- BlueGunBlog -

Имейлът до директора на Booz Allen Hamilton бе рутинен - списък за стоки, изпратен от Пентагона за оръжията, които Индия желае да закупи. Но официалното писмо се оказа брилянтна фалшификация. Зад описанията на самолети, двигатели и радарна техника е скрит компютърният код Poison Ivy, предназначен да попива важни сведения от мрежата на консултантската фирма на стойност $4 млрд.

Имейлът не е изпратен от Пентагона. Произходът му е неясен, но съобщението е минало през Корея и е стигнало до офисите на Booz Allen. Авторите му са знаели достатъчно за "подателя" и "получателя", за да изфабрикуват текст, който не буди подозрения. Ако директорът на Booz Allen бе кликнал върху прикрепения файл, самото кликване щеше да изпрати сигнал до тайнствения подател на адреса cybersyndrome.3322.org, регистриран от неизвестна компания с централен офис на бреговете на китайската река Яндзъ.

Американското правителство и многобройните подизпълнители, които се занимават с отбрана, са жертви на безпрецедентна серия от подобни атаки през последните две години. "Става дума за масивен шпионаж", твърди Пол Кърц, някогашен високопоставен служител от националната сигурност. Правителствените агенции са докладвали 12 986 инцидента на Американското министерство на вътрешната сигурност през 2007 - три пъти повече, отколкото преди две години. Последната година набезите към мрежите на военните са нараснали с 55%, уточнява генерал-лейтенант Чарлс Крум, оглавяващ Съвместните оперативни сили за глобални мрежови операции към Пентагона. Частните мишени като Booz Allen също са уязвими и това увеличава рисковете пред сигурността. "Те разполагат с наша информация. Реализират нашите оръжейни системи. А никой не би искал да попадат във вражески ръце - допълва Крум. - Поне засега кибер престъпниците не разрушават и не провалят операциите ни. Но това не означава, че са неспособни да го направят."

ЧУДОВИЩЕТО
Когато през 2006 потопът започна, официалните лица побързаха да създадат софтуерни "патчове", "рапове" и други защитни средства. Тези опити станаха по-сериозни миналото лято, когато висшите военни тайно свикаха в Пентагона главните изпълнителни директори или техни представители от 20-те най-големи американски фирми - подизпълнители на военни поръчки.

BusinessWeek научи, че правителството е стартирало секретната операция "Византийска опора". Целта й е да засича, проследява и осуетява опитите за проникване в най-важните мрежи на правителството. А на 8 януари президентът Джордж Буш тайно е одобрил програма, известна като "Кибер инициатива", за подобряване на американската кибер защита. Тя ще струва десетки милиарди долари и ще има 12 определени цели според запознати. Една от тях илюстрира неотложността и размера на проблема: до юни всички правителствени агенции следва да намалят каналите за комуникация, или портовете, чрез които мрежите им се свързват с интернет от над 4000 до по-малко от 100. На 8 април министърът на вътрешната сигурност Майкъл Чертоф нарече наредбата на президента за кибер сигурност "Проект Манхатън."

Много експерти се тревожат, че интернет е станал неконтролируем. Всеки ден се появяват нови разработки, всяка от които по-сложна от предишната. Министерството на отбраната, към което се числи Агенцията по изследвания за отбраната (DARPA), създала интернет през 60-те години, не е далеч от мисълта, че е родило чудовище. "Няма нужда от армия, морска пехота или ВВС, за да бъдат победени САЩ", твърди генерал Уилям Лорд, командир на Военновъздушната кибер команда, сформирована през ноември 2006 за подобряване на компютърната защита на ВВС. И добавя: "Компютърът на бюрото ми е достатъчно мощна сила." Военните дълго време вярваха, че "интернет спомага за бърза победа при високотехнологична война - твърди висш съветник на американските военни. - А сега казват: По дяволите!"

