Великий китайский файрвол - Джеймс Гриффитс

что он принял решение уйти. Сотрудники Google.cn организовали трогательную прощальную вечеринку в пекинском офисе. Потом человек, которого многие считали своим предводителем и защитником, который принимал их на работу, был им наставником, ушел навсегда. Урон для морального духа китайского подразделения был огромный.

На этом annus horribilis{9} для них не закончился.

* * *

В декабре 2009-го, возможно, самого ужасного года в истории китайского Google, неприятная новость пришла из отдела безопасности. Оказалось, что в самые важные системы Google внедрились хакеры. Более того, внедрились они уже несколько месяцев назад. Все это время, пока они сливали информацию терабайтами, их никто не мог обнаружить.

Хакеры подошли к делу с толком и выдержкой. Сначала заразили один компьютер, а с него – уже всю локальную сеть. Нулевым пациентом был сотрудник пекинского офиса. Хакеры собрали все данные о жертве из открытых источников – Facebook, LinkedIn и других социальных сетей. Потом они отправили этому сотруднику сообщение якобы от хорошего знакомого, а внутри сообщения была ссылка[396]. При нажатии на ссылку открывался сайт, зараженный вирусом, который использовал уязвимость нулевого дня в браузере Internet Explorer[397], то есть уязвимость, о существовании которой еще никто не знал. Благодаря этой уязвимости на компьютер сотрудника загрузились другие вредоносные программы, с их помощью хакеры внедрились в локальную сеть Google[398].

Раздобыв логин и пароль сотрудника китайского офиса, хакеры смогли зайти в корпоративную сеть компании, известную также под названием Moma. Там содержались подробные данные о подразделении, контакты сотрудников, отчеты о выполнении проектов якобы для внутренней прозрачности. Предполагалось, что сотрудники должны знать, чем занимаются коллеги, обмениваться информацией о ходе работы, делиться опытом[399]. А для хакеров эта сеть была настоящей золотой жилой: имея такие данные в своем распоряжении, они узнали, кого именно нужно атаковать и как это сделать.

Получив доступ к Moma, хакеры внедрились в компьютеры сотрудников, отвечавших за систему управления паролями Gaia. Здесь хранились пользовательские данные абсолютно всех сервисов Google. Система синхронизировала пользовательские аккаунты и давала к ним доступ по единому логину и паролю. Внедрившись туда, хакеры могли бы управлять миллионами аккаунтов по всему миру, читать письма и документы пользователей, видеть файлы, которыми они обмениваются.

Хакеры использовали целый арсенал продвинутых методов взлома: целевой фишинг, качественно подделанные письма с вирусами во вложении, программы для извлечения паролей из памяти компьютера, кейлоггеры, которые фиксируют все нажатия на клавиатуру, например при вводе логина, и получили учетные данные администратора Gaia[400]. Также они взломали репозитории с исходным кодом системы, чтобы найти в ней новые уязвимости.

В отделе безопасности Google под руководством Хезер Эдкинс, которая работала в компании с 2002 года, были собраны лучшие. Эти люди, пережившие бессчетное множество хакерских атак, носили футболки с надписью «Do know evil»{10}, часами вылавливали в коде продуктов компании баги и находили уязвимости[401]. В 2009 году, когда им стало известно о взломе, хакеры уже год как внедрились на серверы компании[402]. В своей штаб-квартире в Маунтин-Вью компания оборудовала самый технически оснащенный командный центр в истории, а для расследования атаки даже привлекла экспертов из Агентства национальной безопасности, что привело в ярость борцов за конфиденциальность в интернете.

Отдел Эдкинс начал следствие со снятия виртуальных отпечатков пальцев. В их распоряжении были логи, которые показывали, куда хакеры сливали данные с серверов Google. Так смогли составить «фоторобот» злоумышленников и узнать, за чем они охотились.

Неожиданное открытие привело экспертов в ужас: хакеры не только внедрились в ключевые системы жизнеобеспечения компании, но и взломали на Gmail почту известных китайских и тибетских оппозиционеров. Среди них были аккаунты художника Ай Вэйвэя и Тензина Селдона, двадцатилетнего студента, регионального координатора организации «Студенты за свободный Тибет»[403]. Эта улика и несколько других помогли подтвердить, что организатор атаки находится в Китае. При взломе использовались самые современные технологии, продолжалась атака почти целый год, на что требуется немало денег. Это позволило предположить, что хакеры работают на правительство[404].

Эксперты по безопасности из компании Symantec позже выяснят, что группа хакеров, которую они назвали Elderwood, атаковала несколько десятков крупных американских компаний. Среди них были Yahoo, Adobe, оружейный концерн Northrop Grumman, Dow Chemical[405]. По некоторым данным, целей было более сотни[406]. В отчете эксперты Symantec писали: «Чаще всего Elderwood использует тактику целевого фишинга: отправляет правдоподобно составленное электронное письмо от доверенного адресанта, убеждающее получателя пройти по ссылке или открыть вложение. При открытии ссылки или вложения на компьютер получателя устанавливается троян, создающий лазейку для кибершпионажа. Во многих случаях применялось дорогостоящее вредоносное ПО, использующее уязвимость нулевого дня, то есть ранее неизвестные слабые места, защита от которых еще не разработана. На цифровом черном рынке такая технология стоит миллионы, поэтому можно сделать вывод, что группа получает практически неограниченное финансирование»[407].

Из обнародованных WikiLeaks телеграмм госдепартамента США тоже можно сделать вывод: американские дипломаты подозревали, что атакой руководит правительство Китая. По всей видимости, они не поделились с Google этой информацией. Чэнь Цзежэнь, редактор сайта китайского комсомола и племянник члена постоянного комитета КПК Хэ Гоцяна, сообщил сотрудникам посольства США, что атаку координировал отдел информации Госсовета КНР, главный орган по цензуре. По словам Чэня, заказчиками атаки были Ли Чанчунь, давний враг Ли Кайфу, и министр безопасности Чжоу Юнкан. При этом остальные члены политбюро не были поставлены в известность[408]. По мнению Чэня, повод для атаки был на 100 % политическим. Ли Кайфу, как он потом сообщил дипломатам, подозревал, что Ли Чанчунь работает на Baidu и действует целенаправленно против интересов Google в Китае.

Сергею Брину давно не нравилось то, что Google делает в Китае. Он был шокирован, когда хакеры взломали ящики оппозиционеров на сервисе Gmail. Родители Брина, русские евреи, уехали из СССР в 1979 году, когда ему было шесть лет. Отец-астрофизик[409] хотел, чтобы чиновники из Кремля не мешали его работе[410]. Брин лично возглавил операцию по противодействию атаке. В своих интервью он проводил параллель между взломом ящиков оппозиционеров и историей своей семьи, сказав, в частности, что в этом случае наблюдаются те же признаки тоталитаризма, они весьма тревожны[411].

В самой Google Брин еще с 2008 года выступал за прекращение самоцензуры китайской версии, но только сейчас его мнение стали разделять другие руководители. Он перетянул на свою