2019/05/13 21:55:17

Киберпреступность и киберконфликты : Китай

Китай, на территории которого расположены многие серверы управления и контроля, многократно обвиняемый в краже интеллектуальной собственности и множестве других нарушений, связанных с безопасностью — одна из стран, которые наиболее часто ассоциируются с киберугрозами. Широко распространено мнение, что Китай проводил атаки против США: проникновение в несекретную сеть Белого дома, о котором заявили представители правительства США, операции против Google и Японии во время конфликта из-за спорных островов.

Содержание

2019

За атаками на парламент Австралии стоит Китай?

Осенью 2019 года австралийской разведке удалось установить, что за кибератаками на парламент страны и три крупнейшие политические партии в преддверии майских выборов стоит Китай. Об этом информагентству Reuters сообщили как минимум пять осведомленных источников, пожелавших сохранить анонимность. По словам источников, в марте нынешнего года австралийское разведывательное управление Australian Signals Directorate установило, что вышеупомянутые кибератаки были осуществлены Министерством государственной безопасности КНР. Австралийские власти подготовили соответствующий отчет, включающий сведения, добытые Министерством иностранных дел Австралии, однако они намерены держать его в тайне во избежание ухудшения торгово-экономических отношений между двумя государствами.

Австралийское правительство не выдвигало никаких обвинений в сторону Китая, а офис премьер-министра Скотта Моррисона отказался отвечать на вопросы Reuters. В свою очередь, Министерство иностранных дел КНР опровергает любые обвинения в киберпреступной деятельности, отмечая, что интернет кишит всевозможными теориями, которые невозможно доказать.

Китайские хакеры взломали HPE, IBM и еще шесть крупнейших ИТ-провайдеров мира

Хакеры, которые работают на китайское Министерство государственной безопасности, взломали сети восьми крупнейших провайдеров технологических сервисов, пишет в июне 2019 года Reuters. Их целью была кража коммерческих секретов клиентов этих компаний, сообщает источник агентства, знакомый с ситуацией. Данная хакерская кампания получила название Cloud Hopper[1].

Хакерам удалось скомпрометировать данные как минимум восьми провайдеров: Hewlett Packard Enterprise (HPE), IBM, Fujitsu, Tata Consultancy Services, NTT Data, Dimension Data, Computer Sciences Corporation и DXC Technology. О Cloud Hopper было известно и ранее, но в числе жертв до сегодняшнего дня назывались только HPE и IBM.

Reuters удалось также определить, какие компании были клиентами этих провайдеров. В список вошли шведский телекоммуникационный гигант Ericsson, американская судостроительная компания Huntington Ingalls Industries и система бронирования для путешественников Sabre.

По словам Роберта Ханнигана (Robert Hannigan), бывшего директора Центра правительственной связи Великобритании и нынешнего председателя ИБ-фирмы BlueVoyant, эффект серии атак Cloud Hopper был разрушительным. Китайское правительство отрицает свою причастность.

Перехват вредоносного кода АНБ США

10 мая 2019 года стало известно, что агентам китайской киберразведки удалось перехватить вредоносный код АНБ и использовать его против стран - союзников США.

Китайская киберразведка перехватила вредоносный код АНБ США

Исходя из времени, когда произошли эти атаки, и подсказки, выявленные в компьютерном коде, исследователи Symantec сделали вывод, что китайские киберспециалисты не крали хакерские инструменты АНБ, а в буквальном смысле перехватили их во время атаки на собственные системы.

В своей публикации Symantec не называет Китай прямо, вместо этого используются обозначения «группировка Buckeye» и APT3. Однако в Минюст США, и других организациях, занимающихся вопросом кибербезопасности обозначают таким образом структуру, выступающую в роли подрядчика для Министерства государственной безопасности КНР, штаб-квартира которой находится в Гуанчжоу. В 2017 г. Министерство юстиции США выдвинуло обвинение против трёх китайских хакеров, который были названы членами Buckeye и APT3.

Для АНБ в Symantec также используют условное обозначение: Equation Group. Так в начале 2015 г. «Kaspersky (ранее Лаборатория Касперского)» назвала создателей фреймворка для разработки кибероружия. В мировой индустрии кибербезопасности сложился устойчивый консенсус, согласно которому Equation - это группа киберэкспертов на службе у Агентства национальной безопасности США.

В августе 2016 г. неизвестная группировка Shadow Brokers начала публиковать эксплойты и другие вредоносные инструменты, принадлежащие Equation Group, то ли украденные, то ли «слитые» инсайдером. Все эти эксплойты попали в общий доступ в апреле 2017 г. и с тех пор несколько раз были использованы различными киберпреступниками (достаточно вспомнить глобальную эпидемию шифровальщика WannaCry).

Между тем, по данным Symantec, модифицированные версии двух инструментов из этого набора - в частности, Eternal Synergy и Double Pulsar - ещё в марте 2016 г. были использованы APT3 в их атаках. Таким образом, к китайским хакерам эти инструменты попали до их «утечки»».

