Восемь из крупнейших мировых поставщиков технологических услуг были взломаны китайскими кибершпионами в ходе сложного и многолетнего вторжения. Вторжение использовало слабости этих компаний, их клиентов и западной системы технологической защиты.

В 2014-2017 годах сотрудники службы безопасности шведского гиганта телекоммуникационного оборудования Ericsson пять раз подвергались атакам со стороны китайских шпионов, подозреваемых в кибершпионаже. Ericsson давал названия своим ответным действиям сорта различных вин.

Пино Нуар стартовал в сентябре 2016 года. Успешно отразив волну, но через год, Ericsson обнаружил, что злоумышленники вернулись. И на этот раз команда кибербезопасности компании смогла увидеть, как именно они попали внутрь: через подключение к поставщику информационно-технологических услуг Hewlett Packard Enterprise.

Команды хакеров, связанные с китайским Министерством государственной безопасности, проникли в службу облачных вычислений HPE и использовали ее в качестве стартовой площадки для атак на клиентов, расхищая множество корпоративных и государственных тайн в течение многих лет, как считают американские прокуроры, для продвижения экономических интересов Китая.

Кампания хакеров, известная как «Cloud Hopper», стала предметом предъявленного США в декабре обвинительного заключения, в котором два китайских гражданина обвинялись в краже личных данных и мошенничестве. Прокуроры описали тщательно продуманную операцию, в результате которой пострадали несколько западных компаний, но так и не назвали их. В то время в репортаже агентства Reuters были указаны две компании: Hewlett Packard Enterprise и IBM.

Тем не менее, кампания атаковала по крайней мере еще шесть крупных технологических фирм, затронув пять из 10 крупнейших поставщиков технических услуг в мире.

Среди жертв Cloud Hopper есть такие компании, как Fujitsu, Tata Consultancy Services, NTT Data, Dimension Data, Computer Sciences Corporation и DXC Technology. В 2017 году HPE отделил свое подразделение по предоставлению услуг в результате слияния с корпорацией Computer Sciences Corporation с целью создания DXC.

Жертвами взлома стали эти шесть компаний, плюс HPE и IBM, которые были их клиентами. Компания Ericsson конкурирует с китайскими фирмами в стратегически важном бизнесе мобильной связи. Среди других - система бронирования путешествий Sabre, американский лидер по бронированию авиабилетов, и крупнейший судостроитель ВМС США Huntington Ingalls Industries, которая строит американские атомные подводные лодки на верфи в Вирджинии.

«Это была кража промышленных или коммерческих секретов с целью развития экономики», – сказал бывший австралийский советник по кибербезопасности Аластер МакГиббон. «Жизненная основа компании».

Масштабы ущерба, нанесенного Cloud Hopper, не определены, и многие жертвы не знают, какая именно информация была украдена.

Тем не менее, атаки Cloud Hopper дают важные уроки для правительственных чиновников и технологических компаний, борющихся с угрозами кибербезопасности. Китайские хакеры, включая группу, известную как APT10, смогли продолжить атаки в условиях контрнаступления со стороны ведущих специалистов по безопасности и несмотря на соглашение между США и Китаем 2015 года воздержаться от экономического шпионажа.

Реакция корпораций и правительства на эти атаки была ослаблена, поскольку поставщики услуг скрывали информацию от взломанных клиентов, опасаясь юридической ответственности и плохого имиджа, как показывают записи и интервью. По словам сотрудников разведывательных служб, этот провал ставит под сомнение способность западных институтов обмениваться информацией таким образом, чтобы защитить себя от сложных кибератак. Даже сейчас многие жертвы, возможно, не знают, что их взломали.

Эти взлом также демонстрирует уязвимости системы безопасности, присущие облачным вычислениям – все более популярной практике, при которой компании заключают контракты с внешними поставщиками на удаленные компьютерные услуги и хранение данных.

«Для тех, кто считает облако панацеей, я бы сказал, что вы не обращали на это внимания», – сказал Майк Роджерс, бывший директор Агентства национальной безопасности США.

