Китайское правительство использовало хакеров, сотрудников разведки и специалистов по безопасности во время одной из самых масштабных кампаний кибершпионажа. Целью операции была кража данных и ноу-хау о создании современных самолетов. Согласно отчету, подготовленному Crowdstrike, Китай намеревался поддержать местного производителя Comac в области авиационной промышленности.
Отчет опубликованный 14 октября проливает свет на одну из самых амбициозных на сегодняшний день хакерских операций Китая. Целью кампании было похищение интеллектуальной собственности, чтобы нивелировать преимущество Запада в секторе авиационной промышленности. Поднебесная намеревалось помочь отечественному производителю Comac в создании собственного самолета C919, который мог бы конкурировать с самыми популярными самолетами двух авиационных гигантов – Boeing 737 и аэробусом A320.
Масштаб действий
Отчет, разработанный специалистами Crowdstrike, показывает, как эта скоординированная многолетняя хакерская кампания систематически атакует иностранные предприятия, поставляющие компоненты для конструкции C919. По словам экспертов, основной целью операции было получение необходимых знаний о производстве всех компонентов с тем, чтобы затем производить их в Китае.
Crowdstrike сообщает, что Министерство государственной безопасности (MSS) заказало эту операцию Бюро Цзянсу (MSS JSSD). Мы упоминали об этом бюро по случаю появления информации о кибератаках на Airbus. Согласно сообщению, акцию координировали два офицера. Один отвечал за команду хакеров, а другой отвечал за набор людей, работающих в авиационных и космических компаниях.
Как напоминает ZDNet, группа китайских киберпреступников организовала хакерские атаки, нацеленные на компании авиационного сектора, включая ведущих поставщиков компонентов, в 2010-2015 годах. Однако, в отличие от других злонамеренных кампаний, проводимых хакерами на государственной службе, в этот раз в Китае участвовали военные специалисты, а также местные эксперты.
Согласно отчету Crowdstrike и Министерству юстиции США, хакеры, ответственные за проведение кибератак, были завербованы из «местной подпольной сети киберпреступников в Китае». Специалисты компании подчеркивают, что некоторые из них занимаются киберпреступностью с 2004 года, в основном взломом и клонированием программного обеспечения.
Как отмечается в отчете, в подавляющем большинстве случаев хакеры использовали пользовательское программное обеспечение, разработанное специально для данной кампании. Группа, которую эксперты Crowdstrike называли Turbine Panda, была чрезвычайно успешной. Когда в редких случаях было невозможно украсть информацию через Интернет, в игру вступал офицер, который находил китайца, работавшего на данную компанию, а тот использовал простую флешку для заражения компьютеров. Специалисты отметили, что в 2016 году, то есть после почти шести лет проведения кампании злонамеренных кибератак, китайская компания Aero Engine Corporation (AECC) запустила двигатель CJ-1000AX, который является точной копией конструкции, разработанной иностранной компанией CFM International – совместным предприятием американской GE Aviation и французской авиакомпании Safran, поставлявшей турбинные двигатели для C919.
Жесткий ответ США
Долгое время деятельность китайских хакеров оставалась незамеченной. Ситуация изменилась, когда киберпреступники совершили ошибку и атаковали более крупные организации, такие как Управление по персоналу США. Затем кражи со взломом привлекли внимание американского правительства, которое эффективно объединило факты друг с другом и пришло к четкому выводу.
Вскоре после этих событий Ю, создатель вредоносного ПО Sakula, был арестован на конференции по безопасности в Лос-Анджелесе, а затем обвинен в участии в организованной преступной группе. Арест Ю вызвал бурю на политической сцене Китая. В ответ на действия США Пекин запретил китайским ученым посещать конференции по иностранной безопасности, опасаясь, что власти США могут арестовать других активных хакеров.
Однако самым важным событием стал арест в 2018 году западными службами Сюй Яньцзюна, сотрудника MSS JSSD, ответственного за вербовку людей для проведения пиратских кампаний. Данное задержание считается одним из самых важных в разведывательном сообществе со времен холодной войны, за исключением случая со Сноуденом.
Тем не менее, специалисты Crowdstrike отмечают, что «на самом деле, многие другие хакеры, сотрудничающие с Turbine Panda, вероятно, никогда не увидят тюремную камеру». Такое положение вещей объясняется тем, что Китай еще не освободил ни одного гражданина, обвиняемого в преступлениях, связанных с кибератаками.
Китай хочет догнать мир за его счет
В результате обнаружения и ареста главных персонажей выполнение операций, проводимых Turbine Panda, были переданы другим китайским шпионским группам, таким как Emissary Panda, Nightshade Panda, Sneaky Panda, Gothic Panda и Anchor Panda. По мнению экспертов, злонамеренная кампания со стороны Китая будет продолжаться, и следует ожидать новых инцидентов. Такое положение вещей объясняется неудовлетворенностью Пекина ходом работ, связанных со строительством самолета COMAC.
В течение многих лет говорилось, что Китай строит свою экономическую мощь за счет других стран и иностранных конкурентов. Отчет Crowdstrike ясно показывает, как Пекин использует хакеров в своих целях. Благодаря киберпреступникам, Поднебесная становится супердержавой. И во всем этом авиационная индустрия — только один из эпизодом масштабного промышленного шпионажа. Подобные хакерские действия охватывали и многие другие отрасли, от морской промышленности до производства оборудования, от научных исследований до биотехнологии.
Андрей Бочкарев
