безопасности обеспечила правительственные учреждения датчиками, предназначенными для обнаружения компьютерных вторжений.

В 2002 году американский Военно-морской колледж ВМС США стал местом проведения военной игры под названием «Цифровой Пёрл-Харбор». Имитационные нападения, осуществлявшиеся экспертами по компьютерной безопасности, моделировали атаки других стран на жизненно важную американскую инфраструктуру. Учения показали, что Интернет и цифровые финансовые сети были самыми уязвимыми. Другие эксперты предупредили, что телекоммуникационные сети и система авиадиспетчерской службы могут быть разрушены кибернападениями.

Как и Соединенные Штаты, Китай разрабатывал планы разрушения цифровых сетей противника в войне. Согласно докладу ученых Университета Торонто в 2009 году, «Китай активно развивает способность проведения операций в киберпространстве, правильно определяя его как сферу, в которой он может достичь стратегического паритета, если не превосходства над военными организациями Соединенных Штатов и их союзников».

Роль Народной Освободительной Армии Китая также была освещена в годовом отчете Министерства обороны Конгрессу за 2008 год по китайской военной мощи: «Народно-освободительная армия создала подразделения для ведения информационной войны, чтобы разрабатывать вирусы для нападения на вражеские компьютерные системы и сети». Отчет добавил, что Народно-освободительная армия рассматривает операции в компьютерных сетях «как важные для достижения 'электромагнитного господства' на ранней стадии конфликта».

Хотя доказательства темны, атаки китайских хакеров, возможно, были направлены на критиков этой страны в Соединенных Штатах. В 2008 два республиканских члена Конгресса утверждали, что в компьютеры в их офисах на Капитолийском холме проникли хакеры, которые, по их мнению, были в Китае. Эти два конгрессмена, Крис Смит, Нью-Джерси, и Фрэнк Вулф, Вирджиния, оба консерваторы, были давними открытыми критиками нарушений прав человека в Китае.

И в пригороде Атланты в 2006 году Питера Юань Ли, специалиста по компьютерным технологиям, натурализованного американского гражданина и критика китайского правительства, ограбили, избили, связали, и завязали глаза трое или четверо вооруженных азиатов, которые вторглись в его дом и взяли два ноутбука, не тронув никаких других ценных вещей. Ему потребовалось пятнадцать швов, чтобы зашить рану на лице после этого нападения.

Ли был местным видным последователем духовного движения Фалуньгун, которое Китай объявил вне закона как «злой культ». ФБР и детективы округа Фултон расследовали грабеж и нападение на Ли, но не последовало никаких арестов. Ли, со своей стороны, не сомневался в том, почему именно он оказался жертвой. Он обвинял Китай во взломе, который, по его заявлению, был спланирован, чтобы заставить его замолчать. Он выражал удивление, «что в США они могли делать такие вещи».

В 1987 году Ли прибыл в Соединенные Штаты для завершения своего образования в Принстоне, где он получил степень доктора философии по электротехнике. В течение нескольких лет он работал с другими активистами, чтобы бороться с интернет-цензурой в Китае. — Первоначально мы отправляли письма по электронной почте в Китай, у нас было двадцать миллионов почтовых адресов, и мы им посылали статьи, — рассказывал он. — Приблизительно в 2004 году прокси-серверы больше не работали, они были легко заблокированы, и нам пришлось перейти к более сложным методам.

Вместе со своей группой Ли тогда начал снабжать интернет-пользователей в Китае программным обеспечением, которое позволило бы им обходить правительственные системы межсетевой защиты. Были различные способы отправлять программное обеспечение в Китай. «Они блокируют электронную почту, но мы можем все еще посылать некоторые, или через электронную почту или через Skype». В Китае, как он сказал, программное обеспечение передается или устно или в Интернете. Когда компьютерный пользователь в Китае нажимает на ссылку, предоставленную в электронной почте, пользователь может загрузить программное обеспечение, которое соединяется с компьютером за границей, который тогда изменяет маршрут трафика к вебсайту, подключение к которому ограничено китайскими властями.

По мнению Ли, кибернападения на Пентагон и другие американские учреждения исходят из Китая. — Китайское правительство расценивает хакеров как героев, — сказал он. — Правительство не расправляется с хакерами. Путь для студентов, чтобы доказать свой талант, это устроить взлом. Я верю, что это они [китайское правительство] организовывают эти нападения.

Большинство вопросов, связанных с кибершпионажем, нацеленным на американские оборонные и разведывательные структуры, было сосредоточено на программном обеспечении, использовании программ, которые могут отключать функции или красть данные из компьютеров, подвергшихся нападению. Но компьютерные эксперты по безопасности сегодня все более и более волнуются по поводу уязвимости самого аппаратного обеспечения, то есть, компьютерных микросхем, которые управляют ракетами, самолетами и радарами.

Одна из причин состоит в том, что только приблизительно 2 процента интегральных схем, закупаемых каждый год американскими вооруженными силами, произведены в Соединенных Штатах. И даже большинство американских производителей чипов перенесли свое производство из Америки туда, где рабочая сила дешевле. Компьютерная микросхема, изготовленная со скрытым, злонамеренным недостатком, может вывести из строя систему оружия. И аппаратное обеспечение, подвергнувшееся такой угрозе, почти невозможно обнаружить.

В чип мог бы даже быть внедрен «выключатель уничтожения», благодаря которому оружие может быть заблокировано извне с использованием дистанционного управления. Когда израильские военно-воздушные силы напали на месторасположение предполагаемого ядерного реактора в Сирии в 2007 году, наблюдатели задавались вопросом, почему сирийские силы ПВО не сопротивлялись. Позже появились неподтвержденные сообщения, что был использован выключатель уничтожения, предоставленный Соединенными Штатами израильской разведке, чтобы с его помощью разоружить сирийские радары.