Эксперты Symantec указывают, что с помощью этих инструментов были атакованы коммерческие и научные структуры в пяти странах - Бельгии, Люксембурге, Вьетнаме, Филиппинах и Гонконге. Минимум одна атака была направлена на крупную телекоммуникационную сеть; в результате атакующие могли получить доступ к сотням тысяч или даже миллионам приватных сообщений.

В компании отметили, что впервые видят, как чужой вредоносный код оказывается перехвачен «на лету» и обращён на союзников его предположительных создателей. При этом APT3 не атаковало с помощью указанных эксплойтов инфраструктуру на территории США, вероятно, предполагая наличие защитных средств и не желая выдавать наличие у них возможности использовать эти эксплойты. Притом, что ранее APT3 неоднократно совершала атаки на инфраструктуру США, используя иные средства, и порой весьма успешно.

Утечка эксплойтов Equation имела весьма далеко идущие последствия для АНБ: весь накопленный за долгие годы арсенал пришлось немедленно представить Microsoft, чтобы та выпустила исправления для уязвимостей, ранее использовавшихся Equation. АНБ также пришлось свернуть несколько ключевых антитеррористических программ.

Мало того, «слитые» инструменты, быстро оказались в распоряжении Северной Кореи и России. С этим связаны нашумевшие атаки на транспортную корпорацию Maersk, на британскую систему здравоохранения и гражданскую инфраструктуру Украины.

Однако главный вывод из этой ситуации, состоит в том, что спецслужбы США продемонстрировали, причем не в первый раз, неспособность надёжно хранить своё кибероружие. В разведывательных кругах США снова встал вопрос, есть ли смысл в разработке кибероружия, если невозможно предотвратить его попадание в руки недругов.

«
Информация о существовани Stuxnet и кибероружия как такового в 2011 г. выплыла наружу только потому, что из-за ошибки в коде этот «боевой червь» вышел за периметр целевой области применения. Кибероружие - «обоюдоострый меч», и, как доказывает эта история, никто не застрахован от того, что оно не будет использовано против его же разработчиков. Хуже всего, однако, то, что при его деструктивном потенциале, сравнимым разве что с ОМП, до сих пор не существует никаких официальных международных договорённостей, регулирующих его применение. Ничего хорошего миру это не сулит.
Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services
»

По данным Symantec, после выдвинутых Минюстом США обвинений против предполагаемых членов Buckeye и APT3 в 2017 г., группировка свела свою активность на нет. Однако атаки с применением тех же модифицированных инструментов продолжались до сентября 2018 г[2].

Китайские кибершпионы пять лет атакуют оборонные предприятия

Специалисты ИБ-компании FireEye обнаружили[3] кибершпионскую операцию, продолжающуюся в течение пяти лет. Операция проводится финансируемой правительством КНР хакерской группировкой APT40, а ее целью является укрепление военно-морской мощи Пекина[4].

Злоумышленники взламывают сети предприятий оборонной промышленности и похищают секретные чертежи и другую информацию, которая может использоваться для модернизации военно-морских сил Китая и оказания влияния на выборы в иностранных государствах.

Поначалу исследователи решили, что операция представляет собой две отдельные кампании, за которыми стоят группировки TEMP.Periscope и TEMP.Jumper. Тем не менее, как оказалось потом, обнаруженная ими кибершпионская операция – дело рук «государственных хакеров» из APT40.

Как пояснили исследователи, с целью модернизировать свой флот китайцы похищают технологии у производителей оборонной техники. Чаще всего их жертвами становятся инженерные, транспортные и оборонные предприятия, в особенности занятые в сфере кораблестроения. С помощью APT40 китайское правительство также пытается повлиять на результаты выборов в разных странах с целью обеспечить себе плацдарм для выгодной торговли.

Хакеры атакуют своих жертв с помощью целенаправленного фишинга (рассылают электронные письма с вредоносными вложениями). Кроме того, они создают вредоносные web-страницы со встроенным эксплоитом для заражения компьютеров бэкдором. Получив доступ к атакуемой системе, злоумышленники похищают учетные данные для доступа к остальным элементам корпоративной сети.

2018

Китайские киберпреступники атакуют предприятия в Германии

Китайская киберпреступная группировка Cloudhopper атакует предприятия в Германии. В частности ее интересуют машиностроительные, коммерческие и исследовательские компании. Как сообщает издание Suddeutsche Zeitung, Федеральное ведомство по безопасности информационной техники ФРГ (BSI) разослало предприятиям соответствующие предупреждения[5].

Отличительной чертой Cloudhopper является тот факт, что группировка атакует не саму жертву непосредственно, а облачных и хостинговых провайдеров, предоставляющих ей свои услуги. Системы провайдеров, как правило, защищены хуже, поэтому через них добраться к сетям компаний намного проще. В общей сложности Cloudhopper атаковала лишь небольшое число немецких компаний, но все жертвы выбирались тщательно.

