Операція Soft Cell. Китайські хакери допомогли Трампу

Доповідь про атаку китайських хакерів на десяток компаній може бути елементом інформаційної війни США
Фото: Shutterstock

В рамках отримала кодову назву Soft Cell операції, яка триває з 2012 р. (а можливо, і довше) хакери з угрупування АРТ10, імовірно афілійовані з китайським урядом, атакували десяток телекомунікаційних компаній в тридцяти країнах.

Отримання доступу до цих компаній, чиї назви не наводяться, проводилося в кілька етапів. Реалізація першого етапу, як повідомила 25 червня в своїй доповіді американо-ізраїльська компанія Cybereason Nocturnus, що працює в сфері безпеки, почалася в 2017 р. протягом вже 2018 р. кіберзлочинці отримали повний доступ до мереж компаній з метою отримання персональних даних вакансій, Пекін осіб. А привертали увагу китайців насамперед представники іноземних урядів і силових органів, а також політики.

За даними Cybereason, хакери одержали доступ до паролю кожного користувача, що в свою чергу відкрило шлях до рахунків, відомостей про телефонних розмовах і листуванні, поштою, геолокаціі і т. д. загалом, до всього, що має значення в наш цифровий вік.

За словами гендиректора Cybereason Ліора Діва, за сім років операції Soft Cell проникнення хакерів в комп'ютерні мережі стало повномасштабним - на всіх рівнях. "Вони можуть керувати інфраструктурою так, як якщо б це була їхня інфраструктура. Вони створили тіньовий ІТ-відділ і могли під зламаної системі робити все, що захочуть", - додав Див. На його думку, високий рівень складності проведених атак свідчить про те, що кібернапади не були справою рук яких-небудь кримінальних угруповань, а могли проводитися лише в тісній координації з будь-яким урядом. І мова про уряді Китаю.

Що вказує на Китай? У Cybereason, вивчивши анатомію атак, прийшли до висновку, що застосовувані інструменти і методи, або TTP (tactics, techniques and procedures) ідентичні тим, які використовує групування APT10 (відома також, як Menupass, Red Apollo, Stone Panda, CVNX), яку уряд США пов'язує з Міністерством державної безпеки КНР.

Для отримання доступу до мереж телекомунікаційних компаній використовувалася модифікована версія веб-оболонки China Chopper. Цю веб-оболонку, яка "важить" лише 4 кілобайта, вперше виявили ще в 2012 р. Її застосовують здебільшого китайські хакери для віддаленого управління веб-серверами. Сам злом мереж тих 10 компаній проводився через процес ОС Windows - w3wp.exe, запускає веб-додатки та відповідає за обробку запитів, надісланих на веб-сервер.

Послужний список

Він у APT10 досить довгий. Хакери муляють очі американському уряду ще з 2006 року, коли розпочалися перші атаки. APT10 тоді використовувала спрямований фішинг з метою збору даних облікових записів працівників ряду компаній, за допомогою яких після впровадження шкідливого ПО викрадали інтелектуальну власність у величезних обсягах. Дісталося свого часу і провайдерів, що надають клієнтам IT-обладнання та послуги, - Hewlett Packard і IBM Enterprise.

Мало того, як заявляв раніше Мін'юст США, APT10 були причетні до зломів Центру космічних польотів ім. Годдарда NASA, Лабораторії реактивного руху, Національної лабораторії Міністерства енергетики США їм. Лоуренса в Берклі і навіть американських ВМС, коли були викрадені особисті дані 100 тис. військовослужбовців.

У лютому цього року звіту Rapid7 і Recorded Future стало відомо, що APT10 в серпні 2018-го також зламала норвезьку компанію Visma, яка є одним з топових в Європі постачальників хмарних технологій. Правда, як заявила сама компанія в прес-релізі, її фахівцям вдалося вчасно зупинити злом і хакери отримали лише внутрішні дані Visma, але не клієнтів інформацію.

В цілому ж у Вашингтоні наголошують, що APT10 несе відповідальність за кібератаки на 45 компаній, держустанов і провайдерів у Сполучених Штатах. Географія діяльності зловмисників зачіпає також Канаду, Бразилію, Великобританію, Німеччину, Фінляндію, Францію, Швейцарію, Швецію, ОАЕ, Індії та Японії.

Контрнаступ

Викликає питання, власне, час, обраний для публікації цієї доповіді. Якщо операція триває з 2012 р., а атаки на телекомунікаційні компанії хакери почали готувати ще в 2017-му, то чому діяльність китайського угрупування потрапила на сторінки даного звіту в середині 2019-го?

Чи немає зв'язку між цією доповіддю і продовженням торгової війни між Вашингтоном і Пекіном, яка виразилася спершу у введенні Дональдом Трампом обмежень щодо компанії Huawei по підозрі в шпигунстві? І буквально напередодні - 21 червня - Мінторгівлі США в чорний список внесла також ще п'ять IT-компаній з Піднебесної: Higon, Sugon, THATIC, Chengdu Haiguang Integrated Circuit та Chengdu Haiguang Microelectronics Technology. Як пише Bloomberg, ці компанії є лідерами по розробкам в області надшвидких комп'ютерних обчислень. І тепер їм заборонено купувати американські товари і послуги.

І примітно, що 25 червня, коли з'явився доповідь Cybereason, CNN з посиланням на свої джерела повідомив про проведення американськими військовими у відповідь на збитий безпілотник масштабної кібератаки на шиїтську угруповання "Катаїб Хезболла", яка діє на території Іраку, а також Сирії, де воює плечем до плеча з силами режиму Башара Асада. Вона також активно брала участь у боях проти Міжнародної коаліції на чолі з Сша в Іраку. За даними Держдепартаменту США, групування фінансується спецпідрозділом іранського КВІР "Кудс".

Здавалося б, при чому тут Китай? Але на сьогоднішній день Китай і Іран в списку Білого дому зовнішніх загроз для США займають верхні рядки, зі зрозумілої причини посунувши Росію (особиста алергія Трампа на "російське справа").

Вищезгаданий доповідь Cуbereason в сукупності з що просочилися в ЗМІ дані про кібератаки на іранські проксі-сили цілком може бути ще одним елементом інформаційної війни. Поряд з введенням санкцій відносно китайських цифрових і технокомпаний. Таким чином в медіа міцно зміцнюється аргументація для майбутньої або майбутніх кібероперацій наступального характеру проти Китаю та Ірану. Тим більше, що успішний досвід проведення таких кібероперацій Штатів у вже є.

Наприклад, коли американські фахівці в день проведення проміжних виборів до 2018 р. відрубали доступ до інтернету "фабриці тролів" Євгена Пригожина. Були в історії США операції і щодо Ірану - з використанням хробака Stuxnet для порушення робіт центрифуг. Зараз, після того як американці вдосталь познущалися над "ольгинскими", Cybercom (Кіберкомандування) явно працює в повну силу і може готуватися до розширення фронту діяльності на Китай та Іран.