211service.com
Kad ķīniešu hakeri pieteica karu mums pārējiem
Andrea Dakino
2015. gada marta trešdienas beigās Sanfrancisko programmatūras uzņēmuma GitHub birojos atskanēja trauksme. Uzņēmuma biroji bija piemērs tam, ka Skandināvija satiekas ar bezdvēseli, kas ir izplatījies no Silīcija ielejas, lai pārņemtu modernas darba vietas: atklāta koksne, atklātas telpas un daudz dabiskās gaismas. Lielākā daļa darbinieku gatavojās aiziet, ja vēl nebija. Ārā saule bija sākusi rietēt, un bija mierīgs un skaidrs.
Trauksmes signāli GitHub nebija nekas neparasts. Uzņēmums apgalvo, ka uztur lielāko datoru kodu krātuvi pasaulē. Tajā laikā tam bija aptuveni 14 miljoni lietotāju, un tas lepojas ar sava pakalpojuma uzturēšanu un palikšanu tiešsaistē. GitHub pamatprodukts ir rediģēšanas rīku komplekts, kas ļauj lielam skaitam programmētāju sadarboties programmatūras izstrādē un sekot līdzi izmaiņām, kad tiek novērstas kļūdas. 2018. gada oktobrī Microsoft to iegādātos par 7,5 miljardiem ASV dolāru.
Tomēr 2015. gadā GitHub joprojām bija dinamisks un neatkarīgs uzņēmums, kura panākumus guva, ievērojami atvieglojot datoru programmatūras izveidi citiem cilvēkiem. Pirmais trauksmes signāls norādīja, ka vairākiem GitHub glabātajiem projektiem ir liela ienākošā trafika. Tas varētu būt nevainīgs — varbūt uzņēmums tikko bija laidis klajā lielu jaunu atjauninājumu — vai kaut kas draudīgāks. Atkarībā no tā, kā satiksme tika grupēta, atskanēs vairāk trauksmes signālu, ja pēkšņais pieplūdums ietekmētu pakalpojumu visā vietnē. Atskanēja trauksmes signāli. GitHub tika rediģēts ar DDoS.
Viens no biežākajiem vietnes lejupslīdes iemesliem ir straujš trafika pieaugums. Serveri tiek pārslogoti ar pieprasījumiem, izraisot to avāriju vai palēnināšanos līdz mokošai sasmalcināšanai. Dažreiz tas notiek vienkārši tāpēc, ka vietne pēkšņi kļūst populāra. Citreiz, piemēram, izplatītā pakalpojuma atteikuma (DDoS) uzbrukumā, smaile ir ļaunprātīgi izstrādāta. Pēdējos gados šādi uzbrukumi ir kļuvuši biežāki: hakeri ir sākuši inficēt lielu skaitu datoru ar vīrusiem, kurus viņi pēc tam izmanto, lai pārņemtu kontroli pār datoriem, iesaistot tos DDoS uzbrukumā.
Pašlaik mēs piedzīvojam lielāko DDoS uzbrukumu GitHub vēsturē, vecākais izstrādātājs Džesijs Ņūlends rakstīja emuāra ziņā gandrīz 24 stundas pēc uzbrukuma sākuma. Nākamo piecu dienu laikā, kad inženieri pavadīja 120 stundas, cīnoties pret uzbrukumu, GitHub pazuda deviņas reizes. Tas bija kā hidra: katru reizi, kad komanda domāja, ka viņiem ir rokturis, uzbrukums pielāgojās un dubultoja savus centienus. GitHub nekomentēja ierakstu, taču komandas loceklis, kurš ar mani runāja anonīmi, teica, ka ir ļoti skaidrs, ka tas ir kaut kas tāds, ko mēs nekad iepriekš neesam redzējuši.
