Читать «Цифровой журнал «Компьютерра» № 56» онлайн - страница 31

Помимо этой цепочки связей с хостинг-сервисом, говорится в отчете McAfee, имеются и многие другие свидетельства, указывающие на вероятное китайское происхождение шпионов. Начать можно с использования пароля вида «zw.china», который охраняет вход в «командный пункт управления троянами», программу zwShell. Кроме того, аналитики McAfee установили, что все операции шпионов по хищению данных происходили с IP-адресов, находящихся в Пекине, причем деятельность эта отмечалась строго по будням, в периоды времени с 9:00 до 17:00 по пекинскому времени. Иначе говоря, всё выглядело так, словно в качестве «шпионов» тут явно выступали люди, приходящие для этого на службу в некую компанию или организацию, а не «вольные стрелки» или неорганизованные хакеры-любители. Ну и вдобавок к этому, как уже упоминалось, шпионы применяли хакерские инструменты китайского происхождения, преобладающие именно в китайских форумах сетевого андеграунда. Среди инструментов этого рода упомянуты Hookmsgina и WinlogonHack – популярные инструменты для перехвата запросов на вход в систему, с последующим захватом имён-логинов и паролей доступа.

Самое же, пожалуй, необычное во всей этой истории то, что когда «невидимую» многомесячную активность злоумышленников, наконец, всё же удалось-таки заметить, то быстро выяснилось, что они ничуть не беспокоились о заметании своих «китайских следов». Скорее даже наоборот, как будто даже хотели, чтобы не оставалось никаких сомнений, откуда всё идёт.

Подводя итог своим наблюдениям, авторы отчёта пишут: «Хотя и имеется возможность того, что все перечисленные признаки – не более чем отвлекающие манёвры, применяемые для перевода подозрений на атаки китайских хакеров, мы полагаем, что это в высшей степени маловероятно. Более того, неясно, кому бы вообще могла потребоваться подобная мотивация – заходить столь экстраординарно далеко, чтобы вину за подобные атаки перекладывать на кого-то другого»...

Наверное, вполне можно допустить, что для антивирусных аналитиков McAfee предпринятые шпионами действия по маскировке своего реального происхождения могут представляться «экстраординарно далеко» заходящими. Однако для настоящих шпионских операций спецслужб подобные вещи выглядят вполне обычным делом. Чтобы далеко не ходить за примерами, достаточно напомнить недавний случай из реальной жизни.

Возвращаясь к операции «Ночной Дракон», определенно можно констатировать, что никаких следов американских или каких-либо ещё западных спецслужб за ней, конечно же, не наблюдается. Но и про знаменитых китайских хакеров хорошо известно, что они не имеют обыкновения работать столь открыто и вызывающе, конструируя пароли вроде «Вперед, Китай!» и организуя тайные кибератаки с пекинских IP-адресов. С другой стороны, не является секретом, что крупные транснациональные корпорации, будь они нефтегазовые или какие-либо ещё, ныне имеют мощные и агрессивные службы безопасности, по своим задачам и методам действий вполне сопоставимые со спецслужбами государств средней руки. Причем работают в этих структурах все больше бывшие сотрудники государственных разведок и контрразведывательных органов, применяя при этом весьма и весьма продвинутые методы технического шпионажа.