Kyberšpionážní noční můra





Na stěně proti desítkám kójí v kanceláři FBI v Pittsburghu zírá pět chlapů ze Šanghaje z plakátů Wanted. Wang Dong, Sun Kailiang, Wen Xinyu, Huang Zhenyu a Gu Chunhui jsou podle federálního úřadu obžaloba loni odpečetěni agenti jednotky 61398 Čínské lidové osvobozenecké armády, kteří se nabourali do sítí amerických společností – U.S. Steel, Alcoa, Allegheny Technologies (ATI), Westinghouse – plus největší průmyslový odborový svaz v Severní Americe United Steelworkers a americká pobočka SolarWorld, německého výrobce solárních panelů. Prokurátoři říkají, že během několika let agenti ukradli tisíce e-mailů o obchodní strategii, dokumenty o případech nekalého obchodu, které některé americké společnosti podaly proti Číně, a dokonce i návrhy potrubí pro jaderné elektrárny – to vše údajně ve prospěch čínských společností. .

Je to první případ, který Spojené státy zahájily proti pachatelům údajné státem podporované kybernetické špionáže, a odhalil díry v počítačové bezpečnosti, které společnosti na veřejnosti jen zřídka přiznávají. Ačkoli útočníci zjevně směrovali své aktivity přes počítače nevinných lidí a vyvíjeli další úsilí, aby se zamaskovali, žalobci vystopovali průniky do 12patrové budovy v Šanghaji a odhalili jednotlivé zpravodajské agenty. Je malá šance, že dojde k zatčení, protože Spojené státy nemají s Čínou žádné dohody o vydávání, ale vláda USA zjevně doufá, že pojmenování skutečných agentů – a prokázání, že sledování útoků je možné – uvede Čínu do rozpaků a upozorní ostatní národy, brání budoucí ekonomické špionáži.

50 nejchytřejších společností 2015

Tento příběh byl součástí našeho vydání z července 2015



  • Viz zbytek čísla
  • předplatit

To může být nereálné. Bezpečnostní společnosti tvrdí, že taková aktivita pokračuje a Čína tato obvinění označuje za zcela nepodložená a absurdní. Z obžaloby však plyne další poučení: podniky nyní pravděpodobně nebudou uchovávat cenné informace online v bezpečí. Ať už podnikají jakékoli kroky, nedrží krok s hrozbami. Situace se zjevně zhoršila, nikoli zlepšila, říká Virgil Gligor, který spoluřídí výzkumné centrum počítačové bezpečnosti na Carnegie Mellon University, známé jako CyLab. Udělali jsme přístup ke službám a databázím a konektivitě tak pohodlným, že je vhodný i pro naše protivníky. Jakmile to společnosti přijmou, říká Gligor, nejzřejmější reakce je drastická: odpojte se.

Frakování a hackování

David Hickton, právní zástupce Spojených států pro západní Pensylvánii, seděl u malého konferenčního stolku ve své kanceláři federálního soudu v Pittsburghu a otevřel plastovou nádobu, kterou si přinesl z domova, a vyndal a oloupal vejce natvrdo k obědu. Přestože jsme diskutovali o vyšetřování zahrnujícím globální hráče a neprůhledné technologie, domácký pocit z našeho setkání byl výstižný: případ měl mnoho kořenů v úzkých obchodních a politických kruzích v Pittsburghu. Hickton mi ukázal zarámovanou fotku na polici. Na snímku on a kamarád John Surma stojí vedle svých synů, chlapců v hokejových uniformách, čerstvě z ledu. Oba otcové navštěvovali Penn State. Jak Hickton stoupal v řadách žalobců, Surma stoupal v korporátním světě a stal se generálním ředitelem U.S. Steel. Když se Hickton v roce 2010 stal nejvyšším federálním prokurátorem v této oblasti, jedna z jeho snídaní na setkání se Surmou a Leo Girardem, šéfem United Steelworkers, která zastupuje 1,2 milionu současných nebo důchodců v několika průmyslových odvětvích. Žádal jsem je v naprosto nesouvisející záležitosti, aby sloužili v radě pro prevenci kriminality mládeže, vzpomíná Hickton. Řekli: ‚Můžeme s tebou mluvit o něčem jiném?‘



V té době byl americký boom frakování v plném proudu, ultranízké úrokové sazby, které byly nastaveny tak, aby stimulovaly ekonomiku, také mazaly podnikání s těžbou dříve těžko dostupného zemního plynu a ropy. Společnost U.S. Steel měla vzkvétající obchod s prodejem trubek speciálně navržených pro proces těžby. Kromě jiných vlastností nemají trubky žádné svislé švy, takže vydrží, když jsou zaraženy tisíce stop do země, a přesto se ohýbají, aby přepravovaly ropu a plyn, aniž by se zlomily.

