Китай, на территории которого расположены многие серверы управления и контроля, многократно обвиняемый в краже интеллектуальной собственности и множестве других нарушений, связанных с безопасностью — одна из стран, которые наиболее часто ассоциируются с киберугрозами. Широко распространено мнение, что Китай проводил атаки против США: проникновение в несекретную сеть Белого дома, о котором заявили представители правительства США, операции против Google и Японии во время конфликта из-за спорных островов.

2021

Народно-освободительная армия Китая может стоять за атакой на японское космическое агентство

Народно-освободительная армия Китая подозревается в кибератаках на сотни целей в Японии, в том числе на космическое агентство и оборонные предприятия^[1].

В 2016 году Японское агентство аэрокосмических исследований (JAXA) подверглось кибератаке. Как сообщает японская национальная телерадиокомпания NHK, полиции Токио удалось установить личность гражданина КНР, арендовавшего на территории Японии несколько серверов, предположительно использовавшихся в атаках. К настоящему времени подозреваемый уже покинул пределы страны, но несмотря на это, во вторник, 20 апреля, его дело было передано в прокуратуру.

Мужчина в возрасте 30 с небольшим лет является компьютерным инженером и членом Коммунистической партии Китая. По версии следствия, он пять раз арендовал серверы в Японии под вымышленными именами. ID серверов и учетные данные мужчина передавал китайской хакерской группировке, известной как Tick.

Еще один гражданин КНР также арендовал несколько серверов в Японии под вымышленными именами. Предполагается, что мужчина действовал по приказу Бюро 61419 – структуры внутри Народно-освободительной армии Китая, занимающейся осуществлением кибератак.

Согласно версии полиции Токио, Народно-освободительная армия Китая заказала у Tick серию кибератак на японские организации, жертвами которых стали два десятка компаний и исследовательских институтов. 

По словам представителей JAXA, неизвестные действительно получили несанкционированный доступ к сетям космического агентства, но никакого ущерба (например, утечки данных) не причинили.

Как сообщил ИБ-эксперт Ивай Хироки, Tick является одной из частных хакерских группировок, работающих на Народно-освободительную армию и спецслужбы Китая. Группировка начала свою деятельность в начале 2000-х годов и специализируется на сложных и хорошо продуманных атаках на аэрокосмические исследовательские организации.

Китайские кибершпионы похищают данные о 5G по всему миру

Китайские киберпреступники с прошлой осени начали атаковать телекоммуникационные компании в Азии, Европе и США с целью кражи информации о 5G^[2].

Как сообщили в марте 2021 года^[3] специалисты компании McAfee, кибершпионы пытаются обманом заманить сотрудников телекоммуникационной компании на вредоносный сайт, замаскированный под страницу с вакансиями в компании Huawei. Фишинговый сайт просит пользователей установить обновление программного обеспечения Flash, размещенное на вредоносном сайте. Вредоносный файл загружает и устанавливает бэкдор на .NET, который будет связываться с удаленной инфраструктурой злоумышленников через маяк Cobalt Strike.

По словам экспертов, с помощью фишинговых атак кибершпионы пытаются закрепиться во внутренних сетях телекоммуникационных компаний. Специалисты зафиксировали атаки против телекоммуникационных компаний в Юго-Восточной Азии, Европе и США, однако группировка также проявляет «большой интерес к телекоммуникационным компаниям в Германии, Вьетнаме и Индии».

Использованные в данной кампании методы, тактики и процедуры специалисты связали с китайскими группировками Red Delta и Mustang Panda. Хотя эксперты предполагают, что Red Delta и Mustang Panda могут быть одной и той же группировкой, в настоящее время у них нет дополнительных свидетельств.

«Мы предполагаем, что мотивация этой конкретной кампании связана с запретом китайских технологий при глобальном развертывании 5G», — отметили специалисты.

