Отчет организации RAND: Деятельность (китайских) хакеров

Главная страница > Преследование > Информация о преследовании

Окт. 2, 2003 | Весна 2000 года

« Утверждать Закон с разумом, разъяснять истину с мудростью, распространять Закон и предлагать людям спасение с милосердием.» (канон «Разумность»)

« Разъясняйте правду всесторонне, уничтожайте зло праведными мыслями, спасайте все живые существа, защищайте Закон решительно» ( канон «Великий Закон неразрушим»)

Отчет организации RAND : Деятельность (китайских) хакеров

[Примечание редактора: Это выдержка из отчета организации RAND (Исследование и Развитие) «У Вас Диссидент! – Использование Интернета китайскими диссидентами и Контрмеры Пекина», написанного Майклом Чейсом ( Michael S . Chase ) и Джеймсом Малвеноном ( James C . Mulvenon ) и опубликованного в 2002 году. ]

Существуют доказательства, которые позволяют предположить, что китайское правительство или отдельные его структуры вовлечены в хакерскую деятельность, направленную на диссидентов и компьютерные системы, высказывающие противоположное режиму мнение за пределами Китая. Поскольку источник большинства компьютерных сетевых вторжений носит крайне неопределенный характер, зачастую бывает очень трудно, если вообще возможно, установить официального виновника компьютерного нападения без дополнительных доказательств. Поэтому власти, обычно умышленно, могут вполне корректно заявить о своей непричастности в данных случаях. Атаки китайских хакеров против Тайваня в августе 1999 года и против Японии в феврале 2000 года являются примерами инцидентов, в которых трудно определить вину правительства, полную или частичную, основываясь исключительно на данных вторжения.

Существуют более веские доказательства в поддержку вывода о том, что китайское правительство или отдельные его структуры являются ответственными за одну или более китайских сетевых атак на компьютерные системы, поддерживаемые практикующими Фалуньгун в Соединенных Штатах, Австралии, Канаде и Великобритании. После разоблачения роли определенных китайских структур безопасности в этих атаках, как полагается, агентами были проведены более сложные и изощренные вторжения, по которым было сложнее установить меру участия правительства. Это особенно касается атак, проведенных зимой и весной 2000 года.

Лето 1999 года . В середине июля 1999 года китайское правительство начало общенациональное преследование Фалуньгун. [...] Новости о [преследовании] быстро распространялись, вследствие широкого использования передовых информационных технологий и благодаря ряду сайтов в сети Интернет во всем мире. Эти сайты обеспечивали текущей информацией о фактах [репрессий] в некоторых китайских городах, основанной на письмах, отправляемых по электронной почте и с помощью других средств коммуникации, используемых [практикующими]. По мере того, как эта история постепенно подхватывалась мировыми средствами массовой информации, эти сайты, многие из которых поддерживались членами группы за небольшую плату, стали, по понятным причинам, испытывать напряжение под растущими ударами, которые они получали. В то время, как замедление работы явилось ожидаемым последствием мирового внимания, некоторые сайты стали страдать от аномальных сбоев. Когда системные администраторы этих серверов детально изучили ситуацию, некоторые поняли, что их сети пострадали в результате сложной серии компьютерных сетевых нападений. Атаки в июле 1999 года на сайты Фалуньгун в четырех странах (один – в Великобритании, два – в Канаде, один – в Австралии и два – в Соединенных Штатах) подверглись тщательному изучению.

