Алі-баба і сорок розбійників. Як працювала найбільша шпигунська мережа GhostNet

1. Як?
2. Чим?
3. Скільки?
4. Хто і навіщо?
5. Чому?
6. * * *

В середині весни канадська організація The Information Warfare Monitor завершила десятимісячного розслідування у справі «китайських кібершпигунів».

Йдеться про таємну мережі, в яку було зав'язано не менш 1 295 комп'ютерів в 103 країнах світу. 30% заражених машин знаходилися в урядових організаціях: 11 комп'ютерів - в Міністерстві закордонних справ Бутану, 11 - в посольстві Мальти на території Бельгії, 7 - в посольстві Індії на території США, 8 - в офісі найбільшого оператора зв'язку Венесуели, 3 - в офісах Азіатського банку розвитку, більше 150 комп'ютерів - в штаб-квартирах торгових союзів В'єтнаму і Тайваню. За однією інфікованої машині виявили в посольствах Португалії, Румунії, Китаю, Кіпру, Індії, Таїланду, Німеччини на території різних країн світу, в штабі Верховного головнокомандувача Об'єднаними збройними силами НАТО в Європі.

Ще десятки заражених комп'ютерів належали організаціям, так чи інакше пов'язаних з боротьбою за незалежність Тибету. Були інфіковані комп'ютери в резиденціях Його Святості Далай-лами і тибетського уряду у вигнанні, в штаб-квартирах різних протибетських організацій в Нью-Йорку, Лондоні, Брюсселі, Женеві.

Над усіма цими комп'ютерами був встановлений повний і таємний контроль в реальному часі. Зловмисник отримував доступ до всіх файлів і програм, міг включати веб-камеру і мікрофон і робити скріншоти екрану, міг ритися на комп'ютерах, підключених до інфікованої машині, і т.д.

Зараз мережа, що отримала назву GhostNet, розкрита і знешкоджена. Але ні хакери, ні замовники не знайдені, а куди йшла секретна інформація і за якими критеріями відбиралися комп'ютери, що потрапили в мережу, - невідомо. Тим часом ми вивчили звіт слідства і з'ясували безліч цікавих подробиць. Наприклад, чи могли ви припустити, що ні в одній з постраждалих організацій - навіть в НАТО! - поняття не мають про інформаційну безпеку?

Як?

З 34 антивірусів сайту VirusTotal.com лише 11 - і не самі, як ви бачите, популярні - вирахували gh0st RAT.

Хакерам не довелося зламувати системи безпеки або обманним шляхом отримувати паролі: вони просто відправляли на електронну пошту високопоставленої жертви лист з адреси [email protected] (кампанія @ освобожденіетібета). До листа прикладався DOC або PDF-файл, нібито присвячений боротьбі Тибету за незалежність, - «Translation of Freedom Movement ID Book Tibetans in Exile». Зрозуміло, будь-який зацікавлений у звільненні Тибету людина тут же клацав по ярличку документа і, сам того не відаючи, запускав закачування трояна.

Потрапивши на комп'ютер, троян розпаковує і в першу чергу, за висловом зловмисників, «дзвонив додому» - посилав на сервер дані про систему і конфігурації зараженого комп'ютера, список доступних e-mail-адрес і копії всіх листів. Діяв троян дуже розумно: щоб користувач не запідозрив недобре, інформація відсилалася невеликими порціями, а якщо потрібно було послати або прийняти об'ємний пакет даних, троян маскувався під «легальні» програми, скачують поновлення.

Захопивши таким чином перший десяток комп'ютерів, зловмисники стали діяти винахідливішими. Вони вивчали листування своїх жертв і знаходили там особисті адреси інших високопоставлених чиновників - і писали їм листи з вже інфікованого комп'ютера. Адресати, отримавши лист від «довіреної» кореспондента, без зволікання відкривали прикріплені файли. Мережа розширювалася.

