Утечка документов китайской хакерской группы, связанной с правительством, показала, что разведывательные и военные группы Пекина осуществляют масштабные и систематические проникновения в иностранные правительства, компании и инфраструктуру, используя, как утверждают хакеры, слабые места в американском программном обеспечении таких компаний, как Microsoft, Apple и Google. Кэш, содержащий более 570 файлов, изображений и записей чатов, открывает беспрецедентный обзор деятельности одной из фирм, которую китайские правительственные агентства используют для массового сбора данных по заказу.
В файлах, размещённых на GitHub на прошлой неделе и признанных экспертами по кибербезопасности надёжными, несмотря на то, что источник остаётся неизвестным, подробно описаны контракты на получение иностранных данных в течение восьми лет и указаны цели по меньшей мере 20 иностранных правительств и территорий, включая Индию, Гонконг, Таиланд, Южную Корею, Великобританию, Тайвань и Малайзию. Ранее о документах сообщило индийское издание BNN. "Мы редко получаем такой свободный доступ к внутренним механизмам разведывательных операций", – отметил Джон Хультквист, главный аналитик Mandiant Intelligence, принадлежащей Google Cloud компании по кибербезопасности. "У нас есть все основания полагать, что это подлинные данные подрядчика, поддерживающего глобальные и внутренние кибершпионские операции из Китая", – сообщил Хультквист. Представители американских спецслужб считают Китай самой большой долговременной угрозой безопасности США и выражают тревогу по поводу его целенаправленных хакерских кампаний.
Эксперты изучают документы, которые позволяют заглянуть внутрь напряжённой конкуренции в китайской индустрии сбора данных о национальной безопасности, где конкурирующие компании претендуют на выгодные государственные контракты, обещая всё более разрушительный и всеобъемлющий доступ к секретной информации, которую считают полезной китайские полицейские, военные и разведывательные службы. Документы поступили от iSoon, также известной как Auxun, – китайской фирмы со штаб-квартирой в Шанхае, которая продаёт услуги по взлому и сбору данных третьим лицам для китайских правительственных учреждений, групп безопасности и государственных предприятий. В архив не входят данные, добытые в ходе китайских хакерских операций, но перечислены цели и - во многих случаях - краткое описание образцов добытых данных и подробная информация о том, получили ли хакеры полный или частичный контроль над иностранными системами.
В одной из электронных таблиц перечислены 80 зарубежных целей, которые хакеры iSoon, судя по всему, успешно взломали. Среди них 95,2 гигабайта иммиграционных данных из Индии и коллекция журналов звонков южнокорейского оператора связи LG U Plus объёмом 3 терабайта. Кроме того, группа совершила атаку на другие телекоммуникационные компании в Гонконге, Казахстане, Малайзии, Монголии, Непале и Тайване. Посольство Индии в Вашингтоне не ответило на просьбу прокомментировать полученные документы.
Также клиенты iSoon запрашивали или получали данные об инфраструктуре, согласно просочившимся документам. В электронной таблице указано, что компания располагает данными о дорогах Тайваня, на который Китай претендует как на свою территорию. Данные о дорогах могут пригодиться китайским военным в случае вторжения на Тайвань, считают аналитики. "Понимание рельефа дорог и расположения мостов и туннелей необходимо для того, чтобы перебросить бронетанковые войска и пехоту по острову в попытке оккупировать Тайвань", – считает Дмитрий Альперович, эксперт по национальной безопасности и председатель аналитического центра Silverado Policy Accelerator. Среди прочих мишеней – 10 правительственных учреждений Таиланда, в том числе министерство иностранных дел, разведывательное управление и сенат. В электронной таблице отмечается, что iSoon располагает образцами данных, полученных от этих ведомств в период между 2020 и 2022 годами. Посольство Таиланда в Вашингтоне не ответило на просьбу прокомментировать ситуацию.
Большинство целей находилось в Азии, хотя iSoon получала запросы на взлом и из других стран. Журналы переговоров, включённые в публикацию, содержат сведения о продаже неопределённых данных, связанных с НАТО, в 2022 году. Неясно, были ли эти данные собраны из общедоступных источников или добыты в результате взлома. НАТО не сразу отреагировала на запрос дать комментарий.
