Кибервойн@. Пятый театр военных действий - Шейн Харрис

Администрация Обамы, наконец, бросила вызов. И Mandiant помогла им в этом. Как и в случае с откровениями компании Google о китайском шпионаже, прозвучавшими после проведения операции Aurora, высшие американские чиновники начали открытое обсуждение проблемы, которая тихо раздражала их многие годы. Отчет Mandiant оказался подробным и, самое важное, несекретным документом, на основании которого можно было выдвинуть определенные обвинения. Государственные власти никогда бы не отважились на публикацию такого отчета.

Находки Mandiant произвели фурор. Однако публикация отчета была тщательно подготовлена, получила максимальное внимание прессы и была согласована с властями. Еще в октябре 2012 г., после нескольких лет сбора информации о китайских шпионах, руководители Mandiant собирались опубликовать отчет о своих находках. «Мы решили, что это интересная идея, и нам следует ее развивать», – говорит Дэн Маквортер, управляющий директор Mandiant, отвечавший за поиск информации о киберугрозах. Однако изначально компания планировала выпустить краткий отчет, который не имел ничего общего с тем многостраничным обвинительным заключением, опубликованным в итоге. План пришлось изменить уже в ноябре после телефонного звонка из The New York Times. Это был не просто звонок от репортера, желавшего получить экспертный комментарий для своей статьи. Это была просьба о помощи. В Times полагали, что их компьютеры кто-то взломал, и руководство газеты хотело, чтобы Mandiant провела расследование.

Киберкриминалисты из Mandiant обнаружили, что китайские шпионы внедрились в компьютерные сети газеты и вели слежку более чем за 60 ее сотрудниками, в том числе и за журналистом, работавшим в Китае над разоблачением политической коррупции в верхних эшелонах власти. Шпионы пытались замаскировать свое присутствие, перенаправляя трафик через взломанные компьютеры, находившиеся в американских университетах Северной Каролины, Нью-Мехико, Аризоны и Висконсина – применение подобной технологии Mandiant уже наблюдал в других шпионских операциях, следы которых уходили в Китай. Шпионы получили доступ к компьютеру в компьютерной сети Times и в итоге смогли украсть пароли от 53 личных компьютеров сотрудников, причем большинство компьютеров находились за пределами офиса. Хакеры были частью группы, которую Mandiant уже однажды выслеживала и которой было присвоено кодовое имя APT12. Очевидно, хакеры хотели получить подробные сведения о планируемой к публикации большой статье, посвященной родственникам премьер-министра Китая Вэнь Цзябао и их теневом бизнесе, построенном на политических связях, который приносил им миллионы долларов. Кроме того, Mandiant нашла доказательство тому, что жертвами взлома стали не менее 30 журналистов и руководителей других западных новостных порталов. Китайские хакеры похищали у них информацию, в том числе их электронные адреса, контактные сведения об их источниках и их файлы. Более того, шпионы снова и снова возвращались на компьютеры отдельных журналистов. Позже выяснилось, что шпионы создали специальную вредоносную программу, чтобы взломать учетную запись Джима Ярдли – на тот момент шефа южноазиатского бюро газеты Times, который работал в Индии, а ранее руководил Пекинским бюро. Также объектом атаки стал Дэвид Барбоза, руководитель Шанхайского бюро, автор статьи о премьер-министре Китая Вэнь Цзябао, за которую позже он получил Пулитцеровскую премию. Как показало последующее расследование, газеты The Washington Post и The Wall Street Journal также подверглись вторжению китайских кибершпионов.

Руководители Mandiant решили, что небольшой статьи о китайском шпионаже будет недостаточно. В компании полагали, что собрали множество доказательств масштабной и длительной операции, начавшейся еще в 2006 г., которая была направлена против различных отраслей американской экономики, в том числе и оборонного сектора. «Опровержения от официального Китая стали выглядеть “комично”», – говорит Маквортер. В январе 2013 г. Times написала о приобретенном опыте. Китайские власти публично выразили сомнение в честности Mandiant – компания оказывала помощь в расследовании, и ее эксперты давали комментарии для статьи Times, что можно было расценить как одобрение исследовательской работы Mandiant. Тогда в компании решили, что пришло время назвать вещи своими именами. Попытки Китая дискредитировать компанию и полученные ею сведения «определенно упрочили наше решение опубликовать результаты расследования и придать документу самую широкую огласку», – говорит Маквортер.