Некоторые страны, на которые нацелена группа Mustang Panda, уже сделали публичные заявления о своем намерении запретить или ограничить участие Huawei в развертывании национальных сетей 5G, например, США, Испания и Италия. Однако атаки наблюдались и в странах, где Huawei уже подписала аналогичные контракты.

2020

В «Информзащите» засекли попытку промышленного шпионажа со стороны китайской группировки Winnti

Специалисты IZ:SOC, центра обнаружения и противодействия киберугрозам компании «Информзащита», засекли хакерскую атаку, проводимую предположительно небезызвестной китайской группировкой Winnti, которая действует с 2012 года. Об этом «Информзащита» сообщила 18 декабря 2020 года. Подробнее здесь.

Обнаружена подготовка к шпионской атаке китайской APT-группы на российские предприятия ТЭК

24 сентября 2020 года стало известно, что разработчик средств информационной защиты компания «Доктор Веб» опубликовала исследование фишинговой кампании, которая была нацелена на российские предприятия топливно-энергетического комплекса. Первая волна была датирована апрелем 2020 года, последние проявления активности случились в сентябре 2020 года. Подробнее здесь

Тайвань обвинил Пекин в кибератаках на госорганы

Хакерские группировки, предположительно поддерживаемые правительством Китая, осуществляют кибератаки с целью проникновения в сети правительственных ведомств Тайваня и кражи конфиденциальной информации граждан в рамках непрекращающихся попыток воздействия на демократическое общество. Об этом в августе заявил замглавы подразделения по кибербезопасности Бюро расследований Тайваня Лю Чиа-цзунь^[4].

По словам чиновника, хакеры «уже долгое время» взламывают системы тайваньских компаний, предоставляющих информационные услуги госорганам, в попытках получить государственную информацию и персональные данные граждан.

За атаками стоят четыре группировки - Blacktech, Taidoor, MustangPanda и APT40. Благодаря тому, что хакеры тщательно скрывают следы своей деятельности, специалистам пока не удалось определить, какие данные были украдены, за исключением одного случая, когда в руки злоумышленников попали порядка 6 тыс. правительственных электронных писем, отметил Лю.

Он также добавил, что с 2018 года Тайвань провел расследование примерно 10 дел, связанных с кибератаками со стороны китайских хакеров. По оценкам главы Департамента кибербезопасности страны Цзянь Хун-вея, китайские власти осуществляют на Тайвань порядка 30 млн кибератак в месяц.

США не хотят прокладывать кабель связи с Китаем из-за угрозы кибершпионажа

22 июня 2020 года стало известно о том, что США не хотят прокладывать кабель связи с Китаем из-за угрозы кибершпионажа. Кабель якобы позволит китайским разведслужбам получить доступ к американским данным. Подробнее здесь.

КНР обновит правила кибербезопасности для критической инфраструктуры

С 1 июня 2020 года в Китае вступит в силу обновленная система проверки кибербезопасности, призванная усилить национальную кибербезопасность страны. Правила коснутся как китайских, так и зарубежных поставщиков сетевых продуктов и услуг для стратегических отраслей, таких как связь, радио и телевидение, энергетика, финансы, перевозки, железная дорога и гражданская авиация. Об этом стало известно 29 апреля 2020 года.

Администрация киберпространства КНР совместно с 11 профильными ведомствами опубликовала документ под названием «Меры по проверке кибербезопасности» 27 апреля. Как сообщает издание China Daily, в нем прописаны обязательства по соблюдению кибербезопасности в соответствии с «Законом о кибербезопасности», действующем в Китае с 1 июня 2017 года.

Внедрение данной системы проверки поможет устранить потенциальные риски, обеспечить общественную безопасность и безопасность национального киберпространства, а также поспособствует здоровому и упорядоченному развитию информационной индустрии, считают авторы документа.

Согласно правилам, операторы критически важной информационной инфраструктуры, закупающие сетевые продукты и услуги (если эти продукты и услуги могут повлиять на национальную безопасность), должны проходить проверку национальной безопасности.

