Кивино гнездо: Непроизносимо Берд Киви

Кивино гнездо: Непроизносимо

Берд Киви

Опубликовано 27 июля 2010 года

Каждый год, когда дело доходит до летней хакерской конференции Black Hat в Лас-Вегасе, одна из самых волнующих тем — это какие из докладов оказались сняты на этот раз. Ибо так уж устроен человек, что наиболее интересные для всех вещи особенно хочется упрятать под замки секретности и строгих запретов на доступ.

Нынешний форум хакеров в городе греха начинается 28 июля — то есть, как там сложится судьба у наиболее взрывоопасных из заявленных в текущем плане докладов, станет ясно чуть позже. Но зато уже прекрасно известно, какое из ранее намечавшихся выступлений на этой конференции представлено точно не будет. Ибо сами докладчики отозвали его еще две недели назад, заменив более нейтральной презентацией.

Доклад этот, носящий название «Китайская кибер-армия: археологическое исследование с 2001 по 2010», был анонсирован как «углубленный анализ спонсируемых правительством Китая хакерских инициатив». В качестве основы для данной исследовательской работы служит обширная разведывательная информация, многие годы собираемая от источников в различных — от государственных до инициативно-самодеятельных — разведывательных структурах азиатского региона. Представлять доклад на Black Hat должны были Уэйн Хуан (Wayne Huang), технический директор тайваньско-американской фирмы Armorize, и Джек Ю (Jack Yu), исследователь той же компании.

В рамках своей презентации, как это было сформулировано в анонсе доклада на веб-сайте Black Hat, докладчики обещали следующее: «Используя установленные факты, будет воссоздано лицо Кибер-Армии [Китая], включая то, кто они такие, где они находятся, кто является объектами их атак, чего они хотят, что они делают, их финансирование, их цели, организационная структура, процессы, периоды активности, инструментарий и методы деятельности».

Среди впечатляющих примеров кибершпионажа, организованного этой структурой, которую по-китайски называют «Ван Юнь», а переводят как «кибер-армия», наиболее известны широко освещавшиеся в прессе операции под условными наименованиями Aurora, GhostNet и Titan Rain. Кроме того, авторами также планировалось включить в доклад данные и о совсем недавних вторжениях в информационные системы, принадлежащие ООН и канадской разведслужбе CSIS. Короче говоря, доклад обещал дать участникам конференции уникальную по информативности картину, отображающую тайные инициативы Китая по поддержке хакерских разведывательных операций.

Однако по мере приближения к дате начала конференции, люди, подготовившие презентацию, оказались под столь мощным давлением сразу с нескольких сторон, что в итоге сами решили отозвать свой доклад. Сильную обеспокоенность по поводу публичного раскрытия сведений, содержащихся в материалах доклада, здесь одновременно проявили, что особо интересно, госстуруктуры и Тайваня, и Китая, обычно остро конфликтующие друг с другом.

В интервью веб-изданию Threatpost относительно произошедшего, исполнительный директор и сооснователь Armorize Калеб Сима (Caleb Sima), так объяснил сильнейший прессинг, которому Уэйн Хуан и их компания подверглись со стороны правительств Тайваня и Китая. В условиях наметившегося потепления в отношениях двух этих стран, госвласти решили, что содержание доклада «чересчур деликатно», чтобы выносить его на широкую публику. По словам Симы, они пытались, было, обсуждать эту проблему с влиятельными людьми, чтобы как-то разрулить ситуацию, однако успехом их попытки не увенчались.

Официальная штаб-квартира фирмы веб-приложений безопасности Armorize Technologies находится в г. Санта-Клара, Калифорния, однако основной штат сотрудников, включая подразделение исследований и разработок, базируется в технопарке Nankang, г. Тайбэй, Тайвань. В ходе переговоров о неудобном докладе местные госчиновники в обтекаемых выражениях дали Симе понять, что тайваньские сотрудники Armorize не смогут получать визы в США, если фирма не откажется от выступления на конференции. А лично Хуану вежливо намекнули, что если он проигнорирует рекомендации властей, то для него же лучше будет в последующем отказаться от полетов в Гонконг или Пекин, поскольку там его с большой долей вероятности просто арестуют. Ну а кроме того, коль скоро компания имеет важные бизнес-интересы как в Китае, так и в Тайване, то успех их дальнейшей деятельности оказывается в прямой зависимости от правильного решения по докладу...

