Ли больше других руководителей компании страдал от разногласий с властями. Его постоянно вызывали на совещания с высокопоставленными чиновниками и нещадно публично критиковали. Его подвергли крайне неприятной внеочередной налоговой проверке, о ходе которой рассказывали все государственные СМИ394. С другой стороны, он не чувствовал поддержки из штаб-квартиры Google в Маунтин-Вью. Многие топ-менеджеры, в частности один из основателей компании Сергей Брин, все более скептически относились к китайскому отделению, особенно в свете компромиссов с властями, на которые компании пришлось пойти. В 2008 году на собрании акционеров несколько активистов внесли два предложения, осуждавших цензуру и сотрудничество Google с репрессивными политическими режимами. Их почти никто не поддержал. Однако Брин на голосовании воздержался, а потом заявил, что согласен с сутью обоих предложений, особенно в части, касающейся прав человека, свободы выражения мнений и свободы получения информации395. В середине 2009 года Брин и другой основатель компании Ларри Пейдж отправились в частную поездку по Азии, в ходе которой посетили офис компании в Токио. В Пекин предпочли не заезжать, хотя именно в этот момент китайскому отделению так нужна была их поддержка.
Съездив в командировку в Маунтин-Вью на совещание совета директоров и рассказав о состоянии дел в Китае, Ли уведомил исполнительного директора Эрика Шмидта о том, что он принял решение уйти. Сотрудники Google.cn организовали трогательную прощальную вечеринку в пекинском офисе. Потом человек, которого многие считали своим предводителем и защитником, который принимал их на работу, был им наставником, ушел навсегда. Урон для морального духа китайского подразделения был огромный.
На этом annus horribilis
[9] для них не закончился.
* * *
В декабре 2009-го, возможно, самого ужасного года в истории китайского Google, неприятная новость пришла из отдела безопасности. Оказалось, что в самые важные системы Google внедрились хакеры. Более того, внедрились они уже несколько месяцев назад. Все это время, пока они сливали информацию терабайтами, их никто не мог обнаружить.
Хакеры подошли к делу с толком и выдержкой. Сначала заразили один компьютер, а с него – уже всю локальную сеть. Нулевым пациентом был сотрудник пекинского офиса. Хакеры собрали все данные о жертве из открытых источников – Facebook, LinkedIn и других социальных сетей. Потом они отправили этому сотруднику сообщение якобы от хорошего знакомого, а внутри сообщения была ссылка396. При нажатии на ссылку открывался сайт, зараженный вирусом, который использовал уязвимость нулевого дня в браузере Internet Explorer397, то есть уязвимость, о существовании которой еще никто не знал. Благодаря этой уязвимости на компьютер сотрудника загрузились другие вредоносные программы, с их помощью хакеры внедрились в локальную сеть Google398.
Раздобыв логин и пароль сотрудника китайского офиса, хакеры смогли зайти в корпоративную сеть компании, известную также под названием Moma. Там содержались подробные данные о подразделении, контакты сотрудников, отчеты о выполнении проектов якобы для внутренней прозрачности. Предполагалось, что сотрудники должны знать, чем занимаются коллеги, обмениваться информацией о ходе работы, делиться опытом399. А для хакеров эта сеть была настоящей золотой жилой: имея такие данные в своем распоряжении, они узнали, кого именно нужно атаковать и как это сделать.
Получив доступ к Moma, хакеры внедрились в компьютеры сотрудников, отвечавших за систему управления паролями Gaia. Здесь хранились пользовательские данные абсолютно всех сервисов Google. Система синхронизировала пользовательские аккаунты и давала к ним доступ по единому логину и паролю. Внедрившись туда, хакеры могли бы управлять миллионами аккаунтов по всему миру, читать письма и документы пользователей, видеть файлы, которыми они обмениваются.
Хакеры использовали целый арсенал продвинутых методов взлома: целевой фишинг, качественно подделанные письма с вирусами во вложении, программы для извлечения паролей из памяти компьютера, кейлоггеры, которые фиксируют все нажатия на клавиатуру, например при вводе логина, и получили учетные данные администратора Gaia400. Также они взломали репозитории с исходным кодом системы, чтобы найти в ней новые уязвимости.
В отделе безопасности Google под руководством Хезер Эдкинс, которая работала в компании с 2002 года, были собраны лучшие. Эти люди, пережившие бессчетное множество хакерских атак, носили футболки с надписью «Do know evil»
[10], часами вылавливали в коде продуктов компании баги и находили уязвимости401. В 2009 году, когда им стало известно о взломе, хакеры уже год как внедрились на серверы компании402. В своей штаб-квартире в Маунтин-Вью компания оборудовала самый технически оснащенный командный центр в истории, а для расследования атаки даже привлекла экспертов из Агентства национальной безопасности, что привело в ярость борцов за конфиденциальность в интернете.
Отдел Эдкинс начал следствие со снятия виртуальных отпечатков пальцев. В их распоряжении были логи, которые показывали, куда хакеры сливали данные с серверов Google. Так смогли составить «фоторобот» злоумышленников и узнать, за чем они охотились.
Неожиданное открытие привело экспертов в ужас: хакеры не только внедрились в ключевые системы жизнеобеспечения компании, но и взломали на Gmail почту известных китайских и тибетских оппозиционеров. Среди них были аккаунты художника Ай Вэйвэя и Тензина Селдона, двадцатилетнего студента, регионального координатора организации «Студенты за свободный Тибет»403. Эта улика и несколько других помогли подтвердить, что организатор атаки находится в Китае. При взломе использовались самые современные технологии, продолжалась атака почти целый год, на что требуется немало денег. Это позволило предположить, что хакеры работают на правительство404.
Эксперты по безопасности из компании Symantec позже выяснят, что группа хакеров, которую они назвали Elderwood, атаковала несколько десятков крупных американских компаний. Среди них были Yahoo, Adobe, оружейный концерн Northrop Grumman, Dow Chemical405. По некоторым данным, целей было более сотни406. В отчете эксперты Symantec писали: «Чаще всего Elderwood использует тактику целевого фишинга: отправляет правдоподобно составленное электронное письмо от доверенного адресанта, убеждающее получателя пройти по ссылке или открыть вложение. При открытии ссылки или вложения на компьютер получателя устанавливается троян, создающий лазейку для кибершпионажа. Во многих случаях применялось дорогостоящее вредоносное ПО, использующее уязвимость нулевого дня, то есть ранее неизвестные слабые места, защита от которых еще не разработана. На цифровом черном рынке такая технология стоит миллионы, поэтому можно сделать вывод, что группа получает практически неограниченное финансирование»407.