Uzņēmuma iekšējā tērzētavā GitHub inženieri saprata, ka kādu laiku cīnīsies ar uzbrukumu. Stundām izstiepoties dienās, tā kļuva par konkurenci starp GitHub inženieriem un tiem, kas atradās uzbrukuma otrā galā. Strādājot ilgas, trakulīgas maiņas, komandai nebija daudz laika spekulēt par uzbrucēja identitāti. Tā kā tiešsaistē klīda baumas, GitHub teica tikai: mēs uzskatām, ka šī uzbrukuma mērķis ir pārliecināt mūs noņemt noteiktu satura klasi. Aptuveni 20 minūšu brauciena attālumā, pāri Sanfrancisko līcim, Nikolass Vīvers domāja, ka zina vainīgo: Ķīnu.
Vēvers ir tīkla drošības eksperts Starptautiskajā datorzinātņu institūtā, pētniecības centrā Bērklijā, Kalifornijā. Kopā ar citiem pētniekiem viņš palīdzēja precīzi noteikt uzbrukuma mērķus: divus GitHub mitinātus projektus, kas saistīti ar GreatFire.org, Ķīnā bāzētu pretcenzūras organizāciju. Abi projekti ļāva lietotājiem Ķīnā apmeklēt gan GreatFire vietni, gan New York Times ķīniešu valodas versiju, kuras abas parasti nav pieejamas lietotājiem Ķīnā. GreatFire, ko Ķīnas kibertelpas administrācija nodēvēja par ārvalstu pret Ķīnu vērstu organizāciju, jau ilgu laiku bija DDoS un hakeru uzbrukumu mērķis, tāpēc tā dažus savus pakalpojumus pārcēla uz GitHub, kur tie faktiski nebija nodarīti.
Ķīna ne tikai bloķēja datu bitus un baitus, kas mēģināja iekļūt Ķīnā, bet arī novirzīja datu plūsmu no Ķīnas.
Vēvers, pārbaudot uzbrukumu, atklāja kaut ko jaunu un satraucošu. Iekšā papīra līdzautors kopā ar Citizen Lab pētniekiem, aktīvistu un pētnieku grupu Toronto Universitātē, Vēvers aprakstīja jaunu ķīniešu kiberieroci, ko viņš nosauca par Lielo lielgabalu. Lielais ugunsmūris — sarežģīta savstarpēji saistītu tehnoloģiju shēma interneta satura cenzēšanai, kas nāk no ārpus Ķīnas — jau bija labi zināms. Weaver un Citizen Lab pētnieki atklāja, ka Ķīna ne tikai bloķēja datu bitus un baitus, kas mēģināja nokļūt Ķīnā, bet arī novirzīja datu plūsmu no Ķīnas.
Ikviens, kurš kontrolēja Lielo lielgabalu, izmantos to, lai selektīvi ievietotu ļaunprātīgu JavaScript kodu meklēšanas vaicājumos un reklāmās, ko apkalpo populārā ķīniešu meklētājprogramma Baidu. Pēc tam šis kods novirzīja milzīgu trafiku uz lielgabala mērķiem. Nosūtot vairākus pieprasījumus serveriem, no kuriem Lielais lielgabals vadīja trafiku, pētnieki varēja apkopot tā darbību un gūt ieskatu tā iekšējā darbībā. Lielgabalu var izmantot arī citiem ļaunprātīgas programmatūras uzbrukumiem, ne tikai pakalpojuma atteikuma uzbrukumiem. Tas bija spēcīgs jauns rīks: Lielā lielgabala izvietošana ir liela taktikas maiņa, un tai ir ļoti redzama ietekme, rakstīja Vēvers un viņa līdzautori.
Uzbrukums turpinājās vairākas dienas. Citizen Lab komanda teica, ka viņi varēja novērot tā ietekmi divas nedēļas pēc tam, kad GitHub trauksmes pirmo reizi tika iedarbinātas. Pēc tam, kad GitHub izstrādātāji centās izprast uzbrukuma jēgu un izstrādāt ceļvedi turpmākajiem incidentiem, kiberdrošības kopienā radās neskaidrības. Kāpēc Ķīna bija izvērsusi tik publisku uzbrukumu tik rupjā veidā? Tas bija pārspīlēti, Vēvers man teica. Viņi turpināja uzbrukumu ilgi pēc tam, kad tas bija pārstājis darboties.