Документ также обязывает операторов проводить оценку потенциальных киберрисков, связанных с закупаемыми ими продуктами и услугами. В случае обнаружения потенциальных угроз, таких как незаконный контроль и повреждение ключевой ИТ-инфраструктуры, утечка, потеря и повреждение ключевых данных, операторы обязаны обратиться в бюро по проверке кибербезопасности для проведения дальнейшей проверки.

«Закон о кибербезопасности КНР» – основной нормативно-правовой акт, регулирующий сферу интернет-безопасности КНР. Документ регламентирует действия поставщиков сетевых продуктов и услуг по сбору, хранению и обработке пользовательских данных, определяет порядок и специфику обеспечения безопасности информационной инфраструктуры в стратегически важных отраслях^[5].

ЦРУ заподозрили в 11-летнем кибершпионаже против Китая

Китайская ИБ-компания Qihoo 360 опубликовала отчет, в котором связала Центральное разведывательное управление США (ЦРУ) с долгосрочной кампанией по кибершпионажу, направленной на китайские промышленные и правительственные организации. Об этом стало известно 4 марта 2020 года. По словам исследователей, кампания продолжалась в период с сентября 2008 года по июнь 2019 года, и большинство целей были расположены в Пекине, Гуандуне и Чжэцзяне. Подробнее здесь.

2019

Китай вновь использует для DDoS-атак «Великую пушку»

По данным аналитиков AT&T Cybersecurity, китайские власти вновь активировали «Великую пушку» (Great Cannon) — мощный инструмент для DDoS-атак, который в последний раз использовался два года назад^[6][7]. Подробнее смотреть здесь.

За атаками на парламент Австралии стоит Китай?

Осенью 2019 года австралийской разведке удалось установить, что за кибератаками на парламент страны и три крупнейшие политические партии в преддверии майских выборов стоит Китай. Об этом информагентству Reuters сообщили как минимум пять осведомленных источников, пожелавших сохранить анонимность. По словам источников, в марте нынешнего года австралийское разведывательное управление Australian Signals Directorate установило, что вышеупомянутые кибератаки были осуществлены Министерством государственной безопасности КНР. Австралийские власти подготовили соответствующий отчет, включающий сведения, добытые Министерством иностранных дел Австралии, однако они намерены держать его в тайне во избежание ухудшения торгово-экономических отношений между двумя государствами.

Австралийское правительство не выдвигало никаких обвинений в сторону Китая, а офис премьер-министра Скотта Моррисона отказался отвечать на вопросы Reuters. В свою очередь, Министерство иностранных дел КНР опровергает любые обвинения в киберпреступной деятельности, отмечая, что интернет кишит всевозможными теориями, которые невозможно доказать.

Китайские хакеры взломали HPE, IBM и еще шесть крупнейших ИТ-провайдеров мира

Хакеры, которые работают на китайское Министерство государственной безопасности, взломали сети восьми крупнейших провайдеров технологических сервисов, пишет в июне 2019 года Reuters. Их целью была кража коммерческих секретов клиентов этих компаний, сообщает источник агентства, знакомый с ситуацией. Данная хакерская кампания получила название Cloud Hopper^[8].

Хакерам удалось скомпрометировать данные как минимум восьми провайдеров: Hewlett Packard Enterprise (HPE), IBM, Fujitsu, Tata Consultancy Services, NTT Data, Dimension Data, Computer Sciences Corporation и DXC Technology (ранее Computer Sciences). О Cloud Hopper было известно и ранее, но в числе жертв до сегодняшнего дня назывались только HPE и IBM.

Reuters удалось также определить, какие компании были клиентами этих провайдеров. В список вошли шведский телекоммуникационный гигант Ericsson, американская судостроительная компания Huntington Ingalls Industries и система бронирования для путешественников Sabre.

