Читать «Компьютерра PDA N93 (12.02.2011-18.02.2011)» онлайн - страница 6

Помимо этой цепочки связей с хостинг-сервисом, говорится в отчете McAfee, имеются и многие другие свидетельства, указывающие на вероятное китайское происхождение шпионов. Начать можно с использования пароля вида "zw.china", который охраняет вход в "командный пункт управления троянами", программу zwShell. Кроме того, аналитики McAfee установили, что все операции шпионов по хищению данных происходили с IP-адресов, находящихся в Пекине, причем деятельность эта отмечалась строго по будням, в периоды времени с 9:00 до 17:00 по пекинскому времени. Иначе говоря, всё выглядело так, словно в качестве "шпионов" тут явно выступали люди, приходящие для этого на службу в некую компанию или организацию, а не "вольные стрелки" или неорганизованные хакеры-любители. Ну и вдобавок к этому, как уже упоминалось, шпионы применяли хакерские инструменты китайского происхождения, преобладающие именно в китайских форумах сетевого андеграунда. Среди инструментов этого рода упомянуты Hookmsgina и WinlogonHack – популярные инструменты для перехвата запросов на вход в систему, с последующим захватом имён-логинов и паролей доступа.

Самое же, пожалуй, необычное во всей этой истории то, что когда "невидимую" многомесячную активность злоумышленников, наконец, всё же удалось-таки заметить, то быстро выяснилось, что они ничуть не беспокоились о заметании своих "китайских следов". Скорее даже наоборот, как будто даже хотели, чтобы не оставалось никаких сомнений, откуда всё идёт.

Подводя итог своим наблюдениям, авторы отчёта пишут: "Хотя и имеется возможность того, что все перечисленные признаки – не более чем отвлекающие манёвры, применяемые для перевода подозрений на атаки китайских хакеров, мы полагаем, что это в высшей степени маловероятно. Более того, неясно, кому бы вообще могла потребоваться подобная мотивация – заходить столь экстраординарно далеко, чтобы вину за подобные атаки перекладывать на кого-то другого"...

Наверное, вполне можно допустить, что для антивирусных аналитиков McAfee предпринятые шпионами действия по маскировке своего реального происхождения могут представляться "экстраординарно далеко" заходящими. Однако для настоящих шпионских операций спецслужб подобные вещи выглядят вполне обычным делом. Чтобы далеко не ходить за примерами, достаточно напомнить недавний случай из реальной жизни.

В городе Вене появился русский физик-ядерщик и тайно передал иранской стороне чертежи реального взрывателя для ядерных боеприпасов, разработанного в одном из секретных центров СССР по созданию атомного оружия... Внешне происходящее выглядело как вполне очевидные попытки коварных русских в очередной раз осложнить хрупкую международную безопасность и тайно помочь Ирану в его устремлениях к собственному ядерному оружию. Однако на самом деле всё это было не очень удачной и наверняка не самой умной операцией ЦРУ США, которое столь экстравагантным способом зондировало атомные амбиции иранцев (подробности смотрите в материале "Тайны операции MERLIN").