Отчет организации RAND о деятельности китайских хакеров

Выдержки из отчёта организации RAND (переводится как «Исследование и разработка» – американский стратегический исследовательский центр).

В 2002 году сотрудниками RAND Майклом Чейсом (Michael S. Chase) и Джеймсом Малвеноном (James C. Mulvenon) был опубликован отчёт под названием «У вас диссидент! – Использование Интернета китайскими диссидентами и контрмеры Пекина».

Существуют факты, которые позволяют предположить, что китайское правительство или отдельные его структуры вовлечены в хакерскую деятельность, направленную на диссидентов и компьютерные системы, высказывающие за пределами Китая противоположное властям мнение.

Поскольку источник большинства компьютерных сетевых вторжений носит крайне неопределённый характер, установить официального виновника компьютерного нападения без дополнительных доказательств зачастую бывает очень трудно или вообще невозможно. Поэтому власти, обычно умышленно, могут с полным правом заявить о своей непричастности к таким случаям. Атаки китайских хакеров против Тайваня в августе 1999 года и против Японии в феврале 2000 года являются примерами инцидентов, в которых трудно определить вину правительства (полную или частичную), основываясь исключительно на данных вторжения.

Существуют более веские доказательства тому, что китайское правительство или отдельные его структуры являются ответственными за одну или более китайских сетевых атак на компьютерные системы, поддерживаемые практикующими Фалуньгун в Соединенных Штатах, Австралии, Канаде и Великобритании. После разоблачения роли определённых китайских структур безопасности в этих атаках, как полагается, агентами были проведены более сложные и изощрённые вторжения, по которым было сложнее установить меру участия в них правительства. Это особенно касается атак, проведённых зимой и весной 2000 года.

Лето 1999 года. В середине июля 1999 года китайское правительство начало общенациональное преследование Фалуньгун. […] Новости о [преследовании] быстро распространялись, вследствие широкого использования передовых информационных технологий и благодаря ряду сайтов в сети Интернет во всем мире. Эти сайты обеспечивали текущей информацией о фактах [репрессий] в некоторых китайских городах, основанной на письмах, отправляемых по электронной почте и с помощью других средств коммуникации, используемых [практикующими].

По мере того, как эта история постепенно подхватывалась мировыми СМИ, эти сайты (многие из которых поддерживались членами группы за небольшую плату) стали, по понятным причинам, испытывать напряжение под растущими хакерскими ударами. В то время как замедление работы явилось ожидаемым последствием мирового внимания, некоторые сайты стали страдать от аномальных сбоев.

Когда системные администраторы этих серверов детально изучили ситуацию, то некоторые поняли, что их сети пострадали в результате сложной серии компьютерных сетевых нападений. Атаки в июле 1999 года на сайты Фалуньгун в четырёх странах (один – в Великобритании, два – в Канаде, один – в Австралии и два – в Соединенных Штатах) подверглись тщательному изучению.

Самые серьёзные доказательства осуществляемых правительством информационных действий против Фалуньгун получены в случае, происшедшем в США. 14 июля 1999 года практикующий Фалуньгун Боб МакВи (Bob McWee) из Мидлтауна (штат Мэриленд) создал сайт www.falunusa.net, первостепенной задачей которого являлось зеркальное отражение статей с существующих сайтов в Канаде (www.falundafa.ca и www.minghui.ca) и Соединённых Штатов.

20 июля 1999 года два канадских сайта вследствие атак китайских хакеров стали страдать от снижения производительности сети. В результате, они стали перенаправлять запросы на зеркальный сайт www.falunusa.net. С 21 по 23 июля сайт в США стал испытывать похожие трудности. В частности, он пострадал вследствие атаки, известной как отказ в обслуживании, при которой атакуемая машина заваливается [большим количеством] запросов на выборку данных и в конце концов становится жертвой атаки и выводится из строя.

Разбор похожего нападения 27 июля 1999 года выявил исходный IP-адрес атаки – 202.106.133.101, который является интернет-адресом в Китае. Проверка этого адреса по базе данных Азиатско-Тихоокеанского сетевого информационного центра (APNIC) выявила информацию о пользователе, приведённую на рисунке 1.