Из другого файла видно, что сотрудники обсуждали список целей в Великобритании, включая министерства внутренних дел и иностранных дел, а также казначейство. В список также попали британские аналитические центры Chatham House и Международный институт стратегических исследований. "В нынешних условиях мы, как и многие другие организации, регулярно подвергаемся попыткам кибератак со стороны как государственных, так и негосударственных субъектов", – заявил представитель Chatham House, отметив, что организация "естественно обеспокоена" утечкой, но приняла меры защиты. Министерство иностранных дел Великобритании отказалось от комментариев по поводу утечки документов. Хакеры также способствовали попыткам выведать информацию у близких дипломатических партнёров, включая представителей Пакистана и Камбоджи.
Компания iSoon является частью целой экосистемы подрядчиков, которая сформировалась на основе "патриотической" сцены хакерства более двух десятилетий назад и теперь работает на ряд влиятельных правительственных организаций, включая Министерство общественной безопасности, Министерство государственной безопасности КНР и китайские вооружённые силы. По словам американских чиновников, за последний год хакеры из Народно-освободительной армии взломали компьютерные системы около двух десятков ключевых объектов американской инфраструктуры, пытаясь закрепиться и получить возможность вывести из строя энергетические и водопроводные сети, а также системы связи и транспорта.
Китайская модель, в которой государственная поддержка сочетается со стимулом к получению прибыли, привела к созданию обширной сети агентов, конкурирующих между собой за использование уязвимых сторон и развитие своего бизнеса. Масштаб и упорство их атак – головная боль для американских технологических гигантов, таких как X, Microsoft и Apple, которые теперь находятся в постоянной гонке, пытаясь перехитрить хакеров.
Все программные продукты имеют различные слабости, и мощный глобальный рынок вознаграждает тех, кто находит "чёрные ходы" или разрабатывает инструменты, известные как эксплойты, чтобы воспользоваться ими. Многие поставщики программного обеспечения предлагают вознаграждение исследователям, которые сообщают о недостатках в системе безопасности, но государственные подрядчики в США и других странах часто претендуют на эти эксплойты, платя больше за право использовать их в шпионаже или наступательных действиях.
Американские оборонные и разведывательные фирмы также разрабатывают инструменты для взлома программного обеспечения, которые затем используются федеральными чиновниками в операциях слежки и шпионажа или в наступательном кибероружии. В последние годы китайские специалисты по безопасности в частных компаниях заметно улучшили свою работу, побеждая в большем количестве международных хакерских соревнований и получая больше вознаграждений от технологических компаний.
Однако в файлах iSoon содержатся жалобы недовольных сотрудников на низкую зарплату и рабочую нагрузку. Многие хакеры работают менее чем за 1000 долларов в месяц – удивительно низкая зарплата даже для Китая, говорит Адам Кози, бывший аналитик ФБР, который пишет книгу о китайских хакерах. Эти утечки намекают на конфликты и недовольство в сети патриотически настроенных хакеров из Китая, несмотря на давнее сотрудничество между группами.
Несмотря на то, что пока неизвестно, кто и зачем обнародовал документы, эксперты по кибербезопасности говорят, что это может быть недовольный бывший сотрудник или даже хакер из конкурирующей компании. На сайте GitHub источник представился как разоблачитель, рассказывающий о халатности, плохих условиях труда и "низкокачественных" продуктах, которые iSoon использует для "обмана" своих правительственных клиентов. В чатах, помеченных как содержащие жалобы работников, сотрудники жаловались на сексизм, долгие часы работы и низкие продажи.
В Китае подобные группы позиционируют себя как важнейшие участники масштабной кампании Коммунистической партии по устранению угроз её правлению из киберпространства. В последние годы Китай активизировал свои усилия по изучению международных общественных социальных сетей и отслеживанию целей за рубежом, хотя переход между публичным массовым мониторингом и частным хакерством часто остаётся неясным. ISoon заключила сотни сделок с китайской полицией, начиная от небольших заказов по цене 1400 долларов и заканчивая многолетними контрактами на сумму до 800 000 долларов, как показала одна из электронных таблиц.
Из просочившихся в сеть руководств к продуктам компании описаны предлагаемые услуги и цены на них, а также говорится о возможности похищать данные без обнаружения. В описаниях продуктов, ориентированных на клиентов из сферы государственной безопасности, иногда используется язык военного времени, чтобы описать миссию по извлечению данных, подкреплённую чрезвычайными угрозами национальной безопасности Китая.
