Особисті дані німецьких політиків опинилися в Мережі
Як стало відомо 4 січня, наприкінці 2018 року у Twitter з'явилися посилання на особисті дані - у тому числі, паспортні та кредитних карток– 994 німецьких політиків, акторів, журналістів, музикантів. Вже 6 січня за підозрою у скоєнні злому заарештували 20-річного учня гімназії у Гессені. За даними поліції, він багато часу проводив біля комп'ютера, проте спеціальної освіти він не має.
Російські "ведмедики"
За останні роки новини про хакерів та кібератаків стали вже буденністю. Найчастіше авторство зламів приписується кільком групам хакерів - Cozy Bear (дослівно "затишний ведмідь", відома ще як APT29), Fancy Bear ("модний ведмідь", APT28) та Energetic Bear ("енергетичний ведмідь"), які пов'язують із російськими спецслужбами. Докази непрямі, але з кожним разом їх стає все більше.
Зламай мене повністю: гучні кібератаки та витоку даних останніх років
Атаки на енергомережі США та Німеччини
Влітку 2018 стало відомо про атаки хакерського угруповання Energetic Bear на енергомережі США та Німеччини. За оцінками американських спецслужб, у США зломщики навіть дійшли до етапу, коли могли включати та вимикати електрику та вивели з ладу потоки енергії. У ФРН хакерам вдалося проникнути в мережі лише кількох компаній до того, як німецькі спецслужби взяли ситуацію під контроль.
Зламай мене повністю: гучні кібератаки та витоку даних останніх років
США звинуватили ГРУшників у кібератаках
13 липня 2018 року Мін'юст США (на фото - офіс відомства у Вашингтоні) звинуватив 12 громадян РФ у спробі втрутитися у вибори американського президента у 2016 році. За версією слідства, співробітники Головного розвідувального управління (ГРУ) Генштабу збройних сил Росії брали участь у зламі комп'ютерних системДемократичної партії та передвиборчого штабу Хілларі Клінтон.
Зламай мене повністю: гучні кібератаки та витоку даних останніх років
США та Великобританія звинуватили РФ у масштабній кібератаці
ФБР, міністерство внутрішньої безпеки США та британський Центр національної комп'ютерної безпеки 16 квітня 2018 року заявили, що російські хакери атакували держструктури та приватні компанії у спробі заволодіти інтелектуальною власністю та отримати доступ до мереж своїх жертв. Аналогічні звинувачення того ж дня озвучила Міністр оборони Австралії Маріз Пейн.
Зламай мене повністю: гучні кібератаки та витоку даних останніх років
Bad Rabbit вразив Росію та Україну
Новий вірус Bad Rabbit уразив 24 жовтня сервери кількох російських ЗМІ. Крім того, хакери атакували кілька державних установ в Україні, а також системи київського метрополітену, міністерства інфраструктури та аеропорту Одеси. Раніше атаки Bad Rabbit були зафіксовані в Туреччині та Німеччині. Експерти вважають, що вірус поширюється методом, схожим на ExPetr (він же Petya).
Зламай мене повністю: гучні кібератаки та витоку даних останніх років
Кібератака століття
12 травня 2017 року стало відомо, що десятки тисяч комп'ютерів у 74 країнах зазнали кібератаки небувалого масштабу. Вірус WannaCry шифрує дані на комп'ютерах, хакери обіцяють зняти блокування за викуп у 300 доларів у біткоїнах. Особливо постраждали медустанови Великобританії, компанія Deutsche Bahn у ФРН, комп'ютери МВС РФ, Слідчого комітету та РЗ, а також Іспанія, Індія та інші країни.
Зламай мене повністю: гучні кібератаки та витоку даних останніх років
Вірус Petya
У червні 2017 року по всьому світу було зафіксовано атаки потужного вірусу Petya.A. Він паралізував роботу серверів уряду України, національної пошти, метрополітену Києва. Вірус також торкнувся низки компаній у РФ. Зараженими виявилися комп'ютери у ФРН, Великій Британії, Данії, Нідерландах, США. Даних про те, хто стояв за поширенням вірусу, немає.
Зламай мене повністю: гучні кібератаки та витоку даних останніх років
Атака на бундестаг
У травні 2015 року виявилося, що зломщики проникли у внутрішню комп'ютерну мережу бундестагу за допомогою шкідливої програми (трояна). IT-експерти виявили у цій атаці сліди групи APT28. На користь російського походження хакерів свідчили, серед іншого, російськомовні налаштування вірусної програми і час проведених ними операцій, що збігався з московським офісним годинником роботи.
Зламай мене повністю: гучні кібератаки та витоку даних останніх років
Проти Хілларі
У ході передвиборчих перегонів за пост президента США хакери двічі отримували доступ до серверів Демократичної партії кандидата Гілларі Клінтон. Американські спецслужби та IT-компанії встановили, що влітку 2015 року діяли представники Cozy Bear, а навесні 2016-го – Fancy Bear. На думку розвідслужб США, кібератаки санкціонували високопоставлені російські чиновники.
