В результате исследования журнал Wall Street Journal выяснил, что атака Cloud Hopper была гораздо обширнее, чем считалось ранее

Казалось, что хакеры таятся везде.

В одной из крупнейших попыток организации промышленного шпионажа, атакующие, по слухам, работавшие совместно с китайской разведкой, за последние несколько лет украли большие объёмы интеллектуальной собственности, подробности, касающиеся допуска к секретным сведениям и другие записи у многих компаний. Они получали доступ к системам, содержащим секреты геологоразведочных изысканий компании Rio Tinto, а также к непубличным медицинским исследованиям компании-гиганта Philips, занимающейся электроникой и здравоохранением.

Проникали они в системы через провайдеров облачных сервисов – те самые облака, где компании хранили свои данные в надежде на их безопасность. Проникнув в такой сервис, хакеры могли анонимно и свободно перемещаться от одного клиента к другому, и годами сопротивлялись попыткам исследователей вышвырнуть их оттуда.

Впервые исследователи кибербезопасности обнаружили признаки взлома в 2016 году, и назвали их Cloud Hopper [облачный попрыгун]. В прошлом декабре прокуроры США обвинили в этом двух граждан Китая. Подозреваемые пока не задержаны.

В исследовании Wall Street Journal обнаружено, что на самом деле масштаб этой атаки гораздо больше, чем считалось ранее. Он выходит далеко за пределы 14 неназванных компаний, перечисленных в обвинительном акте, распространяется на несколько облачных провайдеров числом не менее десяти, включая CGI Group Inc., одного из крупнейших канадских провайдеров; Tieto Oyj, крупную финскую IT-компанию; и International Business Machines Corp.

В WSJ собрали информацию о взломе и контратаках, проведённых специализирующимися на безопасности компаниями и правительствами западных стран, побеседовав с более чем десятью людьми, занимавшимися расследованием, изучив сотни страниц внутренней документации и расследований компаний, и технические данные, связанные с проникновениями.

В WSJ обнаружили, что в Hewlett Packard Enterprise Co. всё было настолько плохо, что облачная компания даже не заметила повторного проникновения хакеров в сети клиентов, и дала зелёный свет всем клиентам.

Внутри облаков группа хакера, которую западные чиновники и исследователи окрестили APT10, получила доступ к огромному набору клиентов. В исследовании WSJ были обнаружены сотни фирм, работавших с пострадавшими облачными провайдерами, включая Rio Tinto, Philips, American Airlines Group Inc., Deutsche Bank AG, Allianz SE и GlaxoSmithKline PLC.

Директор ФБР Кристофер Рэй зачитывает обвинение двух граждан Китая в атаке Cloud Hopper 20 декабря 2018

Вопрос о том, остаются ли хакеры внутри сетей компаний и по сей день, остаётся открытым. WSJ изучили данные, предоставленные SecurityScorecard, и обнаружили сотни IP-адресов по всему миру, которые в период с апреля по середину ноября продолжали передавать данные в сеть APT10.

По словам текущих и бывших чиновников, американские власти, включая Министерство юстиции США, забеспокоились по поводу того, не стали ли и они жертвами этих атак, и не дают ли эти атаки доступа китайскому правительству к критически важной инфраструктуре. Агентство Рейтер в 2019 году сообщало о некоторых аспектах, интересовавших китайский проект по кибершпионажу.

Теперь правительство США утверждает, что APT10 удалось похитить подробные дела на более чем 100 000 служащих ВМФ США.

Моряки ВМФ США наблюдают за самолётом EA-18 Growler

Исследователи, как из правительства, так и сторонние, утверждают, что многие из крупнейших облачных компаний пытались держать клиентов в неведении по поводу происходящего в их сетях. «Это было похоже на попытку остановить движение зыбучих песков», сказал один исследователь.

Чиновников из Министерства внутренней безопасности США настолько расстроило сопротивление облачных компаний, что сегодня они работают над пересмотром федеральных контрактов, чтобы заставить компании подчиняться будущему зондированию, как говорят несколько знакомых с этой темой людей.

