• USD 41.3
  • EUR 43.5
  • GBP 52.2
Спецпроекты

Операция Soft Cell. Как китайские хакеры помогли Трампу

Доклад об атаке китайских хакеров на десяток компаний может быть элементом информационной войны США
Фото: Shutterstock
Фото: Shutterstock
Реклама на dsnews.ua

В рамках получившей кодовое название Soft Cell операции, которая длится с 2012 г. (а вероятно, и дольше) хакеры из группировки АРТ10, предположительно аффилированные с китайским правительством, атаковали десяток телекоммуникационных компаний в тридцати с лишним странах.

Получение доступа к этим компаниям, чьи названия не приводятся, проводилось в несколько этапов. Реализация первого этапа, как сообщила 25 июня в своем докладе американо-израильская компания Cybereason Nocturnus, работающая в сфере безопасности, началась в 2017 г. В течение уже 2018 г. киберпреступники получили полный доступ к сетям компаний с целью получения персональных данных интересующих Пекин лиц. А привлекали внимание китайцев прежде всего представители иностранных правительств и силовых органов, а также политики.

По данным Cybereason, хакеры заполучили доступ к паролю каждого пользователя, что в свою очередь открыло путь к счетам, сведениям о телефонных разговорах и переписке, почте, геолокации и т. д. В общем, ко всему, что имеет значение в наш цифровой век.

По словам гендиректора Cybereason Лиора Дива, за семь лет операции Soft Cell проникновение хакеров в компьютерные сети стало полномасштабным - на всех уровнях. "Они могут управлять инфраструктурой так, как если бы это была их инфраструктура. Они создали теневой IТ-отдел и могли во взломанной системе делать все, что пожелают", - добавил Див. По его мнению, высокий уровень сложности проводимых атак свидетельствует о том, что кибернападения не были делом рук каких-нибудь криминальных группировок, а могли проводиться лишь в тесной координации с любым правительством. И речь о правительстве Китая.

Что указывает на Китай? В Cybereason, изучив анатомию атак, пришли к выводу, что применяемые инструменты и методы, или TTP (tactics, techniques and procedures) идентичны тем, которые использует группировка APT10 (известная также, как Menupass, Red Apollo, Stone Panda, CVNX), которую правительство США связывает с Министерством государственной безопасности КНР.

Для получения доступа к сетям телекоммуникационных компаний использовалась модифицированная версия веб-оболочки China Chopper. Эту веб-оболочку, которая "весит" лишь 4 килобайта, впервые обнаружили еще в 2012 г. Ее применяют по большей части китайские хакеры для удаленного управления веб-серверами. Сам взлом сетей тех 10 компаний производился через процесс ОС Windows - w3wp.exe, запускающий веб-приложения и отвечающий за обработку запросов, отправленных на веб-сервер.

Послужной список

Реклама на dsnews.ua

Он у APT10 достаточно длинный. Хакеры мозолят глаза американскому правительству еще с 2006 г., когда начались их первые атаки. APT10 тогда использовала направленный фишинг с целью сбора данных учетных записей работников ряда компаний, посредством которых после внедрения вредоносного ПО похищали интеллектуальную собственность в огромных объемах. Досталось в свое время и провайдерам, предоставляющим клиентам IT-оборудование и услуги, - Hewlett Packard Enterprise и IBM.

Мало того, как заявлял ранее Минюст США, APT10 были причастны к взломам Центра космических полетов им. Годдарда NASA, Лаборатории реактивного движения, Национальной лаборатории Министерства энергетики США им. Лоуренса в Беркли и даже американских ВМС, когда были похищены личные данные 100 тыс. военнослужащих.

В феврале этого года из отчета Rapid7 и Recorded Future стало известно, что APT10 в августе 2018-го также взломала норвежскую компанию Visma, которая является одним из топовых в Европе поставщиков облачных технологий. Правда, как заявила сама компания в пресс-релизе, ее специалистам удалось вовремя остановить взлом и хакеры получили лишь внутренние данные Visma, но не информацию клиентов.

В целом же в Вашингтоне отмечают, что APT10 несет ответственность за кибератаки на 45 компаний, госучреждений и провайдеров в Соединенных Штатах. География деятельности злоумышленников затрагивает также Канаду, Бразилию, Великобританию, Германию, Финляндию, Францию, Швейцарию, Швецию, ОАЭ, Индию и Японию.

Контрнаступление

Вызывает вопрос, собственно, время, выбранное для публикации данного доклада. Если операция длится с 2012 г., а атаки на телекоммуникационные компании хакеры начали готовить еще в 2017-м, то почему деятельность китайской группировки попала на страницы данного отчета в середине 2019-го?

Нет ли связи между этим докладом и продолжением торговой войны между Вашингтоном и Пекином, которая выразилась сперва в введении Дональдом Трампом ограничений в отношении компании Huawei по подозрении в шпионаже? И буквально накануне - 21 июня - Минторговли США в черный список внесло также еще пять IT-компаний из Поднебесной: Higon, Sugon, THATIC, Chengdu Haiguang Integrated Circuit и Chengdu Haiguang Microelectronics Technology. Как пишет Bloomberg, эти компании являются лидерами по разработкам в области сверхбыстрых компьютерных вычислений. И теперь им запрещено покупать американские товары и услуги.

И примечательно, что 25 июня, когда появился доклад Cybereason, CNN со ссылкой на свои источники сообщил о проведении американскими военными в ответ на сбитый беспилотник масштабной кибератаки на шиитскую группировку "Катаиб Хезболла", которая действует на территории Ирака, а также Сирии, где воюет плечом к плечу с силами режима Башара Асада. Она также активно участвовала в боях против Международной коалиции во главе с Штатами в Ираке. По данным Госдепартамента США, группировка финансируется спецподразделением иранского КСИР "Кудс".

Казалось бы, при чем здесь Китай? Но на сегодняшний день Китай и Иран в списке Белого дома внешних угроз для США занимают верхние строчки, по понятной причине подвинув Россию (личная аллергия Трампа на "российское дело").

Вышеупомянутый доклад Cуbereason в совокупности с просочившимися в СМИ данными о кибератаке на иранские прокси-силы вполне может быть еще одним элементом информационной войны. Наряду с введением санкций в отношении китайских цифровых и технокомпаний. Таким образом в медиа прочно укрепляется аргументация для предстоящей или предстоящих киберопераций наступательного характера против и Китая, и Ирана. Тем более что успешный опыт проведения таких киберопераций у Штатов уже есть.

Например, когда американские специалисты в день проведения промежуточных выборов в 2018 г. отрубили доступ к интернету "фабрике троллей" Евгения Пригожина. Были в истории США операции и в отношении Ирана - с использованием червя Stuxnet для нарушения работ центрифуг. Сейчас, после того как американцы вдоволь поиздевались над "ольгинскими", Cybercom (Киберкомандование) явно работает в полную силу и может готовиться к расширению фронта деятельности на Китай и Иран.

    Реклама на dsnews.ua