Помимо этой цепочки связей с хостинг-сервисом, говорится в отчете McAfee, имеются и многие другие свидетельства, указывающие на вероятное китайское происхождение шпионов. Начать можно с использования пароля вида "zw.china", который охраняет вход в "командный пункт управления троянами", программу zwShell. Кроме того, аналитики McAfee установили, что все операции шпионов по хищению данных происходили с IP-адресов, находящихся в Пекине, причем деятельность эта отмечалась строго по будням, в периоды времени с 9:00 до 17:00 по пекинскому времени. Иначе говоря, всё выглядело так, словно в качестве "шпионов" тут явно выступали люди, приходящие для этого на службу в некую компанию или организацию, а не "вольные стрелки" или неорганизованные хакеры-любители. Ну и вдобавок к этому, как уже упоминалось, шпионы применяли хакерские инструменты китайского происхождения, преобладающие именно в китайских форумах сетевого андеграунда. Среди инструментов этого рода упомянуты Hookmsgina и WinlogonHack – популярные инструменты для перехвата запросов на вход в систему, с последующим захватом имён-логинов и паролей доступа.

Самое же, пожалуй, необычное во всей этой истории то, что когда "невидимую" многомесячную активность злоумышленников, наконец, всё же удалось-таки заметить, то быстро выяснилось, что они ничуть не беспокоились о заметании своих "китайских следов". Скорее даже наоборот, как будто даже хотели, чтобы не оставалось никаких сомнений, откуда всё идёт.

Подводя итог своим наблюдениям, авторы отчёта пишут: "Хотя и имеется возможность того, что все перечисленные признаки – не более чем отвлекающие манёвры, применяемые для перевода подозрений на атаки китайских хакеров, мы полагаем, что это в высшей степени маловероятно. Более того, неясно, кому бы вообще могла потребоваться подобная мотивация – заходить столь экстраординарно далеко, чтобы вину за подобные атаки перекладывать на кого-то другого"...

Наверное, вполне можно допустить, что для антивирусных аналитиков McAfee предпринятые шпионами действия по маскировке своего реального происхождения могут представляться "экстраординарно далеко" заходящими. Однако для настоящих шпионских операций спецслужб подобные вещи выглядят вполне обычным делом. Чтобы далеко не ходить за примерами, достаточно напомнить недавний случай из реальной жизни.

В городе Вене появился русский физик-ядерщик и тайно передал иранской стороне чертежи реального взрывателя для ядерных боеприпасов, разработанного в одном из секретных центров СССР по созданию атомного оружия... Внешне происходящее выглядело как вполне очевидные попытки коварных русских в очередной раз осложнить хрупкую международную безопасность и тайно помочь Ирану в его устремлениях к собственному ядерному оружию. Однако на самом деле всё это было не очень удачной и наверняка не самой умной операцией ЦРУ США, которое столь экстравагантным способом зондировало атомные амбиции иранцев (подробности смотрите в материале "Тайны операции MERLIN").

Возвращаясь к операции "Ночной Дракон", определенно можно констатировать, что никаких следов американских или каких-либо ещё западных спецслужб за ней, конечно же, не наблюдается. Но и про знаменитых китайских хакеров хорошо известно, что они не имеют обыкновения работать столь открыто и вызывающе, конструируя пароли вроде "Вперед, Китай!" и организуя тайные кибератаки с пекинских IP-адресов.

С другой стороны, не является секретом, что крупные транснациональные корпорации, будь они нефтегазовые или какие-либо ещё, ныне имеют мощные и агрессивные службы безопасности, по своим задачам и методам действий вполне сопоставимые со спецслужбами государств средней руки. Причем работают в этих структурах все больше бывшие сотрудники государственных разведок и контрразведывательных органов, применяя при этом весьма и весьма продвинутые методы технического шпионажа.

Никаких сомнений не вызывает, что в данном случае налицо имеется классический пример промышленного шпионажа. Не подлежит сомнению и то, что в столь прибыльной и остроконкурентной сфере, как нефтегазовый бизнес, компании-игроки очень энергично шпионят друг за другом (смотрите материал "Шпионы нарасхват"). Сильные сомнения тут вызывает лишь тезис, согласно которому за всеми киберкознями непременно должны стоять китайцы. Или там, понимаешь, россияне.

Автор: Константин Ушаков

Опубликовано 14 февраля 2011 года

От редакции: Начался новый этап в жизни Nokia: компания решила отказаться от Symbian и перейти на Windows Phone. Самое время вспомнить славную историю финской компании. Эта статья была опубликована в родственном "Компьютерре" журнале CIO 23 марта 2007 года.