На днях вице-президент США Майк Пенс призвал Google прекратить разработку поисковика для Китая. Он считает, что сотрудничество компании с КНР — это поощрение цензуры Компартии Китая. На фоне этих заявлений акции американской компании просели на 3%. Тогда глава АКБ Евгений Лифшиц прокомментировал эту новость в том духе, что из Китая делают врага №2, после Страшных Русских Хакеров. Однако идущая волна арестов с обеих сторон заставляет предположить реальную двустороннюю эскалацию напряженности, а также то, что по мере ухудшения экономических отношений с США Китай возвращается к практике промышленного кибершпионажа.
Условное начало цепочки событий: 5 октября, когда французские СМИ написали о том, что «президент Интерпола Мэн Хунвэй уже неделю не выходит на связь после отъезда в Китай 29 сентября». Выяснилось, что его арестовали прямо в аэропорту КНР, вероятно за «незаконное содействие в получении контрактов на услуги одной из компаний, действующих в сфере борьбы против киберпреступности» (по мутным данным французских СМИ). Мэн Хунвэй направляет в Интерпол заявление об отставке с поста президента, все это, естественно, без официальных комментариев любой из сторон.
Уже в среду, 10 октября, Министерство юстиции США сообщает об аресте и экстрадиции высокопоставленного чиновника Министерства государственной безопасности КНР – органа внешнеполитической разведки за рубежом и контрразведки на территории Китая. Яньцзюнь Су обвиняется не просто в киберпреступлениях, а в промышленном шпионаже. Предполагается, что с целью завладеть коммерческой тайной китаец пытался завербовать несколько инсайдеров из целого ряда американских авиа- и аэрокосмических компаний.
По данным специалистов из Recorded Future и CrowdStrike, Министерство Госбезопасности КНР (ведомство Яньцзюнь Су) руководит проводимыми Китаем операциями по кибершпионажу, и в течение долгих лет финансируемые государством китайские хакерские группировки взламывали американские компания, похищали проприетарные технологии и передавали китайским производителям. Однако осенью 2015 года США и КНР подписали соглашение о прекращении хакерских атак с целью хищения интеллектуальной собственности. Согласно отчету FireEye, выпущенному в июне 2016 года, после подписания договора число кибератак с целью шпионажа действительно снизилось, и «Китай свернул все свои крупнейшие операции».
Приход к власти Дональда Трампа, однако, заставил все договоренности полететь к чертям. Экономические отношения между двумя странами стали (мягко сказать) натянутыми, и договор о кибератаках также де-факто, по-видимому, был расторгнут. Во всяком случае, если судить по новому отчету CrowdStrike, за последний год атаки со стороны Китая возросли и по своему количеству превысили атаки со стороны РФ. Хотя доказательства причастности арестованного Яньцзюнь Су к кибератакам отсутствуют, ИБ-эксперты уверены, что Китай больше не соблюдает условия соглашения, и арест высокопоставленного чиновника повлечет рост новых кибератак.
Напомним также о другом любопытном инциденте эпохи Трампа. Так, в июне этого года эксперты по безопасности из компании Symantec объявили о новом масштабном взломе , который провела хакерская группировка Thrip, предположительно работающая из Китая.
Мишенью хакеров стали компании-разработчики технологий спутниковых коммуникаций и геопространственной разведки. Также Thrip обрушились на ряд оборонных подрядчиков из США и Юго-Восточной Азии.
Для маскировки атак хакеры использовали метод, известный как «living off the land» (приблизительный перевод идиомы — «чем Бог пошлет») — метод заключается в использовании известных уязвимостей ОС и локального ПО, которые поворачиваются для использования в интересах взломщиков. который заключается в использовании локальных приложений во вредоносных целях. Symantec также отмечают новую тенденцию среди хакеров отказываться от уникального ПО и использования самого распространенного, чтобы их не нашли оперативники. Так, Thrip использовала такие вполне легитимные утилиты как PsExec, Mimikatz, WinSCP и LogMeIn для установки вредоносов Rikamanu (троян), Catchamas (инфостилер), Mycicil (кейлоггер), Spedear (бэкдор) и Syndicasec (троян). Далее с помощью этих программ выкачивалась и похищалась информация.
Помимо этого, хакеры пытались (об успехе Thrip не сообщается) заразить компьютерные системы, которые используются для управления спутниками связи и сбора геопространственных данных. Одна из возможных целей хакеров — саботаж работы спутников американских спутников.
