Издательство «Бомбора» представляет книну Джеймса Гриффитса «Великий Китайский Файрвол. Как создать свой собственный интернет и управлять им».
Представьте, что вы оказались в мире без интернета. Некуда загрузить фотографию, не с кем поделиться смешной картинкой, негде быстро получить нужную информацию. Кажется, что сегодня такое практически невозможно, но иногда это результат единственного решения и нескольких нажатий на кнопку. Интернет начинался как развиваемый энтузиастами островок свободы, но с тех пор им научились управлять — как государства, так и крупные корпорации. Фраза «Интернет помнит всё» обрела второй смысл — контент стал подконтролен, иллюзия анонимности исчезла, а любое неосторожное сообщение может создать массу трудностей автору. Книга Джеймса Гриффитса рассказывает о том, как Китай первым в мире научился управлять интернетом и как другие страны перенимали его опыт.
Книга описывает не только историю, но и устройство так называемого китайского золотого щита, рассказывает про деятельность проправительтсвенных хакеров, взломавших, к примеру, сервера GitHub в 2015 году, и на время буквально дает почувствовать себя обычным жителем Китая. Жителем, который не может открыть страничку Google, несмотря на все уступки, некогда сделанные корпорацией. Жителя, которому запрещено смотреть видео на YouTube и который вынужден вариться в собственном национальном интернете среди сайтов-аналогов. В определенном смысле это одна из самых пугающих современных книг, ведь она рассказывает не про ужасы прошлого, а про то, что многим из нас еще только грозит.
Предлагаем прочитать одну из глав книги.
Призраки в машине[1]
Китайские хакеры расширяют сферу влияния файрвола
В том же году, когда Синьцзяну перекрыли доступ к интернету, цензоры начали распространять влияние за пределы Китая, создавать новый функционал для Великого файрвола и атаковать критиков, где бы они ни находились. Некоторые элементы этого функционала обнаружились совершенно случайно в один прекрасный день в январе 2009 года.
На верхнем этаже старинного здания из красного кирпича в кампусе Университета Торонто стоял рабочий компьютер Нарта Вильнева. Нарт в тот день смотрел на экран, не веря своим глазам. Он разыскивал по всему интернету таинственную команду кибершпионов, занимающихся взломом компьютеров, аккаунтов электронной почты и серверов по всему миру и слежкой за пользователями. Излюбленной тактикой хакеров был целевой фишинг. Жертвы получали очень правдоподобно составленные электронные письма якобы от друзей или коллег, скачивали по ссылке в теле письма вредоносную программу, устанавливали ее на компьютер и, сами того не подозревая, позволяли злоумышленникам следить за ними. Хакеры действовали продуманно и использовали новейшие технологии, но кое в чем они очень глупо прокололись.
Вильнев схватил телефон, всё еще не веря происходящему, и позвонил Рону Дайберту. Тот руководил его группой и возглавлял Citizen Lab, основанную им исследовательскую организацию в сфере интернет-безопасности.
«Я зашел, — прошептал Вильнев в трубку. — Только что обнаружил их в Гугле». На экране его компьютера отображалось содержимое сервера, с которого велось управление вредоносной программой, распространявшейся ее создателями по интернету. Вряд ли эти неизвестные создатели думали, что кто-то вот так случайно набредет на этот сервер. Они даже не предприняли никаких мер безопасности. Обнаружив адрес сервера, Вильнев, Дайберт и их команда теперь видели то же, что и хакеры. И размах их деятельности потрясал воображение.
Началось это расследование за несколько месяцев до того, в Дхарамсале. Сотрудник Citizen Lab Грег Уолтон несколько лет приезжал в местный центр тибетской диаспоры. Классический случай: эксперт по компьютерам нашел свое место в общине, где в его навыках была огромная потребность. В конце девяностых — начале нулевых Уолтон продолжил дело, начатое пионерами тибетского интернета Дэном Хэйгом и Тхубтеном Самдупом. Он делал сайты для НКО и государственных служб, организовал компьютерные курсы и помогал местным пользователям завести и настроить электронную почту. Теперь он считает, что тогда их всех слишком заворожили возможности, которые давал интернет, в частности, перспективы объединить разъехавшихся по миру членов тибетской диаспоры. И они совсем не подумали о возможных негативных последствиях.