Tā bija ziņa: šāviens pāri priekšgalam no Lielā ugunsmūra arhitektiem, kuri, iekarojuši internetu mājās, tagad arvien vairāk mērķēja uz ārzemēm, nevēloties pārvarēt izaicinājumus savai kontroles un cenzūras sistēmai neatkarīgi no tā, kur viņi atrodas. nāca no.
GitHub uzbrukums bija reta publiska Ķīnas kibervalsts uzbrukuma spēka demonstrēšana, kas parasti deva priekšroku savu iespēju izmantošanai aizkulisēs. Dažas no šīm iespējām nejauši tika atklātas 2009. gada janvārī.
Vecas, grandiozas sarkanu ķieģeļu ēkas bēniņos Toronto universitātes pilsētiņas vidū, tieši uz ziemeļiem no pilsētas centra, Narts Vilnēvs neticīgi skatījās uz sava datora ekrānu. Vilnēvs bija universitātes absolvents un Citizen Lab pētnieks. Viņš bija izsekojis izsmalcinātu kiberspiegošanas grupu, kas iefiltrējās datoros, e-pasta kontos un serveros visā pasaulē, izspiegojot to lietotājus un saturu. Uzbrucēji bija rūpīgi pielāgojuši tā sauktos pikšķerēšanas e-pastus, lai tie būtu no mērķa draugiem un kolēģiem, pārliecinot cilvēkus lejupielādēt savās iekārtās ļaunprātīgu programmatūru un neapzināti atvērties uzraudzībai. Kampaņa bija pavirzījusies uz priekšu, taču šķita, ka tās veidotāji ir izdarījuši kaut ko diezgan muļķīgu.
Vilnēvs paņēma tālruni un piezvanīja Ronam Deibertam, viņa uzraugam un Citizen Lab dibinātājam.
Kā Deiberts stāsta savā grāmatā Melnais kods: cīņā par kibertelpu , Vilnēvs bija atklājis komandu un kontroles serveri ļaunprātīgai programmatūrai, kas bija plaši izplatījusies visā internetā.
Esmu iekšā, Vilnēvs čukstēja savā telefonā.
Viņu izmeklēšana bija sākusies mēnešus iepriekš Dharamsalā, Indijas pilsētā, uz kuru Dalailama bija aizbēgusi 1959. gadā un kas tagad ir tibetiešu trimdas kopienas centrs. Gregs Voltons, Citizen Lab lauka pētnieks, bija apmeklējis apgabalu gadiem ilgi. Deviņdesmito gadu beigās un 2000. gadu sākumā Voltons palīdzēja paplašināt darbu, ko paveica divi iepriekšējie tibetiešu interneta pionieri Dens Haigs un Thubtens Samdups, kuri palīdzēja savienot Dharamsalu ar globālo tīmekli laikā, kad pārējā Indija bija tik tikko savienota. . Voltons veidoja tīmekļa vietnes dažādām NVO un valsts iestādēm, pasniedza datorklases un palīdzēja cilvēkiem izveidot e-pasta kontus. Atskatoties pagātnē, viņš saprata, ka viņi ir pārāk aizrāvušies ar interneta priekšrocībām un tā spējām savienot un apvienot arvien vairāk izpletušos tibetiešu diasporu, lai domātu par negatīvajām pusēm. Lai gan pirmās dienas bija smagas un tehnoloģijas nestabilas, internets ātri ieņēma spēkus Daramsalā. Par drošību rūpējās maz.
Šie jaunie brīdinājumi bija daudz efektīvāki un šausminošāki, jo tie tika nosūtīti ārvalstu vadītājiem, kad plāni nebija publiski atklāti.
