О сохранении секретности хакеры тоже особенно не заботились. Один из участников группировки, известный под псевдонимом UglyGorilla, давно и регулярно появлялся на китайских форумах для военных и хакеров. В 2004 году, во время онлайн-конференции, организованной сайтом газеты «Цзефанцзюнь бао»{11}, он процитировал отчеты о хакерском потенциале США и задал вопрос: есть ли у Китая своя «киберармия»[458]? Точно не известно, был ли вопрос с подвохом от действующего бойца этой пресловутой киберармии или пользователя UglyGorilla завербовали уже позже. В его хакерском таланте сомневаться не приходилось. Эксперты Mandiant проследили историю его деятельности в интернете и узнали, что, среди прочего, он разрабатывал самую первую известную версию вредоносной программы из семейства Manitsme, которая позволяла хакерам загружать и скачивать файлы с зараженных компьютеров. Обычно у вредоносного ПО нет выходных данных, и тем более в них не указывается имя разработчика. То, что UglyGorilla не скрывал свою причастность к этой программе, только подтверждает: работал он, можно сказать, в очень дружелюбной, даже комфортной обстановке. Если посмотреть на код Manitsme, никаких сомнений не остается: там есть послание на ломаном английском, которое выглядит так: «v.10 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007» («версия 10, гарантированно взломать вас, писал UglyGorilla, 06/29/2007»).
Однако до взлома HBGary специалисты Mandiant не могли продвинуться дальше информации о содержании постов UglyGorilla на форумах и данных о вредоносной программе. В выложенной в открытый доступ базе данных rootkit.com было не только имя пользователя, но и адрес китайского хакера: uglygorilla@163.com. Этот адрес эксперты Mandiant проследили до доменных имен, которые зарегистрировал на себя UglyGorilla, а также еще до нескольких аккаунтов на форумах и хакерских сайтах. В слитой базе также содержался IP-адрес, с которого UglyGorilla зарегистрировал аккаунт на rootkit.com: 58.246.255.28. Он соответствовал довольно захудалому кварталу в шанхайском районе Пудун, новой застройке на осушенном болоте.
Да, за IP-адресом UglyGorilla мог бы и проследить, но эксперты узнали о нем в результате стечения обстоятельств, которые он никак не мог предусмотреть. Какова была вероятность того, что человек, связанный с rootkit.com, необдуманно пойдет войной на Anonymous, из-за чего сайт потом взломают и выложат базу в открытый доступ? Как и Барр, UglyGorilla недооценил противников и допустил несколько серьезных просчетов. Специалисты Mandiant обнаружили несколько аккаунтов, зарегистрированных на этот адрес, где в поле «Имя» было указано «Джек Ван». Сначала они решили, что это еще один псевдоним, китайский вариант распространенного сочетания имени и фамилии «Джек Смит». Однако в одном из аккаунтов UglyGorilla указал китайское имя – Ван Дун[459].
Имя Ван Дун не было псевдонимом. В 2014 году, где-то через год после выхода в свет отчета Mandiant, большое жюри присяжных Западного района штата Пенсильвания признало пятерых служащих воинского формирования № 61398 НОАК виновными по 31 пункту обвинения, включая злоумышленное использование компьютерной техники по предварительному сговору, экономический шпионаж и хищение коммерческой тайны[460]. В пресс-релизе суда об этом деле, помимо описания обстоятельств преступлений, были фотографии под заголовком «ИХ РАЗЫСКИВАЕТ ФБР» крупным шрифтом, белым текстом на красном фоне. На одной из фотографий был пухлощекий, бритый налысо мужчина с торчащими ушами, в очках без оправы, которые, казалось, были малы для его широкого лица. Подпись под фотографией гласила: «Ван Дун, также известный под именем Джек Ван, или UglyGorilla».
«В рамках дела по обвинению в экономическом шпионаже против служащих китайской армии впервые в истории обвинение в киберпреступлении такого рода предъявляется государственному субъекту, – заявил при вынесении обвинительного приговора генеральный прокурор США Эрик Холдер. Эти слова повергли в шок весь мир. – Объем похищенных в результате этого преступления объектов коммерческой тайны и прочей конфиденциальной информации очень велик, что требует от нас жесткой реакции. Добиваться успеха на мировом рынке нужно только за счет инноваций и конкурентоспособности, а не за счет того, что у какого-то правительства есть финансовая возможность вести шпионаж и красть конфиденциальную информацию. Действующая администрация не потерпит никаких попыток незаконно саботировать деятельность американских компаний и нарушать правила честной конкуренции на свободном рынке со стороны какого-либо государства».