Представитель Министерства внутренней безопасности США не стал отвечать на вопрос о том, подверглось ли министерство взлому. Не ответили на запрос и из министерства юстиции.

Представитель HPE Адам Бауэр сообщил, что компания «усердно работала над тем, чтобы исправить последствия этих вторжений для наших клиентов», и добавил, что «безопасность пользовательских данных – наш главный приоритет».

«Мы полностью отрицаем все обвинения со стороны СМИ в том, что HPE не сотрудничала с правительством со всем возможным рвением, — сказал Бауэр. – Все подобные заявления являются неприкрытой ложью».

Представитель IBM Эдвард Барбини сказал, что компания работала над расследованием инцидентов совместно с соответствующими правительственными агентствами, и добавил, что «у нас нет свидетельств компрометации каких бы то ни было чувствительных корпоративных данных. Мы индивидуально работали со всеми клиентами, выражавшими беспокойство».

Этот взлом демонстрирует уязвимость, существующую в центре глобального бизнеса – ведь крупнейшие компании мира хранят всё большие объёмы чувствительной информации на мощностях облачных провайдеров, давно хваставшихся своей безопасностью.

Многие фирмы, с которыми связалась редакция WSJ, отказались раскрывать информацию о том, подвергались ли они атакам. Из American Airlines сообщили, что получили уведомление от HPE в 2015 году о том, что «их системы оказались вовлечены в инцидент с кибербезопасностью», и что они «не нашли никаких свидетельств компрометации систем или данных».

Из Philips сообщили, что компания была в курсе попыток взлома, которые можно связать с деятельностью APT10, и что «на сегодня все эти попытки соответствующим образом пресечены».

Представитель Allianz сообщил, что компания «не нашла свидетельств» присутствия APT10 в их системах.

GlaxoSmithKline, Deutsche Bank, Rio Tinto и Tieto комментариев не давали. Из CGI не пришло ответа на несколько запросов. Китайское правительство также не стало отвечать на запрос. В прошлом оно уже отрицало обвинения во взломе.

Призраки

Исследователи говорят, что Cloud Hopper стала новой техникой для APT10 (Advanced Persistent Threat, «постоянной передовой угрозы»), одной из самых неуловимых китайских хакерских группировок. «Помните ту старую шутку о том, зачем нужно грабить банк? – Сказала Энн Ньюбергер, глава директората по кибербезопасности Национального агентства безопасности. – Потому что там лежат деньги».

Связанные с безопасностью отслеживали APT10 уже больше десяти лет, пока последние учиняли разгром в правительствах, инженерных компаниях, аэрокосмических компаниях и телекомах. Многие сведения об этой команде остаются тайной, хотя американские обвинители предположили, что, по меньшей мере, несколько её членов работают на китайское министерство государственной безопасности.

Для взлома облачных сервисов хакеры иногда отправляли фишинговые письма администраторам, имеющим высокий уровень доступа. Иногда они взламывали их через системы подрядчиков, как говорят исследователи.

Rio Tinto была одной из первых целей и подопытным кроликом, судя по утверждениям двух знакомых с этим делом людей. Компанию, занимающуюся медью, алмазами, алюминием, железной рудой и ураном, взломали через облачного провайдера CGI ещё в 2013 году.

Шахта Rio Tinto в Бороне, Калифорния.

Что хакеры смогли получить, неизвестно, но один из знакомых с этим делом исследователей сказал, что подобную информацию можно использовать для покупки недвижимости в тех местах, где горнодобывающие компании планируют начать разработки.

Орин Паливода, спецагент ФБР, расследовавший деятельность Cloud Hopper, сказал на недавней конференции по безопасности в Нью-Йорке, что команда APT10 работала подобно призракам в облаках. Они «по сути, выглядели похожими на весь остальной трафик, — сказал он. – И это большая, большая проблема».

Крис Макконки, старший исследователь по кибербезопасности из лондонского филиала PricewaterhouseCoopers, одним из первых обнаружил объём операций APT10. Во время рутинного аудита безопасности в международной консалтинговой фирме в начале 2016 года, на его дисплеях внезапно стали появляться красные точки, обозначающие массовую атаку.