При цьому зловмисники разюче спритно використовували навички соціальної інженерії: відсоток невідкритих додатків мінімальний. Не києм, то палицею, прикидаючись то колегами, то волонтерами, то спонсорами, хакери змушували адресата запустити троян.

Чим?

Це інтерфейс одного з «командних» серверів. Текст затертий, але схоже, що він написаний ієрогліфами: надто вже високі і широкі знаки.

Зловмисники використовували 8 різних сімейств троянів, але найчастіше прикріплювали до листа давно відомий саморозпаковується троян gh0st RAT (Remote Access Tool - інструмент віддаленого доступу), написаний колись китайськими хакерами, а тепер переведений на англійську мову.

Запаковували троян так, що перед ним пасували багато антивіруси. Отримавши исходник gh0st RAT, слідчі перевірили його на сайті VirusTotal.com (це безкоштовний сервіс, який аналізує підозрілі файли і швиденько обчислює віруси, хробаків, троянів і шкідливе ПО). Результати вийшли невтішними: з 34 антивірусів, представлених на сайті, на gh0st RAT зреагували тільки 11.

Всього в мережі було 4 «командних» сервера - комп'ютера, з яких здійснювалося управління GhostNet (3 з них фізично перебували в Китаї і один - в США). З будь-якого сервера можна було управляти зараженими комп'ютерами, відстежувати, коли стався останній «злив» інформації, віддалено оновлювати gh0st RAT. Кожному інфікованому комп'ютеру привласнювався свій ідентифікаційний номер на той випадок, якщо у машини зміниться IP-адреса. Система працювала як годинник: для стеження за станом мережі була написана спеціальна програма, зловмисники регулярно оновлювали gh0st RAT і своєчасно (наприклад, під час планових антивірусних перевірок) відключали троян.

Скільки?

Перший gh0st RAT «подзвонив додому» 22 травня 2007 року. З цього моменту мережа активно, хоч і вкрай нестабільно розширювалася. За один лише грудень 2007 зловмисники примудрилися заразити 320 комп'ютерів в 56 країнах. Після цього хакери зачаїлися на півроку, але в серпні захопили ще 258 машин в 46 країнах.

Такі скачки пояснюються досить просто: у хакерів, найімовірніше, не вистачало рук обробляти дані з усіх захоплених комп'ютерів. При цьому середній термін життя трояна на урядовій машині шокує - 145 днів (потім або комп'ютер списували в утиль, або встановлювали систему, або просто вбивали троян).

В кінцевому рахунку погубили хакерів їх же методами: вони чомусь не завдали собі клопоту захистити свої власні «командні» сервери, і 12 березня слідчі зламали GhostNet.

Хто і навіщо?

За яким принципом комп'ютери потрапили в мережу, не дуже зрозуміло. Тут і посольства, і аудиторські офіси, і філії банків ...

Але назвати розкриття GhostNet перемогою над комп'ютерними шпигунами можна з великою натяжкою.

Немає відповідей на два головних питання - «Хто?» І «Навіщо?». Очевидно, що зловмисників цікавила лише інформація, як-то що стосується розвитку азіатського регіону і відносин Китаю і Тибету. Більш того, з десятків тисяч потенційно доступних комп'ютерів (адже на руках у хакерів опинилися сотні і сотні секретних e-mail-адрес) зловмисники відбирали в основному машини, фізично знаходяться в Китаї, Тайвані, В'єтнамі, Індії, Гонконгу і США.

Кому-то цих даних вистачає, щоб звинувачувати китайську владу в підробці і кібершпіонажу. Пекін подібні звинувачення, зрозуміло, люто відкидає: китайські дипломати в Лондоні заявили, що доказів причетності китайського уряду до GhostNet немає, а зроблені наслідком висновки - не більше ніж спроби очорнити образ Китаю на світовій арені. Офіційний представник Міністерства закордонних справ КНР Кін Ганг вважав за потрібне додати, що в його країні (не в приклад іншим країнам!) Видані закони, що карають хакерів, а Китай боровся і продовжує рішуче боротися з кіберзлочинцями.

