Кроме того, аналитики McAfee пристально изучали, кто же мог бы стоять за всеми этими скоординированными атаками. Как говорится в отчёте компании и в блоге ее директора, у них имеются сильные свидетельства, дающие основания полагать, что атакующая сторона в данном случае базировалась в Китае. Те инструменты, методы и сетевые приёмы, что применялись в атаках, главным образом характерны для Китая, широко доступны и обсуждаются на китайских веб-форумах и вообще чаще всего применяются именно китайскими хакерскими группами.
Поскольку безликая природа киберпреступлений такова, что вопрос о вероятных авторах атаки обычно представляется наиболее сложным в своём разрешении, эту часть исследования McAfee имеет смысл рассмотреть поподробнее. Приложение к опубликованному отчету McAfee предоставляет такие, в частности, детали о китайских следах в этой шпионской операции.
Хотя не представляет никакого сомнения, что в данных атаках принимали участие многие действующие лица, у исследователей была возможность точно идентифицировать по меньшей мере одного человека – предоставлявшего атакующей стороне принципиально важные элементы управляющей инфраструктуры. Этот человек проживает в городе Хэцзэ, провинция Шаньдун Восточного Китая. И хотя нет никаких оснований считать именно его организатором и вдохновителем атак, вполне вероятно, что он располагает информацией, позволяющей идентифицировать хотя бы некоторых участников, группы или организации, ответственные за шпионские вторжения Night Dragon.
О соучастии этого человека в атаках, по мнению авторов отчёта, свидетельствует то, что он владеет компанией, которая, согласно рекламной информации, предоставляет "хост-серверы на территории США без ведения журналов учёта", при цене хостинга порядка 10 долларов в год за 100 Мбайт дискового пространства. Серверы именно этой фирмы в США были использованы для размещения командно-управляющей программы zwShell, которая применялась для дистанционного контроля над машинами в корпорациях, ставших жертвами шпионских вторжений Night Dragon.
Помимо этой цепочки связей с хостинг-сервисом, говорится в отчете McAfee, имеются и многие другие свидетельства, указывающие на вероятное китайское происхождение шпионов. Начать можно с использования пароля вида "zw.china", который охраняет вход в "командный пункт управления троянами", программу zwShell. Кроме того, аналитики McAfee установили, что все операции шпионов по хищению данных происходили с IP-адресов, находящихся в Пекине, причем деятельность эта отмечалась строго по будням, в периоды времени с 9:00 до 17:00 по пекинскому времени. Иначе говоря, всё выглядело так, словно в качестве "шпионов" тут явно выступали люди, приходящие для этого на службу в некую компанию или организацию, а не "вольные стрелки" или неорганизованные хакеры-любители. Ну и вдобавок к этому, как уже упоминалось, шпионы применяли хакерские инструменты китайского происхождения, преобладающие именно в китайских форумах сетевого андеграунда. Среди инструментов этого рода упомянуты Hookmsgina и WinlogonHack – популярные инструменты для перехвата запросов на вход в систему, с последующим захватом имён-логинов и паролей доступа.
