В погоне за китайскими кибершпионами

История трёх китайцев, которые шесть лет крали чертежи американской армии. Их ошибка вынудила Китай изменить стратегию кибершпионажа.

16 октября в США вышла дебютная книга «Рассвет кодинговой войны» бывшего помощника генерального прокурора Отдела национальной безопасности США Джона Карлина. В ней чиновник, занимающийся вопросами терроризма, шпионажа и киберугроз, рассказывает о борьбе США с «цифровыми врагами» в лице России и Китая. Одна из глав произведения посвящена громкому скандалу на тему кибершпионажа между Вашингтоном и Пекином.

В течение шести лет двое китайских военных и бизнесмен китайского происхождения крали чертежи дорогостоящей военной техники США, пока на них не вышло ФБР. В развернувшемся политическом конфликте под удар попала случайная пара канадцев, жившая в Китае, а на перемирие сторон потребовалось больше года. Однако передышка лишь показала, что вскоре противостояние перейдёт на новый уровень. Отрывок из произведения приводит издание Wired.

«[Кибершпионаж представляет собой] самый масштабный перевод богатств в истории», — заявил директор Агентства национальной безопасности (АНБ) Кит Александр в 2012 году. Хотя он напрямую не указал на виновника многомиллионных потерь США из-за киберпреступлений, многие подозревали Китай. С 2010-х годов страну всё чаще обвиняли в попытках выкрасть секретную информацию американских ведомств или частных компаний. Будь это дорогостоящие чертежи солнечных батарей или формула оксида титана — основного продукта титановой индустрии.

Известны случаи, когда крупные организации подавали в суд на китайские компании за кражу интеллектуальной собственности, а затем некто взламывал личные компьютеры юристов в попытке найти там детали правовой стратегии. Несмотря на все подозрения, правительство США бездействовало, не имея достаточно доказательств для обвинения Китая. Многие частные фирмы также отступали, не желая ссориться с Пекином и терять больше миллиарда китайских клиентов.

Между 2011 и 2013 годами настроения в США изменились: организации по киберзащите стали чаще публиковать исследования на тему иностранной активности, а власти выступать с публичными заявлениями о киберузгрозах. В ФБР не комментируют этот случай, но, судя по всему, именно в тот период агенты впервые получили шанс доказать вину Китая в кибершпионаже.

Летом 2012 года агент Джастин Валлес (Justin Vallese) получил папку с электронной перепиской трёх китайских оперативников. Среди приложений к письмам оказался файл «Проект C-17» — в ФБР заподозрили, что Пекин пытается получить чертежи американского дорогостоящего военно-транспортного самолёта C-17.

На его разработку и выпуск первой версии в 1991 году ушёл 31 миллиард долларов, а каждая новая модель обходилась ВВС США в 202 миллиона долларов. Детище компании Boeing заслужило славу одного из самых эффективных военно-транспортных самолётов: на нём перевозили солдат и технику во время войны в Афганистане и Ираке, гуманитарную помощь для различных стран и бронированные лимузины президента.

Разведка США знала, что Китай годами пытался создать свой крупный военный транспортник для перемещения грузов или войск. В ФБР решили, что именно с этой целью китайские агенты охотятся за чертежами С-17, поэтому предупредили Boeing об угрозе и занялись дальнейшей расшифровкой и переводом переписки злоумышленников.

Двое из троих оперативников работали из Китая, поэтому арестовать их не было возможности. Но агентам повезло — за третьим участником операции скрывался бизнесмен китайского происхождения Су Бинь (Su Bin), работающий в Канаде.

Жена Су Биня работала гинекологом, оба их сына родились и росли в Канаде. В 2012 году предприниматель, которого в Канаде знали под именем Стивен, дал интервью The Wall Street Journal (TJ не удалось его найти) на тему жизни зажиточных китайцев в западных странах. Он рассказал, что родился в семье военного офицера и построил состояние на работе в сфере аэрокосмонавтики. «Регулирование [в Китае] устроено таким образом, что бизнесмену приходится делать много нелегальных вещей», — говорил Су Бинь журналистам.