На первых порах то и дело возникали трудности. Оборудование и технологии видали и лучшие дни, но, однажды появившись в Дхарамсале, интернет бурно развивался. Всё больше тибетцев заводили себе электронную почту и подписывались на рассылки, совсем не заботясь о безопасности.
Практически сразу же стало понятно, чем это чревато. Лидеры иностранных государств, едва начав договариваться о встрече с Далай-ламой, без всяких официальных объявлений получали от Пекина возмущенные сообщения о недопустимости переговоров с сепаратистами. Тибетцев, которые переходили через границу на подконтрольную Китаю территорию, задерживали и допрашивали, а в качестве доказательства противоправных действий предъявляли распечатки их же писем. Компьютеры массово выходили из строя после установки агрессивных вредоносных программ, предназначенных уже не для слежки за пользователем, а для уничтожения его оборудования. Было очевидно: целью атак выбраны тибетцы. Всё указывало на то, что организаторы действуют из Китая. Кто же управляет этой атакой на тибетцев: службы безопасности, военные, так называемые хакеры-патриоты или все вместе?
Первые атаки были весьма безыскусны. Пользователям приходили письма на ломаном английском с призывом запустить исполняемый файл, что, как сказал бы им любой специалист по безопасности, равносильно компьютерному самоубийству. Тогда интернет только развивался, отсутствием элементарных знаний о безопасности страдали не только тибетцы.
В мае 2000 года мир охватила любовная лихорадка.
Началось это на Филиппинах и затем перекинулось на весь мир. Пользователи пересылали друг другу письмо с темой «ILOVEYOU», а во вложении содержался файл «LOVE-LETTER-FOR-YOU.txt.vbs». Сейчас этим вряд ли удастся кого-то обмануть, а тогда вирус заразил миллионы компьютеров. После открытия файла вирус распространялся по компьютерам как раковая опухоль.
Он заменял файлы копиями и рассылал сам себя по почте всем контактам из адресной книги жертвы. К тому моменту, когда его все-таки удалось остановить, общая сумма ущерба от вируса составила несколько миллионов долларов. Многим крупным организациям, включая Пентагон и ЦРУ, пришлось временно отключить свои сети, чтобы не допустить заражения.
Пока Уолтон работал в Тибетском компьютерном центре, он консультировался с другими специалистами по безопасности и начал собирать коллекцию подозрительных писем и образцов вредоносных программ, которые каждую неделю ему отправляли местные жители.
Благодаря этому стало понятно, что атака на тибетцев продумана не очень хорошо: в ней применяется достаточно распространенное вредоносное ПО, используются примитивные методы. Атака была массированной, велась практически непрерывно и затрагивавала большую группу людей, хотя вряд ли отдельные представители могли бы заинтересовать хакеров.
Злоумышленники явно следили за ходом операции и попытками исправить ее последствия. Внутри сообщества развернулась информационная кампания, тибетцев призывали не открывать вложения, а для обмена документами пользоваться только облачными хранилищами вроде Google Drive, но появились новые вирусы, специализирующиеся именно на таких сервисах.
Жертвами атаки пали и представители высших эшелонов тибетского правительства в изгнании. Через несколько лет Уолтону и его коллеге из Кембриджа Шиширу Нагарадже поручили осмотреть все компьютеры в администрации Далай-ламы. Выяснилось, что у хакеров был доступ абсолютно ко всем данным. Они могли удаленно записывать всё происходящее на микрофоны и камеры ноутбуков. Проникли в базу данных беженцев из Тибета в Индию. Несколько тысяч человек и членов их семей оказались под угрозой карательных мер.
Нагараджа вспоминает, что результаты осмотра повергли его в шок: он впервые сталкивался с атакой, когда сбор данных злоумышленниками в прямом смысле подвергал жертв смертельной опасности. Хакеры настолько легко проникли через цифровые заграждения, что это резко контрастировало с охраной Далай-ламы в физическом мире, а это были индийские пограничники, полицейские и элитные тибетские спецназовцы.
Исследовательская команда могла отследить лишь направление вредоносных атак, пока Вильнев не нашел управляющий сервер. Теперь было видно, чем именно хакеры занимались на компьютерах, к которым получали доступ. Когда к серверу подключалось зараженное устройство, он мог приказать ему удалить файлы, скопировать их и переслать, заразить вирусом другие устройства или просто продолжать работу в фоновом режиме, фиксируя действия пользователя.