Є й інші варіанти. Припускають, що GhostNet створила група хакерів-професіоналів за замовленням уряду якоїсь однієї країни, і зломщики на замовлення крали фінансові звіти, стратегічні плани розвитку, порядку дипломатичних зустрічей і т.д. Такий варіант здається самим логічним, тому що хакерам потрібно було як мінімум перекладати документи з кількох мов, а для цього потрібні гроші.

Не виключена й така абсурдна версія, як баловство - надто вже безсистемно обрані комп'ютери, що потрапили в мережу. Дійсно, міг же якийсь геній Ваня з російської глибинки будувати мережу з урядових комп'ютерів ... на спір. Може, вкрадені документи зберігаються у нього на вінчестері на радість користувачам локальної мережі, які «по приколу» розбирають надсекретні графіки, циферки і ієрогліфи. Адже, вивчивши логи чотирьох «командних» серверів, слідчі так і не з'ясували, чи проводилися якісь операції з краденою інформацією: може статися, що, крім списків e-mail-адрес, більше ніякі документи і не відкривалися.

Пошук зломщиків ускладнюється ще й тим, що слідчих не допускають до краденої інформації. У їх розпорядженні - лише назви документів і такі статистичні дані, як розмір, дата «зливу» і формат. Вивчити надважливі файли і зрозуміти, що саме привернуло хакерів, не можна, поки уряди 103 країн не дозволять їх розсекретити. Коли це станеться, слідчі і самі сказати не можуть.

Чому?

Оприлюднений звіт The Information Warfare Monitor, безсумнівно, містить масу цікавої інформації. Але не фальсифікація чи це?

Підводячи підсумки своєї роботи, The Information Warfare Monitor опублікувала шокуючі дані. Мільйони урядових комп'ютерів по всьому світу продовжують працювати без належної антивірусного захисту, і нікого це не хвилює.

Урядові установи все більше залежать від доступу в Мережу, але все менше турбуються про регулювання цього доступу - і в результаті тисячі державних службовців по всьому світу залишають комп'ютери включеними на ніч (торренти адже ніхто не відміняв!), І хакери можуть цілодобово вивчати важливі документи .

Кожен високопосадовець отримує на руки робочий ноутбук, з якого, сидячи в своєму улюбленому кафе, читає новини за сніданком та поштові відправлення за вечерею - і думати не думає про те, що підключається до незахищеної мережі загального користування.

У більшості державних установ на комп'ютерах стоїть Windows і інші не дуже безпечні програми, але для мінімізації трафіку їм заборонено завантажувати оновлення, в тому числі і критичні.

До того ж, наївні системні адміністратори по всьому світу дають урядовим машинам максимально прозорі імена - «Містер Браун, перший секретар уряду», «1-й дата-сервер штаб-квартири НАТО». Звичайно, це суттєво полегшує роботу ... в тому числі і роботу хакерів.

* * *

На початку 2009 року ФБР заявило, що річний оборот кібершпіонскіх організацій - близько $ 10 млрд, їх дії завдають шкоди на $ 100 млрд - і щороку ці цифри будуть збільшуватися на 30%. І якщо все те, що ми знаємо про GhostNet, правда, то ми маємо справу з комп'ютерним шпигунством нечуваних розмірів.

Але якщо це правда, стає незрозуміло, чому співробітники The Information Warfare Monitor з такою легкістю діляться матеріалами слідства, адже це відмінний підручник для майбутніх кіберзлочинців. Може бути, всі ці цифри і звіти - всього лише одна велика фальсифікація? Тоді хто і кого хоче збити з пантелику? Відволікають тут злочинців або стурбовану громадськість? Одне можна сказати з упевненістю: веб-адреси найбільш важливих серверів і урядових сайтів в звіті замазані чорним маркером. Чи є щось під цим маркером, невідомо.