Зламай мене повністю: гучні кібератаки та витоку даних останніх років
Партія Меркель під прицілом
У травні 2016 року стало відомо про те, що штаб-квартира партії Християнсько-демократичний союз (ХДС) канцлера ФРН Ангели Меркель зазнала хакерської атаки. IT-фахівці стверджували, що це зломщики з Cozy Bear намагалися отримати доступ до баз даних ХДС за допомогою фішингу (розсилка листів із посиланнями на сайти, які не відрізняються від справжніх), але спроби не мали успіху.
Зламай мене повністю: гучні кібератаки та витоку даних останніх років
Допінговий злом
У вересні 2016 року Всесвітнє антидопінгове агентство (WADA) повідомило про злам своєї бази даних. Група Fancy Bear виклала до мережі документи зі списком атлетів, яким WADA дозволило використовувати у зв'язку з лікуванням захворювань препарати зі списку заборонених (терапевтичні винятки). Серед них були американські тенісистки Серена та Вінус Вільямс та гімнастка Сімона Байлз.
Зламай мене повністю: гучні кібератаки та витоку даних останніх років
500 млн облікових записів Yahoo
У лютому 2017 року Мін'юст США висунув звинувачення у крадіжці даних понад 500 млн акаунтів у Yahoo проти двох офіцерів ФСБ Дмитра Докучаєва та Ігоря Сущина. Кібератака сталася наприкінці 2014 року. За версією звинувачення співробітники ФСБ найняли для цього двох хакерів. Серед жертв злому опинилися російські журналісти, урядовці з Росії та США та багато інших.
Сліди більшості цілеспрямованих атак останніми роками ведуть до Азії, де яскравою плямою виділяються шанхайські сервери. У процесі розслідувань фахівці відзначають такі маркери, як китайські IP-адреси, тимчасові штампи, мовні налаштування та програмне забезпечення, специфічні для Китаю. У цій статті спробуємо розібратися хто ж влаштовує ці хакерські атаки і які саме хакерські угруповання за цим стоять.
Розслідування масштабних цілеспрямованих атак часом займає борги роки, тому подробиці проведення стають відомі далеко ще не відразу. Як правило, до моменту їх публікації всі використані вразливості закриті патчами, шкідливі компоненти додані в антивірусні бази, а C&C-сервери заблоковані. Однак у таких звітах цікаві методи, які з невеликими змінами продовжують використовувати у нових атаках.
Китайська група хакерів APT1 (aka Comment Crew)
Дане хакерське угруповання отримало ідентифікатор за номером один і багато в чому сприяло популяризації терміна APT-атака Advanced Persistent Threat. Вона встановила своєрідний рекорд кількості даних, вкрадених в однієї організації: за десять місяців APT1 викачала 6,5 Тбайт документів зі зламаних серверів.
Є багато свідчень про те, що APT1 створена Міноборони КНР на базі підрозділу 61398 Народно-визвольної армії Китаю (НОАК). На думку фахівців FireEye, вона діє з 2006 року як окрема структура Третього управління Генштабу НВАК. За цей час APT1 виконала щонайменше 141 таргетовану атаку. Назвати точну кількість складно, оскільки частина інцидентів у сфері інформаційної безпекизамовчується, а для відомих атак не завжди вдається довести їхню належність конкретній групі.
Активність APT1 по регіонах, зображення: fireeye.com
Відповідно до доктрини політичного керівництва країни «перемагати в інформаційних війнах» APT1 було реформовано та посилено у 2016 році.
Початок будівництва нової бази APT1 у 2013 році, фото: DigitalGlobeНині вона налічує у своєму штаті кілька тисяч людей. В основному складається з випускників Чжецзянського університету та Харбінського політехнічного університету з добрим знанням англійської.
Географічно штаб-квартира APT1 знаходиться в Пудуні (новий район Шанхаю), де вона володіє великим комплексом будівель. Входи в них охороняються, а на всьому периметрі діє контрольно-пропускний режим, як на військовій базі.
КПП на базі APT1, фото: city8.comЩоб прискорити активну фазу атаки і замісти сліди, APT1 використовувала «аеродроми підскоку» - заражені комп'ютери, керовані через RDP, та FTP-сервери, на яких розміщувалося бойове навантаження. Усі вони географічно розташовувалися у тому регіоні, де були мети.
За дворічний період спостережень фахівці FireEye виявили 1905 випадків використання таких проміжних вузлів з 832 різних IP-адрес, причому 817 з них вели до шанхайських мереж China Unicom і China Telecom, а реєстраційні записи Whois прямо вказували на Пудун, де, крім штаб-квартири APT1 немає організацій порівнянного масштабу.
Керували цими проміжними вузлами зазвичай з допомогою проксі HTRAN (HUC Packet Transmit Tool) з 937 різних серверів, контрольованих APT1.
У своїх атаках APT1 використовувала 42 бекдори з різних сімейств. Частина з них була написана давно, поширювалася в даркнеті або модифікувалася на замовлення (Poison Ivy, Gh0st RAT та інші), але серед цього набору виділяється Backdoor.Wualess та його пізніші модифікації. Схоже, це власна технологія APT1.