Според сегашни правителствени служители много от днешните престъпници са обучени професионалисти, подкрепяни от чужди правителства. "Новият вид заплаха е плод на държавна подкрепа", смята Амит Йоран, бивш директор на Отдела за национална кибер сигурност. Разузнавателните служби са категорични, че Китай е най-голямата заплаха. "През 2007 компютърни мрежи по цял свят, включително и на американското правителство, са били подложени на опити за проникване от страна на КНР", се посочва в годишния доклад на Пентагона, публикуван на 3 март. Преамбюлът на "Кибер инициативата" на Буш също фокусира Китай. Ван Баодон, говорител на китайското посолство във Вашингтон, контрира, че зад тези обвинения се крият "антикитайски сили". "Твърденията на американски висши служители, че кибер атаките са спонсорирани и поощрявани от Китай, са неоснователни - отговори той по имейл на BusinessWeek. - Китайското правителство винаги се е противопостявало на кибер престъпленията, включително на хакерските атаки. Самият Китай е жертва на чести хакерски атаки от различни страни."

Тъй като мрежата позволява на дигиталните шпиони да скрият идентичността си и физическото си местонахождение и да подхвърлят наляво-надясно зловреден код, често е невъзможно да бъдат посочени конкретни престъпници. Специалистите по мрежова сигурност наричат този маскарад "проблемът с приписването."

ДОСТОВЕРНО ПОСЛАНИЕ
От офиса на шефа на Националното разузнаване Дж. Майкъл Макконъл, главен защитник на идеята за засилване на кибер сигурността на правителството, отказаха да коментират "специфични кодови програми" като "Византийска опора" или "Конкретни прониквания и възможни жертви". Но ни отговориха, че "компютърните пробиви са били успешни срещу ред правителства, корпоративни мрежи и отбранителни обекти". Белият дом отказа коментар за "Кибер инициативата" заради конфиденциалния й характер.

Имейлът до Booz Allen, с който BusinessWeek успя да се сдобие и да го проследи до интернет адреса в Китай, е ярко доказателство за способностите на американските кибер врагове. На 5 септември 2007 в 08:22:21 е изпратен имейл до Джон "Джак" Малхърн, вицепрезидент по програмите за международно военно сътрудничество на Booz Allen. Във високотехнологичния свят на оръжейните продажби, специалитет на Малхърн, имейлът изглежда достатъчно правдоподобен. "Интегрирайте американски, руски и индийски оръжия и авиационна радиоелектроника", указва имейлът, представящ изискванията за бойните самолети на индийското правителство. "На Индия е предоставен сорс код за местни компютърни подобрения."

Малхърн лесно вниква в подобна терминология. 62-годишният бивш морски офицер и ветеран във военно-консултантския бизнес на Booz Allen е експерт по продажбите на американски оръжия. Това, което прави имейла още по-убедителен, е очевидният му подател - Стивън Морий, гражданско лице, което работи за група, докладваща пред секретаря на военновъздушните сили Майкъл Уайн. Сред задълженията на групата е да оценява сигурността при продажбите на американски военни самолети на други страни. Нищо нередно в това, че Морий е прочел технологичния документ "Предложение за бойни самолети от Индия". Индийското правителство е отправило предложението седмица по-рано, на 28 август, а езикът на имейла е много близък до този на предложението. Съобщението изглежда правдоподобно и защото реферира към предстоящи комюникета на ВВС и към "Среща на екипа" за обсъждане на сделката.

Но имейлът от Морий до Малхърн е фалшификат. Един анализ на пътя, който имейлът и прикаченият файл са изминали (проведен от трима специалисти по кибер сигурност по молба на BusinessWeek), показва, че те са изпратени от неизвестен хакер, преминали са през адрес в Южна Корея, препредадени са от сървър на Yahoo! в Ню Йорк и в крайна сметка са си проправили път към пощенската кутия на Малхърн в Booz Allen. Анализът показва и кода "Троянски кон". Той проследява ударите на клавишите от компютрите на хората, които отворят съобщението. Отделна програма обезврежда мерките за сигурност, каквато е защитата на паролите за файловете в базата данни Access на Microsoft, програма, използвана от големи организации в американския отбранителен сектор.