По словам Роберта Ханнигана (Robert Hannigan), бывшего директора Центра правительственной связи Великобритании и нынешнего председателя ИБ-фирмы BlueVoyant, эффект серии атак Cloud Hopper был разрушительным. Китайское правительство отрицает свою причастность.

Перехват вредоносного кода АНБ США

10 мая 2019 года стало известно, что агентам китайской киберразведки удалось перехватить вредоносный код АНБ и использовать его против стран - союзников США.

Исходя из времени, когда произошли эти атаки, и подсказки, выявленные в компьютерном коде, исследователи Symantec сделали вывод, что китайские киберспециалисты не крали хакерские инструменты АНБ, а в буквальном смысле перехватили их во время атаки на собственные системы.

В своей публикации Symantec не называет Китай прямо, вместо этого используются обозначения «группировка Buckeye» и APT3. Однако в Минюст США, и других организациях, занимающихся вопросом кибербезопасности обозначают таким образом структуру, выступающую в роли подрядчика для Министерства государственной безопасности КНР, штаб-квартира которой находится в Гуанчжоу. В 2017 г. Министерство юстиции США выдвинуло обвинение против трёх китайских хакеров, который были названы членами Buckeye и APT3.

Для АНБ в Symantec также используют условное обозначение: Equation Group. Так в начале 2015 г. «Лаборатория Касперского (Kaspersky)» назвала создателей фреймворка для разработки кибероружия. В мировой индустрии кибербезопасности сложился устойчивый консенсус, согласно которому Equation - это группа киберэкспертов на службе у Агентства национальной безопасности США.

В августе 2016 г. неизвестная группировка Shadow Brokers начала публиковать эксплойты и другие вредоносные инструменты, принадлежащие Equation Group, то ли украденные, то ли «слитые» инсайдером. Все эти эксплойты попали в общий доступ в апреле 2017 г. и с тех пор несколько раз были использованы различными киберпреступниками (достаточно вспомнить глобальную эпидемию шифровальщика WannaCry).

Между тем, по данным Symantec, модифицированные версии двух инструментов из этого набора - в частности, Eternal Synergy и Double Pulsar - ещё в марте 2016 г. были использованы APT3 в их атаках. Таким образом, к китайским хакерам эти инструменты попали до их «утечки»».

Эксперты Symantec указывают, что с помощью этих инструментов были атакованы коммерческие и научные структуры в пяти странах - Бельгии, Люксембурге, Вьетнаме, Филиппинах и Гонконге. Минимум одна атака была направлена на крупную телекоммуникационную сеть; в результате атакующие могли получить доступ к сотням тысяч или даже миллионам приватных сообщений.

В компании отметили, что впервые видят, как чужой вредоносный код оказывается перехвачен «на лету» и обращён на союзников его предположительных создателей. При этом APT3 не атаковало с помощью указанных эксплойтов инфраструктуру на территории США, вероятно, предполагая наличие защитных средств и не желая выдавать наличие у них возможности использовать эти эксплойты. Притом, что ранее APT3 неоднократно совершала атаки на инфраструктуру США, используя иные средства, и порой весьма успешно.

Утечка эксплойтов Equation имела весьма далеко идущие последствия для АНБ: весь накопленный за долгие годы арсенал пришлось немедленно представить Microsoft, чтобы та выпустила исправления для уязвимостей, ранее использовавшихся Equation. АНБ также пришлось свернуть несколько ключевых антитеррористических программ.

Мало того, «слитые» инструменты, быстро оказались в распоряжении Северной Кореи и России. С этим связаны нашумевшие атаки на транспортную корпорацию Maersk, на британскую систему здравоохранения и гражданскую инфраструктуру Украины.

Однако главный вывод из этой ситуации, состоит в том, что спецслужбы США продемонстрировали, причем не в первый раз, неспособность надёжно хранить своё кибероружие. В разведывательных кругах США снова встал вопрос, есть ли смысл в разработке кибероружия, если невозможно предотвратить его попадание в руки недругов.

