Цифровой переполох в Тибете: загадка Ghost Net

Цифровой переполох в тибетских кругах

В сентябре 2002 года жители Тибета начали жаловаться на то, что их компьютеры подвергаются вредоносным атакам из Китая. От нападок хакеров страдали неправительственные организации, профсоюзы, общественные деятели, писатели, ученые и другие группы людей, которые имеют влияние в Тибете.

Согласно данным, которые не получили подтверждения, эти действия являются делом рук китайских злоумышленников с целью подорвать работу правительства и общественных организаций Тибета. Компьютеры подвергались DoS атакам, из-за которых пользователи не могли получить доступ к тибетским сайтам.

В 2008 году с изощренной вредоносной технологией столкнулся сам Далай-лама. Иностранные дипломаты и другие высокопоставленные деятели международного уровня внезапно отменили встречи с Далай-ламой, которые планировались в строгой секретности. Предполагалось, что они действовали под давлением правительства Китая, которое узнало об этих встречах.

Сотрудники Офиса Его Святейшества Далай-ламы (ОЕСДЛ) заподозрили, что тут не обошлось без взлома компьютерной системы. Чтобы подтвердить догадки, ОЕСДЛ нанял канадскую компанию Information Warfare Monitor (IWM), эксперта в области киберпреступлений, для проведения расследования.

Чтобы понять, почему окружение Далай-ламы так серьезно восприняло кибератаки и почему подозрение в первую очередь пало на Китай, вернемся назад к истокам конфликта между Тибетом и Китайской Народной Республикой (КНР).

История китайско-тибетских отношений

 

Тибет. Фото: Will Pagel, Unsplash

Географически Тибет находится между Индией и Китаем, но в культурном плане он представляет собой отдельное явление. В 1951 году Тибет стал частью КНР, что вызвало недовольство тибетцев. Они назвали присоединение к Китаю «культурным геноцидом».

В 1959 году тибетцы предприняли неудачную попытку скинуть правительство Китая. В результате Далай-лама XIV, который принял политическую власть в Тибете в 1950 году, покинул регион и бежал в Индию.

С тех пор Далай-лама как духовный лидер Тибета выступает за провозглашение независимости региона. Китайское правительство пристально следит за ОЕСДЛ, поэтому проекты, поездки, кампании и другие направления работы Далай-ламы не разглашаются.

Информационные технологии играют важную роль в деятельности ОЕСДЛ, который использует Интернет с 1990-х годов. Переписка по электронной почте работает как главный канал коммуникации между ОЕСДЛ и другими участниками Тибетского движения.

Документы ОЕСДЛ представляют ценность для Китая и Тибета, их раскрытие нанесет ущерб обеим сторонам. Власти Китая хотят получить доступ к информации ОЕСДЛ, чтобы уничтожить ее или использовать в своих интересах.

В поисках призрака

Ghost. Фото: Stefano Pollio, Unsplash

Компания IWM начала расследование по заказу ОЕСДЛ в июне 2008 года. В нем участвовали сотрудники университетов Торонто и Кембриджа. Расследование дела GhostNet (Сетевой призрак), как его прозвали позже сами исследователи, продолжалось 10 месяцев и состояло из двух этапов.

На первом этапе эксперты компании изучили цифровую инфраструктуру ОЕСДЛ, общественных организаций Тибета, а также представительств Тибета, которые находятся в Нью-Йорке, Лондоне и Брюсселе. В результате эксперты собрали доказательства, что компьютерные системы Тибета подверглись кибератакам.

На втором этапе команда IWM использовала разносторонние методы анализа собранной информации, чтобы понять схему работы кибератак. Аналитики изучили три категории данных:

  1. Информацию, собранную в результате проникновения в защищенные системы;
  2. Трафик сайтов, которые подверглись атакам;
  3. Информацию, собранную в результате получения доступа к инфраструктуре по управлению и контролю данными.

Таким образом, исследователям удалось проследить, какие компьютеры подверглись атаке и какие команды они получали от хакеров. Расследование показало, что они столкнулись с вирусом нового типа, который может не только собирать случайную информацию, но и выуживать важные данные.

Главное, что злоумышленники заполучили доступ к основному каналу коммуникаций ОЕСДЛ – электронной почте. Вложения к письмам стали самым удобным способом для распространения вируса. Такой метод работал, потому что хакеры прикладывали усилия и писали не шаблонные, а тщательно продуманные сообщения, создавая полную иллюзию того, что письма отправляются в ОЕСДЛ коллегами или партнерами.

Таким образом, взломщики читали переписку и вмешивались в дела ОЕСДЛ. Например, когда иностранный дипломат получал приглашение на встречу с Далай-ламой, за этим немедленно следовал звонок из правительства Китая с требованием отменить визит.

Результаты расследования

Report. Фото: Jefferson Santos, Unsplash

Записи, данные и результаты анализа подтвердили существование сети GhostNet, которая охватывала по меньшей мере 1 295 компьютеров в 103 странах. Согласно выводам IWM, как минимум 30 процентов объектов, ставших мишенью атак сети, являются важной частью международной политики, экономики, дипломатии и обороны.

Вирус GhostNet проник не только в компьютерную систему ОЕСДЛ. Его жертвами стали министерства иностранных дел и посольства европейских и азиатских стран, международные организации и даже компьютеры НАТО. Но главной целью атак была информация ОЕСДЛ.

