Cyber-spionage mardröm





På en vägg som vetter mot dussintals bås på FBI-kontoret i Pittsburgh, stirrar fem killar från Shanghai från Wanted-affischer. Wang Dong, Sun Kailiang, Wen Xinyu, Huang Zhenyu och Gu Chunhui är, enligt en federal åtal förseglade förra året, agenter från Kinas People's Liberation Army Unit 61398, som hackade sig in i nätverk hos amerikanska företag – U.S. Steel, Alcoa, Allegheny Technologies (ATI), Westinghouse – plus den största industriella fackföreningen i Nordamerika, United Steelworkers och det amerikanska dotterbolaget till SolarWorld, en tysk solpanelstillverkare. Under flera år, säger åklagare, stal agenterna tusentals e-postmeddelanden om affärsstrategi, dokument om orättvis handel som några av de amerikanska företagen hade lämnat in mot Kina, och till och med rörkonstruktioner för kärnkraftverk – allt påstås gynna kinesiska företag .

Det är det första fallet som USA har väckt mot förövarna av påstått statligt sponsrat cyberspionage, och det har avslöjat datasäkerhetshål som företag sällan erkänner offentligt. Även om angriparna uppenbarligen dirigerade sina aktiviteter genom oskyldiga människors datorer och gjorde andra ansträngningar för att maskera sig själva, spårade åklagare intrången till en 12-våningsbyggnad i Shanghai och slog ut enskilda underrättelseagenter. Det finns liten chans att arresteringar kommer att göras, eftersom USA inte har några utlämningsavtal med Kina, men den amerikanska regeringen hoppas uppenbarligen att namngivning av faktiska agenter – och visa att det är möjligt att spåra attacker – kommer att skämma ut Kina och uppmärksamma andra nationer, hämma framtida ekonomiskt spionage.

50 smartaste företagen 2015

Den här historien var en del av vårt julinummer 2015



  • Se resten av frågan
  • Prenumerera

Det kan vara orealistiskt. Säkerhetsföretag säger att sådan aktivitet fortsätter, och Kina kallar anklagelserna rent ogrundade och absurda. Men det finns en annan lärdom från åtalet: företag är nu osannolikt att hålla värdefull information säker online. Vilka steg de än vidtar håller inte jämna steg med hoten. Det är uppenbart att situationen har blivit värre, inte bättre, säger Virgil Gligor, som leder Carnegie Mellon Universitys forskningscenter för datorsäkerhet, känt som CyLab. Vi gjorde tillgången till tjänster och databaser och anslutningar så bekväma att det också är bekvämt för våra motståndare. När företag accepterar det, säger Gligor, är det mest uppenbara svaret ett drastiskt: koppla ur.

Fracking och hacking

Sittande vid ett litet konferensbord på sitt kontor i det federala domstolshuset i Pittsburgh öppnade David Hickton, USA:s advokat i västra Pennsylvania, en plastbehållare som han hade tagit med hemifrån och tog bort och skalade ett hårdkokt ägg till lunch. Även om vi diskuterade en utredning som involverade globala aktörer och ogenomskinlig teknologi, var den hemtrevliga känslan av vårt möte passande: fallet hade många rötter i nära sammansvetsade affärs- och politiska kretsar i Pittsburgh. Hickton visade mig ett inramat foto på en hylla. På bilden står han och en kompis som heter John Surma bredvid sina söner, pojkarna i hockeydräkter, färska från isen. Båda fäderna hade gått i Penn State. När Hickton steg i åklagarna steg Surma i företagsvärlden och blev VD för U.S. Steel. När Hickton blev den högsta federala åklagaren i området 2010, var en av hans mötes-och-hälsningsfrukostar med Surma och Leo Girard, chefen för United Steelworkers, som representerar 1,2 miljoner nuvarande eller pensionerade arbetare i flera branscher. Jag bad dem i ett helt orelaterade ärende att sitta i ett ungdomsbrottsförebyggande råd, minns Hickton. De sa: 'Kan vi prata med dig om något annat?'



Då var den amerikanska frackingboomen i full gång, med ultralåga räntor som hade satts för att stimulera ekonomin som också smörjde verksamheten med att utvinna tidigare svåråtkomlig naturgas och olja. U.S. Steel hade ett blomstrande företag som sålde rör speciellt utformade för utvinningsprocessen. Bland andra egenskaper har rören inga vertikala sömmar, så de kommer att hålla sig när de pressas tusentals fot ner i jorden och ändå böjas för att transportera olja och gas utan att gå sönder.

Vi måste betala kostnaden för säkerheten, vilket är en olägenhet.

Men U.S. Steel noterade också två oroande händelser. För det första exporterade kinesiska statsägda företag massor av liknande rör till USA till låga priser. Så U.S. Steel lämnade in klagomål till det amerikanska handelsdepartementet och USA:s internationella handelskommission och anklagade Kina för att subventionera sina industrier; de resulterande fallen ledde slutligen till sanktioner mot Kina. För det andra var både företaget och facket medvetna om att misstänkta e-postmeddelanden hade kommit in. Men det var inte klart vem som låg bakom dem eller om någon skada inträffade. Det fanns en allmän medvetenhet om intrång, men inte 'när, var, hur' och omfattningen, säger Hickton.



E-postmeddelandena var smart designade. De utgav sig vara från kollegor eller styrelseledamöter, med ämnesrader relaterade till mötesagendor eller marknadsundersökningar, men de levererade skadlig programvara med hjälp av bilagor eller länkar. Till exempel, säger åtalet, den 8 februari 2010 – två veckor före ett preliminärt beslut från handelsdepartementet – skickade hackarna ett e-postmeddelande till flera anställda i U.S. Steel. Det verkade vara från VD:n men inkluderade en länk till en webbplats som innehöll skadlig programvara. Några anställda klickade på det och deras datorer infekterades snart. Resultatet: hackarna stal värdnamn för 1 700 servrar som kontrollerade åtkomsten till företagets faciliteter och nätverk. Åtalet säger att Wang sedan försökte utnyttja den åtkomsten, men det specificerar inte vilken information som avslöjades.

Debbie Shon, U.S. Steels vicepresident för handel, berättade för mig att informationen inkluderade värdefull affärsintelligens. Det var inte högteknologisk design, säger hon. Det var de lika viktiga sakerna – affärsstrategierna, prissättningen, produktionsmängderna och tidpunkten och innehållet i eventuella handelsklagomål som U.S. Steel, som ett av de största företagen inom detta område, kan utforska.

Åtalet beskriver flera liknande attacker. Mellan 2007 och 2013 förhandlade Westinghouse om detaljerna i ett kontrakt med ett kinesiskt företag om att bygga fyra kärnreaktorer. Från 2010 till 2012 ska en av de åtalade ha stulit minst 1,4 gigabyte data – ungefär 700 000 sidor med e-post och bilagor – från Westinghouses datorer. Filerna inkluderade rörkonstruktioner och kommunikation där Westinghouse avslöjade oro för kinesisk konkurrens. På ATI ska hackarna ha stulit lösenorden för 7 000 anställda medan företaget befann sig i en handelstvist fokuserad på dess försäljning till Kina. Hos Alcoa, hävdar åklagarna, stal hackarna 2 900 e-postmeddelanden med mer än 860 bilagor under den tid då företaget förhandlade fram avtal med kinesiska företag. (Alcoa, Westinghouse och ATI avböjde alla att kommentera den här historien.) Och 2012, efter att stålarbetarfacket började uttala sig mot kinesisk industripolitik, stal Wen e-postmeddelanden som innehöll diskussioner bland fackliga ledare, står det i åtalet.



