Кивино гнездо: Теневая сторона сети

Кивино гнездо: Теневая сторона сети

Автор: Берд Киви

Опубликовано 09 апреля 2010 года

Во вторник, 6 апреля в городе Торонто, Канада, прошла пресс-конференция авторов весьма примечательной исследовательской работы под названием "Тени в Облаке: расследование кибершпионажа 2.0".

Отчёт выложен в свободный доступ по адресу www.shadows-in-the-cloud.net, а авторами его являются легальные хакеры из Мунковского центра международных исследований (Торонто), в прошлом году прославившиеся похожей работой о шпионской сети Ghostnet (см. "Социально-вредоносное ПО"). На этот раз они вновь работали в содружестве со специалистами из ещё нескольких канадско-американских неправительственных организаций: Information Warfare Monitor, SecDev Group и Shadowserver Foundation.

Новый отчёт исследователей с подробностями рассказывает о выявленной ими в интернете мощной шпионской сети, архитектурно ничем принципиальным не отличающейся от криминальных ботнетов, однако по функциям своим сфокусированной на военно-политической разведке против Индии. Канадцы назвали эту шпионскую структуру Shadow Network (Теневая сеть), а в качестве одной из главных её особенностей отмечают, что здесь очень интенсивно применяются сервисы клаудкомпьютинга. Учётные записи в системах Twitter, Yahoo Mail, Google Groups, Blogspot и на других популярных сайтах социальных сетей использовались "Тенями" для того, чтобы размещать шпионское ПО и обновлять его в скомпрометированных компьютерах.

Сумев получить доступ к некоторым из серверов, управлявших "Теневой сетью", исследователи из Торонто не только узнали, какого рода материалы похищаются, но также смогли непосредственно увидеть часть этих документов. Среди материалов такого рода оказались засекреченные официальные отчёты с оценкой уровня безопасности в нескольких индийских штатах, а также конфиденциальные документы ряда посольств Индии, касающиеся отношений с Россией, странами Ближнего Востока и Западной Африки. Попутно исследователи получили достоверные свидетельства о компрометации компьютеров в системах ООН, а также в индийских посольствах и консульствах в Кабуле, в Москве, в Дубаи (ОАЭ) и в Абудже (Нигерия).

Помимо правительственных сетей Индии и ООН, злоумышленники проникли в компьютеры и сети независимых аналитиков и аналитических журналов, похитив оттуда, к примеру, отчеты о нескольких ракетных системах Индии. Среди прочих чувствительных к разглашению документов обнаружилась, к примеру, персональная информация о сотрудниках Генерального управления военной разведки Индии.

Кроме того, аналогичным образом скомпрометированными - т.е. зараженными шпионским ПО, похищающим информацию — оказались многие компьютеры вооруженных сил Индии: военно-инженерной службы в Калькутте, Бангалоре и ещё нескольких городах; 21-й горно-артиллерийской бригады в Ассаме, трёх авиабаз индийских ВВС, двух военных училищ и так далее.

Здесь пора подчеркнуть, что даже после восьми месяцев самого пристального наблюдения за работой этой шпионской сети, канадские исследователи так и не смогли выяснить наверняка, кто же именно управляет "Теневой сетью". В принципе, когда работа шпионского ПО в компьютерах жертв была выявлена, не представляло большого труда отследить, что общее управление сетью ведется с серверов, территориально расположенных в городе Чэндо, столице провинции Сычуань в юго-западной части Китая. По ряду косвенных признаков было установлено, что далее нити управления, похоже, уходят в китайское хакерское подполье, однако достоверно установить конкретных людей не представилось возможным.

Единственное, что можно констатировать определённо — данная шпионская структура выглядит наиболее серьёзной из всех, что наблюдались исследователями ранее, и по ряду важных признаков существенно отличается как от работы интернет-шпионов, выявленных недавно компанией Google, так и от шпионской сети Ghostnet, примерно год назад выявленной и обнародованной той же самой группой канадских активистов. Сеть Ghostnet, можно напомнить, использовала серверы, расположенные по преимуществу на китайском острове Хайнань, и в глобальном масштабе занималась хищением документов у тибетского правительства в изгнании, лично Далай-ламы и его представителей, а также у контактирующих с ними правительств и корпораций в более чем ста странах мира.

Однако именно расследование деятельности Ghostnet по касательной траектории вывело исследователей на другую шпионскую сеть, Shadow Net, которая и стала новым предметом их пристального изучения. И точно так же, как это было с Ghostnet в прошлом году, ныне официальные власти КНР сразу же и в самых категоричных тонах полностью отвергли свою причастность к "Теневой сети".