Ātri kļuva acīmredzami negatīvie aspekti, kas saistīti ar Tibetas agrīno interneta ieviešanu. Ķīnas valdība sūtīs dusmīgas vēstules ārvalstu līderiem, kad viņi mēģināja organizēt tikšanās ar Dalailamu, pirms notikumi pat tika paziņoti. Ķīnas valdība jau sen bija publiski iebildusi pret jebkādu saikni ar separātistiem. Bet, kā man teica cilvēki tibetiešu kopienā, šie jaunie brīdinājumi bija daudz efektīvāki un šausminošāki, jo tie tika nosūtīti ārvalstu vadītājiem, kad plāni nebija publiski atklāti. Ķīnas valdība vēlējās, lai visi ieinteresētie zinātu, ka viņi klausās.
Diasporas tibetieši, kas šķērsoja Ķīnas kontrolēto teritoriju, tika aizturēti uz robežas un nopratināti. Ja viņi mēģināja noliegt iesaistīšanos politikā, viņu pašu e-pasti tika pasniegti kā pierādījums. Viena sieviete, kas strādāja pie informatīvās programmas Daramsalā, kas saņēma finansējumu no ASV valdības atbalstītās Amerikas Balss, šķērsoja Tibetu no Nepālas, kad viņu apturēja Ķīnas policija. Viņai tika uzrādītas izdrukas par viņas privāto saziņu ar cilvēkiem Ķīnas kontrolētajā Tibetā. Cita sieviete, amerikāņu zinātniece, kas dzīvo Pekinā, saņēma ielūgumu uz tēju ar drošības amatpersonām, kas ir daļēji regulāra parādība ikvienam, kas Ķīnā nodarbojas ar sensitīviem jautājumiem. Jautāta par savu e-pastu, viņa iedeva drošības darbiniekiem fiktīvu kontu, ko neizmantoja nekam citam; divas dienas vēlāk kāds mēģināja uzlauzt šo adresi.
Atgriežoties Dharamsalā, datoru pēc datora atspējoja agresīva ļaunprātīga programmatūra, kas bija paredzēta nevis izspiegošanai, bet gan sabotāžai.
Skaidrs, ka kāds mērķēja uz tibetiešiem. Visas pazīmes liecināja par Ķīnu, taču operācijas avots nebija skaidrs. Vai pret tibetiešiem bija vērsti drošības dienesti, militārpersonas, tā sauktie patriotiskie hakeri vai visu trīs kombinācija?
Strādājot kopā ar Tibetas drošības ekspertiem, Voltons sāka vākt īsu e-pasta ziņojumu un ļaunprātīgas programmatūras paraugus. Viens no šiem vietējiem ekspertiem bija Lobsangs Gjatso Siters. Sītera dzimusi Daramsalā 1982. gadā, viena no trimdinieku paaudzei, kas nekad nav dzīvojusi Tibetā. Viņš studēja datorzinātnes Indijā un Apvienotajā Karalistē un lielākoties bija atstājis Dharamsalu aiz muguras, kad 2000. gadu beigās Londonā satikās ar Voltonu un uzzināja par tibetiešu mērķēšanu. Viņš atgriezās kopā ar Voltonu Himalajos, un abi sāka strādāt ar Dalailamas biroju un jebkuru citu acīmredzamu mērķi, lai cīnītos pret hakeriem un kiberuzbrukumiem.
Sākumā uzbrukumi bija diezgan nesarežģīti: e-pasta ziņojumi lauztā angļu valodā mudināja lietotājus palaist izpildāmos failus. Vienatnē viņi nebūtu radījuši pārāk lielu trauksmi, taču, kad Voltons, Sītere un citi savāca arvien vairāk paraugu, viņi sāka redzēt kampaņas mērogu. Tika mērķēta visa kopiena, lai gan lielākā daļa hakeru būtu maz interesējušas, man teica Sitere.
Pat personas, kas nav tieši saistītas ar galveno mērķi, var būt noderīgas hakeriem. Tāpat kā policija ierosina kriminālvajāšanu par pūļa lietu, hakeri var virzīties uz augšu ķēdē, izmantojot uzlauztus kontus, lai izsekotu galamērķiem un viņu līdzcilvēkiem, veicot ticamākus pikšķerēšanas uzbrukumus.
