Али-баба и сорок разбойников. Как работала крупнейшая шпионская сеть GhostNet
В середине весны канадская организация The Information Warfare Monitor завершила десятимесячное расследование по делу «китайских кибершпионов».
Речь идет о тайной сети, в которую было завязано не меньше 1295 компьютеров в 103 странах мира. 30% зараженных машин находились в правительственных организациях: 11 компьютеров — в Министерстве иностранных дел Бутана, 11 — в посольстве Мальты на территории Бельгии, 7 — в посольстве Индии на территории США, 8 — в офисе крупнейшего оператора связи Венесуэлы, 3 — в офисах Азиатского банка развития, более 150 компьютеров — в штаб-квартирах торговых союзов Вьетнама и Тайваня. По одной инфицированной машине обнаружили в посольствах Португалии, Румынии, Китая, Кипра, Индии, Таиланда, Германии на территории самых разных стран мира, в штабе Верховного главнокомандующего Объединенными вооруженными силами НАТО в Европе.
Еще десятки зараженных компьютеров принадлежали организациям, так или иначе связанным с борьбой за независимость Тибета. Были инфицированы компьютеры в резиденциях Его Святейшества Далай-ламы и тибетского правительства в изгнании, в штаб-квартирах различных протибетских организаций в Нью-Йорке, Лондоне, Брюсселе, Женеве.
Над всеми этими компьютерами был установлен полный и тайный контроль в реальном времени. Злоумышленник получал доступ ко всем файлам и программам, мог включать веб-камеру и микрофон и делать скриншоты экрана, мог рыться на компьютерах, подключенных к инфицированной машине, и т.д.
Сейчас сеть, получившая название GhostNet , раскрыта и обезврежена. Но ни хакеры, ни заказчики не найдены, а куда уходила секретная информация и по каким критериям отбирались компьютеры, попавшие в сеть, — неизвестно. Между тем мы изучили отчет следствия и выяснили множество интересных подробностей. Например, могли ли вы предположить, что ни в одной из пострадавших организаций — даже в НАТО! — понятия не имеют об информационной безопасности?
Как?
Хакерам не пришлось взламывать системы безопасности или обманным путем получать пароли: они просто отправляли на электронную почту высокопоставленной жертвы письмо с адреса campaings@freetibet.org ( кампания@освобождениетибета ). К письму прикладывался DOC или PDF-файл, якобы посвященный борьбе Тибета за независимость, — «Translation of Freedom Movement ID Book Tibetans in Exile». Разумеется, любой заинтересованный в освобождении Тибета человек тут же щелкал по ярлычку документа и, сам того не ведая, запускал закачку трояна.
Попав на компьютер, троян распаковывался и первым делом, по выражению злоумышленников, «звонил домой» — посылал на сервер данные о системе и конфигурации зараженного компьютера, список доступных e-mail-адресов и копии всех писем. Действовал троян очень умно: чтобы пользователь не заподозрил неладное, информация отсылалась небольшими порциями, а если нужно было послать или принять объемный пакет данных, троян маскировался под «легальные» программы, скачивающие обновления.
Захватив таким образом первый десяток компьютеров, злоумышленники стали действовать изобретательнее. Они изучали переписку своих жертв и находили там личные адреса других высокопоставленных чиновников — и писали им письма с уже инфицированного компьютера. Адресаты, получив письмо от «доверенного» корреспондента, без промедления открывали прикрепленные файлы. Сеть расширялась.
При этом злоумышленники поразительно ловко использовали навыки социальной инженерии: процент неоткрытых приложений минимален. Не мытьем, так катаньем, притворяясь то коллегами, то волонтерами, то спонсорами, хакеры заставляли адресата запустить троян.
Чем?
Злоумышленники использовали 8 различных семейств троянов, но чаще всего прикрепляли к письму давно известный самораспаковывающийся троян gh0st RAT (Remote Access Tool — инструмент удаленного доступа), написанный когда-то китайскими хакерами, а теперь переведенный на английский язык.
Запаковывали троян так, что перед ним пасовали многие антивирусы. Получив исходник gh0st RAT, следователи проверили его на сайте VirusTotal.com (это бесплатный сервис, который анализирует подозрительные файлы и быстренько вычисляет вирусы, червей, троянов и вредоносное ПО). Результаты вышли неутешительными: из 34 антивирусов, представленных на сайте, на gh0st RAT среагировали только 11.
Всего в сети было 4 «командных» сервера — компьютера, с которых осуществлялось управление GhostNet (3 из них физически находились в Китае и один — в США). С любого сервера можно было управлять зараженными компьютерами, отслеживать, когда произошел последний «слив» информации, удаленно обновлять gh0st RAT. Каждому инфицированному компьютеру присваивался свой идентификационный номер на тот случай, если у машины сменится IP-адрес. Система работала как часы: для слежки за состоянием сети была написана специальная программа, злоумышленники регулярно обновляли gh0st RAT и своевременно (например, во время плановых антивирусных проверок) отключали троян.
Сколько?
Первый gh0st RAT «позвонил домой» 22 мая 2007 года. С этого момента сеть активно, хоть и крайне нестабильно расширялась. За один лишь декабрь 2007 года злоумышленники ухитрились заразить 320 компьютеров в 56 странах. После этого хакеры затаились на полгода, но в августе захватили еще 258 машин в 46 странах.