Если сеть министерства сама стала жертвой атаки и поэтому ошибочно обвинялась в осуществлении атаки на сайт Фалуньгун в Соединённых Штатах, зачем обременять себя изменениями информации в базе данных на адрес, отличный от штаб-квартиры министерства? И было ли случайным стечением обстоятельств то, что сетевая информация была изменена накануне разоблачения в основных западных газетах предполагаемой роли Министерства общественной безопасности в этом нападении?

Больше всего осуждений вызывает то, что новый адрес (Дорога Чжэн И дом № 6) принадлежит Исследовательскому институту № 3 Министерства общественной безопасности, который отвечает за компьютерную безопасность. Доказательства, приведённые ранее, вместе с последней попыткой и дальше спрятать истинного владельца сети, вызывает твёрдое предположение, что преступник был пойман «с поличным».

Конечно же, сам факт, что атаки, возможно, исходили из сети Министерства общественной безопасности автоматически, не означает, что они были санкционированы руководством министерства или его начальниками в высшем партийном руководстве. Одна из возможностей, которую необходимо рассмотреть, заключается в том, что атаку осуществил «преступный элемент» в министерстве без чьего-либо одобрения.

После разоблачения преступных усилий, естественной реакцией было бы скрыть принадлежность сети министерства, изменив данные APNIC. Кто-нибудь может быть спросит: могло ли министерство так быстро найти виновного, провести расследование его действий и принять технические меры? Но как бы невероятно это ни выглядело, на самом деле не является невозможным.

Последнее замечание в отношении атаки на www.falunusa.net 27 июля 1999 года: способ, которым министерство предположительно вывело из строя сайт, содержит красивую уловку. Атака отказа в обслуживании являлась классической атакой SYN flood (большим потоком SYN-пакетов или запросов на соединение) и, похоже, была задумана с целью представить, будто информационные операции Фалуньгун направлены против Министерства транспорта США.

Во время июльской атаки сеть Министерства общественной безопасности Китая направила SYN-пакет (запрос на соединение) на сайт www.falunusa.net с неправильным обратным адресом, а именно адресом сервера, контролируемого Министерством транспорта. По словам заместителя директора по телекоммуникациям в офисе информационно-технологических операций Министерства транспорта Эверетта Дауда (Everett Dowd), сетевой инженер министерства связался с Бобом МакВи и операторами других сайтов Фалуньгун, чтобы выяснить, почему международный официальный сайт Фалунь Дафа, www.falunUSA.net и www.falundafa.ca направляют на сервер Министерства транспорта неавторизованные пакеты.

Почему из миллионов возможных адресов Министерство общественной безопасности Китая выбрало адрес, принадлежащий Министерству транспорта США? Одна из правдоподобных гипотез заключается в том, что злоумышленники хотели «убить двух зайцев»: вывести из строя сайт Фалуньгун и также представить, чтобы всё выглядело так, как будто сайт Фалуньгун осуществляет информационные действия, направленные против правительственного сайта США.

Во время атаки китайская правительственная кампания пропаганды была в разгаре, ставя на Фалуньгун клеймо «опасного культа» и «террористической организации». Что может быть лучше для представления Фалуньгун в чёрном свете, чем представить так, будто организация вовлечена в хакерскую деятельность, направленную против правительственных сайтов США?

Действительно, системные администраторы в Министерстве транспорта вначале считали, что с сайта www.falunusa.net осуществляется атака отказа в обслуживании, пока в конце концов не увидели со своей стороны, что это были серии SYN-ACK запросов (ответов на SYN-запросы), которые идут в их систему со стороны www.falunusa.net без всякой видимой причины. Лишь позже сотрудники Министерства транспорта догадались, что сайт Фалуньгун просто стал невольным соучастником третьей стороны.