ПЪТЯТ НА ЕДИН ФАЛШИВ ИМЕЙЛ
Макар че това едва ли е най-сложната техника, използвана от престъпниците, "ако имате важни документи в базите данни на Access, знайте, че кодът Poison Ivy прониква там и ги изкарва", заяви главният изпълнителен директор на водещата фирма за кибер сигурност, която анализира имейла. (Той пожела анонимност, тъй като фирмата му консултира американските военни, подизпълнители в отбраната и финансови институции.)

Опасният софтуер, прикрепен към фалшивия имейл, има и по-тревожни способности. Известен като инструмент за отдалечено администриране (RAT), той позволява на нападателя да контролира компютъра, който управлява терминали, като улавя скрийншотове или чете файлове. И е скрит в браузърите на Microsoft Internet Explorer, докато потребителите сърфират в мрежата. Дигиталното проследяване на cybersyndrome.3322.org, извършено от анализаторите, ни насочи към един от най-големите безплатни домейни за регистрация и имейл услуги. Този домейн е 3322.org, регистриран от компанията Bentium в град Чанджоу, недалеч от Шанхай. Експерти по сигурността смятат, че 3322.org осигурява имена за компютри и сървъри, които действат като командни и контролират центрове за над 10 000 вида вируси, внедрени в правителствени и корпоративни мрежи последните години. Много от тези компютри се намират в Китай. Останалите може да са навсякъде.

Основателят на 3322.org е 37-годишният предприемач на име Пен Юн. Той твърди, че компанията му почти не позволява на потребителите да регистрират имена на домейни. "В крайна сметка не можем да упражняваме абсолютен контрол", уточнява Пен. Най-важното е, че ако Poison Ivy бе заразил компютъра на Джак Малхърн в Booz Allen, всички вътрешни тайни можеше да бъдат видени в Китай. А ако се бе разпространил и по други компютри, както често се случва с разрушителния софтуер, това дава достъп и до друга важна информация. Не е ясно дали Малхърн е получил имейла, но адресът беше верен. След като на 20 март BusinessWeek информира Booz Allen за фалшивия имейл, говорителят на компанията Джордж Фарар заяви, че компанията е започнала разследване, за да го открие. До 9 април резултатът бе нулев.

Фарар твърди, че директорите по сигурността в Booz Allen са прегледали компютрите на Малхърн и неговия асистент, който получава съобщенията му. (Малхърн, който се пенсионира през март, не отговори на имейлите ни за коментар и отказа интервю чрез Booz Allen.) Официалните представители на ВВС препратиха молбата ни за коментар до министъра на отбраната Робърт Гейтс. В отговор кабинетът на Гейтс призна, че е бил мишена на кибер атаки "от различни организации, спонсорирани или не от държавата, за получаване на неоторизиран достъп до или за унищожаване на информационните системи на Министерството на отбраната". Но Пентагонът отказа да обсъжда опита за проникване в Booz Allen. А от ВВС не позволиха на Стивън Морий да коментира.

Фалшивият имейл все пак предизвика раздвижване във ВВС. На 4 септември анализаторът в сферата на отбраната Джеймс Малвенън също е получил съобщение с имената на Морий и Малхърн. Експертите по сигурността смятат, че имейл адресът на Малвенън тайно е включен в графата за препращане на фалшивия имейл. Малвенън е директор на Центъра за разузнавателни изследвания и анализ и водещ консултант на американските отбранителни и разузнавателни агенции относно китайската военна и кибер стратегия. Той поддържа списък в Excel с подозрителни имейли, зловреден код и хакерски групи и го разпраща до представители на властта. След като бележката, която получил, предизвикала съмнения, Малвенън отговорил на Морий на следващия ден. Малвенън попитал дали имейлът е "спам от Индия". "Той е изпратен погрешка, моля изтрийте го", реагирал Морий няколко часа по-късно. "Няма проблем - писал му Малвенън. - Напоследък получавам много бази данни на Access с вируси."

"Интересно, мрежовите ни специалисти търсят в този имейл опасен софтуер", писал Морий. Нито ВВС, нито Министерството на отбраната потвърдиха пред BusinessWeek дали е било проведено разследване. Говорител на Пентагона заяви, че по регламент тези атаки са предмет на дейност на разузнавателни или контраразузнавателни агенции. Но той не разкри коя агенция, ако изобщо има такава, проучва случая с имейла до ВВС.

