Привет, это твой враг. Мы знаем, где ты обедаешь. Как отчёт Mandiant сделал кибершпионаж личным

leer en español

Mandiant APT-1 Unit 61398 Виси Старк The Vertex Project Kim Zetter кибераналитика
Привет, это твой враг. Мы знаем, где ты обедаешь. Как отчёт Mandiant сделал кибершпионаж личным
Mandiant APT-1 Unit 61398 Виси Старк The Vertex Project Kim Zetter кибераналитика

История секретной команды из арендованного офиса и первого публичного обвинения целого государства.

image

В 2013 году никому тогда не известная Mandiant выпустила отчёт, который изменил всё. Он напрямую связал китайскую хакерскую группу APT -1 с военным подразделением народно-освободительной армии Китая — Unit 61398. Это было первое в истории публичное обвинение государства в экономическом кибершпионаже , подкреплённое не только IP-адресами, доменами и инфраструктурой, но и настоящими именами людей. Именно этот документ впервые показал: за атаками стоят не абстрактные спецслужбы, а конкретные люди с телефонами, геолокацией, аккаунтами и даже любимыми лапшичными.

Главным автором и идейным центром этого отчёта стал Виси Старк — тогда простой участник команды, а теперь сооснователь Vertex Project. Ранее он работал на разведывательное сообщество США, исследуя уязвимости и создавая инструменты для наступательных операций АНБ и ЦРУ. Вместе с двумя коллегами он разработал платформу Nucleus — инструмент для объединения разрозненных киберсигналов в единую картину. Именно с этим инструментом их и пригласили в Mandiant . Но официально никто не знал, кто они такие: работали они в арендованном офисе с поддельной вывеской, не подключённом к основной инфраструктуре компании.

Собирая данные из расследований и наблюдая за китайской активностью, команда быстро вышла на Unit 61398. Они фиксировали терабайты похищенных архивов, шедших через взломанные прокси-серверы — целые потоки RAR-файлов с промышленной и научной документацией. В отдельных случаях им удавалось даже расшифровывать эти архивы, поскольку были известны пароли или команды их создания. Стало очевидно: масштабы хищений превосходят всё ранее известное.

Mandiant, как и спецслужбы, знала об этой активности, но предпочитала молчать, чтобы не раскрывать методы наблюдения. Старк и его коллеги решили, что пришло время говорить. Они придумали план, позже получивший название Project Nightmare, — публично раскрыть структуру китайской операции, её лиц, инфраструктуру и методы.

Изначально руководство компании было против: публикация разрушила бы текущие расследования и могла ударить по репутации. Но когда стало ясно, что инфраструктуру APT-1 вот-вот раскроют официальные структуры, проекту дали зелёный свет. Команда выпустила отчёт к Китайскому новому году — в ответ на привычную активность китайских хакеров во время рождественских каникул.

Результат оказался мощнее всех ожиданий. APT-1 исчезла как самостоятельная сила — людей и инструменты перераспределили по менее «светящимся» подразделениям. Подход к киберразведке в отрасли изменился: компании стали включать больше технических индикаторов, чаще называть имена, а отчёты — превращать в полноценные расследования. Тем временем, саму Mandiant стали воспринимать не как подрядчика, а как политического игрока.

Позже, на закрытом межведомственном брифинге, представители разведок разных стран лично благодарили авторов отчёта. Они называли его самым точным и важным вкладом в борьбу с кибершпионажем. А сам Старк тогда лишь ответил: «Наша цель была не в том, чтобы поймать всех. Мы просто хотели, чтобы и у них появилась своя бюрократия».