Chińscy hakerzy - prawdy i mity

O hakerach z Chin mówi się wiele, a jeszcze więcej ataków jest kojarzonych z ich działalnością. Niewielu informatyków zastanawia się, kto za nimi naprawdę stoi.

Głównie ze względu na bariery językowe działalność chińskich hakerów obfituje w różne mity. Jednym z nich jest brak informacji oraz zamknięte, tajne środowisko, które uniemożliwia pozyskanie wiarygodnych wypowiedzi ludziom z zewnątrz. Tymczasem większość materiałów jest dostępna, niestety, w języku chińskim. Bariera językowa oraz różnice kulturowe sprawiają, że pozyskanie rzetelnych informacji przez ludzi z Zachodu na temat chińskich grup hakerskich jest trudne. Historia grup hakerskich rozpoczyna się grupą "Zielonej Armii" i jej akademii (1997-2000), w tym samym czasie część grup się połączyła, tworząc China Eagle Union. Przełomowym momentem był atak na Indonezję w 1998 r. spowodowany antychińskimi demonstracjami w tym kraju - wtedy powstało stowarzyszenie Red Hacker Alliance. Rok później rozpoczął się konflikt w cyberprzestrzeni między Chinami i Tajwanem. W tym samym czasie rozpoczął się proces komercjalizacji ataków i powstały cztery duże grupy hakerskie. Słowo "haker" przeniosło się fonetycznie do języka chińskiego, ale pojawił się wariant Honker. W roku 2001 grupa Red Hacker Alliance rozpoczęła atak przeciw Japonii, rok później grupa Javaphile zaatakowała tajwańską firmę Lite-On.

Hackerzy wspierają przestępców

Obecnie całe podziemie hakerskie w Chinach jest nastawione na zysk i wsparcie cyberprzestępczości. Współpraca obejmuje opracowywanie i dystrybucję złośliwego oprogramowania, narzędzi do obsługi całego łańcucha przestępczego (harvester, bot master, account buyer, muły i kasjerzy, poszukiwacze podatności). Jest to skuteczne podziemie, gdyż generuje 150 tys. próbek malware’u dziennie, co stanowi wzrost o 60% w stosunku do roku ubiegłego. Ze względu na obrót olbrzymimi kwotami pieniędzy i skalę działania, specjaliści sądzą, że w przyszłym roku wpływ karteli cyberprzestępczych na globalną ekonomię będzie większy od karteli narkotykowych.

Co potrafią chińscy hakerzy?

Chociaż dostawcy , którzy najczęściej wykrywają ataki, nie mają w zwyczaju podawać kraju, którego organizacje stoją za tymi atakami, niezależni badacze są zgodni, że znaczną część ataków zorganizowano w Chinach. Obecnie chińscy hakerzy mają niemalże monopol na wysoce zaawansowane ataki, określane mianem APT.

Pierwszym takim atakiem była operacja Titan Rain, która rozpoczęła się w 2003 r. Na celowniku znalazły się organizacje rządowe USA, w szczególności Departament Obrony. Trzy lata później te same podmioty zaatakowano w ramach operacji Byzantine Hades. W roku 2009 atak Aurora dosięgnął Google oraz Adobe oraz inne firmy z listy Fortune 1000. Ponieważ sprawy związane z sytuacją polityczną w Tybecie nadal są solą w oku chińskiego rządu, w tym samym roku zaatakowano przywódców tybetańskich w ramach operacji GhostNet, a następnie Shadows in the Cloud (2011 r.).

Chińska Republika Ludowa jest sieciowym importerem ropy naftowej, zatem nie dziwią ataki kierowane przeciw firmom związanym z wydobyciem i przetwarzaniem tego surowca. Tak też było w istocie, operacja NightDragon objęła swoim zasięgiem zachodnie przedsiębiorstwa z branży naftowej.

Jednym z opisywanych ataków był Shady Rat, chociaż włamanie wykryto w tym roku, wiadomo na pewno, że operacje te prowadzono przez ostatnie trzy lata. Celem były różne podmioty, w tym także niekomercyjne, związane jednak z potencjalnymi przychodami dla ChRL.

Hackerzy na usługach wojska

Zaawansowany charakter ataków świadczy o tym, że grupy hakerskie są wspierane przez ważny i bogaty podmiot, jakim jest chińska armia (PLA). Siły zbrojne ChRL mają 60 lat i w ramach modernizacji wprowadzono doktrynę kolonizacji cyberprzestrzeni. Wykorzystywanie możliwości, jakie daje Internet staje się naturalnym uzupełnieniem tradycyjnych możliwości militarnych PLA. Nie jest to zacofana armia, gdyż prowadzi działania związane z eksploracją przestrzeni kosmicznej, z bronią przeciwrakietową, ponadto odbywa się wdrażanie "programu 863", który ma na celu uniezależnienie Chin od zobowiązań finansowych związanych z zagraniczną technologią. Oprócz tradycyjnych działań szpiegowskich prowadzone są także na szeroką skalę operacje, mające na celu pozyskanie informacji przez Internet. Są zadziwiająco skuteczne, można wyróżnić operacje związane z kradzieżą informacji z NASA z firm Motorola oraz Ford, z projektu Joint Strike Fighter, a także z przekierowaniem całego ruchu przez sieć Chin w ubiegłym roku. Działania związane z pozyskiwaniem informacji oraz przygotowaniem ataków w cyberprzestrzeni doskonale wpisują się w chińską doktrynę militarną, która zakłada osiągnięcie celu najlepiej bez prowadzenia działań zbrojnych.

Zagadnienia związane z chińskimi hackerami były poruszane na konferencji RSA Conference Europe 2011.

To nie my, to oni

Wykorzystywanie zorganizowanych grup hackerów umożliwia pozyskanie informacji bez konieczności wysyłania szpiegów. Jednocześnie w przypadku wykrycia takiej operacji chiński rząd obarcza odpowiedzialnością "niesforną grupę hackerów" ukrywając jednocześnie wszelkie powiązania między armią a tymi ludźmi. Należy jednak pamiętać, że to właśnie specjaliści współpracujący z PLA posiadają wiedzę, którą w praktyce mogą wykorzystać. To samo dotyczy producentów sprzętu - praktycznie cały zarząd chińskiej firmy Huawei stanowią osoby z kręgów militarnych.