Представительница министра иностранных дел КНР Дзянь Ю сообщила пекинской прессе, что Китай отрицает любое участие в киберпреступлениях и сам предпринимает решительные меры против хакеров. Попутно было добавлено, что атаки подобного рода являются всеобщей международной проблемой.

Авторы отчета с готовностью признают, что не располагают никакими прямыми уликами, указывающими на спецслужбы того или иного конкретного государства. Но понятно, что по ряду косвенных признаков наиболее естественным объектом для предположений становится Китай. А кроме того, как сказано в отчёте канадских авторов, "важным аспектом, который непременно надо будет принимать во внимание, станет то, предпримут ли теперь власти КНР какие-либо действия для пресечения работы данной Теневой сети"...

Впрочем, самой большой проблемой, выпукло обозначенной нынешним отчётом канадских исследователей, является вовсе не сама Shadow Net и даже не её реальные хозяева. К сожалению, практически все публикации в СМИ и даже в блогах по поводу этой истории так или иначе ходят кругами вокруг кибершпионажа коварных китайцев. Однако цель отчета канадских авторов была совершенно иной — но на неё как-то уж очень дружно почти никто не пожелал обращать никакого внимания.

Чтобы более внятно донести суть послания, следует дать слово самим авторам отчета. Вот что говорит, в частности, Рон Дейберт (Ron Deibert), директор Гражданской лаборатории в Мунковской школе международных исследований, одновременно являющийся сооснователем организаций OpenNet Initiative и Information Warfare Monitor, а также членом руководства SecDev Group. По его словам, данный отчёт рисует лишь очень и очень небольшой фрагмент куда более огромной картины:

"Часто говорят, что и у темного облака есть серебряная сторона. Но что показывает наше исследование Теневой сети, так это то, что облака социального общения в киберпространстве, где сегодня обитает так много людей, имеют внутри себя тёмное и скрытое ядро. Там имеется гигантская, скрытая от посторонних глаз экосистема, в условиях которой вовсю орудуют криминальные и шпионские сети. Та шпионская сеть, которую приоткрыли мы, сумела проникнуть в высшие эшелоны структур индийской национальной безопасности, а также многих других структур этой страны, и похищать чувствительную информацию из компьютеров ничего не подозревающих жертв. Шпионские сети такого рода, однако, процветают ныне исключительно по причине вакуума на международном уровне. Правительства ведущих стран очень активно включились в гонку вооружений в киберпространстве, что препятствует сотрудничеству в области глобальной кибербезопасности".

В подобных условиях, когда спецслужбы наиболее развитых государств планеты энергично пользуются обстановкой "беззакония" в киберпространстве, считает Дейберт, любая другая страна легко может стать следующей жертвой шпионажа со стороны Теневых или Призрачных сетей киберпространства.

Другой соавтор отчета, Рафал Рогожински (Rafal Rohozinski), директор организации SecDev Group и один из сооснователей OpenNet Initiative и Information Warfare Monitor, дополняет коллегу:

"Кибершпионаж ныне принял поистине индустриальные масштабы. Мы уже стали свидетелями того, как инструменты киберпреступников, построенные на основе технологий "облачных" вычислений, были модифицированы, чтобы атаковать правительственные системы и компьютеры, принадлежащие тем официальным лицам, которым доверены серьёзные государственные и коммерческие тайны. И не так уж важно, кто именно были эти злоумышленники, сотрудники государственных спецслужб или же вольные охотники, ворующие и продающие ценные данные на глобальном сером рынке. Суть нашего отчёта в том, что это внятный сигнал — угроза очень ощутима и стабильно нарастает, требуя международного вмешательства и решительного противодействия.

Первое и самое главное - нам требуется соглашение о нормах, которые управляли бы киберпространством подобно тому, как уже существующие договоры действуют для внешнего космоса, океанов и других областей, охваченных международными соглашениями. Мы должны как следует позаботиться о том, чтобы сохранить открытость глобального сообщества без привлечения чрезмерных мер, которые способны ослабить и даже вообще откатить назад все те очень реальные преимущества — в доступе к знаниям, возможностям общения и в общей демократизации отношений — которые киберпространство катализировало за последние 20 лет.

Мы должны так сбалансировать потребности в новой политике и практике, подобающей инфобезопасности в век глобальных сетей, чтобы предотвратить ненужную и чрезмерную реакцию на всё, что ныне вызывает страх как Темная Сторона Сети".

Почему это послание авторов отчёта осталось по сути проигнорированным в откликах и комментариях СМИ, остается только гадать.