Nazwa bloga zobowiązuje więc tym razem zajmujemy się ostatnimi wydarzeniami z zakresu łapania oficerów wywiadu i zwalczania operacji, które prowadzą. Okazji ku temu dostarczył akurat amerykański Departament Sprawiedliwości, publikując akty oskarżenia dotyczące łącznie trzynastu osób oskarżonych o szpiegostwo, a także Mandiant który opublikował raport opisujące wykryte chińskie operacje wypływu. W tym poście skupimy się na pierwszym z tych wydarzeń.
O aktach oskarżenia odnoszących się do operacji cyber już pisałem, tym razem przyjrzymy się jednak mniej cyber, a bardziej klasycznej stronie działań wywiadowczych. Jest to o tyle cenna wiedza, że o ile regularnie możemy przeczytać raporty prywatnych firm dotyczące operacji cyber, to wykrywanie HUMINTu pozostaję domeną państwowego aparatu organów ścigania i kontrwywiadu. Spójrzmy więc na operacja jakie udało się wykryć i opisać amerykańskiej prokuraturze.
Departament Sprawiedliwości ujawnił akty oskarżenia w trzech sprawach. Pierwsza dotyczyła siedmiu obywateli Chin, którzy prowadzili działania w ramach operacji przymusowych repatriacji znanej pod kryptonimem „Fox Hunt”. W drugiej dwóch oficerów wywiadu Chin próbowało uzyskać poufne informacje dotyczące postępowania karnego przeciwko międzynarodowej firmie telekomunikacyjnej (tak, prawdopodobnie Huawei). I w końcu trzecia sprawa to przypadek prób rekrutowania osób na terenie Stanów Zjednoczonych jako agentów wywiadu Chin.
Zgodnie z dokumentem dotyczącym pierwszej sprawy, oskarżeni prowadzili „jednostronną i nieuzgodnioną z lokalnymi władzami operacje z zakresu zwalczania przestępczości” jednak opis ten wydaję się zdecydowanym eufemizmem w kontekście charakteru operacji Fox Hunt. Co prawda rząd Chin wystosował w ramach Interpolu czerwoną notę prosząc państwa członkowskie o aresztowanie wskazanej osoby, jednak już metody działania opisane w dokumencie nie przypominały standardowych procedur policyjnych. Oskarżeni zmusili członków rodziny osoby którą próbowali sprowadzić do Chin do podróży do Stanów i przekazania gróźb rządu Chin mających skłonić osobę do powrotu. A to był dopiero początek długiej kampanii prześladowań obejmującej m.in. włamania do posiadłości w celu kontroli korespondencji i pozostawienia wiadomości, nacisków wobec rodziny i wytaczanie bezpodstawnych powództw w celu narażenia na koszty obrony. Przedstawiciele chińskiego rządu wprost przyznawali w końcu, że prześladowania nie ustaną dopóki osoba nie wróci do Chin, a do ich dyspozycji pozostaje jeszcze wiele sposobów utrudniania życia. Dodatkowo oskarżeni byli zaangażowani w pranie pieniędzy – starali się unikać nadzoru instytucji finansowych poprzez dokonywanie przelewów pieniędzy z Chin w transzach poniżej pięćdziesięciu tysięcy dolarów i wskazując jako odbiorcę przelewów współpracowników.
O ile kolejna sprawa miała dużo mniej dramatyczny przebieg, to z punktu widzenia kontrwywiadu i zakresu działania służb Chin kolejna jest nie mniej interesująca. Dotyczy bowiem dwóch osób które próbowały wpływać na postępowania karne prowadzone przez prokuraturę Wschodniego Okręgu Nowego Jorku przeciwko „globalnej firmie telekomunikacyjnej z siedzibą w Chińskiej Republice Ludowej”. Nazwa firmy nie jest wskazana w dokumencie jednak według źródeł CNN chodzi o Huawei. Zdaniem agenta specjalnego FBI, który sporządzał akt oskarżenia oboje oskarżeni są funkcjonariuszami chińskiego wywiadu jednak nie jest powiedziane czy chodzi o Ministerstwo Bezpieczeństwa Państwowego. Zamieszczone zostały za to zdjęcia zainteresowanych osób:
Operacja którą chcieli przeprowadzić była od samego początku skazana na porażkę, gdyż do jej przeprowadzenia zwerbowali funkcjonariusza amerykańskich służb, który nie miał zamiaru pomagać, za to pod nadzorem FBI zaczął prowadzić „współpracę” z oskarżonymi. W związku z tym jednak amerykańska prokuratura zyskała bardzo dokładny obraz metod działania sprawców. Celem operacji było przede wszystkim zdobywanie informacji dotyczących strategii procesowej oskarżenia, w tym list świadków i materiałów dowodowych gromadzonych przez prokuraturę. Warto zaznaczyć jak oskarżeni starali się racjonalizować działania i usprawiedliwiać działania. Przekonywali bowiem swojego „współpracownika”, że pomyślne zakończenie procesu leży nie tyle w interesie samej korporacji, co kultywowania relacji USA – Chiny. Lektura aktu oskarżenia przynosi trzy interesujące obserwację odnośnie bezpieczeństwa operacyjnego akcji. Po pierwsze, preferencje funkcjonariuszy aby płatności przekazywać w Bitcoinach. Jak widać możliwość ominięcia systemu bankowego kryptowalutami pozostaję atrakcyjna przy prowadzeniu nielegalnych operacji. Należy przy tym zaznaczyć, ze korzystano również z bardziej klasycznych metod przekazywania środków takich jak transfery Western Union i biżuteria. Po drugie, korzystanie z szyfrowanego komunikatora. Departament Sprawiedliwości wspomina bowiem, że „współpracownik” przesyłał dokumenty korzystając z aplikacji do szyfrowanej komunikacji. Sytuacja ta dobrze obrazuje, że ostatecznie technologia nie jest w stanie zapewnić bezpieczeństwa jeżeli jeden z uczestników komunikacji nie jest po naszej stronie. Bezpieczny komunikator może wręcz dawać złudne poczucie pewności, a przesadnie teatralne podejście do bezpieczeństwa wręcz przyciąga uwagę śledczych. W końcu po trzecie, rola łańcucha przekazywania informacji. Z opisu wydarzeń wynika, że firma wobec której toczyło się dochodzenie chciała skontaktować się bezpośrednio z osobą mającą dostęp do danych w celu klaryfikacji tego jakich dokładnie materiałów potrzebują, jednak proźba ta została odrzucona ze względów bezpieczeństwa. Co więcej, nawet funkcjonariusze prowadzący operacje twierdzili, że nie mają kontaktu z przedmiotową firmą, a jedynie przekazują wytyczne od swoich przełożonych.