Агентство Reuters опросило 30 человек, участвовавших в расследованиях Cloud Hopper, в том числе западных правительственных чиновников, нынешних и бывших руководителей компаний и частных исследователей безопасности. Репортеры также просмотрели сотни страниц внутренних документов компаний, судебных документов и брифингов по корпоративной разведке.

HPE «усердно работал для наших клиентов, чтобы смягчить эту атаку и защитить их информацию», сказал пресс-секретарь Адам Бауэр. «Мы сохраняем бдительность в наших усилиях по защите от развивающихся угроз киберпреступлений, совершаемых государственными субъектами».

Представитель DXC, подразделения услуг, сформированного HPE в 2017 году, заявил, что компания внедрила «надежные меры безопасности», чтобы защитить себя и своих клиентов. «С момента появления DXC Technology ни компания, ни любой клиент DXC, чья среда находится под нашим контролем, не испытали существенного воздействия, вызванного APT10 или любым другим субъектом угрозы», - сказал представитель.

Как китайские хакеры взломали западные технологические компании.

Команды хакеров, связанные с китайским Министерством государственной безопасности, проникли в системы восьми крупнейших поставщиков услуг в области информационных технологий, в рамках глобальной кампании по кибершпионажу, известной как «Cloud Hopper». Взломав поставщиков технологических услуг, злоумышленники смогли «проникнуть» в клиентские сети и украсть множество корпоративных и государственных секретов, что, по словам американской прокуратуры, было попыткой поднять экономические интересы Китая.

Схема взлома:

Злоумышленники оставались на шаг впереди. Они собирали множество данных до того, как инженеры HP планировали отразить атаку. Неоднократно, они брали под контроль целые каталоги верительных грамот, наглый акт, позволяющий им выдавать себя за сотни сотрудников.

Хакеры точно знали, где можно найти наиболее важные данные, и засоряли свой код ругательствами и насмешками. Один хакерский инструмент содержал сообщение «FUCK ANY AV» – ссылаясь на зависимость своих жертв от антивирусного программного обеспечения. Имя вредоносного домена, использовавшегося в ходе более широкой кампании, выглядело как насмешка над американской разведкой: «nsa.mefound.com»

Потом стало хуже, как показывают документы.

После того, как в 2015 году ФБР США сообщило о том, что зараженные компьютеры взаимодействуют с внешним сервером, HPE объединила три проводимых им расследования в одну, под названием Tripleplay. Было скомпрометировано до 122 систем управления HPE и 102 систем, предназначенных для использования в новой системе DXC, что было продемонстрировано в конце 2016 года в презентации для руководителей высшего звена.

Внутренняя диаграмма с середины 2017 года помогла высшему руководству следить за расследованиями под кодовым названием «Клиентам». Rubus имел дело с финским конгломератом Valmet. Silver Scale принадлежала бразильскому горнодобывающему гиганту Vale. Greenxmass принадлежал шведскому производителю SKF, а Oculus отвечал за Ericsson.

Проекты Kronos и Echo принадлежали бывшей швейцарской биотехнологической фирме Syngenta, которая в 2017 году была поглощена государственным китайским химическим конгломератом ChemChina – в тот же период, что и расследование китайских атак на ее сеть, используя серверы HPE.

Ericsson заявил, что он не комментирует конкретные инциденты в области кибербезопасности. «Наш приоритет – всегда заботиться о том, чтобы наши клиенты были защищены», – сказал пресс-секретарь. «Несмотря на то, что были совершены атаки на нашу корпоративную сеть, мы не нашли никаких доказательств того, что инфраструктура Ericsson когда-либо использовалась как часть успешной атаки на одного из наших клиентов».

Представитель SKF сказал: «Нам известно о нарушении, которое произошло в связи с атакой «Cloud Hopper» на HPE… Наши расследования по факту нарушения не обнаружили, что к какой-либо коммерческой конфиденциальной информации был получен доступ». 

Syngenta и Valmet отказались от комментариев. Пресс-секретарь Vale отказался комментировать конкретные вопросы об атаках, но заявил, что компания применяет «лучшие практики в отрасли» для повышения безопасности сети.

