У главы Китая Си Цзиньпина состоялся ужин с президентом США Бараком Обамой. Интересно, обсуждали ли они некоего Гэ Сина (Ge Xing)?

Именно этот человек упоминается в отчете, опубликованном силами ThreatConnect и Defense Group Inc., работающими в сфере компьютерной безопасности и национальной безопасности соответственно. Гэ, как предполагается, является членом Народной освободительной армии Китая (отряд 78020) — это поддерживаемая государством команда хакеров, чьей миссией является сбор разведданных о политических и военных объектах с целью укрепить позиции Китая в Южно-Китайском море, стратегически важном для Китая азиатском регионе, в котором США также имеют свои интересы.

Отчет связывает отряд АНО 78020 с APT-группировкой, действующей с благословения Китая как по учебнику, похищая конфиденциальные данные и интеллектуальную собственность у военных, дипломатических ведомств, а также корпораций в нескольких азиатских странах. Целью хакеров также являются такие организации, как ООН (программа развития региона) и АСЕАН.

Получение контроля над Южно-Китайским морем — это ключевая цель Китая в регионе. По этой территории проходят потоки прибыли от торговли, и Китай не стесняется заявлять о своих правах на ее часть. В отчете говорится о том, что Китай использует агрессивные хакерские кампании для сбора разведданных о намерениях потенциальных противников в военной и дипломатической сфере и пользуется этими данными сполна.

«Южно-Китайское море — объект геополитического интереса со стороны Китая, — считает Дэн Альдерман (Dan Alderman), заместитель директора в DGI. — Что касается группировки Naikon, по нашему мнению, ее активность является значительным элементом геополитической стратегии Китая в регионе. Попытки Бюро технического обеспечения разведывательной деятельности внедриться в различные сектора экономики тоже свидетельствуют о желании Китая усилить влияние в регионе».

Отчет — еще один предмет обсуждений, связанный с визитом Цзиньпина в США; глава КНР уже посетил встречи с представителями таких корпораций, как Microsoft, Apple и Google, в Сиэтле. Этих игроков привлекает рынок технологий в Китае, и китайское руководство хочет использовать это, чтобы заставить американские корпорации мириться с жестким контролем над Интернетом, который практикует правительство Китая.

Недавно в адрес американских технологических компаний пришло уведомление в том, что Китай обяжет американские компании хранить данные китайских пользователей на территории Китая. Также китайские власти, по сведениям New York Times, потребовали у разработчиков и вендоров США поставлять в Китай «безопасные и контролируемые» продукты, что, скорее всего, означает возможность доступа властей к системам через бэкдоры или же доступа к приватным ключам шифрования.

Цзиньпин тем не менее попытался абстрагироваться от скандала, заявив в интервью Wall Street Journal: «Киберугрозы, предполагающие кражу объектов коммерческой тайны, и хакерские атаки, направленные на правительственные сети, являются нелегальными; это криминальные деяния, которые должны преследоваться в соответствии с законом и международными правовыми нормами».

Репортер Wall Street Journal Джош Чин (Josh Chin) дозвонился Гэ Сину, и тот подтвердил многие сведения, указанные в отчете, хотя потом бросил трубку, пригрозив журналисту полицией. Хотя полиция не приехала на тот вызов, инфраструктура, к которой имели отношение Гэ и часть группировки Naikon, была заблокирована и отключена.

В мае исследователи «Лаборатории Касперского» опубликовали подробный отчет о Naikon, в котором говорится более чем о пяти годах деятельности этой APT-группировки. Атаки, осуществляемые с геополитическими целями и характеризующиеся высокой степенью успешности, были направлены против влиятельных в регионе организаций. Группировка использовала передовые хакерские инструменты, большинство из которых были разработаны на стороне и включали полнофункциональный бэкдор и компилятор эксплойтов.

Как и большинство APT-группировок, Naikon использовала целевые фишинговые сообщения, что позволяло ей проникать в системы организаций, — в данном случае Word-документ или другой файл MS Office, содержащий эксплойт уязвимости CVE-2012-0158, самой излюбленной в кругах APT-групп бреши. Это уязвимость переполнения буфера в компоненте ActiveX библиотеки Windows, MSCOMCTL.OCX. Эксплойт устанавливает RAT на инфицированной машине, а тот, в свою очередь, активирует бэкдор, через который передаются украденные данные или загружаются другие вредоносные файлы или инструкции.

Статья Чина описывает подобную атаку, которую провел Гэ — не только солдат Армии освобождения, но и ученый. Через различные каналы исследователи смогли определить, что Гэ является военным — об этом говорят офицерские титулы, которыми он подписывал свои исследовательские работы, и посты в соцсетях; также это очевидно из его доступа к секретным объектам — скорее всего, к штаб-квартире Бюро технического обеспечения разведывательной деятельности Народной освободительной армии Китая.

«Такое детальное рассмотрение деятельности хакеров посредством прямого анализа технических и нетехнических данных позволяет нам обрисовать примерную картину жизни APT-группировки, — сказал Рич Барджер (Rich Barger), CIO и сооснователь ThreatConnect. — Мы проверили сотни хешей и доменов, тысячи IP-адресов [в связи с деятельностью подразделения 78020 НОАК]. Только взгляд с технической стороны вопроса помогает собрать достаточно сведений. Как только вы принимаете во внимание также региональный, культурный и языковой аспект, можно из этих кусочков пазла составить правдоподобное отображение деятельности группировки и, опираясь на дополнительные сведения, вычленить важные выводы из доступной информации».

Отчет также подчеркивает, что Гэ совершил ряд ошибок с точки зрения безопасности, что в конечном итоге его и выдало, — например, он внедрял определенные названия семейств в код вредоносных программ. Это вкупе с ошибками в реализации C&C-инфраструктуры и сведениями из соцсетей позволило связать Гэ с Naikon и элитным подразделением НОАК.

«Если принять во внимание положение Китая и его активизацию в регионе, в некоторой степени это связано с успехами APT-группировки, орудующей в регионе, — отметил Барджер. — Нельзя добиваться такого влияния, не используя возможности разведки для киберопераций».

Категории: Аналитика, Главное, Хакеры