Самые серьезные доказательства осуществляемых правительством информационных действий против Фалуньгун получены в случае, происшедшем в США. 14 июля 1999 года практикующий Фалуньгун Боб МакВи ( Bob McWee ) из Мидлтауна, штат Мэриленд, создал сайт www . falunusa . net , первостепенной задачей которого являлось зеркальное отражение статей с существующих сайтов в Канаде ( www . falundafa . ca и www . minghui . ca ) и Соединенных Штатов ( www . falundada . org ). 20 июля 1999 года два канадских сайта вследствие атак китайских хакеров стали страдать от снижения производительности сети. В результате, они стали перенаправлять запросы на зеркальный сайт www . falunusa . net . С 21 по 23 июля сайт в США стал испытывать похожие трудности. В частности, он пострадал вследствие атаки, известной как отказ в обслуживании, при которой атакуемая машина заваливается [большим количеством] запросов на выборку данных и, в конце концов, становится жертвой атаки и выводится из строя. Разбор похожего нападения 27 июля 1999 года выявил исходный IP адрес атаки - 202.106.133.101, это интернет адрес в Китае. Проверка этого адреса по базе данных Азиатско-Тихоокеанского Сетевого Информационного Центра ( APNIC ) выявила информацию о пользователе, приведенную на рисунке 1.

Рисунок 1: Первоначальные данные APNIC

Наименование организации «Информационный Сервис Центр СиньАнь в Пекине» звучит вполне безобидно, но адрес организации говорит совсем о другом. Адрес Восточная улица Чан Ань дом № 1 4 (отмечена на рисунке 1 как " Dong Chang An Jie 14") в Пекине принадлежит Министерству Общественной Безопасности ( MPS ), службе внутренней безопасности Китая, организации, которая больше всего была обеспокоена непредвиденным появлением тысяч практикующих Фалуньгун перед зданием центрального правительства, Чжуннаньхай, в апреле 1999 года, которое привело к критике и чистке руководства Министерства Общественной Безопасности. В добавок, на Бюро компьютерного наблюдения и контроля Министерства Общественной Безопасности возложена ответственность, связанная с Интернет в Китае, включая безопасность компьютерных сетей и управления организациями, предоставляющими услуги Интернет.

Конечно, неопределенность информационной войны создана самой структурой Интернет, журналов обнаружения проникновения как правило недостаточно, чтобы определить, являлась ли истинной причиной атаки данная организация, или просто в сеть Министерства Общественной Безопасности проникло третье лицо, использовав ее в качестве базы для совершения атаки. Однако четыре ключевых момента доказательств, позволяют уверенно предположить, что истинным виновником атак на сайты Фалуньгун является Министерство Общественной Безопасности. Во-первых, сеть была создана незадолго до информационных действий, отделившись от других сетей, явно принадлежащих Министерству Общественной Безопасности и находящихся в других частях киберпространства Китая, таких как доменное пространство, принадлежащее веб странице Министерства Общественной Безопасности ( www . mps . gov . cn ). Во-вторых, название организации в базе данных – Информационный Сервис Центр – предполагает намерение обмануть посторонних лиц в отношении ее подлинной принадлежности.

В-третьих, по крайней мере, один из источников западного СМИ заявил, что звонил по телефонам, приведенным на рисунке 1, и ответивший на звонок сообщил ему, что эти номера принадлежат Министерству Общественной Безопасности. Звонок этого агентства новостей, совершенный позже, оператору министерства подтвердил, что номера принадлежат Бюро компьютерного наблюдения и контроля Министерства Общественной Безопасности. Четвертая, наиболее убедительная часть доказательств основывается непосредственно на нависшей угрозе разоблачения в западных СМИ принадлежности к правительственной сети. Возможно, в результате возрастающего внимания средств массовой информации, в особенности в условиях надвигающейся статьи Майкла Лариса ( Michael Laris ) в Вашингтон Пост , информация в базе данных Азиатско-Тихоокеанского Сетевого Информационного Центра ( APNIC ) была изменена 29 июля 1999 года, как показано на рисунке 2. Наиболее важным является то, что владельцы сетевого пространства изменили вызывающий осуждение адрес владельца сети с Восточной улицы Чан Ань дом № 1 4 на Дорогу Чжэн И дом № 6 (приведен на рисунке 2 как « Zheng Yi Lu 6 »)

Рисунок 2: Измененные данные APNIC (Изменены 29 июля 1999 года)

