Как и почему американское кибероружие оказалось в руках Китая

Наличие неких китайских хакеров, которые беззастенчиво атакуют американские правительственные и разведывательные структуры, равно как и компании, не вызывает в США никаких сомнений, наряду с пресловутыми русскими хакерами. Американцы с 2016 года многократно заявляли, что на них идут атаки от неких анонимных хакерских группировок, которые, предположительно, связаны с правительствами России, Китая и КНДР.

В 2018 году СМИ США активно обсуждали кибератаки на энергетические сети страны. Звучали предположения, что Кремль таким образом хочет получить рычаги влияния на элементы американской критической инфраструктуры. Однако реальных доказательств так и не нашлось, да и США пока не обесточены, чем пугали граждан американские журналисты.

В то же время на фоне усиления экономического противостояния США и Китая набирает популярность тема зловредной деятельности китайских хакеров, которые атакуют серверы крупных американских и европейских компаний, а также крадут жизненно важные промышленные секреты и данные о современных технических разработках.

Один из лидеров в создании средств кибербезопаcности — компания Symantec опубликовала отчёт, в котором говорится об утрате США своего кибероружия, так как оно было похищено китайцами и теперь используется против Америки. Более того, средства ведения кибервойны попали и к русским хакерам.

Выбитое из рук оружие

В сообщении Symantec говорится о деятельности, предположительно, связанной с правительством Китая хакерской группировки Buckeye (другие названия — APT3, Gothic Panda, UPS Team, TG-0110). Вообще, западные специалисты в сфере кибербезопасности ещё в 2017 году заявляли о том, что эта группа хакеров спонсируется правительством Китая. Тогда же Минюст США вынес приговоры двум китайцам, которые якобы работали на Buckeye. Однако Symantec удалось установить крайне важную для США деталь — группировка действовала против США при помощи программных кодов, которые были украдены у АНБ.

Китайская разведка получила в своё распоряжение хакерские инструменты Агентства национальной безопасности и в 2016 году перенаправила их для атак на союзников США и частные компании в Европе и Азии, установила ведущая компания в сфере кибербезопасности (Symantec. — Прим. Царьграда). Этот эпизод является последним свидетельством того, что Соединённые Штаты утратили контроль над ключевыми элементами своего арсенала кибербезопасности,

— пишет об этом New York Times.

Фото: PR Image Factory / Shutterstock.com

«Исследователи из фирмы Symantec полагают, основываясь на времени атак и ключах к компьютерному коду, что китайцы не украли этот код, а перехватили его у АНБ, подобно стрелку, который выхватывает винтовку из рук противника, оборачивает её против него и открывает огонь», — продолжает издание.

Symantec в своём отчёте пишет, что при помощи полученных программных кодов АНБ хакеры Buckeye в 2016 году атаковали некоторые из наиболее чувствительных оборонных объектов США, включая подрядчиков предприятий космической отрасли и атомной энергетики. Последние данные Symantec показывают, что это делала та самая группа хакеров, на которую АНБ и специалисты в сфере кибербезопасности безуспешно охотились в течение 10 лет.

В отчёте, как и в материале New York Times, нет названий пострадавших предприятий, за исключением энергетического гиганта Chevron. Утверждается, что хакеры пользовались так называемой уязвимостью нулевого дня в операционной системе Windows. Так называют условную системную ошибку, когда у разработчиков есть ноль дней на то, чтобы принять меры. То есть хакеры оказываются на шаг впереди, а новые копии ОС распространяются без необходимых исправлений, открывая злоумышленникам всё новые и новые возможности для расширения своей деятельности.

Symantec при этом отмечает, что АНБ США ещё в 2016 году начало передавать Microsoft свои программные коды для исправления ошибок, а также приостановила ряд разведывательных операций за рубежом из-за риска утечек.

Война уже идёт

Однако самое интересное состоит не в этом, а в том, что широкой общественности так и не стало известно о масштабной войне, которая шла и идёт в киберпространстве между разведками разных стран. Symantec сообщает о том, что оружие, которое получила китайская Buckeye, она отняла у самой серьёзной и мощной группировки в мире — Equation Group. Эту группу ранее раскрыла российская «Лаборатория Касперского». Российские программисты дали группе такое название, так как она действовала по крайней мере с 2001 года и все эти годы оставалась самой стабильной, современной и технически оснащённой. Как это вышло, кого представляет эта мощная группировка?

Этот факт не является доказанным, но «Лаборатория Касперского» выявила совпадения в программных кодах инструментов Equation Group с теми, которые использовались в известных компьютерных червях Stuxnet и Gauss. Stuxnet же, как известно, это вирус, разработанный спецслужбами США и Израиля для атаки ядерных объектов Ирана. Более того, оба червя пользовались уязвимостью нулевого дня, то есть тем же, чем впоследствии стали пользоваться победившие в этом сражении китайцы из Buckeye. Таким образом, следы от Equation Group ведут прямиком к АНБ.

Фото: Tatiana Belova / Shutterstock.com

Ещё в 2015 году «Лаборатория Касперского» обнаружила не менее 500 систем в 42 странах, заражённых вирусами за авторством Equation Group. Среди стран-жертв есть и Россия.

Между тем Symantec указывает, что в 2017 году следы Buckeye теряются. По всей видимости, группировка выполнила свои задачи и прекратила деятельность. В этот момент на арене появилась группа, которая не только продолжила использовать перехваченные у американцев инструменты, но и добывать новые, взламывая АНБ, а затем выставляя инструменты (эксплойты) на продажу.

«В то время как Buckeye, по-видимому, прекратил свою деятельность в середине 2017 года, инструменты Equation Group, которые она использовала, продолжали применяться в атаках до конца 2018 года. Неизвестно, кто продолжал использовать эти инструменты», — указывает Symantec.

Речь идёт о группировке Shadow Brokers. Ей приписывают атаки вирусом-вымогателем WannaCry в 2017 году по всему миру. А New York Times бездоказательно пишет, что группировка может быть связана с правительствами России и КНДР.

«Инструменты АНБ попали к хакерам из Северной Кореи и России и использовались для атак, которые нанесли вред британской системе здравоохранения, навредили операциям судоходной корпорации Maersk и поставкам вакцины, производимой Merck (американская фармацевтическая компания. — Прим. Царьграда). На Украине российские атаки парализовали критически важные украинские службы, включая аэропорт, почтовую службу, АЗС и банкоматы», — утверждает New York Times.

США проиграли

Директор по безопасности Symantec Эрик Чен заявил, что нынешнее противостояние в киберпространстве, очевидно, привело к полному поражению АНБ и является «неутешительным уроком» для американских спецслужб.

Как мы узнали, вы не можете гарантировать, что ваши инструменты не станут объектом утечек и не будут потом использоваться против вас и ваших союзников. — сказал он. — Настало время, когда государства должны включить это (киберугрозы. — Прим. Царьграда) в свой анализ рисков.

Подводя итог, необходимо констатировать несколько вещей. Во-первых, Symantec подтвердила, что предполагаемые китайцы из Buckeye получили инструменты АНБ ещё до того, как их массово украли и стали продавать хакеры из Shadow Brokers. Во-вторых, раскрытие кода наиболее вредоносных атак в мире указывает на то, что инструменты эти имеют американское происхождение. В-третьих, если даже не воображать себе, что последователи китайских хакеров — это русские и северокорейцы, то очевидно, что США всё равно получили серьёзный удар в нынешней кибервойне, так как секретные разработки АНБ применяются злоумышленниками для получения прибыли. И в компании Symantec, которая установила эту связь, даже не думают этого отрицать.