Як і в інших таргетованих атаках, у сценаріях APT1 бойове навантаження доставлялося на комп'ютери жертв методами соціального інжинірингу (зокрема, spear phishing). Основна функціональність бекдора Wualess містилася в бібліотеці wuauclt.dll, яку троян-дроппер із зараженого листа поміщав на цільових комп'ютерах під керуванням Windowsв системний каталог(%SYSTEMROOT%wuauclt.dll).
Потім бекдор виконував перевірку на попереднє зараження і за необхідності прописував себе в реєстрі як сервіс:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wuauserv "Start" = "2" HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wuauserv \ Parameters "ServiceDll" = "%SystemRoot%\wuauclt.dll" |
- NameLess.3322.org, TCP-порт 5202;
- sb.hugesoft.org, TCP-порт 443.
Останній порт за замовчуванням використовується браузерами для з'єднання HTTPS, тому зазвичай він не блокується файрволами.
Отримавши команду, бекдор виконував одну з наступних дій:
- перевіряв швидкість підключення;
- збирав та надсилав дані про систему та користувачів;
- робив скріншот і відсилав його;
- очищав DNS-кеш та підміняв записи в ньому;
- скачував і запускав виконання черговий зловред;
- завершував зазначені процеси у пам'яті;
- шукав та надсилав файли, що відповідають зазначеним критеріям (в основному документи офісних форматів та архіви);
- оновлював свою версію;
- зберігав свою копію у точці відновлення (System Volume Information)
Остання особливість ускладнювала повне видаленнябекдора, оскільки ОС зазвичай блокувала доступ до каталогу System Volume Information .
Пізніші модифікації (наприклад, Wualess.D) використовували випадкові імена файлів, великий набір номерів портів для з'єднання з C&C-серверами і запускалися як прихована копія процесу iexplore.exe .
Іншою характерною рисою APT1 стало використання WEBC2-бекдорів. Вони мають мінімальним наборомфункцій (в основному використовуються для збору відомостей) та з'єднуються з керуючими серверами на кшталт браузера. Бекдор отримує від сервера веб-сторінку, в тегах якої містяться команди, що управляють. Такий трафік виглядає як мережна активність користувача і зазвичай не викликає підозр у поведінкових аналізаторів захисних систем.
Серед інших технік обфускації трафіку, що використовуються APT1, виділяються способи з'єднання з C&C-серверами у бекдорів MaCroMaIL (імітує роботу MSN Messenger), GLooxMaIL (імітує клієнт Jabber/XMPP) та CaLenDar (його обмін даними схожий на синхронізацію гуглівського календаря).
Для збору відомостей про заражені комп'ютери APT1 використовувала вбудовані засоби Windows, які викликалися через батник (.bat), що створюється бекдором за командою Нагадаю, що знак > вказує на перенаправлення виведення у файл замість відображення на екрані, а розширення файлу з логом не має значення, оскільки всередині це формат plain-text у кодуванні ASCII/DOS.
@ echo off // Відключення виведення команд ipconfig /all > %TEMP%\ipconfig. log // Зберігає повні відомості про налаштування протоколу IP, список усіх мережевих адаптерівта їх MAC-адрес netstat - ano > % TEMP % \ netstat . log // Відображає всі підключення до мережі та відкриті порти, вказує ідентифікатор кожного процесу та мережеві адресиу числовому форматі net start > %TEMP%\services. log // Перелічує все запущені служби Windows tasklist /v>%TEMP%\tasks. lst // Генерує список усіх запущених процесівта обчислювальних ресурсів, що споживаються ними net user > %TEMP%\users. lst // Зберігає список облікових записів Windows з локальної бази даних net localgroup administrators > %TEMP%\admins. lst // Виводить перелік облікових записів, що входять до локальної групи «Адміністратори» net use > %TEMP%\shares. net // Відображає список підключень до загальних мережних ресурсів net view > %TEMP%\hosts. dmn // Показує список хостів у поточному домені або мережі |
Також за допомогою відповідних команд виду net group
Саме завдяки його примітивності цей спосіб збирання інформації працював безвідмовно. Вбудовані засоби діагностики є на будь-якому комп'ютері з будь-якою версією Windows. Змінна %TEMP% позбавляє потреби шукати папку для збереження логів. У каталог для тимчасових файлівможе писати будь-який користувач (і запущений з його правами бекдор). На файли текстового формату (тим більше – логи стандартного вигляду) не лається жоден антивірус, та й для користувача вони виглядають абсолютно нешкідливо - приблизно як збір телеметрії від Microsoft або рутинні перевірки адміну.
Єдина відмінність полягала в тому, що зібрані логи потім пакувалися в архів.rar і відправлялися на сервери APT1 для вибору подальших цілей. Щоб ускладнити аналіз витоку даних, що містить логи архів.rar, створювався з ключем -hp (вказує на необхідність шифрувати не тільки вміст, а й самі імена файлів).
Після збору звітів про систему починався наступний етап атаки для отримання паролів користувача. В основному, на цьому кроці також використовувалися загальнодоступні утиліти, які бекдор запускав за командою C&C-сервера:
- програма збору NTLM-хешів паролів у Windows fgdump;
- дампер парольних хешей pwdump7;
- gsecdump та інші утиліти від TrueSec;
- pass-the-hash toolkit та інші інструменти від .
Всі вони розпізнаються як not-a-virus або hacktool і не спричиняють спрацьовування антивірусів при відповідних налаштуваннях (ігнорувати утиліти для аудиту паролів).
Підібравши пару хеш - пароль (найчастіше - найпростішими атаками за словником), APT1 отримували можливість віддалено виконувати будь-які дії від імені реального співробітника компанії. У тому числі надсилати з його адреси та через його обліковий запис у корпоративній мережі (а також через його облік VPN) нові фішингові листи для атаки на комп'ютери керівництва та партнерських організацій. Саме вони і дані, що зберігаються на них, ставали кінцевою метою. Загалом APT1 відповідає за викрадення інформації про високотехнологічні розробки більш ніж у ста великих міжнародних компаній та пов'язаних з ними університетів. Багато цілей були успішно атаковані кілька разів.
Китайська група хакерів APT3 (UPS Team)
Імовірно пов'язана з MSS – Міністерством державної безпеки КНР. Діє через Центр оцінки інформаційних технологій Китаю (CNITSEC) та Центр безпеки ITSEC у Гуандуні.
Саме в діловий центр Гуандуна - Huapu Square West Tower ведуть сліди відразу кількох великих атак, що таргетують. У ньому знаходиться штаб-квартира компанії Boyusec, яка поряд з Huawei та ZTE співпрацює з Shanghai Adups Technology – ключовим партнером CNITSEC. 
Так чи інакше, APT3 - найтехнічніша група. Використовує в атаках 0day-уразливості, кастомні бекдори, постійно змінює набір C&C-серверів, інструментів і методів, що використовуються. Її підходи добре ілюструють три великі таргетовані атаки, докладніше про які буде розказано нижче.
Операція «Підпільна лисиця»
APT під назвою Operation Clandestine Fox розпочалася навесні 2014 року. Вона торкнулася IE з шостою за одинадцятою версією, що згідно з NetMarketShare сумарно складало близько третини всіх браузерів на той момент.
У Clandestine Fox використовувалася вразливість CVE-2014-1776, що веде до атаки Use-after-free з використанням купи.
Динамічна пам'ять або купа (heap), влаштована так, що постійно перезаписується великими блоками. Зазвичай на запит наступного вільного блоку менеджер купи видає адресу того, який щойно був звільнений будь-яким об'єктом (особливо якщо він такого самого розміру).
Суть атаки Use-after-free полягає в тому, що після звільнення об'єктом пам'яті на адресу його блоку ще якийсь час посилається покажчик ptr при виклик методів даного об'єкта. Якщо спочатку запитати виділення динамічної пам'яті, а потім спробувати викликати метод об'єкта, що щойно звільнився, то менеджер купи з великою ймовірністю поверне нам стару адресу. Якщо в таблицю віртуальних методів (VMT, Virtual Method Table) помістити покажчик на шкідливий код, а саму VMT записати на початок нового блоку пам'яті, то зловред запуститься при виклику методу об'єкта, що зберігався там раніше.
Запобігти такому сценарію атаки покликаний механізм рандомізованого виділення пам'яті - ASLR. Однак під час операції Clandestine Fox використовувалися прості методи його обходу.
Найпростіший з них – задіяти модулі, які не підтримують ASLR. Наприклад, старі бібліотеки MSVCR71.DLL і HXDS.DLL , які скомпільовані без нової опції/DYNAMICBASE . Вони завантажуються по одним і тим самим адресам у пам'яті і на момент атаки були присутні на більшості комп'ютерів. MSVCR71.DLL завантажується IE в Windows 7 (зокрема при спробі відкрити сторінку допомоги, що починається з ms-help://), а HXDS.DLL - при запуску додатків MS Office 2007 і 2010.
Додатково в Clandestine Fox використовувалася техніка, що дозволяє обійти систему запобігання виконання даних (DEP), подробиці про неї стали відомі лише під час аналізу наступної атаки групи APT3.
Операція «Підпільний вовк»
Фішингова кампанія Clandestine Wolf стала продовженням «підпільної лисиці» та проводилася APT3 у 2015 році. Вона стала однією з найефективніших, оскільки в ній була помилка переповнення буфера в Adobe Flash Player, для якої тоді не було патчу. Вразливість CVE-2015-3113 торкалася всіх актуальних на той момент версій плеєра для Windows, OS X і Linux. Вона дозволяла виконати довільний кодмайже без взаємодії з користувачем та в обхід захисних систем.
У поштовому розсиланні APT3 заманювала пропозицією купити відновлені iMac за пільговою ціною. Посилання в листі вело на веб-сторінку, що містить файл flv і запускає експлоїт. Цікаво, що експлоїт обходив вбудований захист DEP (Data Execution Prevention), перехоплюючи управління стеком (call stack) та виконуючи атаку методом зворотно-орієнтованого програмування – ROP. При цій атаці викликалася функція VirtualAlloc з Kernel32.dll і створювалися покажчики на впроваджений шелл-код, а сам він позначався як виконуваний.
Також експлоїт долав другий шар захисту, експлуатуючи відомі недоліки рандомізації адресного простору (ASLR) і впроваджуючи код, що виконується, в інші процеси (в основному в потік браузера).
Щоб приховати ROP-атаку, експлоїт на веб-сторінці був зашифрований (RC4), а ключ для його дешифрування витягувався скриптом із сусідньої картинки. Тому антивірусна перевірка зараженої веб-сторінки теж не виявляла нічого підозрілого.
В результаті користувачеві достатньо було натиснути на посилання, щоб на його комп'ютер встановився бекдор. Ні вбудовані методи захисту в ОС та браузері, ні окремі антивіруси не могли захистити від 0day-експлоїту.
Операція «Подвійне натискання»
Фішингова кампанія Double Tap проводилася восени 2014 року з використанням двох свіжих уразливостей:
Перша вразливість дозволяє змінювати розміри масиву, що задаються двигуном VBScript, через помилку в роботі функції SafeArrayRedim бібліотеки OleAut32.dll. Друга пов'язана із системним драйвером win32k.sys і призводить до підвищення привілеїв на рівні ядра Windows.
Експлоїти запускалися за допомогою елемента iframe, що впроваджується на сторінки зламаних сайтів та HTML-листів. Як наживка цього разу була обрана пропозиція про безкоштовна передплатана місяць у клубі Playboy, що дає необмежений доступ до фотографій у високому дозволіта Full HD кліпів. Посилання вело на фейковий домен playboysplus.com.
Після натискання на комп'ютер завантажувався файл install.exe розміром 46 Кбайт. Це троян-дроппер, який містить шкідливих функцій і на момент початку атаки не детектувався антивірусами ні з сигнатурного, ні з евристичного аналізу. Він створював два файли: doc.exe і test.exe у загальному користувальницькому каталозі C:\Users\Public\. Цей жорсткий шлях був відсутній на деяких комп'ютерах, що вберегло їх від зараження. Достатньо було використовувати замість нього змінну (наприклад, %USERPROFILE% або %TEMP%), щоб так складна атакане затихла на самому початку через непорозуміння з абсолютними шляхами.
Файл doc.exe підтримував 64-бітну архітектуру та містив експлоїт уразливості CVE-2014-4113. Він був потрібний для того, щоб спробувати запустити бекдор test.exe з правами системи. Перевірка успішного запуску виконувалась консольною командою whoami.
У свою чергу test.exe містив код для експлуатації вразливості CVE-2014-6332, який був модифікацією іншого популярного експлоїту, що входить до складу Metasploit.
У разі успіху бекдор встановлював SOCKS5-проксі та відправляв короткий запит (05 01 00) на командний сервер першого рівня за адресою 192.157.198.103, TCP-порт 1913. Якщо він відповідав 05 00 , бекдор з'єднувався з командним сервером 8 другого рівня. 60.229, TCP-порт 81. Потім він слухав його трибайтові команди та виконував їх.
В ході розвитку атаки бекдор отримав апгрейд, а пізніше антивіруси стали детектувати його як Backdoor.APT.CookieCutter, aka Pirpi.rundll32. exe "%USERPROFILE%\Application Data\mt.dat" UpdvaMt
Rundll32 – службова консольна програма, що дозволяє викликати явно задані функції, що експортуються з динамічних бібліотек (DLL). Спочатку вона створювалася для внутрішнього використання Microsoft, але потім увійшла до складу Windows (починаючи з 95). Якщо іншими засобами можна звернутися до бібліотеки лише з коректним розширенням, Rundll32 ігнорує розширення файлів.
Висновки
Судячи з фактів, що спливають, в галузі кібербезпеки на уряд Китаю працюють великі команди професійних хакерів. Частина офіційно вважаються армійськими підрозділами – їм оформлюють допуск до державної таємниці і охороняють нарівні зі штабними зв'язківцями. Інші діють через комерційні фірми та виконують атаки прямо з ділового центру. Треті – вільнонаймані групи, які часто змінюються. Схоже, що останнім доручають найбрудніші справи, після чого декого здають правоохоронним органам, щоб обілити репутацію правлячої партії. У разі проколу їх просто призначають винними та наймають наступних.
На сьогоднішній день той, хто керує інтернетом, керує світом. І, зважаючи на все, світом зараз правлять саме китайці.
Знадобилося всього кілька років для того, щоб вони стали становити небезпеку для інтернет-користувачів по всьому світу. Вони зламують пошту, працюють із світовим трафіком і навіть крадуть військові таємниці в інших розвинутих країн. Останні, до речі, постійно перебувають у напрузі, адже китайці атакують не простих громадян, а оборонні підприємства, які виробляють техніку та зброю. При цьому місцева влада налаштована досить рішуче. Вони стверджують, що навіть готові захищати своїх хакерів фізичними силами. Інформація для них настільки важлива, що вони активно відстоюватимуть своє право володіти нею.
