В Comment Crew работали опытные хакеры и программисты, которые сами могли писать вирусы и настраивать под себя инструменты для взлома сетей. Однако используемый ими арсенал не отличался от методов, что применялись для атак на тибетскую диаспору с самого начала нулевых или для взлома сети Google в 2009 году. Хакеры из APT1 изучали информацию о компаниях, намечали список потенциальных жертв среди сотрудников и рассылали им тщательно и правдоподобно составленные фишинговые письма с невинно выглядящими вложениями. Если получатель открывал такое вложение, у хакеров появлялся неограниченный доступ к компьютеру жертвы или ко всей сети. Группировка существовала уже давно и отличалась завидной уверенностью, даже самоуверенностью. Годами применялись все те же вирусы, домены, IP-адреса, инструменты. Зачем было менять зарекомендовавшие себя схемы? Ведь их можно было пустить в ход практически при любой атаке.
О сохранении секретности хакеры тоже особенно не заботились. Один из участников группировки, известный под псевдонимом UglyGorilla, давно и регулярно появлялся на китайских форумах для военных и хакеров. В 2004 году, во время онлайн-конференции, организованной сайтом газеты «Цзефанцзюнь бао»
[11], он процитировал отчеты о хакерском потенциале США и задал вопрос: есть ли у Китая своя «киберармия»458? Точно не известно, был ли вопрос с подвохом от действующего бойца этой пресловутой киберармии или пользователя UglyGorilla завербовали уже позже. В его хакерском таланте сомневаться не приходилось. Эксперты Mandiant проследили историю его деятельности в интернете и узнали, что, среди прочего, он разрабатывал самую первую известную версию вредоносной программы из семейства Manitsme, которая позволяла хакерам загружать и скачивать файлы с зараженных компьютеров. Обычно у вредоносного ПО нет выходных данных, и тем более в них не указывается имя разработчика. То, что UglyGorilla не скрывал свою причастность к этой программе, только подтверждает: работал он, можно сказать, в очень дружелюбной, даже комфортной обстановке. Если посмотреть на код Manitsme, никаких сомнений не остается: там есть послание на ломаном английском, которое выглядит так: «v.10 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007» («версия 10, гарантированно взломать вас, писал UglyGorilla, 06/29/2007»).
Однако до взлома HBGary специалисты Mandiant не могли продвинуться дальше информации о содержании постов UglyGorilla на форумах и данных о вредоносной программе. В выложенной в открытый доступ базе данных rootkit.com было не только имя пользователя, но и адрес китайского хакера: uglygorilla@163.com. Этот адрес эксперты Mandiant проследили до доменных имен, которые зарегистрировал на себя UglyGorilla, а также еще до нескольких аккаунтов на форумах и хакерских сайтах. В слитой базе также содержался IP-адрес, с которого UglyGorilla зарегистрировал аккаунт на rootkit.com: 58.246.255.28. Он соответствовал довольно захудалому кварталу в шанхайском районе Пудун, новой застройке на осушенном болоте.
Да, за IP-адресом UglyGorilla мог бы и проследить, но эксперты узнали о нем в результате стечения обстоятельств, которые он никак не мог предусмотреть. Какова была вероятность того, что человек, связанный с rootkit.com, необдуманно пойдет войной на Anonymous, из-за чего сайт потом взломают и выложат базу в открытый доступ? Как и Барр, UglyGorilla недооценил противников и допустил несколько серьезных просчетов. Специалисты Mandiant обнаружили несколько аккаунтов, зарегистрированных на этот адрес, где в поле «Имя» было указано «Джек Ван». Сначала они решили, что это еще один псевдоним, китайский вариант распространенного сочетания имени и фамилии «Джек Смит». Однако в одном из аккаунтов UglyGorilla указал китайское имя – Ван Дун459.
Имя Ван Дун не было псевдонимом. В 2014 году, где-то через год после выхода в свет отчета Mandiant, большое жюри присяжных Западного района штата Пенсильвания признало пятерых служащих воинского формирования № 61398 НОАК виновными по 31 пункту обвинения, включая злоумышленное использование компьютерной техники по предварительному сговору, экономический шпионаж и хищение коммерческой тайны460. В пресс-релизе суда об этом деле, помимо описания обстоятельств преступлений, были фотографии под заголовком «ИХ РАЗЫСКИВАЕТ ФБР» крупным шрифтом, белым текстом на красном фоне. На одной из фотографий был пухлощекий, бритый налысо мужчина с торчащими ушами, в очках без оправы, которые, казалось, были малы для его широкого лица. Подпись под фотографией гласила: «Ван Дун, также известный под именем Джек Ван, или UglyGorilla».
«В рамках дела по обвинению в экономическом шпионаже против служащих китайской армии впервые в истории обвинение в киберпреступлении такого рода предъявляется государственному субъекту, – заявил при вынесении обвинительного приговора генеральный прокурор США Эрик Холдер. Эти слова повергли в шок весь мир. – Объем похищенных в результате этого преступления объектов коммерческой тайны и прочей конфиденциальной информации очень велик, что требует от нас жесткой реакции. Добиваться успеха на мировом рынке нужно только за счет инноваций и конкурентоспособности, а не за счет того, что у какого-то правительства есть финансовая возможность вести шпионаж и красть конфиденциальную информацию. Действующая администрация не потерпит никаких попыток незаконно саботировать деятельность американских компаний и нарушать правила честной конкуренции на свободном рынке со стороны какого-либо государства».
Обвинение в адрес воинского формирования № 61398 стало своего рода предупредительным выстрелом в направлении тех, кто руководил китайской кибершпионской операцией. Видимо, в результате их действий американским компаниям был нанесен слишком серьезный урон. Иначе вряд ли Вашингтон пошел бы на обострение отношений со своим самым важным торговым партнером. При этом сами Штаты уже давно проводили хакерские атаки против других стран.
Через несколько месяцев после публикации первого отчета Mandiant о подразделении № 61398 бывший сотрудник Агентства национальной безопасности Эдвард Сноуден бежал в Гонконг, откуда обнародовал шокирующую информацию об истинном размахе правительственного шпионажа и наблюдения со стороны США. Кроме того, многие утверждали, что США совместно с израильской разведкой разработали и успешно пустили в ход вирус Stuxnet – сложное, виртуозно изготовленное кибероружие. С его помощью была уничтожена до основания иранская ядерная программа. Тем не менее в глазах американцев между их действиями и китайскими хакерами была существенная разница. Целью атак китайских хакеров были частные компании. По всей видимости, делалось это в интересах китайского бизнеса.
Одно дело украсть чертежи сверхзвукового истребителя, чтобы разработать меры защиты от него. Совсем другое – взломать сеть компании, украсть информацию по ее гражданским искам к китайским конкурентам или документы по предстоящей сделке, чтобы ее сорвать. В этом и обвинялось подразделение № 61398. «Китайское правительство слишком долго безо всякого стыда прибегало к приемам кибершпионажа, чтобы добиться экономического преимущества для государственных предприятий», – заявил при оглашении обвинения тогдашний директор ФБР Джеймс Коми. Несмотря на то что ФБР удалось раскрыть подразделение № 61398, китайские хакеры готовились провести самую дерзкую в их истории атаку.