Активність китайських хакерів зросла на 150%

Активність у сфері кібершпигунства, що здійснюється групами хакерів, пов'язаними з Китаєм, зросла на 150% минулого року, а в таких галузях, як фінансовий сектор, засоби масової інформації чи інженерія, — на 300%. Лише у 2024 році було виявлено сім нових організованих груп хакерів, які не мають офіційних зв'язків з китайським урядом, але, імовірно, підтримуються Пекіном. Це один із висновків щорічного звіту про кіберзагрози (Global Threat Report), опублікованого CrowdStrike, американською фірмою з кібербезпеки, яка має потужну мережу спостереження за такими командами кіберзлочинців, відомих у галузі як «розширені стійкі загрози» (APT).

APT, які керуються та неофіційно спонсоруються урядами, знаходяться на вершині піраміди хакерів. Це дуже добре структуровані та ієрархізовані групи, які часто мають спеціалізовані відділи або підгрупи та мають професіоналів найвищого рівня з чітко визначеними ролями. Відмінність цих команд полягає в тому, що, на відміну від інших злочинних угруповань, вони мають великі фінансові ресурси та доступність державних засобів та інфраструктури, що дозволяє їм розробляти складні, скоординовані та швидкі атаки. Теоретично, лише спецслужби великих кібердержав (США, Росія, Китай чи Ізраїль) мають більше влади, ніж APT. Але останні не мають прапора, тому вони є кращим вибором для тих урядів, які хочуть саботувати, шпигувати або здійснювати розвідувальні дії, не провокуючи дипломатичних інцидентів.

З семи нових китайських APT, виявлених CrowdStrike, п'ять вважаються «унікальними за своєю спеціалізацією та витонченістю». Три з них спеціалізуються на атаках на телекомунікаційні мережі, інша зосереджена на секторі фінансових послуг у всьому світі, а п'ята – на операційній безпеці (OPSEC), процесі, який намагається запобігти витоку конфіденційної інформації. Одна з них, наприклад, у грудні минулого року змогла проникнути в системи Міністерства фінансів США, що чиновники назвали «серйозним інцидентом».

З цими сімома новими групами Китай зараз має 13 APT, ідентифікованих CrowdStrike, яка стежить за 83 у всьому світі (Росія, з сімома, є другою країною, яка найбільше вносить до цього списку). Серед найгучніших попередніх робіт китайських APT було отримання протягом 2020 та 2021 років ключової інформації для розробки вакцини проти COVID-19. У 2020 році, наприклад, CNI попередив, що китайські хакери викрали інформацію про іспанську вакцину.

2024 рік став переломним моментом з точки зору досягнутих можливостей та проведеної розвідувальної роботи, наголошується у звіті. Збільшення на 150% активності китайських APT означало, що вони діяли у всіх регіонах та секторах світу, збільшуючи масштаби атак порівняно з 2023 роком. З семи нових груп, пов'язаних з Китаєм, американська лабораторія виявила осередки активності в Тайвані та Індонезії, де вони збирали інформацію про технології та телекомунікації, та в Гонконгу, де велася стеження за діяльністю про демократичних активістів. Африка та Близький Схід набули інтересу, особливо для отримання розвідданих у дипломатичній сфері.

Аналітики CrowdStrike бачать потрійну мотивацію в зусиллях Китаю розширити свою діяльність у кіберпросторі. З одного боку, збір розвідданих про іноземні політичні та військові організації; з іншого боку, збільшення впливу Китаю в його найближчому оточенні, що включає його намір досягти остаточного возз'єднання Тайваню. І, по-третє, пильно стежити за послідовниками Фалуньгун, китайськими активістами за демократію, уйгурськими сепаратистами, тибетськими сепаратистами та тайванськими сепаратистами, колективами, які Комуністична партія Китаю (КПК) називає «П'ятьма заразами». «Ці операції, ймовірно, відповідають загальним розвідувальним вимогам у рамках стратегічних планів КПК», – підкреслюється у звіті.

Поточна позиція Китаю є результатом багаторічної підготовки. «Заклик Генерального секретаря Сі Цзіньпіна у 2014 році до того, щоб Китай став кібердержавою, і велика стратегія КПК з національного відродження прискорили вдосконалення кібернетичних можливостей Китаю протягом першої чверті XXI століття», – зазначається у звіті CrowdStrike. Інвестиції КПК в кібернетичні програми включають, серед іншого, розвиток університетських систем, спрямованих на формування «висококваліфікованої та доступної кібернетичної робочої сили», підписання контрактів з приватним сектором, які забезпечують «спеціалізовану підтримку та інфраструктуру» для кібернетичних підрозділів Народно-визвольної армії (НВАК), а також проведення програм виявлення вразливостей, полювання на помилки та національних змагань, які заохочують китайський кібернетичний талант.

«Поява груп з унікальною тактикою, методологією та цілями представляє собою постійну зміну у вторгненнях, пов'язаних з Китаєм, переходячи від так званих операцій «вдарив і втік» до все більш цілеспрямованих вторгнень з конкретними місіями», – описується у звіті. Використання генеративного штучного інтелекту (ШІ) стало загальним явищем, сприяючи вдосконаленню гачків, за допомогою яких хакери отримують корисні облікові дані для досягнення своєї мети.

Південна Корея, старанний учень

Якщо Китай, як і Росія, Іран та інші країни, використовує свої групи хакерів для отримання військової інформації, промислових секретів та іншої розвідки, то їхні сусіди з Північної Кореї спеціалізуються на використанні кіберпростору як джерела доходу. Улюблений і шанований лідер (одна з офіційних форм звернення до Кім Чен Ина) бачить у цьому законний спосіб пережити суворі міжнародні санкції, яким піддається режим.

Північнокорейські APT, відомі під кодовою назвою Lazarus, минулого тижня здійснили найбільший удар в історії: їм вдалося викрасти 1,5 мільярда доларів у платформи криптовалют ByBit. Це найбільша атака такого роду, про яку відомо. Попередній рекорд також був їхньою роботою: у 2022 році вони захопили гаманець ethereum, одну з найбільш використовуваних криптовалют після bitcoin, вартістю 625 мільйонів доларів.

Окрім цієї лінії атак, Пхеньян продовжує розвивати іншу, яка приносить йому хороші результати: проникнення північнокорейських працівників у великі багатонаціональні корпорації, в основному технологічні та банки. Агенти проходять законні процеси найму, поки не будуть найняті в цільову компанію. Вони подають заявки на посади розробників, які передбачають чисту віддалену роботу, використовуючи підроблені облікові дані, щоб уникнути появи їхнього північнокорейського паспорта. Опинившись всередині компанії, вони займаються фільтрацією інформації, що представляє інтерес. Таким чином, Північна Корея змогла розмістити тисячі співвітчизників на ключових посадах в американських компаніях, про що минулого року заявило Міністерство юстиції США.