Атаки на сайты Фалуньгун в Англии и Австралии в конце лета 1999 года имеют интересные черты, похожие на вторжения в Соединённых Штатах, в особенности то, что касается исходных IP-адресов злоумышленников. Сайт Фалуньгун в Великобритании (http://www. yuanming.org.uk) был создан 20 июля 1999 года практикующим Фалуньгун Чжу Бао, проживающим в городе Дублин (Ирландия). 23 июля 1999 года сайт подвергся непрерывным атакам со стороны китайских IP-адресов. В начале атаки вывели из строя сервер. Позже они удалили все первоначальные файлы, заменив их текстом статей агентства новостей Синьхуа [которые порочили репутацию основателя Фалуньгун].

Поставщик услуг Интернет (сервис-провайдер) для Фалуньгун в Англии (NetScan, www.netscan.co.uk) подтвердил, что злоумышленники узнали их пароль корневого каталога (пользователь, знающий этот пароль, имеет полный доступ ко всей системе). После другой атаки Ли Шао из Ноттингема открыто сообщил 26 июля 1999 года, что его сайт Фалуньгун был атакован хакерами, действующими с китайских IP-адресов. Источники Фалуньгун заявляют, что британская полиция связалась с адресом Информационного сервис-центра Синьань в Пекине (обсуждался выше), но получить независимое подтверждение оказалось невозможно.

В Канаде два сайта Фалуньгун (www.minghui.ca и www.falundafa.ca) были атакованы хакерами, и оба, в результате, стали жертвой атаки. Сервис-провайдеры этих сайтов Bestnet Internet из Гамильтона в провинции Онтарио и Nebula Internet Services из Берлингтона в провинции Онтарио сообщили, что их сети 30 июля 1999 года подверглись атаке китайских правительственных серверов вследствие того, что они предоставили услуги по организации сайтов канадским последователям Фалуньгун, включая Джейсона Сяо (Jason Xiao), системного администратора www.falundafa.ca.

По словам директора Bestnet Internet Эрика Вейгеля (Eric Weigel), попытки взлома исходили из “китайских правительственных офисов в Пекине”. Вейгель установил, что исходные адреса принадлежат Прикладному институту информационных технологий в Пекине (BAIIT) и Информационному центру Синьань в Пекине.

В газетах не сообщалось об IP-адресах, но сети BAIIT можно найти в диапазоне адресов 203.93.160.0 – 203.93.160.255. Возможные правительственные контакты означают адреса почтовых ящиков в отделении связи, предоставленные BAIIT в базу данных APNIC, поскольку часто вместо реальных адресов китайским правительством и военными используются адреса почтовых ящиков. Напротив, государственная принадлежность Информационного центра Синьань в Пекине более очевидна, как это подробно обсуждалось ранее в этой главе.

Кампания Nebula Internet Services сообщила, что эти же сайты пытались вывести из строя их серверы, используя похожие типы атак. По словам представителей Nebula, нападения продолжались более месяца, совпав по времени с [правительственным преследованием Фалуньгун].

В отличие от компании Bestnet, которая обладает более передовым оборудованием и смогла противостоять атакам с небольшой потерей для обслуживания, системы Nebula хакерами были выведены из строя, и кампания была вынуждена отключить обслуживание. Владелица двух канадских сайтов Фалуньгун (возможно, тех же, что обсуждалось выше) Цзиллиан Е (Jillian Ye) из Торонто, заявила, что её сайты в течение нескольких месяцев каждый день подвергались нападению, и проблемы постепенно становились все хуже, пока в конце концов она не перевела сайт на более безопасный сервер.

Меньшее сходство наблюдается между атаками, описанными выше, и атаками на серверы Фалуньгун, расположенные в Австралии, но время нападения на австралийские сайты (конец лета 1999 года и середина весны 2000 года) в значительной степени совпадает со временем атак в других странах. Австралийский практикующий Фалуньгун в марте 1997 года создал зеркальный сайт Фалуньгун ), используя операционную систему Windows NT server. 6 сентября 1999 года компьютерные атаки, исходящие с китайского IP- адреса привели к остановке работы сайта.