NYT: Китайские кибершпионы три года перехватывали дипломатическую переписку стран ЕС

Кибершпионы проникли в сеть дипломатических коммуникаций Евросоюза и в течение трех лет перехватывали тысячи телеграмм, касающихся различных вопросов, в том числе беспокойства о непредсказуемых действиях администрации президента США Дональда Трампа, попытках противостояния РФ и Китаю и рисках, связанных с возобновлением ядерной программы Ирана, сообщило издание The New York Times[6].

В распоряжении газеты оказались 1 100 конфиденциальных документов, включая меморандумы бесед с лидерами Саудовской Аравии, Израиля и других стран, сообщения европейских дипломатов о действиях России, отчеты о частных переговорах с главой КНР Си Цзиньпинем и беседах с американскими чиновниками о встрече президентов США и РФ Дональда Трампа и Владимира Путина на саммите в Хельсинки в июле 2018 года.

Судя по использованным техникам, ко взлому может быть причастно элитное хакерское подразделение Народно-освободительной армии Китая, считают эксперты ИБ-компании Area 1, обнаружившие утечку данных. По их словам, атакующие с помощью фишинга проникли в национальные системы Кипра и украли пароли, которые позволили им получить доступ ко всей базе данных ЕС. Далее они копировали телеграммы из защищенных сетей и размещали на созданном ими доступном сайте.

По данным издания, кроме систем ЕС, злоумышленники также скомпрометировали сети ООН, Американской федерации труда и Конгресса производственных профсоюзов (American Federation of Labor and Congress of Industrial Organizations, AFL-CIO) и министерств финансов и иностранных дел в странах по всему миру. В общей сложности киберпреступники атаковали более сотни организаций и институтов, однако многие из них не подозревали о взломе вплоть до недавнего времени.

Агентство национальной безопасности все еще изучает «европейский архив». Специалисты неоднократно предупреждали ЕС об использовании устаревших систем и рисках хакерских атак со стороны Китая, Ирана и других стран. Однако в ответ на предупреждения чиновники обычно пожимали плечами, пишет издание.

Как подчеркнули европейские чиновники, конфиденциальные материалы и сообщения с грифом «секретно» и «совершенно секретно» обрабатываются иным способом, чем документы, которые удалось перехватить киберпреступникам. Они также отметили, что для конфиденциальной дипломатической корреспонденции разрабатывается сеть EC3IS, а для коммуникаций в столицах, таких как Москва и Пекин, для делегаций стран-членов ЕС предусмотрена другая сеть – Zeus.

Китайские «стандарты кибербезопасности» направлены на борьбу с конкурентами

Правительство КНР использует 300 так называемых «национальных стандартов кибербезопасности», чтобы не дать иностранным технологическим компаниям попасть на китайских рынок. Такие выводы содержатся в отчете американского Центра стратегических и международных исследований (The Center for Strategic and International Studies, CSIS)[7].

Вышеупомянутые стандарты представляют собой документы, разработанные Национальным техническим комитетом КНР по стандартизации в области информационной безопасности. В них содержатся различные рекомендации по проектированию и функционалу целого ряда продуктов с точки зрения кибербезопасности. Рекомендации касаются таких продуктов, как маршрутизаторы, межсетевые экраны и даже программное обеспечение.

Некоторые стандарты описывают методы предоставления правительству доступа к конфиденциальным данным китайских граждан, обрабатываемым определенными сервисами или устройствами. Одни стандарты касаются допустимых алгоритмов шифрования, тогда как другие описывают требования к технологиям передачи данных за пределами страны.

По уверению китайских властей, в настоящее время стандарты носят лишь рекомендательный характер. Тем не менее, согласно отчету CSIS, многие из них являются обязательными для выполнения китайскими компаниями. Более того, китайские компании не могут закупать продукцию у вендоров, не сертифицированных согласно определенным стандартам, так как в результате полученный продукт будет не соответствовать рекомендациям. Это существенно затруднят попытки иностранных производителей попасть на китайский рынок, уверены эксперты.

«Для того чтобы соответствовать некоторым стандартам, иностранным фирмам придется перепроектировать свою продукцию специально для китайского рынка из-за несоответствия этих стандартов с международным», - пишут эксперты CSIS.

Китайские хакеры атаковали космические спутники

20 июня 2018 года производитель антивирусов Symantec сообщил о масштабной кибератаке, которую организовали китайские хакеры на космические, оборонные и телекоммуникационные комплексы США и Азии. 

По данным экспертов, за кибернападениями на компании-операторов спутников, а также ряд телекоммуникационных предприятий и оборонных подрядчиков стоит группировка под названием Thrip. Она преследовала цель по шпионажу и перехвату данных из гражданских и военных каналов связи. 