Musíme zaplatit náklady na bezpečnost, což je nepříjemnost.

U. S. Steel si ale také všiml dvou znepokojivých událostí. Za prvé, čínské státní společnosti vyvážely spoustu podobných trubek do Spojených států za nízké ceny. Společnost U. S. Steel tedy podala stížnost k americkému ministerstvu obchodu a americké komisi pro mezinárodní obchod a obvinila Čínu, že dotuje její průmysl; výsledné případy nakonec vedly k sankcím proti Číně. Za druhé, jak společnost, tak odbory věděly, že přišly podezřelé e-maily. Nebylo však jasné, kdo za nimi stojí a zda došlo k nějaké škodě. Panovalo všeobecné povědomí o průnikech, ale ne „kdy, kde, jak“ a rozsahu, říká Hickton.



E-maily byly chytře navrženy. Tvrdili, že pocházejí od kolegů nebo členů představenstva, s tématy souvisejícími s agendou jednání nebo průzkumem trhu, ale doručovali malware prostřednictvím příloh nebo odkazů. Obžaloba například říká, že 8. února 2010 – dva týdny před vydáním předběžného rozhodnutí ministerstva obchodu – hackeři poslali e-mail několika zaměstnancům U. S. Steel. Zdálo se, že pochází od generálního ředitele, ale obsahovalo odkaz na webovou stránku, která obsahovala malware. Několik zaměstnanců na to kliklo a jejich počítače byly brzy infikovány. Výsledek: hackeři ukradli názvy hostitelů pro 1 700 serverů, které kontrolovaly přístup k zařízením a sítím společnosti. Obžaloba říká, že Wang se poté pokusil zneužít tohoto přístupu, ale nespecifikuje, jaké informace byly odhaleny.

Debbie Shonová, viceprezidentka pro obchod U. S. Steel, mi řekla, že tyto informace zahrnují cenné obchodní informace. Nebyly to high-tech návrhy, říká. Byly to stejně důležité věci – obchodní strategie, ceny, objem výroby a načasování a obsah jakýchkoli obchodních stížností, které U. S. Steel, jako jedna z největších společností v této oblasti, mohla zkoumat.

Obžaloba podrobně popisuje několik podobných útoků. V letech 2007 až 2013 Westinghouse vyjednával podrobnosti smlouvy s čínskou společností na stavbu čtyř jaderných reaktorů. Od roku 2010 do roku 2012 jeden z obžalovaných údajně ukradl nejméně 1,4 gigabajtu dat – zhruba 700 000 stránek e-mailů a příloh – z počítačů společnosti Westinghouse. Soubory zahrnovaly návrhy potrubí a komunikaci, ve kterých Westinghouse odhalil obavy z čínské konkurence. V ATI hackeři údajně ukradli hesla 7 000 zaměstnanců, když byla společnost v obchodním sporu zaměřeném na její prodej do Číny. V Alcoa, žalobci tvrdí, že hackeři ukradli 2900 e-mailů s více než 860 přílohami v době, kdy společnost vyjednávala dohody s čínskými podniky. (Alcoa, Westinghouse a ATI všechny odmítly tento příběh komentovat.) A v roce 2012, poté, co odbory ocelářů začaly vystupovat proti čínské průmyslové politice, Wen ukradl e-maily obsahující diskuse mezi odborovými vůdci, říká obžaloba.