Исследователи изучили спектр операций GhostNet, включая векторы атаки, выбор целевых объектов, операционные механизмы, фильтрацию данных. Собранная информация говорила о том, что они столкнулись с хитроумной киберсетью, которую почти невозможно выявить, что дает возможность хакерам иметь полный доступ к зараженным компьютерам.

Команда проверила веб-хостинг и провайдера услуг электронной почты ОЕСДЛ и обнаружила, что несколько раз вход в систему совершался с IP-адресов из Гонконга и Китая. Предположительно, никто из сотрудников ОЕСДЛ не имел контакты в этой географической зоне.

Более того, самые подозрительные IP-адреса принадлежали провайдерам в Синьцзян-Уйгурском автономном районе Китая. Считается, что власти Синьцзяна ведут слежку за участниками тибетских кампаний за независимость.

В расследовании IWM есть одно «но». Компания не нашла улики, напрямую подтверждающие связь правительства Китая с этими атаками. Они обнаружили, что сеть GhostNet работала через китайские компьютеры. Этого недостаточно, чтобы доказать участие КНР в этой операции.

«В то время как наш анализ выявил, что несколько политически важных и ценных компьютерных систем подверглись взлому и косвенные улики указывают на Китай, мы не знаем об истинных мотивах и личностях преступников, или как охарактеризовать в целом эту систему заражений», — осторожно написали эксперты IWM в итоговом отчете.

Так кто же в действительности стоял за атаками GhostNet?

Теории вокруг GhostNet

Person. Фото: Chris Yang, Unsplash

Исследователи выдвинули четыре теории по поводу того, кто же инициировал GhostNet

Первая версия, самая очевидная и распространенная, сводится к тому, что автором проекта выступают власти Китая для сбора стратегических разведывательных данных. Ведь большинство компьютеров, которые пострадали от взломов GhostNet, имели отношение к международной политике Китая. Вирус прошелся по компьютерным системам в Индии, Бутане, Бангладеш и Вьетнаме, через Лаос, Бруней, Филиппины, Гонконг и Тайвань. Некоторые IP адреса хакеров указывают на остров Хайнань, где находится китайская военная база Линшуй.

Вторая версия. С другой стороны, исследователи не исключают, что вирус поражал компьютеры не целенаправленно. Это могла быть цепочка случайных заражений, в которую попали компьютерные системы важных политических ведомств. Если так, то сеть GhostNet создавалась человеком или группой людей без политической подоплеки. Учитывая, что большинство организаций, которые пострадали от взломов, связаны по географическому или структурному принципу, они могли передавать вирус друг другу через внутренние каналы коммуникаций, в том числе через электронную почту.

Третья версия: взломы компьютеров посредством GhostNet совершались с целью получения прибыли. Например, хакеры похищали финансовую информацию или другие ценные данные, чтобы продать их государствам или предприятиям. Компания IWM в своей практике неоднократно сталкивалась с такими преступлениями.

Четвертая версия. Еще одно возможное объяснение заключается в том, что сеть GhostNet появилась как результат политических интриг не китайских властей, а другой страны. Ведь факты указывают только на то, что GhostNet управлялась из Китая. Но руководить этой операцией мог кто угодно, из любой точки мира.

Исследователи загадки GhostNet считают обвинять Китая в умышленном кибершпионаже преждевременно и несправедливо:

«На данный момент Китай имеет наибольшее количество пользователей Интернета в мире. Огромное число молодых людей, представителей «цифрового поколения», является исчерпывающим объяснением роста вредоносного программного обеспечения в Китае. В Китае больше творческих людей, которые используют компьютер, поэтому ожидаемо, что большая часть киберперступлений связана с Китаем (и гражданами Китая)».

Китайская сторона отрицает связь с этими кибератаками.

«Все эти старые истории – нонсенс. Правительство Китая выступает против и строго запрещает любые киберпреступления», — сказал представитель консульства Китая в Нью-Йорке Венки Гао.

Заключение

Hacker. Фото: Sebastiaan Stam, Unsplash

GhostNet выделяется на фоне других киберпреступлений, так как эта сеть существенно отличается сложностью от тех механизмов взлома компьютерных систем, которые использовались ранее. Влияние GhostNet на политический климат было огромным. Команда IWM считает, что вопрос, кто же стоит за GhostNet, имеет второстепенное значение. Важно другое – информационная безопасность. Расследование показало, насколько уязвимы информационные системы даже на высоком уровне.

GhostNet стал поучительным уроком для государств и ведомств, это напоминание, что механизм дипломатического кибершпионажа легко воспроизвести и в бизнесе.

«Независимо от того, кто или что в конечном итоге контролирует сеть GhostNet, наибольшее значение имеют возможности применения и стратегической разведки, которые она открывает. Действительно, хотя «ахиллесова пята» системы GhostNet позволила нам отслеживать и документировать ее сеть проникновения, которая распространилась далеко, мы можем смело предположить, что она не первая и не единственная в своем роде», — считают исследователи IWM.

С другими загадками сети Интернет можно ознакомиться  перейдя по ссылкам ниже:

Загадка А858: шпионаж, реклама или розыгрыш?
Загадки всемирной паутины: «черные дыры» Интернета Сообщество Usenet — прообраз современного интернета
Разгадана ли загадка Цикады 3301?

Читайте нас в: