США обнаружили следы китайских хакеров в компьютерах военных подрядчиков

Китайские хакеры за период с июня 2012 по май 2013 годов совершили по меньшей мере 20 успешных взломов компьютерных сетей подрядчиков Министерства обороны США, которые работают с Транспортным командованием (TRANSCOM) – логистическим подразделением ведомства. Организация и проведение всех этих атак были приписаны Китаю. Об этом свидетельствует опубликованный 17 сентября доклад Комитета США по вооруженным силам. Текст обнародованного осенью документа содержит купюры – некоторые фрагменты были скрыты по соображениям безопасности.

Сенаторы единогласно одобрили документ 26 марта, а само расследование о том, насколько TRANSCOM был осведомлен о киберугрозах против своих подрядчиков, было начато в апреле прошлого года.

Как отмечается в докладе, за период с лета 2012 по весну 2013 года работающие с TRANSCOM компании подверглись более 50 кибератакам. Из них свыше 20 были отнесены к категории «значительной угрозы» (APT, Advanced Persistent Threat). Под ними подразумеваются нападения хакеров, которые поддерживаются иностранными государствами, отмечается в докладе. Ответственность за все успешные кибератаки была возложена на Китай.

Транспортное командование было выбрано целью проверки Сенатом не случайно – законодатели отметили, что это подразделение Пентагона «играет ключевую роль в мобилизации и размещении войск, а также в поддержке военных операций».

Законтрактованные Минобороны США компании ответственны за перевозку свыше 90% гражданских специалистов Пентагона, а на их долю приходится более трети грузооборота оборонного ведомства. «Зависимость Пентагона от подрядчиков неизбежна, но может стать уязвимостью, которую будут использовать для срыва военных операций США», поясняют авторы исследования.

Они также сослались на китайских военных экспертов, которые посчитали логистику и мобилизационную организацию американской армии потенциально слабыми местами. Китайская военная доктрина предписывает «нападение на командные центры и логистические цепочки, чтобы остановить противника на ранних стадиях конфликта», отмечается в докладе сенатского комитета.

Пентагон еще в 2013 году предупреждал, что Китай в случае необходимости может использовать сведения, полученные в результате хакерских атак на сотрудничающие с американским оборонным ведомством компании.

Всего от действий хакеров пострадали 11 подрядчиков, однако их названия в опубликованной версии доклада отсутствуют. Кроме того, в документе не указано, удалось ли злоумышленникам получить доступ к секретной информации.

По сведениям Bloomberg, с 2010 года крупнейшими подрядчиками TRANSCOM являются FedEx, Evergreen Holdings, A.P. Moeller-Maersk A/S, United Parcel Service и Neptune Orient Lines.

Представитель FedEx Мелисса Шарбонно заявила агентству, что ее компания «уверена в надежности своих компьютерных систем, в том числе и тех, которые связаны с выполнением правительственных контрактов».

Бюрократические уязвимости

Ключевыми пунктами сенатского доклада стали все же не обвинения Китая в организации хакерских нападений, а признание неэффективности сотрудничества различных оборонных ведомств и агентств США по противодействию киберугрозам. Из 50 случаев успешного проникновения в компьютерные сети оборонных подрядчиков TRANSCOM был поставлен в известность только о двух.

Объясняя столь низкую осведомленность Транспортного командования о компьютерных угрозах, грозящих его деловым партнерам, сенаторы указали на отсутствие координации между разведывательными ведомствами и непроясненные юридические формальности.

С 2010 года подрядчик, который заключает контракт с Минобороны, обязуется предоставлять военным информацию об определенных инцидентах, связанных с компьютерной безопасностью (в докладе не уточняется, что подлежит разглашению). Законодатели пришли к выводу, что «ни один из опрошенных подрядчиков не интерпретировал свои обязательства по отношению к TRANSCOM в том виде, на которое рассчитывало это подразделение».

Представители 11 компаний, опрошенные сенаторами, заявили, что их корпорации не подвергались кибератакам за период с июня 2012 по май 2013 годов (что не означает их фактического отсутствия, отметили сенаторы). Еще три подрядчика сообщили о 32 попытках электронного проникновения. Из них 11 были классифицированы как «серьезные угрозы». При этом TRANSCOM был поставлен в известность лишь об одном инциденте.

О 20 успешных попытках проникновения в компьютерные сети был осведомлен целый ряд ведомств, включая Федеральное бюро расследований, ответственное в США за контрразведку, Служба безопасности Минобороны (DSS), Центр противодействия киберугрозам Пентагона (DCS), а также Служба по специальным расследованиям Военно-воздушных сил (AFOSI). При этом TRANSCOM был проинформирован лишь об одном случае атаки против своего подрядчика.

Сенаторы выяснили, что ФБР не передавала TRANSCOM сведения о кибератаках на американские компании, потому что не была поставлена в известность о тех из них, кто работает с Министерством обороны. При этом в выводах доклада указано, что сенаторы не нашли запрета на обмен информацией различных служб, агентств и департаментов с TRANSCOM по поводу угроз для его подрядчиков.

Министерство обороны США и ФБР уже заявили, что отнесутся к выводам доклада «со всем вниманием» и исправят выявленные недостатки. Сами сенаторы включили свои предложения по налаживанию сотрудничества между ведомствами в законопроект бюджетов Министерств обороны и энергетики США на 2015 год.