АТАКАТА ИЗПРЕВАРВА ОТБРАНАТА
Самият опит да бъдат откраднати тайни от Booz Allen не е толкова тревожен. Но Poison Ivy е част от нови пробиви, които се справят с традиционните защити - firewalls и подобрен антивирусен софтуер - и ги прави безполезни. Според Пентагона напредналите хакери разработват нови начини за проникване в компютърни мрежи, преди тези слабости да станат известни. "В момента атаката изпреварва защитата", твърди Уорд Хайнке, директор на Центъра за мрежови операции на ВВС във военновъздушната база в Барксдейл. На проведения от BusinessWeek тест през февруари само 11 от най-добрите 34 антивирусни програми засякоха Poison Ivy. Софтуерът за откриване на вируси на няколко фирми за софтуерна защита не са открили вирус в имейла от Индия за бойни самолети, сочи анализът.

Последните две години хиляди имейли, сходни с този до Стивън Морий, са се озовали на лаптопите и персоналните компютри на служители от американското правителство и директори във фирмите - подизпълнители на военни поръчки. Атаките са насочени към важна информация в мрежите на поне седем агенции - към министерствата на отбраната, на външните работи, енергетиката, търговията, здравеопазването и социалното обслужване, земеделието и икономиката. И към военни подизпълнители като Boeing, Lockheed Martin, General Electric, Raytheon и General Dynamics. Лора Кийнър, говорител на Министерството на вътрешната сигурност, което координира защитата на правителствените компютри, отказа да коментира конкретни опити за пробив. В отговор до BusinessWeek Кийнър заяви: "Запознати сме с опитите за зловредна кибер активност. Приемаме тези заплахи на сериозно и сме загрижени, че тази дейност се разраства, става по-целенасочена и по-разпространена." Говорителите на Lockheed Martin, Boeing, Raytheon, General Dynamics и General Electric не пожелаха коментар, аргументирайки се с политиката на отказ от дискусии по въпроси на сигурността. Многобройните компютърни вируси са подвластни на секретната операция "Византийска опора". В някои случаи експертите по кибер защита се ангажират с ответен удар, проследявайки разрушителния код, за да си осигурят достъп до компютърните системи на хакерите. BusinessWeek научи, че секретният документ "Оценка на разузнавателната общност" (ICA) подробно описва опитите за проникване и всеки от тях има свое уникално име, в което фигурира "византийска".

Последните месеци ICA е бил разпратен до избрани служители на разузнавателните агенции и Пентагона, а консултантите по сигурността са действали като външни рецензенти. До декември 2007 подробности от съдържанието на документа не са били предоставени дори на комисиите по разузнаването от Конгреса. Твърди се, че председателят на Разузнавателната комисия към Сената Джон Рокфелер тайно информира колеги сенатори за "Византийска опора" и за да спечели подкрепата им за необходимото финансиране. През януари служител от същата комисия подтикнал началника си Кристофър Бонд да прожектира при обсъжданията и филма "Умирай трудно 4". В него кибер престъпници разбиват мрежите на ФБР, крадат финансова информация и спират движението във Вашингтон. Холивуд, според Бонд, не преувеличава толкова, колкото хората предполагат. "Не обсъждам секретна информация - предупреждава той. - Но филмът показва потенциалното влияние на един кибер конфликт. Освен няколко неща той е напълно достоверен."

ХАРПУНОВИЯТ ФИШИНГ
"Фишингът", техника, използвана при много атаки, позволява на шпионите да откраднат информация, като се представят за надеждна личност в онлайн комуникация. Терминът възникна в средата на 90-те, когато хакерите тръгнаха на лов за информация. Атаките по имейл към правителствени агенции и военни подизпълнители се наричат "харпунов фишинг", тъй като са насочени към определени индивиди и са уеб версиите на лазерните ракети. Създателите му събират информация за работата на хората и социалните мрежи често от публична информация и данни, откраднати от други заразени компютри, а след това ги подвеждат да отворят имейла.