Обвинение в адрес воинского формирования № 61398 стало своего рода предупредительным выстрелом в направлении тех, кто руководил китайской кибершпионской операцией. Видимо, в результате их действий американским компаниям был нанесен слишком серьезный урон. Иначе вряд ли Вашингтон пошел бы на обострение отношений со своим самым важным торговым партнером. При этом сами Штаты уже давно проводили хакерские атаки против других стран.
Через несколько месяцев после публикации первого отчета Mandiant о подразделении № 61398 бывший сотрудник Агентства национальной безопасности Эдвард Сноуден бежал в Гонконг, откуда обнародовал шокирующую информацию об истинном размахе правительственного шпионажа и наблюдения со стороны США. Кроме того, многие утверждали, что США совместно с израильской разведкой разработали и успешно пустили в ход вирус Stuxnet – сложное, виртуозно изготовленное кибероружие. С его помощью была уничтожена до основания иранская ядерная программа. Тем не менее в глазах американцев между их действиями и китайскими хакерами была существенная разница. Целью атак китайских хакеров были частные компании. По всей видимости, делалось это в интересах китайского бизнеса.
Одно дело украсть чертежи сверхзвукового истребителя, чтобы разработать меры защиты от него. Совсем другое – взломать сеть компании, украсть информацию по ее гражданским искам к китайским конкурентам или документы по предстоящей сделке, чтобы ее сорвать. В этом и обвинялось подразделение № 61398. «Китайское правительство слишком долго безо всякого стыда прибегало к приемам кибершпионажа, чтобы добиться экономического преимущества для государственных предприятий», – заявил при оглашении обвинения тогдашний директор ФБР Джеймс Коми. Несмотря на то что ФБР удалось раскрыть подразделение № 61398, китайские хакеры готовились провести самую дерзкую в их истории атаку.
Тучи начали сгущаться в апреле 2015 года. Тогда инженер по безопасности Управления кадров США (OPM), крупного административного органа федерального правительства, обнаружил, что из внутренней сети уходят запросы на сайт под названием opmsecurity.org[461]. Инженер Брендан Солсбери сразу заподозрил неладное. Он знал, что у OPM не было ресурса с таким доменным именем. Значит, его завел кто-то, кто хотел одурачить админов, отвечающих за исходящий трафик.
Разобрав исходящий запрос на составляющие, он обнаружил и другие подозрительные моменты. Файл, который обращался к сайту opmsecurity.org, назывался mcutil.dll. Согласно описанию, это был файл из антивирусного пакета McAfee. Но в OPM стоял другой антивирус, не McAfee. Как скоро выяснили Солсбери и его коллеги, этот файл действительно был вирусом. Внедрившись на серверы OPM, он открывал на них лазейку, а через нее у злоумышленников появлялся доступ к крайне важной секретной информации.
Степень важности этой информации стала известна совсем скоро. На закрытом совещании с сенаторами директор ФБР Коми сообщил, что злоумышленники получили доступ к личным данным 18 млн действующих, бывших и потенциальных новых федеральных служащих[462]. Там было все: отпечатки пальцев, медицинские карточки, отчеты о проверках службы безопасности, сведения о судимостях, а также множество других потенциально компрометирующих сведений о служащих и членах их семей. Хакеры проникли в самое сердце сети OPM, одного из наиболее важных компонентов федеральной инфраструктуры. Сеть создавалась как цифровая крепость, но, по всей видимости, ею не стала. Говоря словами из разгромного отчета Конгресса, этот взлом поставил под угрозу национальную безопасность на целое поколение, если не больше. Составители отчета добавляли, что значимость украденной информации – анкетных данных служащих – для иностранного государства, с точки зрения разведки и контрразведки, невозможно переоценить[463]. Эксперт, которого привлекли к расследованию утечки, точно и образно описал эту ситуацию в письме начальнику: «Они по уши в дерьме».
После обнародования факта появилось множество сообщений, в которых атаку связывали с группами хакеров на содержании у китайского правительства, в частности НОАК. В правоохранительных органах считали, что злоумышленники, скорее всего, планировали собрать большую базу данных федеральных служащих, чтобы потом шантажировать их или использовать их личные данные в своих целях. Атака затронула несколько десятков государственных органов[464]. Как и в остальных случаях, официальный Китай с негодованием все отрицал. Однако в середине 2017 года в связи с этим делом ФБР арестовало гражданина КНР, который приехал в США на конференцию по вопросам компьютерной безопасности[465].
Сразу после разоблачения подразделения № 61398 и атаки на OPM президент США Барак Обама принимал в Белом доме главу КНР Си Цзиньпина. Было подписано важное двустороннее соглашение, в котором, в частности, говорилось: правительства обеих стран обязуются не осуществлять и заведомо не поддерживать хищение с помощью компьютерных средств интеллектуальной собственности, в том числе составляющих коммерческую тайну или иную конфиденциальную информацию