Samtidigt hade SolarWorld väckt handelsfall där kinesiska företag anklagades för att sälja solpaneler till lägre kostnad, vilket decimerat deras konkurrenter. En dag 2012 ringde en telefon på dess kontor i Camarillo, Kalifornien. Det var FBI som ringde och sa att agenter hade upptäckt e-post som stulits från företaget, säger Ben Santarris, dess amerikanska talesman. Som ett tecken på hur dålig cybersäkerhet är, fanns det ingen aning om att detta pågick förrän vi fick telefonsamtalet, säger han. Först när åtalet avslöjades i maj 2014 fick företaget veta hela omfattningen av den påstådda stölden. Det fanns tillgång till affärsstrategi, företagsekonomi, kostnader, resultaträkningar, tekniska vägkartor, FoU och så vidare, säger Santarris. Till slut vann företaget sina fall och säkrade tullar på import av solenergiutrustning från Kina. Under handelskonflikten observerade vi väldigt snäva kontroller av vem som får se vilken information, säger han. Vid den tidpunkten vi gjorde det, enligt FBI, kom den kinesiska militären in bakdörren.

Ta ner den

Misslyckandet med företagens förmodade säkerhetsteknik var bedövande. Lance Wyatt, IT-chefen för stålarbetarnas fackförening, trodde att han körde ett hårt fartyg. En IT-revision 2010 hade inte funnit några större brister. Hans e-postserver genomsökte alla inkommande meddelanden efter bilagor som innehöll körbar kod. Han hade det senaste antivirusprogrammet. Hans nätverk kontrollerade IP-adresser för att undvika webbplatser som innehöll skadlig programvara. Ändå hittade Wyatt och FBI så småningom infekterade datorer, en av dem som används av förbundets resechef. Ingen av dessa maskiner fanns på vår radar som infekterad eller misstänkt, säger han.

Enligt åtalet hade hackarna olika förklädnadsmedel. För det första ska de ha skickat skadlig e-post till företag och facket från hopppunkter – mellanliggande datorer, inklusive en i Kansas, som var under deras kontroll. För det andra manipulerade de skickligt Internets system för att namnge datoradresser. Hackarna skapade domännamn som arrowservice.net och purpledaily.com och programmerade skadlig programvara på företagets offerdatorer för att kontakta dem. Då kunde spionerna kontinuerligt ändra datoradresserna som domännamnen kopplade till. När det var dagtid i Shanghai och natt i Pittsburgh, säger åtalet, satte de ett domännamn för att ansluta till hop-point-datorer och bedriva spionage. När arbetsdagen i Shanghai var klar ställde hackarna in adressen för att ansluta till ofarliga sajter som Yahoo-sidor.

Det är inte en överraskning att sådana system är relativt lätta att samordna för skändliga syften. Idéer för att göra Internet säkrare har funnits i decennier, och akademiska och statliga labb har tagit fram intressanta förslag. Ändå har väldigt få av dessa idéer implementerats; de kräver en bred användning och möjligen avvägningar i nätverksprestanda. Du hör inte talas om att bygga om internet längre, säger Greg Shannon, chefsforskare vid CERT-avdelningen vid Carnegie Mellons Software Engineering Institute.

Vad ska ett företag göra? Wyatt stramade åt på United Steelworkers; bland annat ger han nu färre anställda så kallade administrativa privilegier till sina datorer, och han söker i nätverket efter tydliga tecken på kommunikation med skadlig programvara. Men inget av detta skulle ha förhindrat intrången. Wyatt säger att det kan ha saktat ner dem.

Det bästa alternativet kan därför vara att helt ta bort känslig information från Internet. Det finns nackdelar med det: om e-post inte används lika fritt, eller om en databas är offline, kan det vara mer tidskrävande att hålla sig uppdaterad med de senaste versionerna av rapporter eller annan data. Men som Gligor säger: Vi måste betala kostnaden för säkerheten, vilket är en olägenhet. Vi måste lägga till lite besvär för att göra det mycket svårare för fjärrangriparen. Sättet att göra det är att – hur ska jag uttrycka det? – ibland gå offline.

När allt kommer omkring förekommer fortfarande fler attacker som de i Pittsburgh. Detta åtal, säger Hickton, representerar inte hela antalet hackare, hela antalet offer eller hela antalet åtalade.

David Talbot

Dölj