"Харпуновият фишинг" попада в друга категория тактики за електронен шпионаж, който експертите наричат "мрежово разузнаване". В опита за нападение към Booz Allen престъпниците са разполагали с много информация за Морий: трите имена, поста, който заема (директор на клона за Североизточна Азия), отговорностите му в службата, имейл адреса му. Мрежовото разузнаване може да се окаже много просто, то често започва с търсене в Google. (Например търсене на имейл адресите на ВВС към Пентагона на 9 април ни предостави 8680 имейл адреса на настоящи и бивши служители и департаменти от ВВС.) Информацията се включва във фалшив имейл с линк към заразен уебсайт или съдържа прикрепен документ. Всичко, което трябва да направят нападателите, е да натиснат бутона за изпращане. След като имейлът е отворен, те автоматично имат достъп до защитения периметър на компютърните мрежи, след което софтуер от типа Poison Ivy започва да действа.

До средата на 2007 анализаторите от Националната агенция за сигурност започнаха да разпознават модел - на компютри в мрежите на агенции и военни подизпълнители се появяват конкретно адресирани имейли със заразени прикрепени файлове във вид на презентации на PowerPoint, документи на Word и файлове от базата Access. Една неразкрита до момента атака през есента на 2005 към консервативния American Enterprise Institute, чиито бивши представители и членове на изпълнителния борд са тясно свързани с администрацията на Буш, се оказа толкова заплетена, че Белият дом прекрати достъпа на доверените лица до сайта за шест месеца. А Министерството на отбраната забрани достъпа дори за по-дълъг период.

Специалистите по компютърна сигурност, един от които разговаря с BusinessWeek, са идентифицирали виновника: няколко реда код на Java, скрити в уебсайта на AEI - www.aei.org - които се активират, ако някой го посети. Кодът тайно препраща компютъра на потребителя към друг сървър, който го заразява с вируси. Опасният софтуер изпраща информация от хард драйва до сървър в Китай. Но спецовете не са могли да се отърват от нападателя. След всяко изтриване тайният код се появявал отново. Но от AEI не мислят така - изключвайки кратката инцидентна повторна поява, предизвикана от собствения им мрежов персонал през август 2007, кодът на Java изчезнал.

Правителството все още пази в тайна куп опити за нападение. BusinessWeek научи, че престъпниците успели да проникнат в Бюрото за разузнаване и проучване на Държавния департамент - ключов канал, свързващ работата на разузнавателните агенции и останалата част от правителството. Пробивът представлявал риск за оперативните агенти на ЦРУ в посолствата по цял свят, твърдят няколко специалисти по мрежовата сигурност. Екипи денонощно работили за откриването на зловреден софтуер и редовно информирали Белия дом. Атаката започва през май 2006, когато служител на Държавния департамент в региона на Азия кликнал върху прикрепен файл към очевидно достоверен имейл. Разрушителният код бил внедрен в реч на конгресмен, написана на Word, и отворил достъп на троянски кон, позволяващ на нападателите да проникнат в най-вътрешните мрежи на Държавния департамент. Скоро инженерите по сигурността открили още пробиви в компютрите на Държавния департамент в цял свят. Зловредният код се възползвал от неизвестни до този момент слабости в операционната система на Microsoft. Тъй като не създали своевременно патч, инженерите безпомощно наблюдавали изтичането на данни от Държавния департамент в интернет.

Макар че не се справили с проблема, те измислили временно решение, за да блокират по-нататъшни опити за заразяване. Освен това прекъснали връзките с интернет. Един от членовете на спасителната група си спомня, че всеки път, когато специалистите си мислели, че са елиминирали източника, докладващ на създателя на зловредния код, се появявал нов източник. Той сравнил този опит с аркадната игра Whack-A-Mole. Държавният департамент твърди, че унищожил заразата, но едва след като били разчистени заразените компютри и сървъри и след като сменили паролите. Междувременно собственият патч на Microsoft не е влязъл в употреба до август 2006, три месеца след заразата. Говорител на Microsoft отказа да коментира, но заяви: "От няколко години Microsoft се старае да защити напълно потребителите онлайн." Сред висшите американски представители няма съмнение накъде водят следите от последните атаки.