Активно працювати китайські хакери розпочали з 2006 року. Вони почали здійснювати атаки на різні великі сервери. У час атакам піддавалися такі країни, як Франція, Індія, Південна Корея тощо. Найбільше обурення у відповідь на спроби вторгнутися в особистий простір виявили США. Американців почали активно атакувати у 2009 році. Тоді вірусним атакамта інших впливів кібер-шпигунів зазнавали і прості жителі Сполучених Штатів Америки, і високопосадовці. Також досить активно хакери атакували і Японію. Можливо справа в тому, що це країна-конкурент, яка дійсно має що «позичити», а можливо справа і у споконвічній конкуренції та боротьбі з цією країною.
Наразі китайські хакери значно зросли у професійному плані. Вони освоїли нові технології і здатні добувати практично будь-яку інформацію, і справлятися зі зломом навіть найскладніших і найзахищеніших пристроїв.
До речі, ще один цікавий фактпро Китай: хакером тут можна працювати абсолютно офіційно. Деякі талановиті молоді люди, які чудово розуміються на сучасних технологіях, можуть піти на службу до місцевого уряду. У цьому випадку вони займатимуться своєю улюбленою справою, не боячись того, що їх за це покарають. Як правило, ці люди займаються зламуванням серйозних корпорацій.
Найбільші скандали
З китайськими хакерами пов'язано чимало міжнародних конфліктів, які багаторазово озвучувалися у ЗМІ. Щоб переконатися в тому, що вони справді круті, достатньо згадати про їхні найяскравіші досягнення з останніх років.
Один із найбільших скандалів 2017 року – це крадіжка китайськими хакерами даних компанії Siemens . Троє китайських хакерів вкрали понад 400 гігабайт даних. Усі вони були марковані фразою "комерційна таємниця".
У 2018 році китайцям вдалося отримати доступ до сервісу Moody's Analytics . Хоча процес отримання доступу до внутрішнього поштового сервісу компанії виявився складним та затяжним, все це було недаремно, адже їм вдалося отримати напрацювання цієї компанії. Якийсь час вся інформація, що надсилається поштою в Moody's Analytics, надходила китайцям. Це допомогло компанії Trimble створити такий самий продукт, але не витративши на це стільки часу і грошей, скільки витратили конкуренти.
Ще один великий скандал пов'язаний зі смартфонами , на яких встановлено шкідливе забезпечення для стеження за користувачами. Хвиля обурення піднялася коли один із співробітників Kryptowire під час відпочинку помітив, що його новий китайський телефоннавіть у режимі спокою генерує трафік. Як виявилося пізніше, схожі справи і з іншими смарфтонами на базі андроїд, виробленими на території Китайської Народної Республіки. Телефони самостійно збирали особисті дані про своїх власників та направляли їх на сторонні сервери. При цьому все робилося без дозволу самих власників. Тобто, ніхто з них не давав своєї згоди на те, щоб їхня особиста інформація опинялася у публічному доступі. Купити такі смартфони, які зливають інформацію про своїх власників, можна було практично у всіх великих інтернет-магазинах. У великих американських ЗМІ було заявлено, що в Китаї таких смартфонів було створено на суму понад сімсот мільйонів доларів.
Все це призвело до «хмарної війни». Американські та китайські виробникипочали конфліктувати. Компаніям, причетним до цього скандалу було заборонено купувати американські процесори. Заборона має тривати сім років. Американським компаніям це навпаки йде на користь, адже таким чином вони фактично прибрали своїх конкурентів. Тому багато користувачів мережі схильні вважати, що насправді американським компаніям начхати на те, чи збирає хтось особисті дані. Всі думають тільки про свій власний прибуток і про те, щоб якомога успішніше знищити конкурентів.
Ще один досить великий скандал пов'язаний з викраденням китайськими хакерами проекту ракети . Цього року їм удалося зламати мережу морського флоту Америки. У стислі терміни вдалося вкрасти складний проект протикорабельної ракети. Такі екземпляри вже до 2020 року мали доповнити більшість американських підводних човнів і зробити їх більш надійними та підготовленими до ворожої атаки. Тепер проект із попередньою назвою «морський дракон» опинився під загрозою. Поки що ніхто не знає, наскільки робота китайських хакерів змінить розстановку сил.
Перед самітом Трампа та Кім Чен Іна китайські хакери теж активізувалися. Визначити точну їхню мету складно. Імовірно, кібершпигуни просто хотіли отримати більше секретних даних з Кореї, поки всі сконцентровані на політичному галасі.
Побутовий шпигунство
Втім, далеко не всі хакери зацікавлені у політичних іграх та викраденні якоїсь секретної інформації. Навіть найпростіші побутові хакери в Китаї працюють на дуже високому рівні.