Uzbrucēji rūpīgi uzraudzīja savas operācijas panākumus. Kad tika uzsākta liela izglītojoša kampaņa, lai mudinātu tibetiešus neatvērt pielikumus un tā vietā paļauties uz mākoņpakalpojumiem, piemēram, Google disku, lai kopīgotu dokumentus, ātri parādījās jauna ļaunprogrammatūra. Tā īpaši bija vērsta uz pakalpojumiem, ko izglītojošā kampaņa bija ieteikusi.
Pirms Vilnēva atklāja komandu un kontroles serveri, komanda varēja izsekot tikai ļaunprātīgas programmatūras kampaņas mērķiem, nevis pašiem uzbrucējiem. Tagad Vilnēvs varēja precīzi redzēt, ko uzbrucēji darīja datoros, kuriem viņi piekļuva. Galvenais ierocis hakeru rīku komplektā bija viena ļaunprogrammatūra, ko sākotnēji izstrādāja ķīniešu programmētāji un kas vēlāk tika pārnesta angļu valodā, ko sauca par Gh0st Remote Administration Tool jeb Gh0st Rat.
Veicot izmeklēšanu Dharamsalā, Citizen Lab komanda varēja redzēt, ka ļaunprogrammatūra, kuras mērķauditorija ir tibetieši, sazinājās ar serveriem, kas atrodas Hainaņā, Ķīnas dienvidu salā. Uzlaušana bija vērsta pret militārajām amatpersonām, likumdevējiem, žurnālistiem un simtiem citu Daramsalā, visā Indijā un citviet Āzijā, kuru darbību visu novēroja hakeri. Gandrīz noteikti savā ziņojumā komanda rakstīja, ka dokumenti tiek noņemti bez mērķa ziņas, tiek reģistrēti taustiņsitieni, klusi tiek iedarbinātas tīmekļa kameras un slepus aktivizētas audio ieejas. Lai gan Citizen Lab nevarēja precīzi pateikt, kurš bija aiz uzlaušanas, ziņojumā secināts, ka, visticamāk, Ķīnas valsts ir izmantojusi šo augsta līmeņa mērķu kopumu militāriem un stratēģiski izlūkošanas mērķiem.
Ziņojumā tika izdarīts šāds secinājums, jo Hainaņas salā atradās Lingshui signālu izlūkošanas objekts un Tautas atbrīvošanas armijas Trešā tehniskā departamenta nodaļa, kas ir Ķīnas līdzinieks Nacionālās drošības aģentūrai. GhostNet, kā Citizen Lab komanda nodēvēja par uzlaušanu, bija viena no pirmajām pazīmēm, kas liecina par iespējamām PLA uzlaušanas iespējām. Gadu laikā FIB izvirzītu apsūdzības vairākām vadošajām militārajām amatpersonām par uzbrukumu ASV uzņēmumiem un iestādēm gan rūpnieciskajā, gan militārajā spiegošanā. PLA tika vainota arī lielas federālās cilvēkresursu aģentūras Personāla vadības biroja (OPM) uzlaušanā, kas apdraudēja līdz pat 18 miljoniem pašreizējo, bijušo un potenciālo federālo darbinieku personas datus.
Par OPM uzlaušanu tika publiski paziņots 2015. gada jūnijā. Dažus mēnešus vēlāk prezidents Baraks Obama mitināts Ķīnas līderis Sji Dzjiņpins Baltajā namā, kur abi vīrieši parakstīja divpusēju vienošanos, solot, ka nevienas valsts valdība nerīkosies vai apzināti neatbalstīs intelektuālā īpašuma, tostarp komercnoslēpumu vai citas konfidenciālas informācijas, zādzību, kas tiek veikta kibertehnoloģijā. Darījums bija liela diplomātiska Obamas uzvara, jo viņš tuvojās sava otrā pilnvaru termiņa beigām, un sākotnējās progresa pazīmes bija labas, taču pienācīgu pārbaudi lielā mērā mazināja 2016. gada ASV vēlēšanas un tam sekojošais niknums par iespējamu Krievijas uzlaušanu Demokrātu partijai. Tā kā bažas par ēnu hakeriem, kas grauj Amerikas institūcijas, no Pekinas pārcēlās uz Maskavu, mazāka uzmanība tika pievērsta Ķīnas valdības lomai turpmākajos uzbrukumos.