"Византийските серии водят до Китай", твърди полковникът от ВВС Хайнке. Над десет от настоящите и бившите американски военни, представители на отделите за сигурност и разузнавачите, интервюирани от BusinessWeek, са категорични, че Китай е най-големият противник. Сами Сайджари, бивш служител в Агенцията за национална сигурност и настоящ президент на фирмата за компютърна сигурност Cyber Defense Agency, добавя, че китайската народна армия с годишен бюджет от $57 млрд. има десетки хиляди служители, които атакуват компютърните мрежи в САЩ. Тези цифри не могат да бъдат потвърдени от BusinessWeek. Други експерти отбелязват, че дори един хакер може да нанесе куп поражения. "Трябва да приемаме тази агресия като еквивалент на изстрелването на китайски Спутник", уточнява Сайджари.

На 27 февруари в показания пред Комисията по въоръжените сили към Сената директорът на националното разузнаване Макконъл потвърди, че заплахата идва от Китай. И добави, че не е толкова разтревожен за това, че хората улавят информацията, колкото от това, че я променят. "Нито федералното правителство, нито частният сектор са добре защитени", каза той.

Тревогите за спонсорираните от Китай атаки плъзнаха и в Германия, Франция и Великобритания. Британската национална разузнавателна служба MИ-5 е свидетел на достатъчно опити за проникване и кражба на корпоративни тайни от предполагаеми китайски хакери, спонсорирани от правителството до ноември 2007. Затова и генералният директор на агенцията Джонатан Еванс изпрати предупредително писмо до 300 корпорации, счетоводни фирми и юридически фирми, както и списък със специалисти по мрежовата сигурност, които да помогнат за блокиране на пробивите в компютрите. Някои, получили писмото от MИ-5, са наели Питър Яп, водещ консултант по сигурността от базираната в Лондон Control Risks. "Хората приемат това като поредна хакерска история - твърди Яп. - Или си мислят, че това няма да им се случи. Но се случва."

ХИТЪТ 3322.ORG
Разпознаването на престъпниците, които внедряват опасния софтуер през дигиталните гейтове, е трудна задача. Мнозина подозират, че китайското правителство стои зад кибер атаките. Питър Сомър, специалист по сигурност на информационните системи от London School of Economics, твърди: "Ако част от китайското правителство се занимава с това, не бихте го забелязали." Последните две години ред набези върху американски и чуждестранни правителствени агенции, военни подизпълнители и корпоративни мрежи са били засечени чрез интернет адреси, регистрирани в китайски сайтове за създаване на домейни.

В края на март BusinessWeek интервюира Пен Юн на 14-ия етаж на сивата жилищна сграда, където е офисът, в който работят петима души за 3322.org в Чанджоу. Пен твърди, че стартирал 3322.org през 2001 с $14 000 собствени средства, така че нарастващите китайски потребители да регистрират сайтове и да разпространяват информация. "Решихме, че това ще е доста популярен бизнес, особено с широколентовите и оптични кабели, технологията за пренос на данни ADSL, които разшириха използването на интернет", добави Пен, който кара черна Toyota Lexus IS300, купена през 2007.

Неговият сайт 3322.org наистина стана хит. Според Пен чрез предлаганата от тях услуга са регистрирани над 1 млн. имена на домейни при годишна такса от $14 за имена от първо ниво, които завършват на .com, .org или .net. Но експертите по кибер сигурност и екипът за бързо реагиране при спешни компютърни ситуации към Министерството на вътрешната отбрана на САЩ (CERT) твърдят, че 3322.org е хит и сред групата на хакерите. Защото 3322.org и още пет подобни сайта, управлявани от Пен, са провайдъри на динамична DNS база данни. Подобно на интернет телефонен справочник DNS дава имена на цифрите, които отразяват разположението на компютъра в мрежата. Например 3322.org е регистратор на cybersyndrome.3322.org на адрес 61.234.4.28, базиран в Китай компютър, с който се е свързал зловредният код в опита за атака срещу Booz Allen.

