Kina je svojom dugoročnom strategijom do sredine ovog veka zacrtala kao jedan od najvažnijih ciljeva, pored ekonomske i trgovinske, i dominaciju u sajber prostoru.
Mnogi stručnjaci smatraju da se ovi planovi već ostvaruju – gotovo jedna trećina svih svetskih proizvoda elektronske, mašinske i kompjuterske industrije se trenutno proizvodi u kineskim fabrikama. Uz to, veliki procenat delova i komponenti koje koriste fabrike u Evropi, Južnoj Koreji i SAD-u takođe se delimično ili u potpunosti proizvode u Kini.
Jedan od najvećih državno-sponzorisanih sajber napada dogodio se sredinom 2009. godine. Kako je tada prva otkrila kompanija Google, nekoliko hakerskih grupa povezanih sa armijom Narodne Republike Kine izvelo je veliki sajber napad na kompanije Adobe, Akamai Technologies i Juniper. Posebno je zabrinjavajuće što su mete napada tada bile i kompanije Dow Chemical, koja proizvodi komplikovane hemijske agense, te Northrop Grumman, jedna od najvećih fabrika vojne industrije u SAD-u.
Relativno lako se stiže do “skrivenih vrata”
Bezbednosni stručnjaci su ubrzo nazvali ovu grupu hakera “Aurora“ (severno svetlo), po kineskom imenu za ovu grupu “Qing Dan“. Glavni cilj napada je bio krađa osnovnog upravljačkog softvera (source code) za industrijske procese i mašine u ovim korporacijama. Svaki industrijski proces danas sadrži nekoliko osnovnih softvera, kao i njihovih nadgradnji, koji upravljaju raznim vrstama mašina, poput proizvodnje komponenti, njihovo sastavljanje u proizvode, te finalno testiranje.
Postoji čitav niz ovakvih sistema, poput SCADA, Simatic, Softpro… Svima njima je zajedničko korišćenje takozvanih embedded računara, zapravo računara koji obavljaju samo jednu funkciju i pokreću samo jedan softver. Mnogi od ovih računara nisu priključeni na mrežu, niti imaju komunikacijske sposobnosti, upravo iz razloga sigurnosti i pouzdanosti.
Sa druge strane, inženjeri i projektanti, pa čak i šefovi fabrika, žele u svakom trenutku da znaju stanje u svojim proizvodnim pogonima i magacinima. I upravo u ovom koraku, koji se naziva “udaljeni pristup“ (remote access and control), hakeri relativno lako nalaze “skrivena vrata“.
“Aurora”, jedan od najvećih napada hakera
U slučaju grupe “Aurora“, koju američke Centralna obaveštajna agencija (CIA) i Nacionalna bezbednosna agencija (NSA) još nazivaju i APT-17, iskorišćen je propust u internet standardu TLS (transport layer security), koji upravlja samim “putovanjem“ podataka na internetu između dva računara. Takođe, kineski hakeri su uspeli da iskoriste poznate propuste u tehnologiji SSL (secure socket layer), koji obezbeđuje sigurnost unetih podataka između korisnika i same web adrese kojoj pristupa.
Hakeri su tako uspeli da preuzmu čitave SCR baze podataka iz ovih kompanija, koje su sadržale i softver za upravljanje i buduće verzije softvera koje su još uvek bile u razvoju. I deset godina kasnije “Aurora“ se smatra jednim od najvećih napada kineskih hakera, a vrednost softvera i podataka koji su tada ukradeni procenjuje se na najmanje 4,5 milijarde dolara.
Ova hakerska grupa je samo jedna u nizu grupa koja se bave hakerskim napadima za račun zvaničnog Pekinga. “Comet Panda“ je ime koje su američki bezbednosni eksperti dali “Jedinici 61398“ kineske armije. Ova jedinica se na internetu pojavljuje pod raznim imenima, poput “Byzantine“, “GIF89“, “Dark Comet“… Pentagon ovu jedinicu (kao i rusku grupu “Fancy Bear“ i iransku “Tehran Burreau“) naziva MUCD – vojnu sajber pretnju pod sponzorstvom države.
Američko Ministarstvo pravde je još pre deset godina pokrenulo opširnu istragu, u kojoj je učestvovalo nekoliko federalnih agencija, a 2014. godine je raspisalo i poternicu za više desetina kineskih državljana zbog sajber napada. Gu Chunhui, Huang Zhenyu, Sun Kailiang i Wen Xinyu su visoko rangirani oficiri “Jedinice 61398“ te se i danas nalaze na listi najtraženijih osoba američkog Federalnog istražnog biroa (FBI).
Više od 2.000 računarskih eksperata
Oni su svi optuženi po takozvanom Espionage Actu, američkom zakonu koji je dodatno proširen nakon napada 11. septembra 2001. godine, a koji omogućava istragu i podizanje optužnica i prema licima u drugim državama. Istraživanje američkih agencija CISA i DHS je došlo i do zgrade u Šangaju, u kvartu Datong, gde se nalazi “mozak“ ove hakerske jedinice.
