När kinesiska hackare förklarade krig mot oss andra

Andrea Daquino





Sent en onsdag i mars 2015 ljöd ett larm på GitHubs kontor, ett San Francisco-baserat mjukvaruföretag. Företagets kontor exemplifierade den typ av Skandinavien möter själlös stil som har spridit sig från Silicon Valley för att ta över moderna arbetsplatser: exponerat trä, öppna ytor och mycket naturligt ljus. De flesta anställda förberedde sig för att lämna, om de inte redan hade gjort det. Utanför hade solen börjat gå ner och det var ljumt och klart.

Larm var inte ovanligt på GitHub. Företaget hävdar att det har världens största arkiv med datorkod. Den hade cirka 14 miljoner användare vid den tiden och är stolt över att behålla sin tjänst och vara online. GitHubs kärnprodukt är en uppsättning redigeringsverktyg som gör att ett stort antal programmerare kan samarbeta om mjukvara och hålla reda på ändringar när buggar fixas. I oktober 2018 skulle Microsoft köpa den för 7,5 miljarder dollar.

Tillbaka 2015 var GitHub fortfarande ett kommande, oberoende företag vars framgång kom från att göra det avsevärt lättare för andra människor att skapa datorprogramvara. Det första larmet indikerade att det fanns en stor mängd inkommande trafik till flera projekt lagrade på GitHub. Det här kan vara oskyldigt - kanske ett företag precis har lanserat en stor ny uppdatering - eller något mer olyckligt. Beroende på hur trafiken klustrades, skulle fler larm ljuda om det plötsliga tillflödet påverkar tjänsten på hela webbplatsen. Larmen ljöd. GitHub höll på att DDoS-redigeras.



En av de vanligaste orsakerna till att en webbplats går ner är en kraftig ökning i trafiken. Servrar blir överväldigade av förfrågningar, vilket får dem att krascha eller sakta ner till ett plågsamt mal. Ibland händer detta helt enkelt för att webbplatsen plötsligt blir populär. Andra gånger, som i en DDoS-attack (Distributed Denial of Service), är spiken illvilligt konstruerad. Under de senaste åren har sådana attacker blivit vanligare: hackare har börjat infektera ett stort antal datorer med virus, som de sedan använder för att ta kontroll över datorerna och värva dem i DDoS-attacken.

Vi upplever just nu den största DDoS-attacken i GitHubs historia, skrev seniorutvecklaren Jesse Newland i ett blogginlägg nästan 24 timmar efter att attacken hade börjat. Under de följande fem dagarna, när ingenjörer tillbringade 120 timmar för att bekämpa attacken, gick GitHub ner nio gånger. Det var som en hydra: varje gång laget trodde att de hade koll på det, anpassade attacken sig och fördubblade sina insatser. GitHub skulle inte kommentera rekordet, men en teammedlem som pratade med mig anonymt sa att det var väldigt uppenbart att detta var något vi aldrig hade sett förut.

I företagets interna chattrum insåg GitHub-ingenjörer att de skulle ta itu med attacken ett tag. När timmarna sträckte sig till dagar blev det något av en tävling mellan GitHub-ingenjörerna och den som var i andra änden av attacken. Teamet arbetade långa, hektiska skift och hade inte mycket tid att spekulera om angriparnas identitet. Eftersom rykten florerade online, skulle GitHub bara säga: Vi tror att avsikten med denna attack är att övertyga oss om att ta bort en specifik klass av innehåll. Cirka 20 minuters bilresa bort, tvärs över San Francisco Bay, trodde Nicholas Weaver att han kände till boven: Kina.



Weaver är expert på nätverkssäkerhet vid International Computer Science Institute, ett forskningscenter i Berkeley, Kalifornien. Tillsammans med andra forskare hjälpte han till att peka ut målen för attacken: två GitHub-värdade projekt kopplade till GreatFire.org, en Kina-baserad anticensurorganisation. De två projekten gjorde det möjligt för användare i Kina att besöka både GreatFires webbplats och den kinesiskspråkiga versionen av New York Times, som båda normalt är otillgängliga för användare i Kina. GreatFire, kallad en utländsk anti-kinesisk organisation av Cyberspace Administration of China, hade länge varit ett mål för DDoS och hackingattacker, vilket är anledningen till att det flyttade några av sina tjänster till GitHub, där de nominellt var utom fara.

Inte bara blockerade Kina bitar och bytes av data som försökte ta sig in i Kina, utan det kanaliserade också dataflödet ut från Kina.

Weaver hittade något nytt och oroande när han undersökte attacken. I en papper medförfattare med forskare vid Citizen Lab, en aktivist och forskargrupp vid University of Toronto, beskrev Weaver ett nytt kinesiskt cybervapen som han kallade den stora kanonen. Den stora brandväggen – ett utarbetat system med inbördes relaterade tekniker för att censurera internetinnehåll som kommer från länder utanför Kina – var redan välkänt. Forskare från Weaver och Citizen Lab fann att Kina inte bara blockerade bitar och bytes av data som försökte ta sig in i Kina, utan det kanaliserade också dataflödet från Kina.



Den som kontrollerade den stora kanonen skulle använda den för att selektivt infoga skadlig JavaScript-kod i sökfrågor och annonser som serverades av Baidu, en populär kinesisk sökmotor. Den koden riktade sedan enorma mängder trafik till kanonens mål. Genom att skicka ett antal förfrågningar till servrarna som den stora kanonen dirigerade trafik från kunde forskarna pussla ihop hur den betedde sig och få insikt i dess inre funktion. Kanonen kan också användas för andra skadliga attacker förutom överbelastningsattacker. Det var ett kraftfullt nytt verktyg: Att distribuera den stora kanonen är ett stort taktikskifte och har en mycket synlig effekt, skrev Weaver och hans medförfattare.

Attacken pågick i flera dagar. Citizen Lab-teamet sa att de kunde observera dess effekter i två veckor efter att GitHubs larm först gick. Efteråt, när GitHub-utvecklarna kämpade för att förstå attacken och komma med en färdplan för framtida incidenter, uppstod förvirring inom cybersäkerhetsgemenskapen. Varför hade Kina inlett en så offentlig attack, på ett så rakt sätt? Det var överdrivet, sa Weaver till mig. De höll igång attacken långt efter att den hade upphört att fungera.

Det var ett budskap: ett skott över fören från arkitekterna bakom den stora brandväggen, som – efter att ha erövrat internet hemma – nu alltmer tog sikte utomlands, ovilliga att utmana sitt system för kontroll och censur, oavsett var de kom från.




GitHub-attacken var en sällsynt offentlig uppvisning av den kinesiska cyberstatens attackkraft, som vanligtvis föredrog att utöva sina förmågor bakom kulisserna. Några av dessa funktioner upptäcktes av en slump i januari 2009.

På vinden i en storslagen gammal röd tegelbyggnad mitt på University of Torontos campus, strax norr om stadens centrum, stirrade Nart Villeneuve misstroende på sin datorskärm. Villeneuve var doktorand vid universitetet och forskare vid Citizen Lab. Han hade spårat en sofistikerad cyberspionagegrupp som infiltrerade datorer, e-postkonton och servrar runt om i världen och spionerade på deras användare och innehåll. Angriparna hade noggrant skräddarsytt så kallade spear-phishing-e-postmeddelanden för att se ut att vara från måls vänner och kollegor, vilket övertygade människor att ladda ner skadlig programvara på sina maskiner och omedvetet öppna sig för övervakning. Kampanjen var avancerad, men dess skapare verkade också ha gjort något ganska dumt.

Villeneuve tog upp sin telefon och ringde Ron Deibert, hans handledare och grundaren av Citizen Lab.

Som Deibert berättar i sin bok Black Code: Inside the Battle for cyberrymden , hade Villeneuve upptäckt en kommando-och-kontrollserver för skadlig programvara som hade spridits brett på internet.

Jag är med, viskade Villeneuve i sin telefon.

Deras utredning hade påbörjats månader tidigare i Dharamsala, en indisk stad som Dalai Lama hade flytt till 1959, som nu är centrum för den tibetanska exilgemenskapen. Greg Walton, en Citizen Lab-fältforskare, hade besökt området i flera år. I slutet av 1990-talet och början av 2000-talet hjälpte Walton till att utöka det arbete som utfördes av de två tidigare tibetanska internetpionjärerna, Dan Haig och Thubten Samdup, som hjälpte till att koppla Dharamsala till World Wide Web i en tid då resten av Indien knappt var uppkopplad . Walton byggde webbplatser för olika icke-statliga organisationer och statliga myndigheter, undervisade i datorkurser och hjälpte människor att skapa e-postkonton. När han ser tillbaka insåg han att de var alltför fångade i fördelarna med internet och dess förmåga att ansluta och förena den allt mer utbredda tibetanska diasporan, för att kunna tänka på nackdelarna. Även om de första dagarna var tuffa och tekniken skranglig, tog internet snabbt fäste i Dharamsala. Säkerheten brydde sig inte mycket om.

Dessa nya varningar var mycket mer effektiva – och läskiga – eftersom de skickades till utländska ledare när planerna inte hade avslöjats offentligt.

Nackdelarna med Tibets tidiga antagande av internet blev snabbt uppenbara. Den kinesiska regeringen skulle skicka arga meddelanden till utländska ledare när de försökte sätta upp möten med Dalai Lama, innan händelserna ens tillkännagavs. Den kinesiska regeringen hade länge offentligt motsatt sig alla kontakter med separatister. Men som människor inom den tibetanska gemenskapen berättade för mig, var dessa nya varningar mycket mer effektiva – och läskiga – eftersom de skickades till utländska ledare när planerna inte hade avslöjats offentligt. Den kinesiska regeringen ville att alla berörda skulle veta att de lyssnade.

Diaspora-tibetaner som tog sig in i kinesiskt kontrollerat territorium greps vid gränsen och förhördes. Om de försökte förneka inblandning i politiken presenterades deras egna e-postmeddelanden som bevis. En kvinna som arbetade på ett uppsökande program i Dharamsala som fick finansiering från den USA-regeringsstödda Voice of America var på väg över till Tibet från Nepal när hon stoppades av kinesisk polis. Hon presenterades för utskrifter av sin privata kommunikation med människor i kinesiskt kontrollerade Tibet. En annan kvinna, en amerikansk forskare som bor i Peking, fick en inbjudan till te med säkerhetstjänstemän, en semi-regelbunden händelse för alla som sysslar med känsliga frågor i Kina. När hon bad om sin e-post gav hon säkerhetstjänstemännen ett dummy-konto som hon inte använde för något annat; två dagar senare försökte någon hacka den adressen.

Tillbaka i Dharamsala inaktiverades dator efter dator av aggressiv skadlig programvara som inte var utformad för att spionera, utan för att sabotera.

Det var uppenbart att någon riktade sig mot tibetaner. Alla tecken pekade mot Kina, men källan till operationen var oklar. Var tibetanerna måltavlor av säkerhetstjänsten, av militären, av så kallade patriotiska hackare, eller av en kombination av alla tre?

Tillsammans med tibetanska säkerhetsexperter började Walton samla in prover på skissartade e-postmeddelanden och skadlig programvara. En av dessa lokala experter var Lobsang Gyatso Sither. Sither föddes i Dharamsala 1982, en av en generation av exil som aldrig har bott i Tibet. Han studerade datavetenskap i Indien och Storbritannien, och hade till stor del lämnat Dharamsala bakom sig när han träffade Walton i London i slutet av 2000-talet och fick reda på hur tibetanerna riktades in. Han återvände med Walton till Himalaya, och de två började arbeta med Dalai Lamas kontor, och alla andra uppenbara mål, för att motverka hacks och cyberattacker.

I början var attackerna ganska osofistikerade: e-postmeddelanden på bruten engelska skulle uppmuntra användare att köra körbara filer. Ensamma skulle de inte ha skapat för mycket oro, men när Walton, Sither och andra samlade in fler och fler prover började de se omfattningen av kampanjen. Hela samhället var måltavla, även om de flesta skulle ha varit av ringa intresse för hackare, berättade Sither för mig.

Även individer som inte är direkt relaterade till ett nyckelmål kan vara användbara för hackare. Precis som polisen åtalar ett mobbfall, kan hackare flytta uppåt i kedjan och använda komprometterade konton för att gå efter de ultimata målen och deras medarbetare med mer trovärdiga nätfiskeattacker.

Angriparna övervakade noga framgången med deras operation. När en stor utbildningskampanj lanserades för att uppmuntra tibetaner att inte öppna bilagor och istället förlita sig på molnbaserade tjänster som Google Drive för att dela dokument, dök det snabbt upp ny skadlig programvara. Den inriktade sig specifikt på de tjänster som utbildningskampanjen hade rekommenderat.

Innan Villeneuves upptäckt av kommando-och-kontrollservern hade teamet bara kunnat spåra målen för skadlig programvara – inte angriparna själva. Nu kunde Villeneuve se exakt vad angriparna gjorde på de datorer de hade tillgång till. Det primära vapnet i hackarnas verktygslåda var en enda skadlig programvara, ursprungligen utvecklad av kinesiska programmerare och senare portad till engelska, kallad Gh0st Remote Administration Tool, eller Gh0st Rat.

Genom sina undersökningar i Dharamsala kunde Citizen Lab-teamet se att skadlig programvara riktad mot tibetaner kommunicerade med servrar baserade i Hainan, en södra kinesisk ö. Hacket riktade sig mot militära tjänstemän, lagstiftare, journalister och hundratals andra i Dharamsala, över hela Indien och på andra håll i Asien, vars alla aktiviteter övervakades av hackarna. Nästan säkert, skrev teamet i sin rapport, dokument tas bort utan målens vetskap, tangenttryckningar loggas, webbkameror utlöses tyst och ljudingångar aktiveras i smyg. Medan Citizen Lab inte kunde säga definitivt vem som låg bakom hacket, drog rapporten slutsatsen att denna uppsättning högprofilerade mål troligen har utnyttjats av den kinesiska staten för militära och strategiska underrättelseändamål.

Rapporten kom fram till denna slutsats eftersom ön Hainan var värd för Lingshui-signalunderrättelseanläggningen och en avdelning av den tredje tekniska avdelningen av People's Liberation Army, en kinesisk motsvarighet till National Security Agency. GhostNet, som Citizen Lab-teamet kallade hacket, var bland de tidigaste tecknen på PLA:s påstådda hackningsförmåga. Inom några år skulle FBI åtala flera ledande militära tjänstemän för att ha riktat in sig på amerikanska företag och institutioner, för både industriellt och militärt spionage. PLA anklagades också för ett hack av Office of Personal Management (OPM), en stor federal personalbyrå, som äventyrade personuppgifterna för upp till 18 miljoner nuvarande, tidigare och blivande federala anställda.

OPM-hacket tillkännagavs offentligt i juni 2015. Några månader senare president Barack Obama värd Den kinesiske ledaren Xi Jinping i Vita huset, där de två männen undertecknade ett bilateralt avtal som lovade att ingendera landets regering kommer att genomföra eller medvetet stödja cyberaktiverad stöld av immateriell egendom, inklusive affärshemligheter eller annan konfidentiell information. Affären var en stor diplomatisk vinst för Obama när han närmade sig slutet av sin andra mandatperiod, och de första tecknen på framsteg var goda, men korrekt granskning underskreds till stor del av det amerikanska valet 2016 och efterföljande raseri över påstådd rysk hackning av det demokratiska partiet. Eftersom oron för skumma hackare som undergräver amerikanska institutioner flyttades från Peking till Moskva, ägnades mindre uppmärksamhet åt den kinesiska regeringens roll i framtida attacker.

Under tiden fortsätter hackare att rikta sig mot den tibetanska exilgemenskapen, och de i diasporan fortsätter att slå tillbaka. I klassrum och mötessalar runt om i Dharamsala håller Sither och andra säkerhetsexperter workshops om e-postkryptering, säkra meddelandeappar och andra sätt att hålla sig säker online. Människorna som Sither arbetar med svarar i allmänhet på det ständiga cyberhotet på ett av två sätt: ambivalens eller paranoia. Båda svaren frustrerar honom. Vissa människor är övertygade om att de inte har något att dölja; men om deras konton äventyras kan det påverka de som verkligen har saker de skulle vilja dölja för den kinesiska regeringen. Andra är så skrämda av tanken att kinesiska spioner tittar på att de inte får något arbete gjort: exakt den typ av kylande effekt som censurerna hoppades på. Vi försöker hitta balansen mellan trygghet och att inte bli för rädda, sa Sither till mig. Det är en utmaning ibland.

Många trodde att internet skulle ge demokrati till Kina. Istället har det bemyndigat regeringens övervakning och kontroll bortom Mao Zedongs drömmar.


GitHub och tibetaner som Lobsang Sither var bland de första offren på en ny front i Kinas krig på internet, lanserat av en ny sorts censor som var fast besluten att gå efter landets fiender var de än är, med hjälp av de medel som krävs.

I december rapporterades det att ett hack av den internationella hotellkedjan Marriott genomfördes av kinesiska aktörer 2014. Marriott-intrånget tillkännagavs offentligt cirka fyra år efter att det ägde rum. Många fler attacker har sannolikt ännu inte erkänts offentligt, eftersom företag håller problemen hemliga för att inte skada relationerna med Kina.

Marriott har också drabbats av en annan kinesisk censurkampanj. I januari 2018 blockerades Marriotts webbplats i Kina och företaget tvingades ge en förödmjukande ursäkt efter att Tibet och Hongkong listats som separata länder på ett formulär. Uppmuntrade av deras framgång med att diktera termer till Marriott, har kinesiska tjänstemän gått efter flygbolag och andra företag i frågor som att felidentifiera Taiwan.

Många trodde att internet skulle ge demokrati till Kina. Istället har det bemyndigat regeringens övervakning och kontroll bortom Mao Zedongs drömmar. Nu riktar censorerna sin uppmärksamhet mot resten av världen.


Den här historien är ett utdrag från James Griffiths nya bok Den stora brandväggen i Kina: Hur man bygger och kontrollerar en alternativ version av Internet , som ska publiceras i mars av Zed Books. Griffiths har rapporterat från Hong Kong, Kina, Sydkorea och Australien för butiker inklusive CNN International, South China Morning Post, Atlantic, Vice och Daily Beast.

Dölj