Если сеть министерства сама стала жертвой атаки и поэтому ошибочно обвинялась в осуществлении атаки на сайт Фалуньгун в Соединенных Штатах, зачем связываться с проблемами, изменяя информацию в базе данных на адрес, отличный от штаб-квартиры министерства? И было ли случайным стечением обстоятельств то, что сетевая информация была изменена накануне разоблачения в основных западных газетах предполагаемой роли Министерства Общественной Безопасности в этом нападении? Больше всего осуждений вызывает то, что новый адрес (Дорога Чжэн И дом № 6) принадлежит Исследовательскому Институту № 3 Министерства Общественной Безопасности, который отвечает за компьютерную безопасность. Доказательства, приведенные ранее, вместе с последней попыткой и дальше спрятать истинного владельца сети, вызывает твердое предположение, что преступник был пойман «с поличным». Конечно же, сам факт, что атаки, возможно, исходили из сети Министерства Общественной Безопасности автоматически не означают, что они были санкционированы руководством министерства или его начальниками в высшем партийном руководстве. Одна из возможностей, которую необходимо рассмотреть, заключается в том, что атаку осуществил «преступный элемент» в министерстве без чьего-либо одобрения. После разоблачения преступных усилий, естественной реакцией было бы скрыть принадлежность сети министерства, изменив данные APNIC . Кто-нибудь может спросить, могло ли министерство так быстро найти виновного, провести расследование его действий и принять технические меры, но, как бы невероятно это не выглядело, это не является невозможным.

Последнее замечание в отношении атаки на www . falunusa . net 27 июля 1999 года: способ, которым министерство предположительно вывело из строя сайт содержит красивую уловку. Атака отказа в обслуживании являлась классической атакой « SYN flood » (большим потоком SYN -пакетов или запросов на соединение) и, похоже, была задумана с целью представить, как будто информационные операции Фалуньгун направлены против Министерства Транспорта США. Во время июльской атаки сеть Министерства Общественной Безопасности Китая направила SYN -пакет (запрос на соединение) на сайт www . falunusa . net с неправильным обратным адресом, а именно адресом сервера, контролируемого Министерством Транспорта. По словам заместителя директора по телекоммуникациям в офисе информационно-технологических операций Министерства Транспорта Эверетта Дауда ( Everett Dowd ), сетевой инженер министерства связался с Бобом МакВи и операторами других сайтов Фалуньгун, чтобы выяснить, почему www . falundafa . org , www . falunUSA . net и www . falundafa . ca направляют на сервер Министерства Транспорта неавторизованные пакеты.

Почему из миллионов возможных адресов Министерство Общественной Безопасности Китая выбрало адрес, принадлежащий Министерству Транспорта США? Одна из правдоподобных гипотез заключается в том, что злоумышленники хотели «убить двух зайцев»: вывести из строя сайт Фалуньгун, и также представить, чтобы все выглядело так, как будто сайт Фалуньгун осуществляет информационные действия, направленные против правительственного сайта США. Во время атаки китайская правительственная кампания пропаганды была в разгаре, ставя на Фалуньгун клеймо «опасного культа» и «террористической организации». Что может быть лучше для представления Фалуньгун в черном свете, чем представить так, как будто организация вовлечена в хакерскую деятельность, направленную против правительственных сайтов США? И действительно, системные администраторы в Министерстве Транспорта в начале считали, что с сайта www . falunusa . net осуществляется атака отказа в обслуживании, пока в конце концов не увидели со своей стороны, что это были серии SYN - ACK запросов (ответов на SYN -запросы), которые идут в их систему со стороны www . falunusa . net без всякой видимой причины. Лишь позже сотрудники Министерства Транспорта догадались, что сайт Фалуньгун просто стал невольным соучастником третьей стороны.

Атаки на сайты Фалуньгун в Англии и Австралии в конце лета 1999 года имеют интересные черты, похожие на вторжения в Соединенных Штатах, в особенности то, что касается исходных IP адресов злоумышленников. Сайт Фалуньгун в Великобритании ( http :// www . yuanming . org . uk ) был создан 20 июля 1999 года практикующим Фалуньгун Чжу Бао, проживающим в городе Дублин, Ирландия. 23 июля 1999 года сайт подвергся непрерывным атакам со стороны китайских IP адресов. В начале атаки вывели из строя сервер. Позже они удалили все первоначальные файлы, заменив их текстом статей агентства новостей Синьхуа [которые порочили репутацию основателя Фалуньгун].

Поставщик услуг Интернет (сервис провайдер) для Фалуньгун в Англии ( NetScan , www . netscan . co . uk ) подтвердил, что злоумышленники узнали их пароль корневого каталога ( пользователь, знающий этот пароль, имеет полный доступ ко всей системе ). После другой атаки, Ли Шао из Ноттингема открыто сообщил 26 июля 1999 года, что его сайт Фалуньгун был атакован хакерами, действующими с китайских IP адресов. Источники Фалуньгун заявляют, что Британская полиция связалась с адресом Информационного Сервис Центра СиньАнь в Пекине, обсуждаемым выше, но получить независимое подтверждение оказалось невозможно.

В Канаде два сайта Фалуньгун ( www . minghui . ca и www . falundafa . ca ) были атакованы хакерами, и оба, в конце концов, стали жертвой атаки. Сервис провайдеры этих сайтов Bestnet Internet из Гамильтона, провинция Онтарио, и Nebula Internet Services из Берлингтона, провинция Онтарио, сообщили, что их сети 30 июля 1999 года подверглись атаке китайских правительственных серверов вследствие того, что они предоставили услуги по организации сайтов канадским последователям Фалуньгун, включая Джейсона Сяо ( Jason Xiao ), системного администратора www . falundafa . ca . По словам директора Bestnet Internet Эрика Вейгеля ( Eric Weigel ), попытки взлома исходили из «китайских правительственных офисов в Пекине». Вейгель установил, что исходные адреса принадлежат Прикладному Институту Информационных Технологий в Пекине ( BAIIT ) и Информационному Центру СиньАнь в Пекине. В газетах не сообщалось об IP адресах, но сети BAIIT можно найти в диапазоне адресов 203.93.160.0 - 203.93.160.255. Возможные правительственные контакты означают адреса почтовых ящиков в отделении связи, предоставленные BAIIT в базу данных APNIC , поскольку часто вместо реальных адресов китайским правительством и военными используются адреса почтовых ящиков. Напротив, государственная принадлежность Информационного Центра СиньАнь в Пекине более очевидна, как это подробно обсуждалось ранее в этой главе.

Кампания Nebula Internet Services сообщила, что эти же сайты пытались вывести из строя их сервера, используя похожие типы атак. По словам представителей Nebula , нападения продолжались более месяца, совпав по времени с [правительственным преследованием Фалуньгун]. В отличие от компании Bestnet , которая обладает более передовым оборудованием и смогла противостоять атакам с небольшой потерей для обслуживания, системы Nebula были выведены из строя хакерами, и кампания была вынуждена отключить обслуживание. Владелица двух канадских сайтов Фалуньгун (возможно, тех же, что обсуждалось выше) Цзиллиан Е ( Jillian Ye ) из Торонто, заявила, что ее сайты в течение нескольких месяцев каждый день подвергались нападению, и проблемы постепенно становились все хуже, пока, в конце концов, она не перевела сайт на более безопасный сервер. Меньшее сходство наблюдается между атаками, описанными выше, и атаками на сервера Фалуньгун, расположенные в Австралии, но время нападения на австралийские сайты (конец лета 1999 года и середина весны 2000 года) в значительной степени совпадает со временем атак в других странах. Австралийский практикующий Фалуньгун в марте 1997 года создал зеркальный сайт Фалуньгун ( http :// falundafa . au . cd ), используя операционную систему Windows NT server . 6 сентября 1999 года компьютерные атаки, исходящие с китайского IP адреса привели к остановке работы сайта. Жертвы сообщили полиции, что агенты могли манипулировать курсором на экране, что наводит на мысль о том, что атакующие для внедрения на сайт использовали хакерскую программу Back Orifice 101. Начиная с сентября 1999 года австралийская полиция начала постоянное наблюдение за сайтом.

Весна 2000 года . Первое из возобновившихся нападений на серверы Фалуньгун произошло 11 марта 2000 года, совпав по времени с Национальным Народным Конгрессом (Всекитайским Собранием Народных Представителей) в Пекине. Нападение хакеров, использующих технику отказа от обслуживания, известную как атака smurf , вывели из строя основной сервер в Канаде ( www . minghui . ca ), а также три зеркальных сайта ( www . falundafa . ca , www . falundafa . org и www . minghui . org ). Поскольку в случае атаки smurf достаточно эффективно скрывается информация об атакующем, невозможно собрать какую-либо полезную информацию по журналам вторжений.

Атаки на сервера Фалуньгун достигли пика в середине апреля 2000 года, когда пять сайтов - три в США ( www . falunUSA . net , www . falundafa . org , www . truewisdom . net ) и два в Канаде ( www . minghui . ca и www . falundafa . ca ) – одновременно подверглись smurf атакам. Время атак совпало с двумя важными политическими событиями: (1) предстоящее голосование в Комиссии по Правам Человека Организации Объединенных Наций по резолюции ООН, осуждающей нарушения прав человека в Китае, включая преследование Фалуньгун; и (2) первая годовщина 25 апреля 1999 года, когда практикующие Фалуньгун собрались перед зданием центрального правительства в Пекине.

Системные администраторы Фалуньгун получили различные предупреждения о предстоящих нападениях. Приблизительно 6-го апреля в адрес Фалуньгун пришло письмо по электронной почте, предупреждавшее о том, что Бюро Общественной Безопасности выделило деньги двум кампаниям, занимающимся вопросами сетевой безопасности, чтобы они взломали сайты группы за рубежом. После первой волны атак системный администратор Фалуньгун Ли Юань получил 12 апреля анонимную информацию, подтверждавшую ситуацию. «Мы получили 12 апреля анонимное письмо по электронной почте от китайского компьютерного эксперта, предупреждавшее нас о том, что бюро компьютерной безопасности полиции распорядилось выделить деньги компьютерной компании, чтобы взломать наши сайты», - сказал Юань. По словам системного администратора FalunUSA из Мэриленда сами атаки начались в районе 9 – 10 апреля. Взломщики атаковали IP адреса сайтов, а не доменные имена, и, похоже, проникли в систему, воспользовавшись лазейками в системе безопасности FTP команд (команд протокола передачи файлов). Проникнув внутрь, атакующие заменили большинство файлов с сетевыми командами (например, ls – вывод содержимого каталога, df – вывод информации о дисках, find – поиск файлов по критерию) на свои версии, содержавшие «троянских коней» (троянский конь - компьютерная программа, реализующая полезную функцию и содержащая дополнительные скрытые функции, которые тайно используют законные полномочия инициирующего процесса в ущерб безопасности) для дальнейшего проникновения. Системный администратор сообщил, что после того, как он обнаружил и ликвидировал усилия хакеров, взломщики попытались подсоединиться к его серверу, используя FTP и SSH команды, но эти попытки получили отпор.

В Австралии атаки вновь начались с марта по май 2000 года, самая серьезная атака произошла 22 мая. Австралийский сервер был выведен из строя в 3 часа ночи 22 мая, перезагружен на следующее утро, а затем вновь через час подвергся взлому. Второй раз его перезагрузили лишь в 19 – 20 часов вечера. Журналы этих атак и адреса атакующих сайтов были непригодны для анализа, но австралийский системный администратор сказал, что взломщики использовали метод, известный как IIS атака, и их IP адреса можно отследить в Гонконге, Англии и Соединенных Штатах. Системный администратор заявил, что атаки в 2000 году были более изощренными, чем аналогичные атаки в 1999 году, и нападавшим удалось легко воспользоваться регистрационными именами удаленных пользователей, которые позже были аннулированы их владельцами.

Источник информации: http://www.rand.org/publications/MR/MR1543/

Версия на китайском языке находится на: http :// www . minghui . org / mh / articles /2002/9/15/36603. html