Компании боролись с квалифицированным противником, сказал Роб Джойс, старший советник Агентства национальной безопасности США. Взлом был «мощным оружием и от него было трудно защититься», – сказал он.

По словам западных официальных лиц, нападавшие были многочисленными хакерскими группами, поддерживаемыми правительством Китая. По словам американских прокуроров, наиболее опасные из них были известны как APT10 и находятся под контролем Министерства государственной безопасности. Эксперты по национальной безопасности утверждают, что китайская разведывательная служба сопоставима с ЦРУ США, способным проводить как электронные, так и шпионские операции с участием людей.

В декабре два предполагаемых члена APT10, Чжу Хуа и Чжан Шилонг, были обвинены Соединенными Штатами в сговоре с целью проникновения в системы компьютерной безопасности, мошенничестве при помощи кабелей и краже личных данных. Им грозит до 27 лет лишения свободы в американской тюрьме.

«Китайское правительство использует свои собственные разведывательные службы для осуществления этой деятельности и отказывается сотрудничать в расследовании хищений интеллектуальной собственности, совершаемых его компаниями или его гражданами», – заявил помощник генерального прокурора Министерства юстиции Джон Демерс.

APT10 часто атаковал систему поставщика услуг с помощью «целевого фишинга» – посылая сотрудникам компании электронные письма, предназначенные для того, чтобы обманным путем раскрыть их пароли или установить вредоносное ПО. Проникнув в систему, хакеры начали искать клиентские данные и, самое главное, «JumpBox (прыжковый сервер)» – компьютеры в сети, которые служили мостом к клиентским системам.

После того как злоумышленники проникали в клиентскую систему из сети поставщика услуг, их поведение менялось, что говорит о том, что атаки проводились несколькими группами с разными уровнями квалификации и задачами, говорят те, кто знал об операции. Некоторые злоумышленники напоминали «пьяных грабителей», сказал один источник, заблудившись в лабиринте корпоративных систем и, похоже, случайно забирая файлы.

ГОСТИНИЦЫ

Невозможно сказать, сколько компаний было взломано через поставщика услуг, который возник в составе Hewlett Packard, затем стал Hewlett Packard Enterprise и теперь известен как DXC.

У компании HPE были сотни клиентов. Вооруженные украденными корпоративными учетными данными, злоумышленники могли сделать практически все, что могли сделать поставщики услуг. Как показывают документы, многие из взломанных машин обслуживали многочисленных клиентов HPE.

Одна кошмарная ситуация связана с клиентом Sabre Corp, который предоставляет системы бронирования для десятков тысяч отелей по всему миру. Он также имеет комплексную систему бронирования авиабилетов, работает с сотнями авиакомпаний и 1500 аэропортами.

По словам следователей, тщательное проникновение в Sabre могло бы раскрыть золотую жилу информации, если бы Китаю удалось отследить, куда едут руководители компаний или представители правительства США, то это открыло бы возможность к личным контактам, физическому наблюдению или попыткам установить цифровые инструменты слежения на их устройства.

В 2015 году следователи обнаружили, что как минимум четыре машины HP, предназначенные для Sabre, передавали большие объемы данных на внешний сервер. По словам двух бывших сотрудников HPE, нарушение в Sabre было длительным и трудноразрешимым.

Руководство HP лишь нехотя дало своим сотрудникам доступ к расследованию, в котором они нуждались, и предостерегало от разговоров с Sabre обо всем, говорят бывшие сотрудники. «Ограничение знаний клиента было ключевым моментом», – сказал один из них. «Это было невероятно сложно. У нас были все эти навыки и способности, чтобы использовать их, но нам просто не разрешили это сделать».

Компания Sabre сообщила о раскрытии инцидента в области кибербезопасности, связанного с серверами, управляемыми неназванной третьей стороной, в 2015 году. В то время СМИ сообщали, что хакеры были связаны с китайским правительством, но не упоминали имя HP.