Сам же докладчик, Уэйн Хуан, прокомментировал всю эту малоприятную историю несколько иначе. По его словам, он решил отозвать доклад после обсуждения с несколькими организациями, которые обычно предоставляли им разведывательные данные, а теперь из-за этого тоже оказались под давлением как из Тайваня, так и из Китая. В интервью, данном Хуаном, он не стал раскрывать, кто именно из их друзей попал в сложную ситуацию, но отметил, что, отозвав свой доклад, Armorize сможет сохранить хорошие отношения с азиатским сообществом компьютерной безопасности.

Не является большим секретом, что значительная доля тех данных, которые много лет накапливаются и изучаются аналитиками Armorize, была получена из правительственных ведомств. Особенно это касается информации, которую фирма получала до 2006 года, когда она официально стала корпорацией и перешла в международный коммерческий статус. Как говорит Хуан, «В докладе содержатся вещи весьма деликатного характера. Мы не хотели бы концентрироваться на том, кто именно из наших источников и какими именно разведданными владеет, потому что сообщество безопасности всегда было довольно открытым для обмена информацией, а кроме того, мы нуждаемся в помощи друг друга».

Поскольку тема китайской «сетевой армии» разрабатывается в Armorize уже далеко не первый год, в прошлом Хуану не раз доводилось делать подобные доклады, но только на менее знаменитых форумах. В частности, одна из ранних версий была им представлена в Тайбэе в 2007 году — в рамках не особо известного форума OWASP и, по преимуществу, для местной тайваньской аудитории.

О том тайбэйском докладе Хуана трехлетней давности известно, главным образом, по блогу Джеримайи Гроссмана (Jeremiah Grossman), технического директора фирмы White Hat Security, оказавшегося среди участников конференции OWASP (и тоже докладчика, кстати, на Black Hat 2010). Под большим впечатлением от услышанного в Тайбэе, Гроссман писал, что тайваньская киберкриминальная обстановка выглядит «намного более серьезно, чем все, с чем мне доводилось сталкиваться в США или где-либо еще».

«Мой опыт работы», — отмечал в блоге Гроссман, — «пока что был связан лишь со всякого рода вещами, касающимися преступников, пытающихся делать на хакинге деньги. Здесь же, на Тайване, речь идет об обстановке настоящей кибервойны, поддерживаемой военными структурами из-за интенсивных политических трений с соседним Китаем». В докладе Хуанга, пишет далее блоггер, «они прошлись по тому, каким образом Сетевая Армия Китая обучается, как она организована, какого рода учебные курсы по кибервойне официально приняты у военных. Представьте себе, что вместо получения степени в области инфобезопасности, вы получаете степень по военным методам кибервойны. Речь идет о совершенно новом мире... В целом же, как результат напряженных политических отношений с Китаем, на Тайване утвердилась обстановка настоящей государственной поддержки кибервоенным операциям. Обе конфликтующих стороны чрезвычайно хорошо организованы, щедро финансируются, подкреплены мощной мотивацией, а деятельность их по существу не ограничена».

По свидетельству Гроссмана, участникам конференции, слушавшим доклад 2007 года в Тайбэе, было запрещено делать запись выступления Хуана. Теперь же, когда доклад с добавлением множества совсем свежих материалов почти добрался до Black Hat, одного из наиболее известных в мире хакерских форумов с куда большей интернациональной аудиторией, знающие люди ждали его с особым интересом. Особенно по той причине, что в условиях конференции в Лас-Вегасе даже речи быть не могло о запретах типа тайваньских, поскольку записи докладов здесь допускаются правилами мероприятия.

Все эти обстоятельства, а также и то, несомненно, что официально власти Китая по сию пору самым категорическим образом отрицают какое-либо свое участие в известных инцидентах массового кибершпионажа — в совокупности сделали доклад невозможным. Или, скажем так, пока невозможным. Но только вряд ли это помешает распространению информации.

Как показывает жизнь, подобного рода материалы тем или иным образом все равно просачиваются в Сеть, разве что с меньшей шумихой. Остается только отследить.

К оглавлению