Представитель посольства Китая в США Чен Шуан в электронном письме Bloomberg усомнился в правдивости обвинений американской стороны и подчеркнул, что китайское законодательство запрещает «все формы киберпреступлений». «Основываясь на прошлом опыте, все эти доклады и обвинения обычно основаны на сфабрикованных фактах и абсолютно бездоказательны», - отметил он.

Обмен ударами

Американские власти не в первый раз открыто заявляют о том, что Китай организует или выступает спонсором хакерских атак против правительственных учреждений США или частных организаций.

В мае этого года Минюст США заочно предъявил формальные обвинения в кибершпионаже пятерым гражданам КНР, которые, по сведениям Соединенных Штатов, являлись сотрудниками секретного Подразделения 61398 Народно-освободительной армии КНР. Считается, что именно оно является центром хакерских атак со стороны Китая. Минюст полагает, что китайские военнослужащие причастны к 31 случаю кибершпионажа.

Предъявление формальных обвинений в компьютерном шпионаже военнослужащим КНР стало первым случаем, когда правительство США начало формальное судебное преследование иностранных должностных лиц по подозрению в организации хакерских атак.

Особое возмущение генпрокурора США Эрика Холдера тогда вызвало то, что китайские хакеры пытались получить доступ к информации, которая не была связана с государственными интересами США. Целями китайских хакеров стали американские компании и профсоюзы – производитель алюминия Alcoa, сталелитейная US Steel, энергетическая компания Westinghouse, профсоюз работников металлургической промышленности US Steelworkers Union и некоторые другие компании. По словам Холдера, Китай рассчитывал использовать полученные сведения для повышения конкурентоспособности собственных компаний.

Последние, как полагают в США, выступили «заказчиками» электронного нападения на американский бизнес. Reuters со ссылкой на анонимные источники отмечал, что утечка информации в Китай была «существенной».

КНР полностью опровергла свою причастность к кибератакам и потребовала от США отозвать обвинения. Одновременно китайское ведомство, ответственное за противодействие интернет-угрозам, заявило, что со стороны серверов, расположенных на территории Соединенных Штатов, с 19 марта по 18 мая в китайский сегмент интернета было запущено 2077 троянских программ и ботов. Ими было заражено 1,18 млн компьютеров на всей территории страны. Правда, ведомство не стало указывать на правительство США в качестве организатора хакерских нападений.

Однако оно напомнило про откровения бывшего сотрудника американских спецслужб Эдварда Сноудена. Он в 2013 году раскрыл масштабы электронной слежки правительства США за гражданами, корпорациями и государственными деятелями различных стран мира. Китайская сторона воздержалась от публикации подробностей, но из попавших в СМИ сведений стало очевидно, что Вашингтон сам прибегает к экономическому шпионажу. Агентство национальной безопасности США следило за бразильской нефтяной компанией Petrobras и топ-менеджерами китайского производителя телекоммуникационного оборудования Huawei. Последний долгое время пытался стать поставщиком Пентагона, что, по-видимому, и стало причиной интереса к ему разведывательного сообщества США.

Соединенные Штаты и раньше критиковали действия Китая в интернете. Например, в прошлом году Пентагон в своем докладе для конгресса отметил, что «КНР, скорее всего, прямо ответственна за электронные нападения на правительственные учреждения».

Помимо правительственных организаций, в разное время целью китайских хакеров были и американские СМИ.

В начале 2013 года газета The New York Times заявила, что за предшествовавшие четыре месяца она неоднократно становилась целью атак со стороны китайских хакеров. Издание предположило, что это было связано с публикацией в октябре 2012 года статьи о состоятельных родственниках бывшего на тот момент премьер-министром КНР Вэня Цзябао. Издание напомнило, что в июне 2012 года жертвой хакеров стало новостное агентство Bloomberg. NYT связало действия хакеров с материалом, который был также посвящен родственникам одного из высших китайских чиновников - Си Цзиньпина. Тогда он занимал пост вице-президента КНР.

О том, что за нападениями на NYT и Bloomberg могут стоять хакеры, пользующиеся поддержкой властей Китая, заявила в декабре 2012 года компания Mandiant, которая специализируется на компьютерной безопасности. В феврале 2013 года она опубликовала свое исследование о действиях китайских специалистов. Из документа следовало, что центром компьютерной разведки КНР выступает Подразделение 61398, расположенное в Шанхае. Mandiant предупредила, что с 2006 года китайские хакеры пытались получить конфиденциальные сведения у по меньшей мере 141 организации в США и других англоговорящих странах.

Действия китайских хакеров могли бы привести к серьезному охлаждению отношений между Пекином и Вашингтоном, но летом 2013 года все внимание было приковано к заявлениям Сноудена, который раскрыл глобальные масштабы электронного проникновения властей США в интернете. После этого КНР и Соединенные Штаты обмениваются лишь дежурными обвинениями в кибершпионаже. Очевидно, что Вашингтону требуется время, чтобы оправиться от причиненного Сноуденом ущерба, а Пекин опасается лишний раз провоцировать своего более развитого технологически противника.

Александр Ратников