Информация о существовани Stuxnet и кибероружия как такового в 2011 г. выплыла наружу только потому, что из-за ошибки в коде этот «боевой червь» вышел за периметр целевой области применения. Кибероружие - «обоюдоострый меч», и, как доказывает эта история, никто не застрахован от того, что оно не будет использовано против его же разработчиков. Хуже всего, однако, то, что при его деструктивном потенциале, сравнимым разве что с ОМП, до сих пор не существует никаких официальных международных договорённостей, регулирующих его применение. Ничего хорошего миру это не сулит.   Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services

По данным Symantec, после выдвинутых Минюстом США обвинений против предполагаемых членов Buckeye и APT3 в 2017 г., группировка свела свою активность на нет. Однако атаки с применением тех же модифицированных инструментов продолжались до сентября 2018 г^[9].

Китайские кибершпионы пять лет атакуют оборонные предприятия

Специалисты ИБ-компании FireEye обнаружили^[10] кибершпионскую операцию, продолжающуюся в течение пяти лет. Операция проводится финансируемой правительством КНР хакерской группировкой APT40, а ее целью является укрепление военно-морской мощи Пекина^[11].

Злоумышленники взламывают сети предприятий оборонной промышленности и похищают секретные чертежи и другую информацию, которая может использоваться для модернизации военно-морских сил Китая и оказания влияния на выборы в иностранных государствах.

Поначалу исследователи решили, что операция представляет собой две отдельные кампании, за которыми стоят группировки TEMP.Periscope и TEMP.Jumper. Тем не менее, как оказалось потом, обнаруженная ими кибершпионская операция – дело рук «государственных хакеров» из APT40.

Как пояснили исследователи, с целью модернизировать свой флот китайцы похищают технологии у производителей оборонной техники. Чаще всего их жертвами становятся инженерные, транспортные и оборонные предприятия, в особенности занятые в сфере кораблестроения. С помощью APT40 китайское правительство также пытается повлиять на результаты выборов в разных странах с целью обеспечить себе плацдарм для выгодной торговли.

Хакеры атакуют своих жертв с помощью целенаправленного фишинга (рассылают электронные письма с вредоносными вложениями). Кроме того, они создают вредоносные web-страницы со встроенным эксплоитом для заражения компьютеров бэкдором. Получив доступ к атакуемой системе, злоумышленники похищают учетные данные для доступа к остальным элементам корпоративной сети.

2018

Китайские киберпреступники атакуют предприятия в Германии

Китайская киберпреступная группировка Cloudhopper атакует предприятия в Германии. В частности ее интересуют машиностроительные, коммерческие и исследовательские компании. Как сообщает издание Suddeutsche Zeitung, Федеральное ведомство по безопасности информационной техники ФРГ (BSI) разослало предприятиям соответствующие предупреждения^[12].

Отличительной чертой Cloudhopper является тот факт, что группировка атакует не саму жертву непосредственно, а облачных и хостинговых провайдеров, предоставляющих ей свои услуги. Системы провайдеров, как правило, защищены хуже, поэтому через них добраться к сетям компаний намного проще. В общей сложности Cloudhopper атаковала лишь небольшое число немецких компаний, но все жертвы выбирались тщательно.

NYT: Китайские кибершпионы три года перехватывали дипломатическую переписку стран ЕС

Кибершпионы проникли в сеть дипломатических коммуникаций Евросоюза и в течение трех лет перехватывали тысячи телеграмм, касающихся различных вопросов, в том числе беспокойства о непредсказуемых действиях администрации президента США Дональда Трампа, попытках противостояния РФ и Китаю и рисках, связанных с возобновлением ядерной программы Ирана, сообщило издание The New York Times^[13].

В распоряжении газеты оказались 1 100 конфиденциальных документов, включая меморандумы бесед с лидерами Саудовской Аравии, Израиля и других стран, сообщения европейских дипломатов о дейст