Так, наприклад, їм вдалося навчитися максимально швидко обходити блокування айфонів, яке багатьом здавалося невразливим. Вони навіть виклали навчальне відео на Ютубі. Крім того, хакери навіть почали продавати спеціальні пристрої, які допомагають за лічені секунди зламати відразу три айфони. Плюсом є те, що вони одразу ж запропонували і схему захисту. Щоб ваш айфон не був зламаний китайськими умільцями, досить просто ставити захисний пароль із шести, а не з чотирьох цифр. Крім того, важливо, щоб там були не лише цифри, а й літери латинського алфавіту.
Також трапляються і якісь дрібніші скандали, пов'язані з тим, що кібер-шпигуни зламують місцевих провайдерів, і отримують інформацію про своїх успішних співвітчизників.
Дмитро Косирєв, політичний оглядач МІА "Росія сьогодні"
Полювання на "російських хакерів" в Америці ведеться не лише з русофобії: ще невідомо, кого бояться більше - нас чи китайців. Історій з китайськими хакерами, які "загрожують США", скільки завгодно, просто ми в Росії зі зрозумілих причин цього не помічаємо - на них звертають увагу в КНР.
Наприклад
Ось рядовий, по суті, матеріал із американського журналу Foreign Policy. Прокуратура США розкрила щось "схоже" на групу хакерів, пов'язаних з китайською державою, і звинуватила підозрюваних. Їхня фірма "Боюйсек" вже закрита.
Три комп'ютерні генії (їх прізвища — У, Дун і Ся) нібито зламали системи американського підрозділу Siemens, рейтингового агентства Moody's та ще Trimble, зайнятої GPS-навігацією. З ким не буває, може, й зламали, але тут зазвучали знайомі мотиви. Дослівно так: "Накопичені докази та розслідування приватної безпекової фірми підказують, що компанія є філією могутнього китайського Міністерства держбезпеки і, мабуть, оперує як прикриття для кібершпигунства".
Неназвана приватна фірма "підказує", що їй щось таке "мабуть"... А точніше фактів не знайшлося? І якщо таких немає, то навіщо на них натякати? А потім, що таке страшніше. Приблизно як з "російськими хакерами", яких, як покемонів, ловлять уже майже рік у конгресі США, і там те саме: хтось "підказує" і "мабуть".
Історія навіть трохи образлива — ми думали, що у російських монополія на хакерство в США. А виявляється, у нас її відбирають китайці.
"Китаєфобія", до речі, трясе не лише Америку. Є ще далека провінція світової політики – Австралія. Пекінське видання Global Times розповідає про те, як в Австралії зараз розгортається приблизно така сама, як у США історія, причому на високому політичному рівні. Залишив свої посади у тамтешньому конгресі сенатор Сем Дастіарі. Він (знову ж таки, "як стверджують") повідомив китайському бізнесменові на ім'я Хуану Сянмо, що за тим стежать австралійські спецслужби. Доказів знову ні в кого немає, але якщо "стверджують", то сенаторові одна дорога у відставку. І особливо радісно на це реагує прем'єр-міністр Малькольм Тернбілл, який раніше, "як стверджують, обідав із китайським інвестором", і ЗМІ зчинили з цього приводу гучний крик.
Так, головне я не сказав: Хуан Сянмо, не просто бізнесмен, а "підозрюється у зв'язках із Компартією Китаю".
Це ж як - "підозрюється"? Мова про правлячу в його країні партію, як можна не мати з нею жодних зв'язків? Не кажучи про те, що означає партія взагалі, адже в ній, нагадаємо, складається ледь не 90 мільйонів людей. Але тут ми повертаємося до США та згадуємо, що там страшним звинуваченням стала будь-яка зустріч американця з послом Росії чи взагалі будь-яким росіянином.
І таких історій у США та країнах-сателітах скільки завгодно.
Загалом, справа не тільки в Росії. І попередній діагноз явищу загалом зрозумілий: параноя. Залишаються лише питання, чому вона виникла саме зараз та які у неї особливості. У деталях, як завжди, найцікавіше.
Уточнимо діагноз
У згаданому вище китайському матеріалі щодо австралійських скандалів наводиться давній вислів одного з колишніх прем'єр-міністрів Австралії Тоні Еббота. А саме: австралійською політикою щодо Китаю керують дві емоції — страх і жадібність. Жадібність тому, що без китайських інвесторів і торгових партнерів Австралія виглядатиме дуже блідо. Страх — з тієї самої причини.
Але й у США те саме. Ось факти: лише китайські туристи, студенти та інші відвідувачі Штатів дали цій країні ще в 2015 році близько 30 мільярдів доларів. За даними на 2016 рік, торгівля товарами досягла 510 мільярдів, послугами – 110 мільярдів, а взаємні інвестиції дорослі до 170 мільярдів.
Це означає, що з 1979 року (коли Китай, яким ми його сьогодні знаємо, тільки починався), торгівля з Америкою зросла в 207 разів. А ще це означає, що Китай – перший торговий партнер США, а Штати – другі для Китаю (ЄС загалом на першому місці).