Представитель компании Sabre заявила, что расследование нарушения «завершилось важным выводом об отсутствии утери данных путешественника, включая несанкционированный доступ или приобретение конфиденциальной защищенной информации, такой как данные платежных карт или персональные идентификационные данные». Пресс-секретарь отказалась комментировать вопрос о том, были ли скомпрометированы какие-либо данные, не относящиеся к туристам.

НЕЗВАНЫЕ ГОСТИ

Угроза также коснулась оборонной промышленности США.

В начале 2017 года аналитики HPE обнаружили доказательства того, что китайские хакеры проникли в Huntington Ingalls Industries, крупного клиента и крупнейшего военного судостроителя США. Компьютерные системы, принадлежащие дочерней компании Huntington Ingalls, подключались к иностранному серверу, контролируемому APT10.

Во время закрытого брифинга с сотрудниками HPE руководители Huntington Ingalls выразили обеспокоенность тем, что хакеры могли получить доступ к данным, полученным от крупнейшей компании – Newport News, Va., верфи, где она строит атомные подводные лодки, – сказал человек, знакомый с ходом обсуждений. Неясно, были ли украдены какие-либо данные.

По словам пресс-секретаря Huntington Ingalls, «она уверена в том, что не было утечки данных HII» через DXC или HPE.

Еще одной мишенью стал Ericsson, который боролся с китайской компанией Huawei Technologies за создание инфраструктуры для сетей 5G, которая, как ожидается, ляжет в основу будущих гипер-связанных обществ. Хакерская атака на Ericsson была постоянной и повсеместной.

Журналы были изменены, а некоторые файлы удалены. Незваные гости рылись во внутренних системах в поисках документов, содержащих определенные строки символов. Некоторые из вредоносных программ, обнаруженных на серверах Ericsson, были подписаны с помощью цифровых сертификатов, украденных у крупных технологических компаний, в результате чего код выглядел легитимным и оставался незамеченным.

Как и многие жертвы Cloud Hopper, Ericsson не всегда мог определить, какие данные являются мишенью атаки. Иногда злоумышленники искали информацию для управления проектом, такую ​​как графики и сроки. В другой раз они обратились к руководствам по продуктам, некоторые из которых уже были в открытом доступе.

«Реальность такова, что ежедневно большинство организаций сталкиваются с проблемами кибербезопасности, включая Ericsson, – заявил директор по безопасности Пар Гуннарссон, отказываясь обсуждать конкретные инциденты. «В нашей отрасли и во всех отраслях мы все выиграем от более высокой степени прозрачности по этим вопросам».

БЕЛЫЙ ВОЛК

В декабре 2018 года, после многих лет борьбы с угрозами, правительство США назвало хакеров из APT10 – Advanced Persistent Threat 10 – агентами Министерства государственной безопасности Китая. Публичное признание получило широкую международную поддержку: Германия, Новая Зеландия, Канада, Великобритания, Австралия и другие союзники выступили с заявлениями в поддержку обвинений США против Китая.

Тем не менее, большая часть деятельности Cloud Hopper была намеренно скрыта от общественности, часто по просьбе корпоративных жертв.

Стремясь держать информацию в секрете, сотрудники службы безопасности пострадавших поставщиков управляемых услуг часто не имели возможности разговаривать даже с другими сотрудниками, не участвовавшими в расследованиях.

В 2016 году офис главного юрисконсульта HPE по глобальным функциям выпустил памятку о расследовании под кодовым названием White Wolf. «Сохранение конфиденциальности этого проекта и связанной с ним деятельности имеет решающее значение», – предупреждает меморандум, без каких-либо подробностей заявляя, что эти усилия «являются деликатным вопросом». По его словам, вне проекта «не делитесь никакой информацией о Белом волке, его влияние на HPE, или действия, предпринимаемые HPE».

Секретность не была присуща HPE. Даже когда правительство предупреждало провайдеров технологических услуг, компании не всегда передавали предупреждения клиентам, утверждает  Жанетт Манфра, старший сотрудник по кибербезопасности Министерства национальной безопасности США.

«Мы попросили их уведомить своих клиентов», – сказал Манфра. «Мы не можем заставить их это сделать».