"Хакерите са започнали да използват сайтове като 3322.org, така че заразените телефони да се свържат с определено име. Каква е причината? "Сравнително трудно е да се унищожи интернет адрес в Китай", твърди Маартен ван Хоренбеек, анализатор по проникванията, който работи за SANS Internet Storm Center, група за мониторинг на кибер заплахите.

ЦЕЛ: ЧАСТНИЯТ СЕКТОР
Сайтът 3322.org и подобни на него смущават американското правителство и частните фирми. На 7 март фирмата за сигурност Team Cymru е изпратила конфиденциален доклад до клиенти, който BusinessWeek прегледа. Той илюстрира как 3322.org е улеснил доста скорошни атаки. Според същия доклад Team Cymru е получила в началото на март "фалшив имейл от американска военна агенция и прикрепен файл на PowerPoint със зловреден софтуер. Компютърът, контролиращ заразения с вируси документ на PowerPoint, е Cybersyndrome.3322.org - същият, регистриран в Китай и атакувал Booz Allen. Макар че адресът cybersyndrome може и да не е разположен в Китай, най-важните пет компютъра, комуникиращи с него, се намират в Китай, а четири от тях са регистрирани от държавен интернет провайдър, разкрива докладът.

Team Cymru разполага с примери за 10 710 различни вируса, които комуникират със създателите си, регистрирани чрез 3322.org. Други групи докладват за атаки от компютри, които се хостват от 3322.org, включително активистката група Students for a Free Tibet, Европейския парламент и U.S. Bancorp (USB) според доклади по сигурността. Team Cymru отказа коментар. Американското правителство смята дейността на Пен Юн за проблем. Съществува конфиденциален доклад от 28 ноември 2007 на CERT до Министерството на вътрешната сигурност, с който BusinessWeek успя да се сдобие. Той е озаглавен "Кибер инциденти, влияещи върху мрежи от частния сектор". В него се посочва, че Федералната агенция за кибер контрол е предупредила отделите за информационни технологии на американските корпорации да ъпдейтнат защитния си софтуер и да блокират трафика от няколко адреса след атаки от типа "харпунов фишинг". "Сложността и обхватът на тези инциденти показват, че те са координирани и насочени към системи от частния сектор", се отбелязва в доклада.

Сред имената на тези уебсайтове са 3322.org на Пен, както и неговите 8800.org, 9966.org и 8866.org. Министерството на вътрешната отбрана и CERT не пожелаха да коментират.

Пен твърди, че не вярва хакери да използват сайта му, за да изпращат и контролират зловреден код. "Много ли са?", пита той, след като бе попитан защо толкова хакери използват 3322.org. Той казва, че бизнесът му не е отговорен за атаките срещу американски компютри. "Ние сме построили пътя, а какви автомобили ще карат по него шофьорите, си е тяхна работа", уточнява Пен и добавя, че напоследък прекарва по-голямата част от времето си в разработване на интернет телефония за новата си софтуерна фирма Bitcomm Software Tech Co. Той не знае, че няколко от сайтовете му и интернет адресите, регистрирани чрез тях, са споменати в доклада на CERT. И заявява, че планира да закрие сайтовете и да се свърже с американската агенция.

След като BusinessWeek го помоли да провери базата данни за човека, регистрирал домейна cybersyndrome.3322.org, Пен съобщи, че е регистриран от Gansu Railway Communications, регионален телекомуникационен подизпълнител на китайското министерство на железопътния транспорт. Но не съобщи името на човека, който е извършил регистрацията, изтъквайки споразумението за конфиденциалност. "Обърнете се към полицията, за да откриете потребителя", предложи Пен.

US експертите твърдят, че е спорно дали китайското правителство ще позволи толкова атаки към американски институции от компютри в Китай, ако няма информация за тях. "Китай разполага с една от най-контролираните интернет мрежи в света. Всичко, което се случва там, се нуждае от разрешение", категоричен е Сайджари от Cyber Defense Group. "Справяме се с тези проблеми, като закриваме сайтовете - подчертава Пен Юн. - Тъй като законите не посочват нужното решение, понякога сме безсилни да спрем тази дейност." Както и американското правителство, засега.