Главным оружием в арсенале хакеров была программа, изначально разработанная китайскими программистами и переведенная на английский. Называлась она Gh0st Remote Administration Tool, или сокращенно Gh0st Rat[2]. Попав на компьютер жертвы, вирус тут же создавал несколько файлов, в том числе исполняемых, в системной папке Windows. В результате вредоносная программа запускалась при каждой перезагрузке компьютера. Кроме того, вирус создавал лазейку, через которую мог подключаться к интернету и связываться с управляющим сервером. С помощью Gh0st Rat хакеры видели происходящее на зараженном компьютере в режиме бога. Отслеживались все нажатия клавиш, все созданные или измененные файлы. Если требовалось более специализированное ПО, например для вскрытия запароленной папки, вирус сам его скачивал и устанавливал без участия пользователя. Этот функционал состоял из простых команд, они отправлялись с сервера и исполнялись на зараженном компьютере с названиями вроде «COMMAND_DELETE_FILE» и «COMMAND_WEBCAM».
Версия Gh0st Rat, которую пытались отследить Вильнев, Уолтон и их коллеги, отправляла умело составленные письма якобы от заслуживающих доверия адресантов с правдоподобными вложениями. Например, одно из таких писем пришло с адреса campaigns@freetibet.org, а в приложении был документ Microsoft Word под названием «Перевод брошюры Движения за свободу для тибетцев в изгнании». На первый взгляд, письмо внушало доверие: в теле была шапка для писем правительства Тибета в изгнании, а текст увещевал сделать добровольный взнос в общий фонд Движения за свободу Тибета. При попытке открыть вложение благодаря уязвимости в Word устанавливался вирус Gh0st Rat и компьютер жертвы переходил в полное распоряжение хакеров.
В ходе расследования в Дхарамсале специалисты Citizen Lab установили, что вирусы, рассылаемые тибетцам, связывались с серверами в Хайнане, островной провинции на юге Китая рядом с Вьетнамом. Как правило, после анализа вирусов на зараженных компьютерах удавалось установить лишь то, какая информация перехватывалась и куда она отправлялась.
Вильнев долго выслеживал серверы злоумышленников и перебирал комбинации адресов. Когда он все-таки нашел управляющий сервер, получил список всех компьютеров, зараженных в ходе атаки. Размах впечатлял: группа хакеров, которую в Citizen Lab прозвали GhostNet, за два года сумела проникнуть на 1300 компьютеров более чем в ста странах мира. Около 400 из них принадлежали видным персонам из мира политики, экономики, прессы и телевидения. На большинстве компьютеров вирус жил около 145 дней, при этом на сотне зараженных устройств он присутствовал более 400 дней. Потом владельцы все-таки проверяли компьютер антивирусом и удаляли его или же хакеры сами переставали выходить на связь с устройством.
Хакеры GhostNet атаковали не только тибетских оппозиционеров в глухой индийской провинции. Слежка велась за множеством дипломатов, высокопоставленных военных, депутатов, журналистов и сотнями других людей. В отчете исследователи писали: «С уверенностью можно сказать, что вредоносное ПО удаляет документы незаметно для владельцев, фиксирует все нажатия на клавиатуру, скрыто активирует веб-камеры и средства записи звука». Заказчик атаки назван не был, однако исследователи пришли к такому выводу: «Наиболее очевидное объяснение, которое подтверждается большей частью косвенных доказательств: атака на высокопоставленные цели организована властями Китая, преследующими военные, стратегические и разведывательные цели».
К такому выводу в Citizen Lab пришли не только потому, что вредоносное ПО было разработано в Китае и связывалось с китайскими же серверами. Главным фактором стало конкретное местонахождение серверов. В то время в хайнаньском городе Линшуй располагался комплекс радиотехнической разведки. Также там базировалось подразделение Третьего технического управления Народно-освободительной армии, китайский аналог американского Агентства национальной безопасности. Тогда о деятельности этого управления было известно немного, но совсем скоро о нем будут рассказывать в новостях по всему миру.
[1] Ghosts in the machine — очевидный намек на культовое киберпанк-аниме Ghost in the Shell (Призрак в доспехах). — Прим. науч. ред.
[2] То есть «призрачная крыса» (англ.). — Прим. науч. ред.
Источник:
