В сентябре 2017 года гигант кредитной отчетности Equifax пришел чистым: он был взломан, и конфиденциальная личная информация 143 миллионов граждан США была скомпрометирована — число, которое позже компания увеличила до 147.9 миллиона. Имена, даты рождения, номера социального страхования, все исчезло в ходе беспрецедентного ограбления. В понедельник Министерство юстиции определило предполагаемого виновника: Китай.

В обширном обвинительном акте по девяти пунктам Министерство юстиции утверждало, что за взломом Equifax стояли четыре члена Народно-освободительной армии Китая, что стало кульминацией многолетнего расследования. С точки зрения числа пострадавших граждан США, это одна из самых крупных краж личной информации, спонсируемых государством, за всю историю. Это также еще больше обостряет и без того напряженные отношения с Китаем на нескольких фронтах.

«Такая атака на американскую промышленность неразрывно связана с другим незаконным приобретением Китаем конфиденциальных персональных данных», — заявил генеральный прокурор США Уильям Барр на пресс-конференции, оглашая обвинения. «В течение многих лет мы были свидетелями ненасытного аппетита Китая к личным данным американцев».

Эта агрессия восходит к взлом Управления кадров, раскрытый в 2015 году, в котором китайские хакеры якобы украли множество очень конфиденциальных данных, касающихся государственных служащих, вплоть до недавно раскрытого нарушения в сети отелей Marriott и медицинской страховке Anthem.

Даже в этой группе мощных атак Equifax выделяется как огромным количеством пострадавших, так и типом информации, полученной хакерами. Хотя некоторые ранее подозревается в причастности Китая— что никакая информация не попала в темную сеть, указывающая на государственного деятеля, а не на обычного вора — обвинительный акт Министерства юстиции в понедельник излагает тщательное дело.

7 марта 2017 г. Apache Software Foundation объявила, что некоторые версии ее программного обеспечения Apache Struts содержат уязвимость, позволяющую злоумышленникам удаленно выполнять код в целевом веб-приложении. Это серьезная ошибка, потому что она дает хакерам возможность вмешиваться в систему из любой точки мира. В рамках своего раскрытия Apache также предложил патч и инструкции по устранению проблемы.

Equifax, которая использовала Apache Struts Framework в своей системе разрешения споров, проигнорировал оба. По словам Министерства юстиции, в течение нескольких недель китайские хакеры проникли в системы Equifax.

Уязвимость Apache Struts дала плацдарм. Оттуда четверо предполагаемых хакеров — Ву Чжиюн, Ван Цянь, Сюй Кэ и Лю Лэй — провели недели разведки, выполняя запросы, чтобы лучше понять структуру базы данных Equifax и количество записей, которые она содержит. Например, 13 мая в обвинительном заключении говорится, что один из хакеров запустил команду языка структурированных запросов, чтобы определить общие сведения о таблице данных Equifax, а затем выбрал выбранное количество записей из базы данных.

В конце концов, они начали загружать так называемые веб-оболочки, чтобы получить доступ к веб-серверу Equifax. Они использовали свое положение для сбора учетных данных, что дало им беспрепятственный доступ к серверным базам данных. Подумайте о взломе здания: это намного проще сделать, если жители оставят окно первого этажа незапертым, а вам удастся украсть удостоверения личности сотрудников.

Оттуда они пировали. В обвинительном заключении утверждается, что хакеры сначала запустили серию SQL-команд, чтобы найти особо ценные данные. В конце концов они обнаружили хранилище имен, адресов, номеров социального страхования и дат рождения. Министерство юстиции сообщает, что злоумышленники выполнили в общей сложности 9,000 запросов, не останавливаясь до конца июля.

Накопить столько данных — это одно; получить его незамеченным это другое. Китайские хакеры якобы использовали несколько методов для сохранения доступа к материнской жиле.

По данным Министерства юстиции, они хранили украденные данные во временных файлах; особенно большие файлы они сжимали и разбивали на более удобные размеры. (В какой-то момент, как говорится в обвинительном заключении, они разделили архив, содержащий 49 каталогов, на куски по 600 мегабайт.) Это сделало их передачи достаточно небольшими, чтобы избежать подозрений. После эксфильтрации данных они удалили сжатые файлы, чтобы свести к минимуму след. Также помогло то, что они были достаточно глубоко внутри сети Equifax, чтобы они могли использовать существующие зашифрованные каналы связи компании для отправки своих запросов и команд. Все это выглядело как обычная сетевая активность.

В обвинительном заключении также подробно описывается, как команда НОАК якобы настроила 34 сервера в 20 странах для проникновения в Equifax, что затрудняет определение их как потенциальной проблемы. Они использовали зашифрованные протоколы входа в систему, чтобы замаскировать свою причастность к этим серверам, и по крайней мере в одном случае каждый день стирали файлы журнала сервера. Фактически они были призраками.

Возьмем один инцидент, подробно описанный Министерством юстиции: 6 июля 2017 года один из хакеров получил доступ к сети Equifax со швейцарского IP-адреса. Затем они использовали украденные имя пользователя и пароль для служебной учетной записи, чтобы войти в базу данных Equifax. Оттуда они запросили в базе данных номера социального страхования, полные имена и адреса и сохранили их в выходных файлах. Они создали сжатый файловый архив результатов, скопировали его в другой каталог и загрузили. Данные в целости и сохранности, они потом удалили архив.

Повторяйте в течение нескольких недель, и вы получите информацию о 147.9 миллионах людей, якобы находящихся в руках иностранного правительства.

Хотя операция имела определенную степень сложности, сама Equifax значительно упростила их работу, чем должна была. Для начала он должен был исправить эту первоначальную уязвимость Apache Struts. И FTC жалоба прошлым летом также обнаружил, что компания хранила учетные данные администратора в незащищенном файле в виде открытого текста. Он также хранил 145 миллионов номеров социального страхования и другие потребительские данные в открытом виде, а не шифровал их. Не удалось сегментировать базы данных, что ограничило бы последствия. В нем отсутствовал надлежащий мониторинг целостности файлов и использовались сертификаты безопасности с истекшим сроком действия. Список можно продолжить. Equifax не просто впустила предполагаемых китайских хакеров в хранилище; она оставила отмычку от каждого банковского сейфа на виду.

«Мы благодарны Министерству юстиции и ФБР за их неустанные усилия по установлению того, что военное подразделение Китая несет ответственность за кибератаку на Equifax в 2017 году», — говорится в заявлении генерального директора Equifax Марка Бегора. «Обнадеживает то, что наши федеральные правоохранительные органы относятся к киберпреступлениям, особенно к преступлениям, спонсируемым государством, с той серьезностью, которой они заслуживают».

«Наша коллективная цель здесь, помимо того, что мы просто должны быть уверены, что это не повторится с нами, состоит в том, чтобы действительно помочь в максимально возможной степени, чтобы помочь снизить вероятность того, что это произойдет с другими организациями», — Джамиль Фарщи, начальник службы информационной безопасности. офицер Equifax, сообщил WIRED.

Некоторые элементы взлома Equifax, в частности роль уязвимости Apache Struts, уже некоторое время были достоянием общественности. Но привязка атаки к Китаю добавляет важное новое измерение как с точки зрения самого инцидента с Equifax, так и с точки зрения международных отношений.

США и Китай пережили несколько бурных лет на фронте кибербезопасности. В 2014 году Министерство юстиции предъявило обвинения пяти членам НОАК с хакерскими преступлениями против компаний США. В следующем году две страны подписали нечто вроде цифрового перемирия, которое более или менее соблюдалось на протяжении оставшейся части администрации Обамы.

Однако в последние годы появились признаки того, что разрядка рушится. Взломы Marriott и Anthem начались в 2014 году, до перемирия Обамы. Но в последнее время Китай все больше внимания уделяет кибератакам в целях корпоративного шпионажа. Это включает компрометация инструмента безопасности CCleaner для создания бэкдора в корпоративных сетях и использования его Хакеры APT10 проникают в так называемых поставщиков управляемых услуг как трамплин для десятков уязвимых компаний.

Эта агрессия в сочетании с утверждениями о безудержное воровство интеллектуальной собственности и продолжающаяся торговая война еще больше подчеркнули американо-китайские отношения. Добавление Equifax в список вызывает особую тревогу.

«Эти данные имеют экономическую ценность, и эти кражи могут подпитывать разработку Китаем инструментов искусственного интеллекта, а также создание пакетов разведывательных данных», — сказал Барр. «Наши дела раскрывают схему спонсируемых государством компьютерных вторжений и краж со стороны Китая, направленных на коммерческую тайну и конфиденциальную деловую информацию».

Объявление, сделанное в понедельник, знаменует собой лишь второй случай, когда США предъявляют поименные обвинения китайским военным хакерам. (Связанный с Министерством государственной безопасности Китая, APT10 считается невоенным.) первый раз был в 2014 году. Как и тогда, и как это часто бывает в случае с российскими хакерами, названными в обвинениях Министерства юстиции, у этого шага есть потенциальные недостатки.

«Я беспокоюсь, что китайцы будут вести себя по принципу «око за око», — говорит бывший аналитик Агентства национальной безопасности Дэйв Айтел. «Было бы хорошо иметь четкий сигнал с точки зрения доктрины».

Есть также практичность когда-либо предать обвиняемых суду, учитывая, что они граждане Китая, работающие на службе у этого правительства. «Некоторые могут задаться вопросом, что хорошего в том, что эти хакеры, казалось бы, вне нашей досягаемости», — сказал заместитель директора ФБР Дэвид Боудич на пресс-конференции в понедельник. «Мы будем использовать наши уникальные полномочия, наш опыт и наши возможности с помощью наших партнеров как дома, так и за рубежом, чтобы бороться с этой угрозой каждый день, и будем продолжать делать это».

Для жертв взлома Equifax — почти половины всех граждан США — очевидное открытие того, что за этим стоит Китай, мало что меняет, если вы не являетесь кем-то из страны. может быть нацелен на сбор разведывательных данных. В конце концов, личная информация — это рычаг. Но для большинства людей схема остается неизменной: следите за своими учетными записями и получить расчетные деньги.

Настоящая забота более экзистенциальна. Неясно, в какой степени это усугубит и без того непростые отношения между двумя мировыми державами. Как бы то ни было, тревожно, как легко было осуществить кражу данных такого беспрецедентного масштаба.

«Здесь много интересного и умопомрачительного», — говорит Айтель. «Таким образом, потребовалось всего четыре человека, чтобы собрать личную информацию о половине населения Соединенных Штатов».

Дополнительный отчет Лили Хэй Ньюман