Сначала его команда решила, что эта атака была просто необычным единичным случаем, поскольку хакеры проникли через облако, а не через саму компанию. Однако потом они начали встречать подобную схему и у других клиентов.

«Когда понимаешь, что таких случаев много – и что атакующие на самом деле понимают, к чему они получили доступ и как злоупотребить этим – понимаешь серьёзность возможных последствий», — сказал Макконки. Он не стал называть конкретные компании или провайдеров.

Команда Макконки – одна группа отключала доступ плохим ребятам, другая собирала информацию о проникновениях и оценивала, куда ещё могут направиться хакеры – работала на безопасном этаже, куда можно попасть только на отдельных лифтах.

Крис Макконки

Они узнали, что хакеры работали в командах. «Вторничная команда», как назвал её Макконки, посещала сервисы, чтобы убедиться, что все украденные имена пользователей и их пароли всё ещё работают. Другая группа часто появлялась через несколько дней, и крала целевые данные.

Иногда хакеры использовали сети жертв в качестве мест хранения украденных данных. Одна фирма впоследствии обнаружила, что у неё хранится информация из, по меньшей мере, пяти разных компаний.

В первые месяцы работы группа Макконки начала делиться информацией с другими фирмами, занимающимися вопросами безопасности, которые тоже начали наталкиваться на призраков. Иногда атакующие поддразнивали охотников, регистрирця доменные имена для своей кампании типа gostudyantivirus.com и originalspies.com.

«Мало я видел китайских APT-групп, так активно издевавшихся над исследователями», — сказал Майк Маклеллан, директор исследований в области безопасности в компании Secureworks. Он добавил, что иногда APT10 часто включала в свои вредоносные программы оскорбительные фразы.

Одной из наиболее значимых жертв хакеров была HPE, чьи услуги по предоставлению облачных сервисов для бизнеса обслуживают данные тысяч компаний из десятков стран. Один из её клиентов, Philips, управляет 20 000 ТБ данных, включая огромные объёмы информации, связанные с клиническими исследователями, и данные приложения для людей с диабетом, как указывается в рекламном ролике, опубликованном в твиттере HPE в 2016 году.

APT10 была серьёзной проблемой для HPE, по меньшей мере, с 2014 года – и компания не всегда сообщает клиентам степень серьёзности проблемы с её облаками, как утверждают знакомые с этой темой люди.

Серверный шкаф в HP Enterprise в Бёблингене, Германия.

Усложняет это дело то, что хакеры получили доступ к команде компании, отвечающей за отчёты о киберинцидентах, как говорят несколько людей, знакомых с этим делом. В процессе работы HPE над зачисткой инфекций, хакеры наблюдали за компанией, и проникли обратно в зачищенные системы, начав новый цикл, как сказал один из упомянутых людей.

«Мы добросовестно работали над устранением последствий вторжения, пока не убедились, что полностью устранили следы взломщиков в системе», — сказал Бауэр, представитель HPE.

В процессе атак HPE вывела облачное подразделение в отдельную компанию, DXC Technology. HPE сообщала в публичных отчётах того времени, что у неё не было никаких брешей в безопасности, повлекших бы за собой материальные издержки.

Представитель DXC Ричард Адамонис сказал, что «не было инцидентов, связанных с кибербезопасностью, которые бы неблагоприятно повлияли на материальные активы DXC или её клиентов».

Представитель Philips сообщил, что услуги, предоставляемые HPE, «не связаны с хранением, управлением или передачей данных пациентов».

Отпор

Первые по-настоящему серьёзные ответные меры начали оформляться в 2017 году. К растущей команде бойцов присоединились несколько охранных фирм, облачных провайдеров, пострадавших от атак, и десятки жертв.

Облачные компании, сначала отказывавшиеся делиться информацией, сменили настрой и стали сотрудничать после нажима со стороны западных правительств, как сказали несколько человек, знакомых с ситуацией.

Для начала исследователи добавили в системы жертв подложные записи в календари руководителей компаний, чтобы у хакеров сложилось ложное впечатление о том, что руководители на выходные куда-то уезжают. Это было сделано для того, чтобы хакеры считали, что компания ничего не подозревает. Затем исследователи внезапно подключились к системам вне периода обычной работы хакера и резко отрубили им доступ, закрыв скомпрометированные учётные записи и изолировав заражённые сервера.