Как выяснило ФБР, операция по краже американских чертежей началась в 2009 году. Благодаря связям и знаниям в сфере Су Бинь указывал подчинённым хакерам на особо интересные направления или конкретных инженеров. Дальше в дело вступала классическая схема отправки фишинговых электронных писем, с помощью которых злоумышленники получали доступ к компьютерам американских специалистов.

Когда двое хакеров (ФБР определило их как солдатов Народно-освободительной армии Китая и нашла их фотографии в военной форме) скачивали документы, они пересылали их Су Биню. Тот выделял самые важные моменты и объяснял, в какую сторону продолжать поиски.

Количество переданных архивов огромно — информация в одном из файлов заняла 1500 страниц, а из всех документов Су Бинь выделил 142 как наиболее важные. Некоторые из файлов, данные в которых порой занимали до шести тысяч страниц, подробно рассказывали об устройстве C-17.

По данным разведывательных агентств США, Су Бинь и его китайские партнёры выкрали больше 630 тысяч секретных файлов, связанных с C-17, общим весом в 65 гигабайт. Злоумышленники также получили неполные данные по разработке и использованию истребителей F-22 Raptor и F-35 — суммарно расходы США на создание этих моделей составили больше 100 миллиардов долларов.

Су Бинь отлично разбирался в аэрокосмических тонкостях и хорошо знал английский язык, поэтому сам переводил украденные данные на китайский и объяснял технические тонкости. В документах суда по делу Су Биня говорится, что операция по кибершпионажу стоила Китаю миллион долларов — это мизерные затраты по сравнению с ценностью украденных данных.

Чтобы замести следы, при пересылке файлов оперативники пропускали их через сервера третьих стран. Хотя бы одна из них должна была быть в недружественных отношениях с США, чтобы сбить преследователей с толку. После всех пересылок архив оказывался на компьютере в Макао (специальный административный район Китая) или в Гонконге, откуда их скачивали на USB-накопитель и доставляли на континент.

К весне 2014 года спецслужбы США подготовили всё, чтобы инициировать дело против Су Биня. Хотя они выясняли имена, даты рождения, номера паспортов и другие личные данные об оставшихся двоих оперативниках, арестовать их было невозможно. Су Бинь был единственной серьёзной зацепкой, на которой ФБР планировало выстроить дело против Китая, но для этого агентам требовалась помощь Канады.

По совпадению, в то время системы Национального научно-исследовательского совета Канады подверглись кибератаке, в которой заподозрили китайских хакеров. Стремясь ударить по злоумышленникам, местная полиция согласилась помочь ФБР экстрадировать китайского бизнесмена. За несколько дней до того, как Су Бинь планировал отправиться в командировку в Китай, его задержали.

Арест предпринимателя почти не вызвал интереса у СМИ и общественности, но вынудил китайских власти по-новому взглянуть на свою стратегию кибершпионажа. Но пока ФБР спешно готовило документы по высылке Су Биня из Канады, Пекин решился на серьёзные меры. Спустя месяц после ареста бизнесмена в стране задержали Кевина и Джулию Гэрретов — уроженцев Канады, над которыми нависла угроза стать «политическими заложниками».

Кевин и Джулия Гэрреты переехали в Китай в 1980-х годах преподавать английский язык. Спустя годы путешествия по стране, во время которого у них родились четверо детей, супруги остановились в Даньдуне. Он расположен на границе с Северной Кореей, куда вскоре супруги отправились с гуманитарной миссией.

В течение многих лет Гэрреты помогали доставить в бедствующие и голодающие регионы КНДР еду и медикаменты, а также работали в местных приютах и параллельно занимались схожей деятельностью в Даньдуне. Они видели, как всего за несколько десятков лет Китай превратился в одну из самых могущественных стран мира, и вплоть до 2014 года никогда не попадали в столь рискованное положение.

