Пробравшись туда, шпионы отключали внутренние настройки параметров таким образом, чтобы получать дистанционный доступ к машинам во внутренних корпоративных сетях. Как только это удавалось сделать, конфиденциальные документы, внутренние производственные данные и прочие чувствительные к компрометации файлы, как установлено анализом, сначала выявлялись, а затем и скрытно выкачивались в массовых количествах.
Грег Дэй, директор по стратегиям безопасности в McAfee, считает, что применявшиеся злоумышленниками программные инструменты и методы проникновения, в сущности, являются совсем несложными, давно известными и широко распространёнными в сетевом андеграунде. Однако, если судить по конечному результату, эффективность данных атак от этого ничуть не уменьшилась.
Пытаясь объяснить, почему же тогда злоумышленникам удавалось шпионить в сетях корпораций так долго, многие месяцы оставаясь незаметными для стандартных средств сетевой защиты и сотрудников служб безопасности, в руководстве McAfee выдвигают аргументы примерно такого рода. Как пишет в своем блоге Джордж Курц, дело здесь в том, что весь этот технический инструментарий шпионов внешне выглядит как стандартный набор сетевого администратора, использующего свои административные полномочия для рутинного управления сетью.
Трудно сказать, для кого подобные аргументы могут прозвучать убедительно. Но как бы там ни было, к настоящему времени, по заверениям McAfee, и они, и другие вендоры безопасности, обслуживающие нефтегазовый комплекс, уже смогли успешно выявить те вредоносные программы и инструменты, что применялись в атаках «Ночной Дракон». И в своих обновлённых средствах защиты соответственно предоставляют все необходимые меры лечения.
Кроме того, аналитики McAfee пристально изучали, кто же мог бы стоять за всеми этими скоординированными атаками. Как говорится в отчёте компании и в блоге ее директора, у них имеются сильные свидетельства, дающие основания полагать, что атакующая сторона в данном случае базировалась в Китае. Те инструменты, методы и сетевые приёмы, что применялись в атаках, главным образом характерны для Китая, широко доступны и обсуждаются на китайских веб-форумах и вообще чаще всего применяются именно китайскими хакерскими группами.
Поскольку безликая природа киберпреступлений такова, что вопрос о вероятных авторах атаки обычно представляется наиболее сложным в своём разрешении, эту часть исследования McAfee имеет смысл рассмотреть поподробнее. Приложение к опубликованному отчету McAfee предоставляет такие, в частности, детали о китайских следах в этой шпионской операции.
Хотя не представляет никакого сомнения, что в данных атаках принимали участие многие действующие лица, у исследователей была возможность точно идентифицировать по меньшей мере одного человека – предоставлявшего атакующей стороне принципиально важные элементы управляющей инфраструктуры. Этот человек проживает в городе Хэцзэ, провинция Шаньдун Восточного Китая. И хотя нет никаких оснований считать именно его организатором и вдохновителем атак, вполне вероятно, что он располагает информацией, позволяющей идентифицировать хотя бы некоторых участников, группы или организации, ответственные за шпионские вторжения Night Dragon.
О соучастии этого человека в атаках, по мнению авторов отчёта, свидетельствует то, что он владеет компанией, которая, согласно рекламной информации, предоставляет «хост-серверы на территории США без ведения журналов учёта», при цене хостинга порядка 10 долларов в год за 100 Мбайт дискового пространства. Серверы именно этой фирмы в США были использованы для размещения командно-управляющей программы zwShell, которая применялась для дистанционного контроля над машинами в корпорациях, ставших жертвами шпионских вторжений Night Dragon.
Помимо этой цепочки связей с хостинг-сервисом, говорится в отчете McAfee, имеются и многие другие свидетельства, указывающие на вероятное китайское происхождение шпионов. Начать можно с использования пароля вида «zw.china», который охраняет вход в «командный пункт управления троянами», программу zwShell. Кроме того, аналитики McAfee установили, что все операции шпионов по хищению данных происходили с IP-адресов, находящихся в Пекине, причем деятельность эта отмечалась строго по будням, в периоды времени с 9:00 до 17:00 по пекинскому времени. Иначе говоря, всё выглядело так, словно в качестве «шпионов» тут явно выступали люди, приходящие для этого на службу в некую компанию или организацию, а не «вольные стрелки» или неорганизованные хакеры-любители. Ну и вдобавок к этому, как уже упоминалось, шпионы применяли хакерские инструменты китайского происхождения, преобладающие именно в китайских форумах сетевого андеграунда. Среди инструментов этого рода упомянуты Hookmsgina и WinlogonHack – популярные инструменты для перехвата запросов на вход в систему, с последующим захватом имён-логинов и паролей доступа.
Читать дальше