Pa to laiku hakeri turpina uzbrukt Tibetas trimdas kopienai, un diasporas iedzīvotāji turpina cīnīties. Klasēs un sanāksmju zālēs visā Dharamsalā Sither un citi drošības eksperti rīko seminārus par e-pasta šifrēšanu, drošām ziņojumapmaiņas lietotnēm un citiem veidiem, kā nodrošināt drošību tiešsaistē. Cilvēki, ar kuriem Sītera strādā, parasti reaģē uz pastāvīgiem kiberdraudiem vienā no diviem veidiem: ambivalence vai paranoja. Abas atbildes viņu sarūgtina. Daži cilvēki ir pārliecināti, ka viņiem nav ko slēpt; bet, ja viņu konti tiek apdraudēti, tas var ietekmēt tos, kuriem ir lietas, kuras viņi vēlētos slēpt no Ķīnas valdības. Citi ir tik ļoti satriekti no domas, ka ķīniešu spiegi skatās, ka viņi nepadara nekādu darbu: tieši tādu atvēsinošu efektu, uz kādu cerēja cenzori. Mēs cenšamies atrast līdzsvaru starp drošību un to, lai cilvēki pārāk nenobiedētu, man teica Sītera. Tas dažreiz ir izaicinājums.
Daudzi domāja, ka internets Ķīnā ienesīs demokrātiju. Tā vietā tas ir nodrošinājis valdības uzraudzību un kontroli ārpus Mao Dzeduna sapņiem.
GitHub un tibetieši, piemēram, Lobsangs Sīters, bija vieni no pirmajiem upuriem jaunā frontē Ķīnas karā internetā, ko uzsāka jauna veida cenzors, kas bija apņēmies izsekot valsts ienaidniekiem, lai kur tie atrastos, izmantojot visus nepieciešamos līdzekļus.
Decembrī tika ziņots, ka ķīniešu aktieri 2014. gadā veica uzlaušanu starptautiskajai viesnīcu ķēdei Marriott. Par Marriott pārkāpumu tika publiski paziņots apmēram četrus gadus pēc tā notikuma. Daudzi citi uzbrukumi, visticamāk, vēl nav publiski atzīti, jo uzņēmumi slēpj problēmas, lai nesabojātu attiecības ar Ķīnu.
Marriott ir uzņēmies arī citas Ķīnas cenzūras kampaņas smagumu. 2018. gada janvārī Marriott vietne tika bloķēta Ķīnā, un uzņēmums bija spiests izteikt pazemojošu atvainošanos pēc tam, kad veidlapā Tibeta un Honkonga bija norādītas kā atsevišķas valstis. Sajūsmā par panākumiem, diktējot nosacījumus uzņēmumam Marriott, Ķīnas amatpersonas ir ķērušās pie aviosabiedrībām un citiem uzņēmumiem par tādiem jautājumiem kā Taivānas nepareiza identifikācija.
Daudzi domāja, ka internets Ķīnā ieviesīs demokrātiju. Tā vietā tas ir nodrošinājis valdības uzraudzību un kontroli ārpus Mao Dzeduna sapņiem. Tagad cenzori pievērš uzmanību pārējai pasaulei.
Šis stāsts tika izvilkts no Džeimsa Grifita jaunās grāmatas Lielais Ķīnas ugunsmūris: kā izveidot un kontrolēt alternatīvu interneta versiju , ko martā izdos Zed Books. Griffiths ir ziņojis no Honkongas, Ķīnas, Dienvidkorejas un Austrālijas par tirdzniecības vietām, tostarp CNN International, South China Morning Post, Atlantic, Vice un Daily Beast.