Спецпроекты

Безопасность Стратегия безопасности Пользователю

Китайские хакеры без объяснения причин обрушились на российские госструктуры, оборонку и госкомпании

Хакерские группировки, теоретически связанные с властями и военными Китая, сделали Россию своей основной целью. Хакеры из групп Curious Gorge и Bronze President атакуют сети российских госведомств и структур, военных подрядчиков и логистических компаний. Под ударом оказалось даже российский МИД. С чем связан их внезапный интерес к России, остается неизвестным, но до событий на Украине они действовали в основном в азиатских странах.

Кибервойна Китая против России

Китай пошел против России и инициировал цикл хакерских атак на российские органы власти, сообщают аналитики команды Google Threat Analysis Group (TAG). Согласно их отчету, активнее других российские компьютерные сети атакует группировка Curious Gorge.

Входящие в состав этой группировки хакеры раз за разом атакуют правительственные, военные, логистические и производственные организации на территории России. Отчет Google TAG был опубликован 3 мая 2022 г., и в нем отдельно указано, что в последний раз китайские хакеры из Curious Gorge проявляли себя в конце апреля 2022 г., напав на сети нескольких российских оборонных подрядчиков и производителей, а также на Министерство иностранных дел России и на российскую логистическую компанию. Ее название в отчете не приводится.

Что именно побуждает хакеров атаковать российские объекты, на момент публикации материала оставалось неизвестным. Целями группировки Curious Gorge также являются различные компании на Украине и Центральной Азии.

По данным Google TAG, за Curious Gorge могут стоять китайские власти. Ей приписывают прочные связи с Силами стратегического обеспечения Народно-освободительной армии Китай (ССО НОАК). Это отдельный вид вооруженных сил в составе НОАК, и в зону деятельности ССО как раз входит киберсфера.

Одной группировки мало

Китайскую угрозу российским сетям в настоящее время представляет не только одна лишь Curious Gorge. Как пишет ZDnet, в конце апреля 2022 г. Россию своей целью выбрала группировка Bronze President.

Китай начал атаковать Россию в киберсреде

В отчетах различных компаний, специализирующихся на кибербезопасности, эта группа проходит под несколькими названиями, включая Mustang Panda, TA416 и RedDelta. Первые упоминания о ее деятельности появились в 2018 г., и чаще всего следы ее преступлений находили в странах Азии.

По данным ИБ-компании Secureworks, Bronze President либо «спонсируется, либо, по крайней мере, терпимо относится к китайскому правительству» и «похоже, меняет свои цели в ответ на политическую ситуацию в Европе и происходящее на Украине». Еще несколько недель назад хакеры работали в Юго-Восточной Азии, но теперь отдают предпочтение России и некоторым странам Европы. «Это говорит о том, что злоумышленники получили обновленные задачи, которые отражают меняющиеся требования к сбору разведывательных данных Китайской народной республики», – говорят исследователи.

Эксперты Secureworks предполагают, что попадание России в поле зрения Bronze President может указывать на «попытку Китая внедрить современное вредоносное ПО в компьютерные системы российских чиновников». Они обнаружили и проанализировали распространяемый группировкой вредоносный исполняемый файл «Благовещенск – Благовещенский пограничный отряд.exe» (Blagoveshchensk – Blagoveshchensk Border Detachment.exe), который был замаскирован под PDF-файл и зашифрован. Внутри него скрывался загрузчик вредоносного ПО PlugX.

Отметим, что Благовещенск – это город, который находится недалеко от границы с Китаем. В нем располагаются части российской армии.

При запуске файл выводит на экран документ-приманку, написанный почему-то на английском языке, в котором описывается ситуация с беженцами и санкции ЕС. А пока запустивший файл пользователь читает документ, на его компьютере в фоновом режиме идет загрузка вредоноса PlugX с командно-контрольного сервера. PlugX – это троян удаленного доступа, используемый для кражи файлов, выполнения удаленных команд, установке бэкдоров и развертыванию дополнительных вредоносных программ. Это один из инструментов Bronze President – хакеры также пользуются вредоносами Cobalt Strike, China Chopper, RCSession и ORat.

Китайский нейтралитет

Китай – одна из стран мира, официально не присоединившихся к антироссийским санкциям, введенным из-за спецоперации на Украине. В то же время КНР не встает на сторону России и демонстрирует нейтралитет в данном вопросе.

Атаки хакеров из Bronze President и Curious Gorge на российские сети – это третье по счету крупное подтверждение того, что у Китая может быть свой интерес в противостоянии России и всего остального мира. Официально не отвернувшись от России, он постепенно отстраняется от нее. Так, в марте 2022 г. компании Xiaomi, Oppo и Huawei вдвое сократили поставки своих смартфонов в Россию.

Это одни из крупнейших игроков на российском рынке мобильных устройств. Причиной ограничения отгрузок они назвали проблемы с логистикой. Тем временем, магазин AliExpress продолжает работать и доставлять товары в Россию и при этом не сетует на обрыв логистических цепочек.

В апреле 2022 г. компания Huawei, крупнейший техногигант Китая, удалила из своего магазина AppGallery приложения российских банков, попавших под европейские и американские санкции. Внятного объяснения этому компания на момент публикации материала не предоставила.

Эльяс Касми

Короткая ссылка