Iako zvaničnih izvora unutar Kine gotovo i da nema, neki od kineskih disidenata tvrde da ova jedinica funkcioniše kao deo “Drugog biroa“ Narodne armije Kine te da naređenja prima direktno od vojnog i političkog vrha države. Jedinica broji najmanje 450, a neki izvori tvrde i više od 2.000 izuzetno talentovanih i požrtvovanih računarskih eksperata, od kojih mnogi imaju i po dva i više doktorata iz tehničkih nauka.
Sa tehničke strane, ova jedinica raspolaže optičkim vodovima najnovije generacije i velikog propusnog opsega te sa nekoliko super-računara razvijenih unutar Kine, sa domaćim procesorima “Sunway“, koji se razvijaju na univerzitetu Tsinhua.
Grupa je izvela najmanje 70 velikih napada, poput “Aurore“, od 2015. godine do danas, na kompanije i državne sisteme u SAD-u, Kanadi, Francuskoj, Meksiku, Južnoj Koreji i Tajlandu. Zanimljivo je i da je tadašnji portparol kineskog Ministarstva spoljnih poslova Hon Lei 2018. godine direktno priznao postojanje “Jedinice 61398“, navodeći pritom da se ona bavi “zaštitom kineskih građana širom sveta“.
“Veliki top” za žestoki udar na internet
Pre tri godine istraživači kompanije Mandiant Security pronašli su alat, odnosno nekoliko softverskih paketa kojima su kineski hakeri mogli da preuzmu gotovo svaki uređaj koji ima konekciju ka internetu te da ga iskoriste kao “zombi“ za napade na druge uređaje. Budući da danas postoji nekoliko milijardi uređaja sa pristupom internetu (računara, tableta, smartfona i raznih pametnih uređaja), jasno je da ova “zombi armija“ može da bude upotrebljena i na velikoj razini, čak i protiv celih država, korporacija ili miliona korisnika u istom trenutku.
“Veliki top“, kako je ovaj softver nazvan, kopira se na sam sistem uređaja i pokreće se u fazi podizanja sistema i uključivanja uređaja (boot sequence). U ovoj fazi se pokreću samo najbitniji delovi uređaja, te ovakav špijunski softver uglavnom ostaje neprimećen. Čak i ako se otkrije, pitanje je kako uređaj ponovo vratiti u “normalno“ stanje – boot softver je obično snimljen na samim memorijskim čipovima u uređaju (ROM memory), a zbog jeftinije proizvodnje, većina kompanija ne dizajnira uređaje sa mogućnošću njihove zamene. Čak i kad bi to bilo moguće, menjanje “boot ROM“ čipova na milionima uređaja jednostavno nije isplativo.
Sam softver ima mogućnosti nadzora protoka podataka te vršenja “DDoS“ napada ka drugim mrežama i računarima. Najnovije verzije “Velikog topa“ koriste i tehniku “quantum insert“ (koja je, ironično, prvobitno razvijena od američke agencije NSA), kojom mogu ubaciti svoj računarski kod u internet saobraćaj ka poznatim svetskim sajtovima. Kada korisnik pokuša da se poveže na neki od njih, on “usput“ preuzme i sam računarski virus i tako nesvesno postaje deo globalne “zombi mreže“.
Stručnjaci procenjuju da je najmanje 41,2 miliona računara, smartfona, tableta, ali i uređaja poput pametnih TV-a ili zvučnika, deo ove “zombi mreže“. Prava brojka nije poznata, budući da “Veliki top“ ima i sistem “kamikaza softvera“. Ako virus detektuje da se uređaj ne koristi deset ili više dana, on sam pokreće funkciju za svoje brisanje sa uređaja. Na taj način se mnogi zaraženi uređaji ne mogu kasnije ni ispitati na njegovo prisustvo, a time se čuva i “struktura“ čitave mreže.
“Združeni napad” na određene ciljeve
Takođe, mnogi bezbednosni stručnjaci smatraju da na ovaj način Kina može za kratko vreme – manje od 48 sati – efektivno zaustaviti rad velikog dela interneta. Uz ovo, veoma mala izmena u samom računarskom kodu virusa može da aktivira “združeni napad“ na određene ciljeve, poput određene kompanije, poslanika u parlamentu samo jedne države ili pak određenog broja ljudi u istom gradu ili na određenoj geografskoj lokaciji.
Pravog leka za ovakve vrste hakerskih napada, za sada, nema. Oni iskorišćavaju sam način na koji internet funkcioniše te način na koji se uređaji na njega povezuju. Uz sve ovo, ne treba zaboraviti ni da dobar deo samih uređaja, naročito onih jeftinijih, dolazi iz Kine te da su kineski stručnjaci sigurno svesnih njihovih karakteristika, komponenti i softvera koji oni koriste.
Kina nije jedina zemlja sa programima ovako širokog internet napada. Sjedinjene Američke Države imaju, zajedno sa Velikom Britanijom, sličan program nazvan “Quantum Leap“, dok Rusija ima program “Jedinstvo-SORM“. Unutar Evropske unije sličan program ima Francuska, kao deo većeg “Comint/CTTI“ bezbednosnog sistema.