Недавно в продажу поступила новая книга известного публициста, журналиста The New York Times Дэвида Сангера (David Sanger). Книга носит название «Идеальное оружие: война, саботаж и страх в киберэпоху» (The Perfect Weapon: War, Sabotage, and Fear in the Cyber Age).

На страницах «Идеального оружия» Сангер приводит описание ряда событий, произошедших в 2013 году, после которых специалисты компании Mandiant (с того же 2013 года компания принадлежит FireEye) опубликовали подробнейший доклад, посвященный операциям китайской хакерской группы APT1. К отчету на 60 страницах даже прилагался архив с 3000 дополнительными уликами (IP-адресами, сертификатами X.509, хешами MD5 вредоносных программ, описанием используемых китайцами инструментов и так далее).

Тогда публикация отчета стала громким событием для всего ИБ-сообщества, так как специалисты Mandiant проделали огромную работу, представили детальный анализ инструментов и методик хакеров и даже сумели обнаружить местонахождение их штаба: P.L.A. Unit 61398, то есть подразделения 61398 Народно-освободительной армии Китая. Считается, что именно это подразделение занимается компьютерным шпионажем и диверсиями, преимущественно, в англоязычных странах.

Фактически исследование Mandiant подтвердило, что группа APT1, вероятно, действует при поддержке правительства. Во время наблюдения APT1 систематически похищали информацию с корпоративных серверов 141 организации (суммарно были украдены сотни терабайт данных).

Но в своей книге Сангер описывает те события совсем иначе. По его мнению, эксперты Mandiant получили данные для отчета, действуя агрессивно и, по сути, противозаконно. Сангер пишет, что специалисты действовали по принципу hack back. Данным термином описывают наступательные кибероперации, когда ИБ-специалисты взламывают системы вчерашних атакующих в ответ, устанавливают их личности, разбираются, какую именно информацию им удалось похитить и, возможно, даже уничтожают украденные данные. Стоит ли говорить, что подобная практика является противозаконной?

Ниже приведен отрывок из книги Сангера.

Очень находчивые сотрудники [Mandiant, компанию тогда возглавлял Кевин Мандия (Kevin Mandia)], бывшие офицеры разведки и киберэксперы, решили попробовать другой подход и подтвердить свою версию. Возможно, они и не могли отследить IP-адреса до высотки на Datong Road, но они могли заглянуть в комнату, откуда осуществлялись хаки. Как только они обнаружили, что китайские хакеры вторглись в их внутреннюю сеть или в сеть кого-то из их клиентов (которыми в основном являются компании из списка Fortune 500), специалисты Мандии «дотянулись» до них через сеть и активировали камеры на ноутбуках хакеров. Они могли видеть все нажатия клавиш, пока наблюдали за тем, как те сидят на своих «рабочих местах».

Хакеры, почти все они были мужчинами лет двадцати, продолжали заниматься своим делом, как и многие другие молодые парни по всему миру. Они приходили на работу в 8:30 утра по шанхайскому  времени, проверяли результаты спортивных матчей, писали письма своим девушкам и иногда смотрели порно. Затем, когда часы показывали девять, они начали методично взламывать компьютерные системы по всему миру, стуча по клавиатуре до обеденного перерыва, который позволял им ненадолго вернуться матчам, подружкам и порно.

Однажды я сел рядом с одним из сотрудников Мандии и понаблюдал за работой хакерского подразделения 61398; зрелище было выдающееся. Раньше я представлял себе офицеров Народно-освободительной армии Китая, как кучку крепких, старых генералов, которые сидят в униформе с эполетами и вспоминают золотые времена с Мао. Но эти ребята были одеты в кожаные куртки или просто майки и, скорее всего, Мао они видели только в том случае, если посещали его мавзолей на площади Тяньаньмэнь. «Они были такими бро», — вспоминал позже Эндрю Шварц (Andrew Scwartz), один из специалистов по коммуникациям Mandiant.

В ответ на эти обвинения Сангера, к которому присоединились специалисты в социальных сетях, представители FireEye были вынуждены опубликовать официальное опровержение. В компании говорят, что журналист неверно истолковал все произошедшее и увиденное в тот далекий день в 2013 году. Якобы Сангеру никогда не показывали взлом в реальном времени, но видел лишь запись того, как участник подразделения 61398 взаимодействует с компьютером в сети одной из скомпрометированных компаний. И разрешение на запись такого скринкаста было получено от пострадавшей стороны.

Очевидно, представители FireEye говорят о видеоролике, который был опубликован еще в 2013 году вместе с масштабным отчетом компании. На видео показана работа хакера под ником Doda, можно увидеть содержимое его почтового ящика и используемые программы.

Ниже приведены отрывки из официального ответа компании FireEye.

«В частности, мистер Сангер предполагает, что наши специалисты «”дотянулись” до них через сеть и активировали камеры на ноутбуках хакеров». Мы этого не делали и не делали подобного никогда. Чтобы не осталось никаких двусмысленностей, обозначим, что Mandiant не применял технику hack back во время изучения APT1, ответные взломы вообще не в нашей практике реагирования на инциденты, и мы не поддерживаем практику hack back в целом.

Заключение о том, что мы взломали [APT1] в ответ, неверно, однако его можно понять.

Для человека, который смотрел данное видео “через плечо” одного из наших исследователей, оно могло показаться мониторингом активной системы. Тем не менее, Mandiant не создавала эти видеоролики посредством ответного взлома или любой другой хакерской активности. Все эти видео строятся на информации, полученной посредством согласованного мониторинга безопасности, который осуществлялся в интересах пострадавших от компрометации компаний.

Видео, просмотренные мистером Сангером, являлись продуктом перехвата пакетов сетевого трафика Windows Remote Desktop Protocol (RDP), перехваченных (PCAP) в этих пострадавших организациях. Сотрудники Mandiant никогда не включали веб-камеры в системах злоумышленников или их жертв.

Одним словом, мы не боремся с хакерами посредством хакинга».

В итоге неясным в этой истории остается только одно: если Сангер действительно принял показанную ему RDP-сессию за трансляцию взлома в реальном времени, не совсем понятно, почему в книге он описывает китайских хакеров в кожаных куртках и майках, — ничего подобного Mandiant никогда не публиковала.

Теги: CSS, Mandiant специалисты Сангер были компании