"Информация всё больше становится жизненно важной составляющей страны и одним из ресурсов, которые власти стремятся захватить. В информационной войне хищение вражеской информации и уничтожение вражеских информационных систем стали ключом к победе над противником",-- говорится в одном из документов, описывающих выставленный на продажу пакет iSoon, который, как утверждается, позволит клиентам получать доступ и скрыто контролировать учётные записи Microsoft Outlook и Hotmail, обходя протоколы аутентификации.
В руководствах к продуктам iSoon также рекламируется услуга стоимостью 25 000 долларов за систему контроля "удалённого доступа" для получения данных смартфона Apple iOS, включая "основную информацию о мобильном телефоне, GPS-позиционирование, контакты мобильного телефона" и "запись окружения". В одном из предложений предлагалась услуга, с помощью которой iSoon могла эффективно проводить фишинговые кампании против отдельных лиц или групп пользователей Twitter. В другом говорилось об услугах, которые позволят компании удалённо контролировать целевые операционные системы Windows и Mac. Компании Apple, Microsoft, Google и X (бывший Twitter) отказались от комментариев.
Помимо долгосрочных соглашений, iSoon регулярно работала по запросу полиции небольших китайских городов и частных компаний, что подтверждается страницами журналов чата между топ-менеджерами компании. Иногда клиенты даже точно знали, что им нужно – например, выяснить личность конкретного пользователя Twitter, - но часто направляли и открытые запросы. В одном из разговоров сотрудники обсуждали запрос от бюро государственной безопасности на юге Китая, в котором ведомство интересовалось, располагает ли iSoon информацией о близлежащем Гонконге. Сотрудник iSoon предложил вместо этих материалов электронные письма из Малайзии.
Такой подход, по-видимому, отчасти объясняется давлением со стороны клиентов, требующих предоставлять больше и более качественной информации. Но несмотря на то, что компания хвасталась передовыми возможностями, в чатах можно увидеть, что клиенты регулярно оставались недовольны собранной информацией. ISoon неоднократно не справлялась с получением данных от правительственных агентств, как показали внутренние обсуждения, а некоторые местные власти жаловались на некачественные разведданные.
Некоторые услуги компании были направлены на борьбу с внутренними угрозами, однако для привлечения клиентов компания часто рассказывала о своей способности атаковать зарубежные цели в регионе – в том числе правительственные ведомства Индии и Непала, а также тибетские организации за границей. В декабре 2021 года организация заявила, что получила доступ к внутренней сети правительства Тибета в изгнании, и начала срочно искать покупателя. Спустя 37 минут компания нашла заинтересованного клиента. Другой продукт – по цене 55 600 долларов за пакет – предназначен для контроля и управления обсуждениями в Twitter, включая использование фишинговых ссылок для доступа и захвата целевых аккаунтов. По утверждению iSoon, система позволяет клиентам находить и отвечать на "незаконные" и "реакционные настроения", используя аккаунты, которые централизованно контролирует клиент, чтобы "манипулировать дискуссией".
Документы показывают, что iSoon встречалась и работала с членами APT41, китайской хакерской группы, которой в 2020 году Министерство юстиции США предъявило обвинения в атаках на более чем 100 компаний, занимающихся видеоиграми, университеты и других пострадавших по всему миру. После этого основатель и генеральный директор iSoon Ву Хайбо (Wu Haibo) под псевдонимом "shutd0wn" пошутил с другим руководителем, что собирается выпить 41 рюмку с Chengdu 404 – организацией, в которую входит APT41, – чтобы отметить, что теперь они "проверены Федеральным бюро расследований".
Но сообщения в чате между руководителями 2022 года говорят о том, что отношения между группами испортились из-за того, что iSoon задержала выплату более 1 миллиона юаней (140 000 долларов) Chengdu 404, и последняя обратилась в суд с иском к iSoon в связи со спором по поводу контракта на разработку программного обеспечения.
Похоже, Ву и его команда не беспокоились о том, что в один прекрасный день американские власти предъявят им обвинения, как APT41. В июле 2022 года один из руководителей спросил Ву, пристально ли следят за компанией Соединённые Штаты. "Не беспокоюсь", – ответил тот, – "Всё равно рано или поздно это произойдёт". Ни iSoon, ни Ву не ответили на просьбы о комментарии, отправленные по электронной почте.
Источник: Washington Post