Представители администрации Обамы в целом были удовлетворены решением Mandiant. И дело не в том, что президент и его команда национальной безопасности до сих пор не знали о деятельности Китая; просто теперь имелся документ, в котором изложены конкретные доказательства. Их можно проверить, их могут обсуждать эксперты. Этот документ изменил характер и сущность дискуссии о китайском шпионаже. Больше никаких обвинений «не под запись». Никаких эвфемизмов вроде «повышенной постоянной угрозы», за которыми бы скрывался Китай. И при этом США не пришлось раскрывать никаких секретных источников информации и методов ее сбора, чтобы начать открытый разговор о китайском шпионаже. (В то самое время, когда Mandiant работала над своим отчетом, в Министерстве юстиции втайне готовили судебное дело против членов хакерской группы 61398. В мае 2014 г. прокуроры выдвинули официальное обвинение пятерым военным чиновникам из Китая, которые, как следует из заявления, были связаны с группой хакеров. Это был первый в США зарегистрированный случай уголовного преследования за компьютерный взлом федерального уровня.)

В тот самый день, когда Mandiant опубликовала свой отчет, Министерство внутренней безопасности выпустило краткое официальное сообщение для избранной группы владельцев и операторов критических объектов инфраструктуры и других профессионалов в области информационной безопасности, имевших доступ к государственной информации. В сообщении упоминались интернет-адреса и сайты, сведения о которых были опубликованы в отчеты Mandiant. Однако стоит отметить, что Министерство внутренней безопасности ни разу не упоминало Китай и не связывало кибершпионов с каким-то конкретным географическим местоположением. Также в сообщении не было ни слова и о компании Mandiant. Аудитория этого сообщения ограничивалась «равноправными и партнерскими организациями», и по рекомендации министерства этот информационный бюллетень не распространяли по открытым каналам связи. Отчет Mandiant оказался полезнее, поскольку он был более содержательным и доступен каждому желающему. Тем не менее правительственный бюллетень подтверждал выводы отчета Mandiant. Время, выбранное для его публикации, также говорило о многом. Министерство внутренней безопасности могло бы выпустить сначала свою версию отчета, но там решили дождаться, пока Mandiant приоткроет завесу тайны над APT1. Mandiant сделала властям одолжение. Источники, близкие к авторам отчета, говорят, что власти передали компании Mandiant некоторую информацию, которая затем была использована в отчете, тем не менее большая часть заключений и выводов была сделана компанией по результатам собственных расследований, длившихся на протяжении семи лет.

Фактически за одну ночь Mandiant превратилась из относительно малоизвестной киберкриминалистической компании, с которой были знакомы в основном эксперты по безопасности и другие небольшие технологические стартапы, в популярный и успешный бренд в сфере компьютерной безопасности. Руководители Mandiant стали для журналистов компетентными источниками информации. Теперь они сидели за одним столом с бывшими сотрудниками разведслужб и аналитических центров и высказывали свои соображения о том, как лучше защитить киберпространство от шпионов и хакеров. Бизнес заработал. В 2013 г. компания выручила более $100 млн на продажах, причем больше половины этой выручки пришлось на собственное программное обеспечение, разработанное Mandiant для защиты компаний от хакеров APT. Судя по опубликованным сведениям, более одной трети компаний из списка Fortune 100 воспользовались услугами Mandiant после обнаружения брешей в защите своих компьютеров. В январе 2014 г., менее чем через год после публикации отчета Mandiant о группе APT1, компанию приобрела за $1 млрд фирма FireEye, специализирующаяся в сфере безопасности. Это было крупнейшее приобретение на рынке услуг кибербезопасности за последние годы. Всего в 2013 г. было 10 подобных слияний, что вдвое больше, чем в 2012 г.