Symantec зафиксировала кибератаку на компании-операторы спутников в США и Азии
Symantec зафиксировала кибератаку на компании-операторы спутников в США и Азии

Отмечается, что в результате кибератак их организаторам удалось внедрить вирусы в компьютеры, используемых для управления космическими спутниками. В результате взломщики получили возможность изменять геопозицию спутников на орбите и мешать передаче информации на землю.

Глава Symantec Грег Кларк говорит, что преступники применяли стандартные инструменты операционной системы, из-за чего жертвы даже не заметили никаких аномалий. Хакеры действовали крайне осторожно, проникали в сети и были раскрыты только при помощи искусственного интеллекта, способного идентифицировать и отследить их действия, добавил он.

«
Нарушение работы спутников может привести к проблемам в функционировании гражданских и военных объектов, — заявил технический директор Symantec Викрам Такур (Vikram Thakur).
»

По его словам, проблема касается всех людей. Спутники чрезвычайно важны для нормальной работы мобильных устройств, а также для определения геолокации во множестве сфер жизни.

Symantec направила данные об кибератаке в ФБР и министерство внутренней безопасности США. О произошедшем также были уведомлены компетентные органы ряда азиатских стран, пострадавших от действий хакеров.

По сообщению Symantec, к 20 июня 2018 года взломанные сети удалось защитить от дальнейшего проникновения хакеров.[8]

США закрывают рынок от смартфонов Huawei

Инициативная группа законодателей заподозрила китайские смартфоны Huawei Mate 10 в возможности вести слежку за пользователями, сообщает в начале 2018 года издание The Wall Street Journal. Группа направила письмо в Федеральную комиссию по связи США, в котором выразила опасения в том, что Huawei якобы сотрудничает с некоей телекомпанией и китайскими спецслужбами, а также обвинила китайского производителя в игнорировании прав на интеллектуальную собственность.

В этой связи один из крупнейших американских операторов мобильной связи AT&T отказался от продаж смартфонов Huawei Mate 10. По информации различных СМИ, сделка сорвалась из-за давления комиссии по связи США. Как намекнули авторы письма, сделка с AT&T может упрочить позиции Huawei на рынке США и в конечном счете открыть возможность использования смартфонов компании американскими чиновниками.

2017

Власти Индии посоветовали военным удалить с телефонов китайские приложения из-за риска слежки

Как стало известно 11 Декабря, Министерство обороны Индии порекомендовало войскам, размещенным на индийско-китайской границе, удалять разработанные в Китае приложения со своих смартфонов.

Согласно рекомендациям, китайские приложения передают данные пользователя на расположенные в Китае серверы и китайское правительство может использовать собранную информацию для определения местоположения индийских войск.

Минобороны также составило список, включающий 42 рекомендованных к удалению приложений для Android и iOS. В список вошли несколько популярных приложений, таких как Weibo, Wechat, UC Browser и CM Browser.

Ранее индийские власти запретили использование китайского оборудования от компаний Huawei и ZTE в приграничном регионе. Несмотря на напряженность между двумя странами, в Индии нет общего запрета на китайскую продукцию. Любые запреты на китайские товары применяются только в демаркационной зоне на индийско-китайской границе.

Китайские хакеры усилили атаки на российскую военную промышленность

Эксперт по кибербезопасности из «Лаборатории Касперского» Гостев Александр заявил в декабре 2017 года об участившихся в 2017 году кибератаках китайских хакеров на государственные структуры и военную промышленность РФ, сообщает «Интерфакс»[9].

По словам Гостева, хакеры сместили фокус своих атак с США на Россию, поскольку в ней есть множество крупных предприятий, представляющих интерес для кибершпионов. В частности, в 2017 году были зафиксированы атаки на военную промышленность РФ и компании нефтегазовой отрасли.

Эксперт также отметил, что из порядка 100 обнаруженных «ЛК» хакерских группировок 24 говорят на китайском языке. В 2017 году были выявлены атаки двух новых китайских группировок - IronHusky и Travie.

В 2018 году «Лаборатория Касперского» прогнозирует рост количества атак на разработчиков программного обеспечения. Интересующие хакеров большие компании, как правило, обладают надежной и многослойной защитой от кибератак, поэтому злоумышленникам проще атаковать посредника, например, производителя популярных программ, использующихся в корпоративном сегменте, отметили исследователи.

Помимо этого, эксперты заявили о возможных массовых взломах маршрутизаторов и модемов, поскольку успешная атака на данные устройства позволяет злоумышленнику незаметно закрепиться в сети и предпринимать дальнейшие действия. Также специалисты говорят о возможном увеличении числа атак на новые «умные» устройства, например, автомобили и медицинское оборудование.