І тут у нас серйозний контраст із ситуацією Росія — США, де ділові зв'язки вдесятеро слабші. Тому про "російських хакерів" можна кричати в голос, а з китайськими все якось неоднозначно - жадібність стикається зі страхом.
При цьому коли китайські інвестори хочуть купити на корені щось для Штатів важливе і стратегічне, то страх перемагає. А в інших випадках, як із недавнім візитом президента Дональда Трампа до Пекіна, який підписав там безліч економічних угод, перемагає жадібність (і бажання "зробити Америку знову великою").
Зауважимо і те, як китайська влада і ЗМІ реагують на чергові напади американської китаєфобії — як великий собака на шавку, що істерично гавкає. Китайці терпляче пояснюють: гавкайте скільки завгодно, це не скасовує того факту, що економічно ми пов'язані намертво.
І це не кажучи про те, що Китай (як і Росія) зовсім не пропонує на глобальному рівні знищити Америку. Як зауважив один із авторів лондонського "Економіста", китайські ідеї "альтернативи Заходу" звучать ефектно, але формулюються розпливчасто і незрозуміло, що на практиці означають. Тобто боятися особливо й нема чого.
…Простими й антинауковими словами — нехай фахівці мене пробачать — параноя означає невміння суспільно активної людини правильно оцінити своє місце в суспільстві: їй увесь час здається, що всі навколо його обожнюють, чи ненавидять і переслідують. Шизофренік — це, навпаки, мрійник, який уникає суспільства у свій ілюзорний світ. Але буває ще й параноїдальна шизофренія, що поєднує обидві крайнощі.
Так ось, істерики США та Заходу через російські та китайські хакери (та й взагалі з приводу свого мінливого місця у світі) виглядають, швидше, як параноїдальна шизофренія. З одного боку, хочеться жити в ілюзіях власної винятковості та ще й добре, розвиваючи з іншими державами торгівлю та інвестиції. А з іншого — є постійні підозри, що ці інші тебе ненавидять і хочуть знищити.
Загалом, жадібність та страх.
Китайські хакери, які співпрацюють з державною розвідкою КНР, активізувалися з новою силою і стали частими героями матеріалів американських ЗМІ про масштабні загрози. Вони шпигуть за військовими з інших держав і крадуть їхні стратегічні розробки, стежать за великими бізнес-компаніями та захоплюють інтернет-мережі. Їх уже зловили за крадіжкою американських розробок у галузі озброєння та за зламів системи космічних супутників. Як кіберзлочинці з Китаю тероризують великі країни - у матеріалі.
За останній рік інтернет-шпигунів із КНР викрили у нападах одразу на кілька інфраструктур США. Під удар потрапили космічна та телекомунікаційна галузі, а також комп'ютерні мережівійськово-морських сил. Усі докази вказують на те, що атаку здійснювали не просто пересічні зломщики, а штатні військові розвідники, існування яких китайський уряд продовжує заперечувати.
Жучок у залозі
На початку жовтня 2018 року джерела Bloomberg повідомили, що китайська військова розвідка протягом кількох років стежила за майже 30 американськими організаціями. Серед жертв виявилися комерційні IT-гіганти Apple і , великі фінансові організації та урядові військові підрядники. В обладнання компаній були вбудовані мікрочіпи, що не входять в комплектацію. У матеріалі значилося, що сторонні пристрої розміром з рисове зерно могли бути включені до плат під час їх виробництва, здатні обмінюватися даними із зовнішніми джерелами та підготувати пристрій до перекодування. Самі технологічні компанії цю інформацію спростували.
З'ясувалося, що шпигунське обладнання нібито було запроваджено у сервери Supermicro. Фірма є основним постачальником плат над ринком. Колишній співробітник американської розвідки, який побажав залишитися анонімним, назвав компанію «Світ ПЗ». "Це схоже на напад на весь світ", - сказав він. До цього анонімні джерела повідомляли про плани КНР впровадитись у «залізо», яке призначається для американських компаній. Серед ризикованих партнерів називалися китайські гіганти Huawei та ZTE, які нібито тісно співпрацюють із китайськими військовими. Однак відсутність прецедентів не могло пред'явити нікому жодних звинувачень. Уряд Китаю у відповідь заявив, що є рішучим захисником комп'ютерної безпеки.
Експерти в галузі кібербезпеки помітили, що вже зустрічали подібні «жучки» в залізі інших виробників. Все це обладнання вироблялося у Китаї. Подібні чіпи можуть роками непомітно стежити за діяльністю компанії та непомітні для віртуальних систем безпеки. Пізніше виявилося, що корпоративні таємниці були не єдиним інтересом хакерів: атакам зазнавали і чутливі урядові мережі.
Це викриття ускладнило і так напружені відносини між США та Китаєм. 10 жовтня американський Департамент правосуддя заарештував високопосадовця Міністерства державної безпеки Китаю Сюя Яньдзюня. Його звинувачують у економічному шпигунстві. Чоловік був затриманий у Бельгії 1 квітня і екстрадований на запит американської влади. Китай назвав звинувачення на адресу Сюя сфабрикованими.