Такие скачки объясняются довольно просто: у хакеров, вероятнее всего, не хватало рук обрабатывать данные со всех захваченных компьютеров. При этом средний срок жизни трояна на правительственной машине шокирует — 145 дней (затем либо компьютер списывали в утиль, либо переустанавливали систему, либо просто убивали троян).
В конечном счете погубили хакеров их же методами: они почему-то не потрудились защитить свои собственные «командные» серверы, и 12 марта следователи взломали GhostNet.
Кто и зачем?
Но назвать раскрытие GhostNet победой над компьютерными шпионами можно с большой натяжкой.
Нет ответов на два главных вопроса — «Кто?» и «Зачем?». Очевидно, что злоумышленников интересовала лишь информация, как-то касающаяся развития азиатского региона и отношений Китая и Тибета. Более того, из десятков тысяч потенциально доступных компьютеров (ведь на руках у хакеров оказались сотни и сотни секретных e-mail-адресов) злоумышленники отбирали в основном машины, физически находящиеся в Китае, Тайване, Вьетнаме, Индии, Гонконге и США.
Кому-то этих данных хватает, чтобы обвинять китайские власти в подлоге и кибершпионаже. Пекин подобные обвинения, разумеется, яростно отвергает: китайские дипломаты в Лондоне заявили, что доказательств причастности китайского правительства к GhostNet нет, а сделанные следствием выводы — не более чем попытки очернить образ Китая на мировой арене. Официальный представитель Министерства иностранных дел КНР Кин Ганг посчитал нужным добавить, что в его стране (не в пример другим странам!) изданы законы, карающие хакеров, а Китай боролся и продолжает решительно бороться с киберпреступниками.
Есть и другие варианты. Предполагают, что GhostNet создала группа хакеров-профессионалов по заказу правительства какой-то одной страны, и взломщики по заказу воровали финансовые отчеты, стратегические планы развития, повестки дипломатических встреч и т.д. Такой вариант кажется самым логичным, потому что хакерам нужно было как минимум переводить документы с нескольких языков, а для этого нужны деньги.
Не исключена и такая абсурдная версия, как баловство — слишком уж бессистемно выбраны компьютеры, попавшие в сеть. Действительно, мог же какой-то гений Ваня из русской глубинки строить сеть из правительственных компьютеров… на спор. Может, украденные документы хранятся у него на винчестере на радость пользователям локальной сети, которые «по приколу» разбирают сверхсекретные графики, циферки и иероглифы. Ведь, изучив логи четырех «командных» серверов, следователи так и не выяснили, производились ли какие-то операции с ворованной информацией: может статься, что, кроме списков e-mail-адресов, больше никакие документы и не открывались.
Поиск взломщиков осложняется еще и тем, что следователей не допускают к ворованной информации. В их распоряжении — лишь названия документов и такие статистические данные, как размер, дата «слива» и формат. Изучить сверхважные файлы и понять, что именно привлекло хакеров, нельзя, пока правительства 103 стран не разрешат их рассекретить. Когда это произойдет, следователи и сами сказать не могут.
Почему?
Подводя итоги своей работы, The Information Warfare Monitor опубликовала шокирующие данные. Миллионы правительственных компьютеров по всему миру продолжают работать без должной антивирусной защиты, и никого это не волнует.
Правительственные учреждения все больше зависят от доступа в Сеть, но все меньше беспокоятся о регулировании этого доступа — и в результате тысячи государственных служащих по всему миру оставляют компьютеры включенными на ночь (торренты ведь никто не отменял!), и хакеры могут круглые сутки изучать важные документы.
Каждый высокопоставленный чиновник получает на руки рабочий ноутбук, с которого, сидя в своем любимом кафе, читает новости за завтраком и почту за ужином — и думать не думает о том, что подключается к незащищенной сети общего пользования.
В большинстве государственных учреждений на компьютерах стоит Windows и другие не слишком безопасные программы, но для минимизации трафика им запрещено скачивать обновления, в том числе и критические.
Вдобавок, наивные системные администраторы по всему миру дают правительственным машинам максимально прозрачные имена — «Мистер Браун, первый секретарь правительства», «1-й дата-сервер штаб-квартиры НАТО». Конечно, это существенно облегчает работу… в том числе и работу хакеров.
* * *
В начале 2009 года ФБР заявило, что годовой оборот кибершпионских организаций — около $10 млрд, их действия наносят урон на $100 млрд — и каждый год эти цифры будут увеличиваться на 30%. И если все то, что мы знаем о GhostNet, правда, то мы имеем дело с компьютерным шпионажем неслыханных размеров.
Но коли так, становится непонятно, почему сотрудники The Information Warfare Monitor с такой легкостью делятся материалами следствия, ведь это отличный учебник для будущих киберпреступников. Может быть, все эти цифры и отчеты — всего лишь одна большая фальсификация? Тогда кто и кого хочет сбить с толку? Отвлекают тут преступников или обеспокоенную общественность? Одно можно сказать с уверенностью: веб-адреса наиболее важных серверов и правительственных сайтов в отчете замазаны черным маркером. Есть ли что-то под этим маркером, неизвестно.