Жертвы сообщили полиции, что агенты могли манипулировать курсором на экране, что наводит на мысль о том, что атакующие для внедрения на сайт использовали хакерскую программу Back Orifice 101. Начиная с сентября 1999 года, австралийская полиция начала постоянное наблюдение за сайтом.

Весна 2000 года. Первое из возобновившихся нападений на серверы Фалуньгун произошло 11 марта 2000 года, совпав по времени с Всекитайским собранием народных представителей в Пекине. Нападение хакеров, использующих технику отказа от обслуживания, известную как атака smurf, вывели из строя основной сервер в Канаде (www.minghui.ca), а также три зеркальных сайта (www.falundafa.ca, www.minghui.org и международный официальный сайт Фалунь Дафа). Поскольку в случае атаки smurf достаточно эффективно скрывается информация об атакующем, невозможно собрать какую-либо полезную информацию по журналам вторжений.

Атаки на серверы Фалуньгун достигли пика в середине апреля 2000 года, когда пять сайтов – три в США (www.falunUSA.net, международный официальный сайт Фалунь Дафа, www.truewisdom.net) и два в Канаде (www.minghui.ca и www.falundafa.ca) – одновременно подверглись атакам smurf.

Время атак совпало с двумя важными политическими событиями: 1. Предстоящее голосование в Комиссии по правам человека Организации Объединённых Наций по резолюции, осуждающей нарушения прав человека в Китае, включая преследование Фалуньгун; 2. Первая годовщина 25 апреля 1999 года, когда практикующие Фалуньгун собрались перед зданием центрального правительства в Пекине.

Системные администраторы Фалуньгун получили различные предупреждения о предстоящих нападениях. Приблизительно 6 апреля в адрес Фалуньгун пришло письмо по электронной почте, предупреждавшее о том, что Бюро общественной безопасности выделило деньги двум кампаниям, занимающимся вопросами сетевой безопасности, чтобы они взломали сайты группы за рубежом.

После первой волны атак системный администратор Фалуньгун Ли Юань получил 12 апреля анонимную информацию, подтверждавшую ситуацию. «Мы получили 12 апреля анонимное письмо по электронной почте от китайского компьютерного эксперта, предупреждавшего нас о том, что бюро компьютерной безопасности полиции распорядилось выделить деньги компьютерной компании для взлома наших сайтов», – сказал Юань.

По словам системного администратора FalunUSA из Мэриленда, сами атаки начались в приблизительно 9–10 апреля. Взломщики атаковали IP-адреса сайтов, а не доменные имена и, похоже, проникли в систему, воспользовавшись лазейками в системе безопасности FTP команд (команд протокола передачи файлов).

Проникнув внутрь, атакующие заменили большинство файлов с сетевыми командами (например, ls – вывод содержимого каталога, df – вывод информации о дисках, find – поиск файлов по критерию) на свои версии, содержавшие «троянских коней» («троянский конь» – компьютерная программа, реализующая полезную функцию и содержащая дополнительные скрытые функции, которые тайно использует в ущерб безопасности) для дальнейшего проникновения. Системный администратор сообщил, что после того, как он обнаружил и ликвидировал усилия хакеров, взломщики попытались подсоединиться к его серверу, используя FTP и SSH команды, но эти попытки получили отпор.

В Австралии атаки вновь начались с марта по май 2000 года. Самая серьёзная атака произошла 22 мая. Австралийский сервер был выведен из строя в 3 часа ночи 22 мая, перезагружен на следующее утро, а затем вновь через час подвергся взлому. Второй раз его перезагрузили лишь в 19–20 часов вечера.

Журналы этих атак и адреса атакующих сайтов были непригодны для анализа, но австралийский системный администратор сказал, что взломщики использовали метод, известный как IIS атака, и их IP-адреса можно отследить в Гонконге, Англии и Соединенных штатах. Системный администратор заявил, что атаки в 2000 году были более изощрёнными, чем аналогичные атаки в 1999 году, и нападавшим удалось легко воспользоваться регистрационными именами удалённых пользователей, которые позже были аннулированы их владельцами.

Источник информации