Китайская полиция готовила против супругов уголовное дело, которое почти зеркально повторяло обвинения ФБР против Су Биня — «Кража военных разработок и документов по исследовательским проектам национальной важности». Позже дело против Кевина укрепили новыми, более суровыми обвинениями, хотя его вина вызывала сомнения. Одним из «доказательств» стали фотографии, которые делал канадец на площади Тяньаньмэнь (известна по массовым протестам в 1989 году), и записи марша солдат с китайским флагом.

К осени 2014 года ситуация с экстрадицей Су Биня не решилась. В это же время на авиационной выставке в Чжухай власти продемонстрировали новейшую разработку — первый китайский тяжёлый военно-транспортный самолёт Xian Y-20. Недалеко находилась и модель американского C-17 — гости шоу быстро отметили примечательную схожесть транспортников.

К августу 2015 года Гэрреты и Су Бинь всё ещё находились под стражей. В Вашингтоне поняли — Китаю пора изменить своё поведение, и кабинет Барака Обамы готовил пакет санкций против страны за кибершпионаж. Как вспоминали сотрудники Министерства внутренней безопасности, Пекин искал способ уладить конфликт мирно и без шума.

В Вашингтоне месяц шли переговоры с китайскими представителями, пока 25 сентября Барак Обама не встретился с Си Цзиньпином. До этого главы государств неоднократно обсуждали киберугрозы, но тот разговор дал плоды — главы государств публично пообещали отказаться от стратегии кибершпионажа.

США и Китай пришли к новому соглашению, однако ситуация с Гэрретами и Су Бинем затягивалась. Джулию отпустили под залог, но запретили выезжать из Китая, а в январе 2016 года власти объявили о планах судить Кевина за шпионаж в пользу Канады. Как позже рассказывал адвокат обвиняемого, дело против Гэррета создали исключительно для давления на правительство Канады, которое хотело экстрадировать Су Биня в США.

Месяц спустя китайский бизнесмен согласился добровольно сдаться спецслужбам США. По словам представителя Су Биня, он подозревал, что процедура экстрадиции может занять больше времени, чем его срок в американской тюрьме. В марте 2016 года Су Бинь признал вину в суде США и на 35 страницах изложил детальный план работы китайского шпионского аппарата.

Бизнесмена приговорили к 46 месяцам тюрьмы и штрафу в 10 тысяч долларов. В октябре 2017 года бывший оперативник вышел на свободу (не уточняется, почему срок сократили).

В мае 2016 года Джулии Гэррет позволили вылететь из страны. Осенью её супруга выпустили из под ареста, хотя ему пришлось заплатить административный штраф в 20 тысяч долларов. Судя по всему, дело против них замяли на фоне разрешившейся ситуации с экстрадицией Су Биня.

Через три года после соглашения между США и Китаем, весной 2018 года, директор ФБР Кристофер Рэй признал — Пекин вновь атакует американские компьютерные системы и крадёт важные данные. Этой же позиции придерживается Дональд Трамп, развернувший торговую войну против Китая. Многие полагают, что её главная причина — месть за годы воровства интеллектуальной собственности.

На перегруппировку кибервойск Китая указывают и внутренние перестановки. С 2005 по 2014 годы за это направление отвечала Народно-освободительная армия, но вскрытие операции по краже лётных чертежей и публичное осуждение подорвало репутацию ведомства. В 2016 году в рамках реорганизации и антикоррупционной кампании военный орган лишился нескольких высокопоставленных чиновников, которые отправились в тюрьму.

Предположительно, после вскрытия операции Су Биня роль кибервойск взяло на себя Министерство государственной безопасности КНР — могущественное ведомство, сочетающее элементы ЦРУ, ФБР и АНБ. Как говорит главный технический специалист американской компании CrowdStrike в области кибербезопасности Дмитрий Альперович, за последние полтора года в работе кибервойск Китая произошли масштабные изменения. «У них всё становится лучше. Они гораздо более сложно размышляют на тему того, как оставаться в тени», — заключает специалист.

#кибербезопасность #истории #китай #сша