Курсы Cisco: «Наши двери открыты для всех». Хакеры из Китая: «Спасибо, мы уже внутри»

Двое китайских специалистов, связанных с хакерской группировкой Salt Typhoon, могли пройти обучение в программе Cisco Networking Academy — корпоративном учебном проекте самой компании, чьи устройства эта группировка позже массово взломала. К такому выводу пришёл исследователь компании SentinelOne и аналитического центра Atlantic Council Дакота Кэри, изучив открытые данные о связях подозреваемых с компаниями, фигурирующими в расследовании властей США.

Cisco Networking Academy — глобальная образовательная программа, которая уже почти три десятилетия обучает студентов базовым навыкам сетевых технологий и кибербезопасности. На сайте инициативы компания подчёркивает, что считает образование «великим уравнителем», позволяющим любому человеку, независимо от происхождения, освоить цифровые компетенции и «сформировать свою судьбу». Эта миссия выглядит куда двусмысленнее, если верить выводам Кэри: часть выпускников могла использовать полученные знания не для защиты сетей, а для участия в одной из самых масштабных шпионских кампаний, приписываемых китайским государственным хакерам.

Речь идёт о группировке Salt Typhoon — кибершпионском подразделении, которое, по данным властей США, стояло за взломом по меньшей мере девяти телеком-операторов. Хакеры получили возможность в реальном времени отслеживать звонки и SMS американских абонентов, в том числе тогдашних кандидатов в президенты и вице-президенты США Дональда Трампа и Джей Ди Вэнса, а также других политиков. Salt Typhoon известна своей специализацией на взломе сетевого оборудования, включая устройства Cisco, крупнейшего производителя сетевой техники в мире. Американские ведомства ранее предупреждали, что группировка активно эксплуатировала уязвимости в продуктах Cisco, чтобы красть учётные данные и незаметно перемещаться внутри сетей без установки классического вредоносного ПО, которое проще обнаружить средствами защиты.

Кэри решил выяснить, кто стоит за компаниями-подрядчиками, которые власти США уже публично связали с инфраструктурой Salt Typhoon. В сентябре Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) совместно с ФБР, АНБ и партнёрами из десятка стран выпустило рекомендацию, в которой назвало три аффилированные с группой компании: Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology и Sichuan Zhixin Ruijie Network Technology. Исследователь поднял корпоративные реестры и увидел, что компания Beijing Huanyu Tianqiong на 45 % принадлежит некоему Цю Дайбину, а на 55 % — Ю Ян. Кроме того, Ю владеет половиной доли в Sichuan Zhixin Ruijie. Совместные патентные заявки Цю и Ю показывают, что они, вероятно, вовлечены не только в управление, но и в техническую работу этих фирм.

Дальше Кэри начал искать упоминания этих имён в открытых источниках и наткнулся на документ на сайте Юго-Западного нефтяного университета в провинции Сычуань. В нём говорилось, что студенты с теми же именами — Цю Дайбин и Ю Ян — участвовали в соревновании Cisco Networking Academy Cup в 2012 году. Команда Цю тогда заняла третье место по всей Китаю и первое в Сычуани, команда Ю — второе место в провинции.

Дополнительно исследователь обнаружил профиль некоего Цю Дайбина из Сычуани в LinkedIn. В нём указано обучение в том же Юго-Западном нефтяном университете, а в разделе «Интересы» числится компания Ruijie Networks — название которой подозрительно похоже на одну из фирм, фигурирующих в правительственном предупреждении (Sichuan Zhixin Ruijie Network Technology).

Чтобы понять, насколько вероятно, что речь идёт о простом совпадении имён, Кэри обратился к базам китайских имён и проконсультировался с экспертом по демографии Китая, профессором Висконсинского университета в Мэдисоне И Фусянем. Фамилия 邱 (Цю) сама по себе довольно редка — около 0,27 % китайского населения. В сочетании с конкретным именем 代兵 (Дайбин) вероятность повторения становится ещё ниже. Имя Ю Ян (余洋) распространённее, но совокупность факторов — совпадение двух имён, их совместное появление в документах университета, географическая привязка к Сычуани и связи с фирмами из правительственного отчёта — делает, по мнению Кэри, версию о простом совпадении крайне маловероятной.

WIRED попытался связаться с Цю Дайбином и Ю Яном через профиль в LinkedIn и электронную почту, указанную на сайте Beijing Huanyu Tianqiong, но ответа не получил.

Cisco, комментируя выводы исследователя, напомнила, что Networking Academy — это «программа от навыков к работе», которая обучает базовым технологическим навыкам и цифровой грамотности, помогая миллионам студентов получать знания для начальных позиций в IT. Компания подчёркивает, что программа «открыта для всех» и с 1997 года охватила более 28 миллионов студентов в 190 странах. Cisco заявляет, что по-прежнему «привержена помощи людям по всему миру в получении базовых цифровых навыков, необходимых для доступа к карьерным возможностям в сфере технологий».

Программа академии не ограничивается продуктами Cisco и даёт общее образование в области сетевых технологий, однако в ней заметно представлены и курсы по «этичному взлому» — тестированию на проникновение и поиску уязвимостей. Неясно, участвовали ли Цю и Ю именно в этих курсах, но сама возможность того, что корпоративное обучение могло стать ступенькой к атакам на ту же компанию, выглядит показательно.

Сам Кэри подчёркивает: даже если его теория верна, это не означает, что в программе Cisco есть какая-то уязвимость или управленческая ошибка. Скорее это иллюстрация трудноразрешимой проблемы в глобализованном технологическом рынке, где и продукты, и знания о них доступны по всему миру, в том числе потенциальным противникам. Ситуация выглядит особенно иронично на фоне того, что Китай уже несколько лет последовательно выдавливает оборудование Cisco и других западных вендоров из своих сетей, делая ставку на отечественные решения. «Если Китай действительно движется к тому, чтобы убрать эти продукты из своих сетей, то кому по-прежнему интересно изучать их?» — задаётся вопросом исследователь.

При этом, отмечает главный аналитик Google Threat Intelligence Group Джон Халткист, Китай всё активнее ограничивает собственное участие в глобальном обмене информацией о киберугрозах, в том числе давя на исследователей, чтобы те не выступали на международных конференциях. В результате получается асимметрия: западные компании продолжают обучать специалистов по всему миру, включая тех, кто позже может работать на интересы иностранных государств, в то время как встречный поток знаний и сотрудничества со стороны Китая сокращается. Как формулирует Халткист, получается «клуб обмена», в котором одна сторона всё ещё делится информацией и технологиями, а другая открыто даёт понять, что не намерена отвечать тем же.