Соединенные Штаты слишком медлили с распознанием угрозы национальной безопасности, исходящей от кибершпионов и хакеров. Президент Барак Обама, признавая проблему, заявил в мае 2009 года: — Мы не готовы в той мере, в какой нам следует быть готовыми как правительству и как стране. Он с сожалением говорил о том, как во время его кампании по выборам президента годом ранее, «хакеры получили доступ к электронной почте и множеству файлов кампании, от политических меморандумов до планов поездок».

Он говорил о шпионских и вредоносных программах, о компьютерном мошенничестве: «spyware» и «malware», «spoofing», «phishing» и «botnets». И он предупредил: — В сегодняшнем мире, акты террора могут исходить не только от нескольких экстремистов с поясами шахидов, но и от нескольких нажатий клавиш на компьютере — оружии массового разрушения.

Обама объявил, что он назначит координатора Белого дома по компьютерной безопасности, чтобы работать с органами власти на федеральном уровне, уровне штатов и органов местного самоуправления и в частном секторе, чтобы защитить национальную инфраструктуру от компьютерных атак. В следующем месяце Министерство обороны приказало создать первое военное кибернетическое командование. Назначение генерал-лейтенанта Кейта Б. Александера, который был также директором Агентства национальной безопасности, на должность начальника нового киберкомандования, вызвало споры. Сильным аргументом было то, что Агентство национальной безопасности, и так уже шпионящее за электронной почтой и телефонными звонками, согласно секретной программе, установленной Президентом Джорджем Бушем-младшим и позже одобренной Конгрессом, не должно осуществлять контроль над компьютерной безопасностью.

В то же самое время, создание «киберцаря Белого дома» и военного киберкомандования и так сильно запоздало, учитывая продолжающиеся компьютерные нападения на Соединенные Штаты. И были достоверные свидетельства, что многие из вторжений исходили из Китая.

В своем докладе, подробном исследовании кибершпионажа, ученые Университета Торонто в 2009 году, хотя и были осторожны, не возлагая напрямую ответственность за каждое хакерское нападение на китайское правительство, отметили, что компьютерные атаки на 103 страны были направлены против дипломатов, военного персонала, сотрудников штата премьер-министров, и журналистов.

«Самое логическое объяснение, и, конечно, то, к которому сильнее всего склоняют имеющиеся косвенные улики, состояло бы в том, что этот подбор целей высокого уровня разрабатывался китайским государством в целях военной и стратегической разведки…. Многие из… целей высокого значения, которых мы опознали, были явно связаны с китайской внешней и оборонной политикой».

«Подобно радару, осматривающему территории близ южной границы Китая, существует дуга зараженных узлов из Индии, Бутана, Бангладеш и Вьетнама, через Лаос, Бруней, Филиппины, Гонконг, и Тайвань».

Была еще одна важная часть разведывательной информации, не раскрытая академическими исследователями. Межсетевой протокол (IP) адресов нападавших, идентификационные номера, имеющиеся у всех компьютеров и серверов, «ведут назад, по крайней мере, в нескольких случаях к острову Хайнань».

Есть причина, что эта находка была особенно важна в продолжающихся усилиях по точному определению источника кибершпионов. Его местоположение это туристический центр, но это также еще кое-что большее. Остров Хайнань в Южно-Китайском море является местом дислокации центра радиоэлектронной разведки на авиабазе Линшуй, а также Третьего технического управления Национально-освободительной армии Китая. Возможно, самое сильное свидетельство, связывающее Китай с кибершпионажем против США, было предоставлено сетевым проектом WikiLeaks, который начал обнародовать 250 000 конфиденциальных американских дипломатических телеграмм в конце ноября 2010 года. Среди них была телеграмма в Вашингтон от американского посольства в Пекине, датированная январем того года, сообщавшая, со ссылкой на некий китайский контакт, что хакерские нападения на «Гугл» были осуществлены по приказу Политбюро, с самого высокого уровня правительства Китая.

Телеграмма гласила: «Контакт, занимающий хороший пост, утверждает, что китайское правительство координировало недавние вторжения в систему «Гугл». Согласно нашему контакту, тщательно проведенные операции были проведены по приказу, принятому на уровне Постоянного комитета Политбюро».

Подборка телеграмм, обнародованных Джулианом Ассанджем, основателем WikiLeaks, показывала глобальную скоординированную кампанию компьютерных нападений, исполненных китайскими правительственными чиновниками и интернет-хакерами, завербованными правительством Китая. Документы описывали ранее секретные вторжения в американские правительственные учреждения, атаки, получившие у американских следователей кодовые названия «BYZANTINE CANDOR» («Византийская откровенность») и «BIZANTINE HADES» («Византийский Аид»).

Одна телеграмма Государственного департамента в 2008 году цитировала анализ китайских компьютерных атак, проведенный службой безопасности Германии, где говорилось, что «намерением действующих лиц КНР является шпионаж, и приоритетный вектор нападения, используемый в их злонамеренной деятельности, это социально спроектированные почтовые сообщения, содержащие вложения вредоносных программ, и/или вложенные ссылки на враждебные вебсайты». Телеграмма добавляла, что сообщения по электронной почте были отправлены с использованием «IP-спуфинга, т. е. отправлены с чужого IP-адреса, чтобы казаться специально направленными к интересам получателей, их служебным обязанностям, или текущим событиям».

Телеграммы WikiLeaks предоставили дальнейшее подтверждение того, что уже давно подозревалось: Китай, несмотря на его громкие опровержения, активно занимается кибершпионажем против Соединенных Штатов и других стран во всем мире.