Trzeci akt oskarżenia mówi natomiast wprost o działalności funkcjonariuszy Ministerstwa Bezpieczeństwa Państwowego na terenie Stanów Zjednoczonych. Czterej oskarżeni byli zaangażowani w długofalową akcje rekrutacji naukowców, byłych funkcjonariuszy organów ścigania i urzędników związanych z bezpieczeństwem narodowym. Celem było gromadzenie informacji politycznych, ekonomicznych, wojskowych, naukowych i technicznych, które mogłyby pomóc Chinom w umacnianiu swojej pozycji. Aby zamaskować swoje działania podawali się za badaczy związanych z rzekomym Institute for International Studies na Ocean University of China. Warto zaznaczyć, że formalne oskarżenie odpowiedzialnych funkcjonariuszy zakończyło trwającą bardzo długo operację. Zgodnie z dokumentem, tworzenie i prowadzeniem agentury na terenie Stanów trwało od około 1997 roku.
W kontekście organizacji MSS, akt oskarżenia również dostarcza wielu interesujących obserwacji. Podkreślana jest decentralizacja struktur wykonawczych z biurami regionalnymi otrzymującymi dyspozycję prowadzenia operacji. O biurach pisałem szerzej w poście dotyczącym organizacji MSS, i o ile tam skupialiśmy się na działaniach cyber, to większość biur ma w zakresie swojej odpowiedzialności poszczególne funkcje wywiadu osobowego. Dalej możym przeczytać o środkach ostrożności stosowanych przez MSS i próbach unikania podróży do Stanów aby uniknąć ryzyka aresztowania. Funkcjonariusze korzystają z usług pośredników takich jak przedsiębiorcy podróżujący w celach biznesowych i pracownicy naukowi oraz środków komunikacji elektronicznej. W jednej z rozmów pomiędzy oskarżonym a wspólnikiem pada również stwierdzenie, że emerytowani oficerowie wywiadu Chin nie mogą opuszczać kraju przez okres siedmiu lat. Długość okresu wynika rzekomo z tego, że po takim czasie większość tajnych informacji nie jest już aktualna.
Trzy przedstawione operacje pokazują trzy różne funkcje które mogą pełnić operacje wywiadowcze. Pierwsza jest elementem represji politycznych, druga miała pomóc firmie o strategicznym znaczeniu dla rządu Chin, a trzecia to przykład klasycznej operacji wywiadu mającej na celu rekrutacje osobowych źródeł informacji. W kontekście porównania z operacjami cyber trzeba zauważyć, że o ile cele drugiej i trzeciej mogłyby być, przynajmniej częściowo, realizowane przez operacje sieciowe, to trudno wyobrazić to sobie w przypadku pierwszej. Groźby, wykorzystanie rodziny ofiary czy wytaczanie powództw wymaga już bezpośredniego zainteresowania nie miejscu. Jeżeli jednak chodzi o wykorzystanie środków technicznych do wspierania operacji osobowych to wspomniane wykorzystanie komunikatorów jest tylko kolejnym przykładem sprawnego łączenia obu dziedzin. Niedawny artykuł opublikowany w Bloomeberg opisujący kradzież własności przemysłowej GE wspomina o tym jak już w 2014 funkcjonariusze nakłaniali ofiarę do podłączenia pendrive’a do systemu w środowisku korporacyjnym co miało umożliwić fazę cyber operacji. Co jest zresztą przykładem dużo bardziej zaawansowanego łączenia dziedzin niż tylko korzystanie z szyfrowanej komunikacji czy Bitcoinów.
Analiza klasycznych operacji wywiadu powinna być stałym elementem dnia każdego analityka CTI. Jak wspomniałem nie wszystkie cele jakie są stawiane przed agencjami wywiadowczymi mogą być realizowane cyber aktywnościami. Dopiero więc całościowe spojrzenie na operacje różnych dyscyplin wywiadu może nas przybliżyć do zrozumienia celów i strategii działania konkretnego państwa. W przypadku Chin jest to o tyle istotne, że skala działań cyber i ich analizy przez podmioty prywatne może tworzyć wrażenie, że HUMINT spadł niejako na drugi plan. Tak oczywiście nie jest, a jeżeli chodzi o trendy to problem staję się tylko coraz poważniejszy.