В Китае одобрили план создания первого интернет-суда

Как стало известно 28 июля, в Китае в ходе 36-й сессии Центрального комитета Коммунистической партии Китая по всестороннему углублению реформ был одобрен план по созданию первого в стране интернет-суда, передает CCTV.[10]

Фото: flashsiberia.com
Фото: flashsiberia.com

В интернет-суде, который появится в городе Ханчжоу провинции Чжэцзян, будут рассматривать исключительно дела, связанные с киберпреступлениями, в том числе дела о заключенных онлайн долговых контрактах, о нарушении авторских прав в интернете, о случаях мошенничества в онлайн-торговле и др.

Предполагается, что все судебные процедуры, начиная с подачи иска, будут проводиться на сайте суда. Слушания будут также транслироваться в режиме реального времени.

Дата начала работы интернет-суда не называется.

Как отмечается, судебная система города Ханчжоу уже ведет множество дел по киберпреступлениям, и их число продолжает расти. Так, в 2013 году суд рассматривал порядка 600 таких дел, а в 2016 году их число превысило 10 тысяч.

2016

Zecurion: Китай на втором месте по финансированию кибервойск

Россия может входить в топ-5 стран с наиболее развитыми кибервойсками — специализированными подразделениями по кибербезопасности для военных или разведывательных целей. Об этом свидетельствуют данные исследования Zecurion Analytics, которые приводит «Коммерсантъ»[11][12].

Так, согласно данным исследования, самыми развитыми кибервойсками в мире в настоящее время обладают США. По мнению аналитиков, государственное финансирование этого направления в Штатах может составлять около $7 млрд в год, а численность хакеров, сотрудничающих с государством, — 9 тыс. человек.

На второе место в Zecurion поставили Китай, где финансирование данного направления может составлять $1,5 млрд в год, а киберармия оценивается как самая многочисленная, до 20 тыс. человек.

Точные цифры в компании раскрыть отказались, однако, по оценке собеседника издания на рынке информационной безопасности, расходы России на кибервойска составляют около $300 млн в год, а численность российских спецподразделений составляет примерно 1 тыс. человек.

Тройку стран, где наиболее развиты спецподразделения по кибербезопасности, замыкает Великобритания, выделяющая кибервойскам, состоящим из 2 тыс. человек, $450 млн в год. На четвертом месте Южная Корея с бюджетом $400 млн в год и составом в 700 хакеров.

Китай пригрозил применять военную силу ради своей кибербезопасности

Китай намерен принять все необходимые меры для обеспечения своей информационной безопасности, не исключая применения военной силы. Об этом на пресс-конференции в Пекине заявил Глава бюро кибербезопасности Управления киберпространства КНР Чжао Цзэлян (Zhao Zeliang)[13].

Он также призвал к созданию «безопасного и контролируемого» интернета и представил план по аудиту всех «ключевых информационных продуктов и услуг», поставляемых на территорию страны иностранными компаниями. Продажа таких продуктов будет возможна только после комплексной проверки. Разработки, ориентированные на государственные организации и промышленные комплексы, будут проверять с двойным усердием.

Фактор международных отношений

За время президентства нынешнего главы государства Си Цзиньпиня (Xi Jinping) тема кибербезопасности стала существенным фактором международных отношений. Китай регулярно обвиняют в осуществлении целенаправленных кибератак против других стран, в то же время достоянием общественности стала информация о кибершпионских операциях США. В адрес России также слышатся многочисленные обвинения в проведении кибератак.

Известно, что в составе Народно-освободительной армии КНР существуют как минимум два подразделения, отвечающих за проведение военных и разведывательных операций в области компьютерных сетей, - подразделения 61398 («2-е бюро») и 61046 («8-е бюро»). Считается, что первая из этих групп специализируется на кибершпионаже против США и Канады, а второе - против стран Европы.

В КНР принят новый закон о кибербезопасности

В Китае постоянным комитетом Всекитайского собрания народных представителей был принят новый закон о кибербезопасности, согласно которому хранение персональных данных граждан должно осуществляться теперь только на территории страны.

В целях обеспечения кибербезопасности правоохранительные органы Китая также получили возможность законодательно блокировать счета зарубежных компаний и организаций, которые подозреваются в дестабилизации информационной структуры КНР.

Многие международные эксперты полагают, что таким образом правительство КНР скорее защищает свой рынок ИТ-услуг, так как граждане республики будут опасаться использовать зарубежный софт и гаджеты.

Смотрите также Закон о персональных данных №152-ФЗ в России.

«Лаборатория Касперского»: число атак китайских хакеров на российский ВПК утроилось

«Kaspersky (ранее Лаборатория Касперского)» зафиксировала значительный рост числа атак китайских хакеров на российские предприятия, связанные с ядерной, авиационной и оборонной отраслями, передает летом 2016 года Newsru.com со ссылкой на Bloomberg.

По словам главного эксперта Лаборатории Александра Гостева, в 2015 году было зафиксировано всего 72 атаки из Китая, в то время как с января по июль 2016 года, число атак составило 194. При этом, реальное число атак гораздо выше, поскольку только 10% корпоративных клиентов компании передают данные о взломах, считает эксперт. Рост числа атак подтвердили и в калифорнийской компании Proofpoint.