APT10 вскоре вернулась, атаковав новых жертв, включая несколько финансовых компаний.

Одной из новых целей стала IBM, предлагающая облачные услуги для множества фирм из списка Fortune 500, а также для таких правительственных учреждений США, как управление общего обслуживания, министерство внутренних дел и армия.

Стенд IBM на ярмарке CeBIT в Ганновере, Германия, 2018.

Представитель управления общего обслуживания сообщил, что агентство работает с несколькими облачными компаниями, знает про Cloud Hopper, и «неусыпно справляется с угрозами безопасности». Министерство внутренних дел и армия США не прокомментировали ситуацию.

О том, что случилось в IBM, известно очень мало. Хакеры научились лучше скрываться и перенаправляли свои атаки через цепочки из нескольких серверов. Американские чиновники описывали ощущение паники, захватившей их в 2017 и 2018 годах, когда они узнали о новых взломах, осуществлённых APT10. Ситуация стала настолько критической, что им пришлось выпустить публичное предупреждение о том, что хакеры проникли в важнейшие инфраструктуры страны, включая IT, энергетику, здравоохранение и производство.

Администрация Трампа несколько месяцев размышляла над тем, как будет выглядеть дело против хакеров, что можно рассказать общественности, и как это повлияет на биржу. Бывшие чиновники США, знакомые с исследованием, говорят, что сначала надеялись ввести санкции против китайцев, связанных с атакой, и назвали полдесятка граждан Китая, включая и некоторых китайцев, напрямую связанных с разведкой страны.

В итоге назвали только двух человек. Приближённые к делу информаторы сообщили, что для проведения такой операции, как Cloud Hopper, требуется куда как больше народу, включая разработчиков, операторов проникновения и лингвистов для работы с украденными материалами.

Из двух этих лиц есть немного информации о Чжу Хуа, известном в онлайне, как Godkiller. Другого человека, Чжана Шилуна, известного, как Darling Dragon, исследователи связали с учётной записью в соцсетях, где размещались инструкции по обучению взлому.

Оба они, скорее всего, до сих пор находятся в Китае, и могут попасть в тюрьму США на срок до 27 лет за организацию заговора, мошенничество и кражу личности. Но у США нет договора о выдаче преступников с Китаем, и редакции WSJ не удалось связаться с ними для того, чтобы получить комментарии.

Бывший сотрудник разведки США сообщил, что по перехваченным ими в то время данных китайские операторы праздновали свою внезапную славу и известность.

Сегодня практически ничего не известно по поводу планов использования украденных данных. В отличие от других атак, объявления о продаже этих гор ценных коммерческих данных не появляются в теневом интернете.

Атаками Cloud Hopper до сих пор чрезвычайно сильно интересуются федеральные исследователи, работающие над вопросом о том, связана ли эта кампания с другими случаями значительных проникновений в инфраструктуру компаний, где подозреваемыми также выступали китайцы.

Итоговые цифры кампании – как объёмы полученного доступа к сетям, так и точное количество украденных данных – до сих пор не знают ни исследователи, ни западные представители власти.

Хотя чиновники США и охранные фирмы говорят, что за предыдущий год активность APT10 снизилась, угроза для облачных провайдеров остаётся прежней. Исследователи из Google недавно сообщали, что хакеры, якобы финансируемые российским правительством, пытались взломать провайдеров услуг по удалённому управлению, которых злоумышленники также избрали своей целью.

«Я бы был шокирован, узнав, что на сегодня нельзя найти несколько десятков компаний, не подозревающих, что APT10 взламывали их сеть, или до сих пор имеют к ней доступ», — сказал Люк Дембоски, бывший заместитель помощника генерального прокурора по национальной безопасности, ныне работающий с компаниями, подвергшимися атакам различных групп, в том числе и APT10.

«Вопрос лишь в том, что они там делают? – сказал Макконки. – Они никуда не делись. Просто то, что они делают в данный момент, мы не видим».