Pierwsze ślady obecności chińskich hakerów w sieci "NYT" znaleziono jeszcze w październiku. Dlatego redakcja gazety przypuszcza, że włamanie ma związek z artykułem opublikowanym 25 października, zatytułowanym " Ukryty majątek rodziny chińskiego przywódcy wynosi miliardy dolarów ". Dziennikarze NYT opisali w nim, że rodzina premiera Chin Wena Jiabao zgromadziła ogromną fortunę, którą można szacować na miliardy dolarów. Po tej publikacji dostęp do strony "NYT" został z Chin zablokowany.
Na blokadzie jednak nie poprzestano. Chińscy hakerzy uzyskali dostęp do skrzynki mailowej autora feralnego artykułu, korespondenta "NYT" w Szanghaju - Davida Barboza.
Jak doszło do włamania?
Wszystko wskazuje na to, że operacja była starannie zaplanowana . Ślady włamania miały prowadzić bowiem na amerykańskie uniwersytety. Botnet utworzony z komputerów w USA wysyłał wiadomości z zainfekowanymi załącznikami do redakcji "NYT". Któryś z nich musiał kliknąć na załączony plik, przez co Chińczycy uzyskali dostęp do sieci gazety. Jak precyzuje serwis Niebezpiecznik.pl :
Następnie atakujący przejmują kontroler domeny i wykradają z niego hashe haseł użytkowników. Po ich złamaniu próbują haseł w innych systemach wewnętrznych. W ataku wykorzystano 45 różnych przypadków malware'u, co w konsekwencji umożliwiło uzyskanie dostępu do 53 komputerów należących do pracowników New York Timesa.
To nie był odwet
Fot. istock
Serwis Fast Company zauważa , że włamanie do sieci "NYT" nie było wcale akcją odwetową, ani żadnym rodzajem zemsty. To raczej kampania szpiegowska, która
na równi stawia kontrolowanie publicznego obrazu Chin z kontrolowaniem tajemnic handlowych i tajemnic państwa.
Celem ataków było najprawdopodobniej zebranie możliwie najwięcej informacji o źródłach wycieku, który doprowadził do powstania artykułu o rodzinie chińskiego premiera. "New York Times" podaje, że włamywacze aktywni byli głównie w dniach od 25 października (data publikacji tekstu) do 6 listopada. Według zapewnień redakcji, postępowanie hakerów ma sugerować, że głównym punktem zainteresowania była poczta mailowa autora artykułu Davida Barboza, w której szukali śladów i korespondencji z potencjalnymi informatorami dziennikarza. "NYT" zapewnia, że hakerzy do niczego nie dotarli, bo tekst powstawał w oparciu o publicznie dostępne dokumenty.
Dużo wskazuje na to, że za włamaniem stoją chińskie władze. Złośliwe oprogramowanie użyte do przejęcia kontroli nad komputerami redakcji amerykańskiego dziennika wygląda jak to stosowane przez Ludową Armię Wyzwolenia, a wykorzystywanie komputerów uniwersyteckich miało być stosowane już w innych przypadkach ataków sponsorowanych przez Chiny na cele w Stanach Zjednoczonych.
Największy problem może mieć nie "NYT", a Symantec
Na komputerach redakcji "NYT" zainstalowany był program antywirusowy Symanteca. Gdy tylko redakcja odkryła ślady włamania, postanowiono głębiej zbadać sprawę. Śledztwo zostało powierzone firmie Mandiant. Ta prześledziła aktywność włamywaczy, ale odkryła również, że oprogramowanie antywirusowe zidentyfikowało zaledwie 1 z 45 złośliwych plików wykorzystywanych przez hakerów. Symantec oczywiście szybko zajął oficjalne stanowisko :
Zaawansowane funkcje w naszych produktach (...) są ukierunkowane zwłaszcza na wyrafinowane ataki. Włączanie tylko podstawowych funkcji antywirusa nie wystarczy w świecie, który codziennie się zmienia (...). Zachęcamy naszych klientów, by agresywnie wdrażali rozwiązania, które oferują złożone podejście do bezpieczeństwa. Oprogramowanie antywirusowe już nie wystarcza.
Tłumaczenie niby ma sens, ale fakt, że antywirus wykrył zaledwie 1 zagrożenie z 45, pozostaje niezmieniony.
"New York Times" twierdzi, że jego sieć jest już dobrze chroniona przed atakami z zewnątrz. Nie wyklucza jednak, że ataki nie będą się już więcej powtarzać.