Mezitím SolarWorld přinesl obchodní případy obviňující čínské společnosti z prodeje solárních panelů pod cenou, čímž decimují své soupeře. Jednoho dne v roce 2012 zazvonil telefon v jejích kancelářích v Camarillo v Kalifornii. Bylo to volání FBI s tím, že agenti objevili e-maily odcizené společnosti, říká Ben Santarris, její mluvčí v USA. Na znamení toho, jak špatná je kybernetická bezpečnost, nebylo ani tušení, že se to děje, dokud jsme nedostali telefonát, říká. Až když byla v květnu 2014 odpečetěna obžaloba, dozvěděla se firma celý rozsah údajné krádeže. Byl zde přístup ke strategii obchodních případů, financím společnosti, nákladům, výkazům zisků a ztrát, technologickým plánům, výzkumu a vývoji atd., říká Santarris. Společnost nakonec své případy vyhrála a zajistila si cla na dovoz solárních zařízení z Číny. Během obchodního sporu jsme sledovali velmi přísné kontroly toho, kdo dostane jaké informace, říká. V době, kdy jsme to dělali, podle FBI vcházela čínská armáda zadními dveřmi.

Sundejte to

Selhání předpokládaných bezpečnostních technologií společností bylo ohromující. Lance Wyatt, ředitel IT odborového svazu ocelářů, si myslel, že řídí pevnou loď. Audit IT v roce 2010 nezjistil žádné zásadní nedostatky. Jeho e-mailový server prověřoval všechny příchozí zprávy na přílohy, které obsahovaly spustitelný kód. Měl nejnovější antivirový software. Jeho síť kontrolovala IP adresy, aby se vyhnula stránkám, které obsahovaly malware. Přesto Wyatt a FBI nakonec našli infikované počítače, jeden z nich používal cestovní manažer odboru. Žádný z těchto strojů nebyl na našem radaru jako infikovaný nebo podezřelý, říká.

Podle obžaloby měli hackeři různé maskovací prostředky. Jednak údajně posílali škodlivé e-maily do společností a odborů ze skokových bodů – zprostředkujících počítačů, včetně jednoho v Kansasu, které byly pod jejich kontrolou. Za druhé, dovedně manipulovali s internetovým systémem pro pojmenování počítačových adres. Hackeři vytvořili názvy domén jako arrowservice.net a purpledaily.com a naprogramovali malware na počítačích firemních obětí, aby je kontaktovali. Potom mohli špióni neustále měnit adresy počítačů, ke kterým se připojovala doménová jména. Když byl v Šanghaji den a v Pittsburghu noc, obžaloba říká, že si nastavili název domény pro připojení k hop-point počítačům a prováděli špionáž. Když skončil pracovní den v Šanghaji, hackeři nastavili adresu pro připojení k neškodným webům, jako jsou stránky Yahoo.

Není překvapením, že takové systémy lze relativně snadno kooptovat pro nekalé účely. Nápady na zvýšení bezpečnosti internetu existují již desítky let a akademické a vládní laboratoře chrlily zajímavé návrhy. Přesto jen velmi málo z těchto nápadů bylo realizováno; vyžadují široké přijetí a možná i kompromisy ve výkonu sítě. Už neslyšíte o přestavbě internetu, říká Greg Shannon, hlavní vědec v divizi CERT Institutu softwarového inženýrství Carnegie Mellona.

Co má společnost dělat? Wyatt přitvrdil v United Steelworkers; mimo jiné nyní dává méně zaměstnancům takzvaná administrátorská oprávnění k jejich počítačům a v síti vyhledává známky komunikace malwarem. Nic z toho by však průnikům nezabránilo. Wyatt říká, že je to mohlo zpomalit.

Nejlepší možností by tedy mohlo být úplné stažení citlivých dat z internetu. To má své nevýhody: pokud se e-mail nepoužívá volně nebo je databáze offline, udržování kroku s nejnovějšími verzemi zpráv nebo jiných dat může být časově náročnější. Ale jak říká Gligor: Musíme zaplatit náklady na bezpečnost, což je nepříjemnost. Musíme přidat trochu nepohodlí, abychom vzdálenému útočníkovi situaci mnohem ztížili. Způsob, jak to udělat, je – jak bych to řekl? – občas přejít do režimu offline.

Koneckonců stále dochází k dalším útokům, jako byly ty v Pittsburghu. Tato obžaloba, říká Hickton, nepředstavuje plný počet hackerů, plný počet obětí ani plný počet obžalovaných.

David Talbot

skrýt