О соучастии этого человека в атаках, по мнению авторов отчёта, свидетельствует то, что он владеет компанией, которая, согласно рекламной информации, предоставляет «хост-серверы на территории США без ведения журналов учёта», при цене хостинга порядка 10 долларов в год за 100 Мбайт дискового пространства. Серверы именно этой фирмы в США были использованы для размещения командно-управляющей программы zwShell, которая применялась для дистанционного контроля над машинами в корпорациях, ставших жертвами шпионских вторжений Night Dragon.
Помимо этой цепочки связей с хостинг-сервисом, говорится в отчете McAfee, имеются и многие другие свидетельства, указывающие на вероятное китайское происхождение шпионов. Начать можно с использования пароля вида «zw.china», который охраняет вход в «командный пункт управления троянами», программу zwShell. Кроме того, аналитики McAfee установили, что все операции шпионов по хищению данных происходили с IP-адресов, находящихся в Пекине, причем деятельность эта отмечалась строго по будням, в периоды времени с 9:00 до 17:00 по пекинскому времени. Иначе говоря, всё выглядело так, словно в качестве «шпионов» тут явно выступали люди, приходящие для этого на службу в некую компанию или организацию, а не «вольные стрелки» или неорганизованные хакеры-любители. Ну и вдобавок к этому, как уже упоминалось, шпионы применяли хакерские инструменты китайского происхождения, преобладающие именно в китайских форумах сетевого андеграунда. Среди инструментов этого рода упомянуты Hookmsgina и WinlogonHack – популярные инструменты для перехвата запросов на вход в систему, с последующим захватом имён-логинов и паролей доступа.
Самое же, пожалуй, необычное во всей этой истории то, что когда «невидимую» многомесячную активность злоумышленников, наконец, всё же удалось-таки заметить, то быстро выяснилось, что они ничуть не беспокоились о заметании своих «китайских следов». Скорее даже наоборот, как будто даже хотели, чтобы не оставалось никаких сомнений, откуда всё идёт.
Подводя итог своим наблюдениям, авторы отчёта пишут: «Хотя и имеется возможность того, что все перечисленные признаки – не более чем отвлекающие манёвры, применяемые для перевода подозрений на атаки китайских хакеров, мы полагаем, что это в высшей степени маловероятно. Более того, неясно, кому бы вообще могла потребоваться подобная мотивация – заходить столь экстраординарно далеко, чтобы вину за подобные атаки перекладывать на кого-то другого»...
Наверное, вполне можно допустить, что для антивирусных аналитиков McAfee предпринятые шпионами действия по маскировке своего реального происхождения могут представляться «экстраординарно далеко» заходящими. Однако для настоящих шпионских операций спецслужб подобные вещи выглядят вполне обычным делом. Чтобы далеко не ходить за примерами, достаточно напомнить недавний случай из реальной жизни.
В городе Вене появился русский физик-ядерщик и тайно передал иранской стороне чертежи реального взрывателя для ядерных боеприпасов, разработанного в одном из секретных центров СССР по созданию атомного оружия... Внешне происходящее выглядело как вполне очевидные попытки коварных русских в очередной раз осложнить хрупкую международную безопасность и тайно помочь Ирану в его устремлениях к собственному ядерному оружию. Однако на самом деле всё это было не очень удачной и наверняка не самой умной операцией ЦРУ США, которое столь экстравагантным способом зондировало атомные амбиции иранцев (подробности смотрите в материале "Тайны операции MERLIN").
Возвращаясь к операции «Ночной Дракон», определенно можно констатировать, что никаких следов американских или каких-либо ещё западных спецслужб за ней, конечно же, не наблюдается. Но и про знаменитых китайских хакеров хорошо известно, что они не имеют обыкновения работать столь открыто и вызывающе, конструируя пароли вроде «Вперед, Китай!» и организуя тайные кибератаки с пекинских IP-адресов. С другой стороны, не является секретом, что крупные транснациональные корпорации, будь они нефтегазовые или какие-либо ещё, ныне имеют мощные и агрессивные службы безопасности, по своим задачам и методам действий вполне сопоставимые со спецслужбами государств средней руки. Причем работают в этих структурах все больше бывшие сотрудники государственных разведок и контрразведывательных органов, применяя при этом весьма и весьма продвинутые методы технического шпионажа.