Гостев не уточнил названия атакованных компаний и организаций, однако сообщил, что почти каждое предприятие российского ВПК подверглось атакам, которые с большой вероятностью завершились утечкой данных. По его словам, среди 35 атакованных организаций были семь предприятий по производству ракетных систем, радаров и корабельных технологий, пять министерств, четыре авиапредприятия и две компании, связанные с атомной отраслью. При этом киберпреступники использовали свыше 50 разновидностей вредоносного ПО.

«Они действуют словно пылесос, скачивая всё без разбора. Затем кто-то анализирует украденную информацию. Вероятно, для организации этой работы требуются сотни людей», - сообщил Гостев.

При этом, по его мнению, прямо связать китайских хакеров с властями страны нельзя, однако характер деятельности киберпреступников, которые занимаются шпионажем, позволяет утверждать, что за ними стоят государственные структуры.

Гостев также отметил, что активность китайских хакеров возросла после того, как осенью прошлого года Китай и США заключили соглашение об отказе от экономического кибершпионажа. Аналогичное соглашение между Пекином и Москвой было заключено в мае 2015 года.

Шпионаж китайских хакеров

В мае 2016 г. ИБ-компания Symantec сообщила, что отследила взлом ряда индийских ресурсов, осуществленный китайской группой кибершпионов Suckfly. В число ресурсов попали системы центрального правительства и крупных финансовых институций[14].

Утечка данных началась в апреле 2014 г. и продолжалась весь 2015 г. Целью шпионажа Symantec считает подрыв экономической инфраструктуры Индии. В своей работе Suckfly использует шпионское ПО, безопасность которого удостоверяют украденные цифровые сертификаты. Также группа применяет вредоносное ПО Backdoor.Nidoran.

Неделю спустя Kaspersky Lab заявила, что отследила вторжение китайскоговорящей группы кибершпионов Danti в системы центрального правительства Индии по дипломатическим каналам. В ходе атаки использовалась незарегистрированная уязвимость CVE-2015-2545.

Оба случая не получили широкого освещения в Индии, атакованные организации не дали комментариев. Отсутствие какой-либо серьезной реакции на кибератаки со стороны индийского правительства делает страну уязвимой для дальнейших нападений, пишет ресурс The Wire.

Официальное создание киберармии

1 января 2016 года в Китае вступила в силу военная реформа, в рамках которой было создано три новых рода войск. Один из них среди прочего занялся вопросами национальной кибербезопасности.

Согласно сообщению Центрального военного совета КНР, в составе Народно-освободительной армии Китая появились ведомство армейского командования, ракетные войска и войска стратегической поддержки. Последние, в частности, будут отвечать за безопасность цифрового пространства. Более подробная информация о деятельности кибергруппы не раскрывается.

В Китае вступила в силу военная реформа, в рамках которой было создано три новых рода войск
В Китае вступила в силу военная реформа, в рамках которой было создано три новых рода войск

По словам председателя КНР и главы Центрального военного совета Си Цзиньпина (Xi Jinping), проведенные преобразования должны способствовать «реализации китайской мечты об укреплении армии» в современных условиях.

«Это стратегическая мера по формированию современной военной системы с учетом китайских особенностей. Этот шаг станет переломным моментом в модернизации китайской военной системы», — заявил китайский лидер во время церемонии передачи знамен командирам новоиспеченных родов войск.

Целью новой военной реформы является оптимизация структуры обороны страны, укрепление политической системы и гражданско-военной интеграции. Кроме этого, внимание уделено строительству современной военной системы с пониманием китайской специфики, способной побеждать в современных информационных войнах.

К началу 2016 года армия Китая является самой многочисленной в мире, а по размеру военных расходов страна уступает лишь США. Общая численность вооруженных сил КНР оценивается примерно в 2,3 млн человек против 5 млн к началу 80-х годов XX века. Большая часть сокращений коснулось сухопутных войск. [15]

2015: Кибервойска Китая не только защищаются

19 марта 2015 года из официальной военной энциклопедии Народно-освободительной армии Китая стало известно о существовании в Китае кибервойск, боевая задача которых не только защита, но и нападение на сети иностранных государств. Ранее Пекин категорически опровергал информацию о своём участии в кибератаках[16].

В составе вооруженных сил Китая действуют спецподразделения, осуществляющие кибератаки на вычислительные сети иностранных государств, сказано в последнем издании энциклопедии «Наука военной стратегии» (The Science of Military Strategy), выпущенном Народно-освободительной армией Китая на родном языке и представляющим собой «лучшее пособие по китайской военной машине».

По сообщению издания The Daily Beast, со ссылкой на энциклопедию, в Китае действуют два подразделения хакеров. Одно из них при вооруженных силах, второе — в составе разведывательных служб.

Помимо этого, работают некие неправительственные «внешние группировки». Они могут быть организованы и мобилизованы по необходимости, приводит The Daily Beast выдержки из энциклопедии.

«Мы впервые узнали об этом. Они впервые сказали нам буквально следующее: «Да, мы располагаем силами, проводящими атаки в киберпространстве. И мы имеем целых два подразделения, работа которых этому посвящена», — поведал Джо Макрейнольдс (Joe McReynolds), аналитик Центра исследований и анализа разведки в компании Defense Group, изданию The Daily Beast, пояснив, что одно из них, согласно энциклопедии, действует при структурах, аналогичных американским ЦРУ и ФБР.

Пекин всегда официально опровергал участие китайских властей в атаках на компьютерные сети иностранных государств. Притом, что последнее издание «Науки военной стратегии» вышло в декабре 2013 года. «Похоже, они понимали, что мы никак не сможем это доказать, поэтому продолжали настаивать на том, что не промышляют кибератаками», — предположил эксперт.

По словам Макрейнольдса, в полном виде книга попала в руки американских военных экспертов не сразу, а лишь летом 2014 года. Потребовались еще несколько месяцев на перевод с китайского языка.

США не первый год занимаются сбором доказательств о причастности официального Пекина к некоторым атакам на их компьютерные сети. В прошлом году Министерство юстиции США сделало беспрецедентный шаг: оно предъявило обвинения пяти китайским военным, которые, по данным американской разведки, занимаются дипломатическим и промышленным шпионажем посредством взлома сетей американских органов власти и предприятий.

В 2010 году в США создано кибернетическое командование. Американские власти уверяют, что оно занимается исключительно обороной сетей. Это утверждение также поставлено под сомнение. В том же 2010 году, как установили эксперты, спецслужбы США провели ряд атак на иранские ядерные объекты для вывода их из строя.

2014: ФБР объявила Китай главным суперзлодеем

В октябре 2014 года, во время 60-минутного эфира на CBS, Джеймс Корни, директор Федерального Бюро Расследований, сказал, что веб-атаки против США ежегодно обходятся американским компаниям в миллиарды долларов.

«Существует два вида крупных компаний в Соединенных Штатах», сказал Корни: «Те, которых уже взломали китайцы, и те, которые не знают, что они были взломаны китайцами».

Добавим сюда ежегодные потери от китайских хакеров, которые «невозможно» подсчитать, отметил Корни, и речь пойдет о миллиардах. Он ссылается на обвинительное заключение для пяти китайских военнослужащих, взломавших американские фирмы, задействованные в ядерной индустрии, металлообрабатывающей промышленности и солнечной энергетике, вынесенное в мае, как только один пример дорогостоящих атак.

Корни сказал, что хакеры Китая нацелены на промышленные секреты и делают то, что они делают, чтобы «не нужно было изобретать».

«Они могут скопировать или украсть все что угодно, чтобы узнать о том, как компания может вести переговоры с китайской компанией», добавил он.

Рассказ на 60 минут является напоминанием нации, что Китай является плохим парнем, учитывая, что Россия стоит за крупнейшей для страны утечкой данных в JPMorgan Chase, а группу, стоящую за этим инцидентом, обвиняют еще в девяти других случаях.

Тем не менее, несмотря на то, что произнесено много обвинений, существует мало доказательств в их поддержку. Каждый раз, когда возникает проблема, Китай появляется в новостях.

Это не означает, что кто-то из России и Китая не нападал на США. Очевидно, что такие случаи имеют место, но есть серьезные сомнения, что они нанесли удар такой степени, до которой правительство его раздувает.

Говоря о преступности в Интернете в целом, Корни сказал, что она становится все более всеобъемлющей.

«Опять же, из-за того, что люди связывают всю свою жизнь с Интернетом, находятся те, кто хочет украсть деньги, навредить или обмануть. Так что, эпидемия существует по очевидным причинам».

2013: За массированными кибератаками на США стоит китайская организация

Фирма Mandiant опубликовала в начале 2013 года отчет, из которого следует, что сотни кибератак на США за последние годы - дело рук организации, находящейся в Китае. Атаки носят массированный характер: украдены сотни терабайт данных как минимум из 141 организации.

Преступники крадут интеллектуальную собственность, но могут скрытно присутствовать на компьютере в течение года, осуществляя слежку, пишет Mandiant, имеющая специальную группу по анализу кибератак. Фирма полагает, что обнаружила достаточные свидетельства, чтобы связать эти атаки с одной из 20 организаций киберпреступников, работающих под прикрытием китайского правительства.

Mandiant проанализировала деятельность группы APT1 и документировала факты осуществленных ею взломов на протяжении семи лет. В своем отчете, озаглавленном «APT1: один из аванпостов кибершпионажа Китая», фирма пишет, что имеет неопровержимые доказательства, указывающие на местонахождение этой группы в Шанхае, но деятельность, непосредственно наблюдавшаяся специалистами Mandiant, составляет лишь малую часть ее кибершпионажа.

«Детали, которые мы проанализировали в ходе сотен проверок, убеждают нас, что группы, осуществляющие эту деятельность, расположены главным образом в Китае и что правительство этой страны прекрасно о них знает, - пишет фирма в своем отчете. - Наши наблюдения свидетельствуют, что по количеству украденной информации это одна из самых `плодовитых` групп кибершпионажа».

Тактика китайских киберпреступников разнообразна и включает «социальную инженерию», «жёсткий» фишинг (spearphishing), инструменты дистанционного доступа и более 40 семейств вредоносного ПО.

В своем отчете Mandiant перечислила тысячи признаков атак, включая доменные имена и IP-адреса, которые могут указывать на то, что это дело рук APT1. К отчету прилагаются цифровые сертификаты и видеофайлы, демонстрирующие реальные действия взломщиков. Прилагается также бесплатная утилита для выявления инфицированных систем.

Киберпреступники держали под «наблюдением» компании из 20 основных отраслей, пишет Mandiant. Периодически в течение нескольких месяцев или лет они посещали такую «вскрытую» сеть, выкрадывая технические планы, сведения о проприетарных технологических процессах, результаты испытаний, бизнес-планы, информацию о ценах, соглашения о партнерстве, сообщения электронной почты и списки контактов руководителей этих организаций. Как минимум одна организация находилась под такой «опекой» почти пять лет, прежде чем это было обнаружено.

Лишь за один месяц 2011 г. группа APT1 проникла в сети 17 организаций, 87% «наблюдаемых» организаций находятся в странах английского языка, пишет Mandiant.

Фирма полагает, что группу APT1 спонсирует китайское правительство. Эксперты проследили атаки вплоть до четырех крупных сетей в Шанхае и выявили значительную по ресурсам инфраструктуру, командные серверы, инструментарий и тактику.

Масштаб инфраструктуры, на которую опираются киберпреступники, впечатляет: 937 командных серверов, размещенных на 849 отчетливых IP-адресах в 13 странах. Для управления инфицированными системами группа использовала удаленный десктоп за границей. Mandiant полагает, что за этими атаками могут стоять сотни людей.

«Учитывая масштаб, продолжительность и тип преступной деятельности, операторы APT1 должны были опираться на прямую поддержку лингвистов, специалистов по open-source, создателей вредоносного ПО и экспертов отрасли, транслирующих задания от заказчиков к исполнителям, а также людей, которые затем передают украденную информацию заказчикам, - говорится в отчете. - Группа APT1 должна также иметь значительный штат ИТ-персонала, занятый закупкой и обслуживанием компьютерного оборудования, и людей, которые занимаются финансами, логистикой и административно-хозяйственной работой».

2004: Китайцы атакуют Lockheed-Martin

В 2004 году в сети одного из предприятий оборонного концерна Lockheed-Martin китайские хакеры прорвали систему защиты компьютеров, оставили множество следов своего пребывания в виде троянов и бэкдоров. До сих пор не понятно, успели ли хакеры скопировать важные данные, но часть данных компании была сильно испорчена.

Не обошли вниманием хакеры и компьютерную сеть американского Министерства обороны, сисадмины которого даже не замечали, что злоумышленники вот уже 2 года имеют свободный доступ к ценной информации. Правительство США обвинило в хакерской атаке российских программистов, но Официальный Кремль данное обвинение опроверг.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность




Примечания

  1. Китайские хакеры взломали HPE, IBM и еще шесть крупнейших ИТ-провайдеров мира
  2. Китайская разведка перехватила хакерские инструменты АНБ и атаковала ими союзников США
  3. APT40: Examining a China-Nexus Espionage Actor
  4. Китайские кибершпионы пять лет атакуют оборонные предприятия
  5. Китайские киберпреступники атакуют предприятия в Германии
  6. Китайские кибершпионы три года перехватывали дипломатическую переписку стран ЕС
  7. Китайские «стандарты кибербезопасности» направлены на борьбу с конкурентами
  8. China-based hack hit satellite firms: Symantec
  9. Китайские хакеры усилили атаки на российскую военную промышленность
  10. КИТАЙ УТВЕРДИЛ РЕШЕНИЕ ПО СОЗДАНИЮ ПЕРВОГО В СТРАНЕ ИНТЕРНЕТ-СУДА
  11. В интернет ввели кибервойска
  12. Аналитики назвали Россию в числе пяти стран с лучшими кибервойсками
  13. CNews: Китай пригрозил применять военную силу ради своей кибербезопасности
  14. Пакистан и Китай нещадно бьют по правительственным ИТ-системам Индии
  15. It's (Finally) Official: China Creates Cyberwarfare Military Branch
  16. Китай проговорился о своей государственной армии хакеров и участии в кибервойнах