Основная статья: Промышленный шпионаж
2023
США обвинили сотрудника Apple в передаче «огромных массивов» технологий Китаю
16 мая 2023 года Министерство юстиции США предъявило официальные обвинения бывшему сотруднику Apple по делу о краже «огромных массивов» данных и попытке их передачи в Китай. Подробнее здесь.
Сотрудник NASA признался в сливе военного ПО китайцам
В январе 2023 года экс-сотрудник NASA Джонатан Йет Винг Сунг признался в том, что сознательно нарушил договор с американской космической организацией и участвовал в передаче военного ПО китайцам. Теперь ему грозит до 20 лет лишения свободы и штраф в размере $1 млн. Подробнее здесь.
Сотрудник General Electric получил 2 года тюрьмы за передачу китайцам технологий турбин для авто
3 января 2023 года бывший сотрудник General Electric (GE) был приговорён к двум годам тюремного заключения за заговор с целью совершения экономического шпионажа. Подробнее здесь.
2022: Китайские хакеры из Winnti похитили сотни гигабайт коммерческих тайн у американских компаний - Cybereason
Китайские хакеры похитили сотни гигабайт коммерческих тайн у американских компаний. Об этом стало известно 5 мая 2022 года.
Группировка Winnti активна с 2010 года и предположительно поддерживается правительством Китая.TAdviser выпустил Гид по российским операционным системам
По данным исследователей, группировка уже похитила сотни гигабайт информации у более 30 организаций по всему миру. Огромную часть похищенных данных составляют коммерческие тайны, в том числе чертежи, формулы, диаграммы, проприетарные производственные документы и пр.
Кроме того, Winnti собрала сведения о сетевой архитектуре атакуемых организаций, пользовательские учетные записи, данные клиентов и бизнес-документы для использования в будущих атаках.
Специалисты Cybereason передали собранные о Winnti данные ФБР, которое еще в 2019 году предупреждало о финансируемых Пекином киберпреступных группировках, занимающихся массовыми кражами интеллектуальной собственности у американских компаний в рамках инициативы по модернизации китайской экономики «Сделано в Китае 2025».
Некоторые ИБ-компании рассматривают Winnti как общий термин для множества хакерских группировок, работающих под контролем китайских спецслужб.
Специалисты выявили последнюю вредоносную кампанию группировки в 2021 году во время расследования взлома компании стоимостью $5 млрд с производственными мощностями в Азии, Северной Америке и Европе.
Расследование велось 12 месяцев и получило название «Операция пчелы-кукушки» (Operation CuckooBees), поскольку пчелы-кукушки неуловимы, а Winnti является одной из самых неуловимых хакерских группировок в мире.
Одной из особенностей последней кампании Winnti является использование функции Windows под названием Common Log File System (CLFS) для сокрытия вредоносного ПО. По словам исследователей, механизм CLFS весьма неясный и до сих пор не задокументирован Microsoft. С его помощью злоумышленники прячут свою полезную нагрузку в местах, которые не сканируются решениями безопасности и ускользают от внимания ИБ-экспертов. Такой способ сокрытия вредоносного ПО не используется ни одной хакерской группировкой, кроме Winnti.
В данной кампании группировка атакует доступные через интернет уязвимые серверы, через которые получает первоначальный доступ к сети. В некоторых случаях злоумышленники также эксплуатируют известные уязвимости в ERP-платформах[1].
2020
В «Информзащите» засекли попытку промышленного шпионажа китайской группировкой Winnti
Специалисты IZ:SOC, центра обнаружения и противодействия киберугрозам компании «Информзащита», засекли хакерскую атаку, проводимую предположительно небезызвестной китайской группировкой Winnti, которая действует с 2012 года. Об этом «Информзащита» сообщила 18 декабря 2020 года. Основные жертвы хак-группы Winnti - организации, относящиеся к ВПК, аэрокосмической отрасли, правительственные организации, разработчики ПО. Winnti ранее неоднократно взламывала промышленные и высокотехнологичные компании из Тайваня и Европы, но, судя по всему, решила переключиться на российские компании. Анализируя действия и применяемый функционал злоумышленников, эксперты по киберпреступлениям «Информзащиты» однозначно говорят, что это попытка промышленного шпионажа.
Первые шаги разведки были зафиксированы в начале декабря. Все это время действия атакующих находились под контролем, несмотря на то, что в течение всей атаки специалисты по киберпреступлениям наблюдали не только работу вредоновсного ПО, но и действия атакующих, которые они проводили, как говорится, руками, в онлайн-режиме. И это представляло особую сложность, так как, например, способы сокрытия своего присутствия атакующие меняли на лету.
Эксперты по киберпреступлениям изучали техники, тактики и применяемые методы. В состав используемого злоумышленниками инструментария входили средства для сбора информации, средства удаленного управления, многофункциональный бекдор семества Bisonal, утилиты для сканирования сети на предмет наличия уязвимости CVE-2017-0144 (MS17-010), утилиты из набора Impacket, программы для перенаправления сетевого трафика и извлечения паролей из памяти, динамические библиотеки для инъекции вредоносного кода в легитимные процессы. Для повышения полномочий, по нашей оценке, использовались в том числе уязвимости нулевого дня в средствах защиты российского производства.
В процессе работы с этими данными Центром мониторинга IZ:SOC были выделены специфичные маркеры заражения, составлены рекомендации по обнаружению. Эта информация была предоставлена ряду вендоров средств защиты и другим заинтересованным лицам.
Мы столкнулись с высокопрофессиональными действиями хорошо организованной группы. Часть инструментария, используемого ими, еще не попадалась «в поле» на территории РФ и не детектировалось стандартными средствами защиты. Это еще раз говорит нам о том, что противодействие киберугрозам возможно только с привлечением специалистов, обладающих специальными знаниями и соответствующим опытом, таких как работают в IZ:SOC- говорит И.Мелехин, директор по развитию "НИП Информзащита" |
Обнаружена подготовка к шпионской атаке китайской APT-группы на российские предприятия ТЭК
24 сентября 2020 года стало известно, что разработчик средств информационной защиты компания «Доктор Веб» опубликовала исследование фишинговой кампании, которая была нацелена на российские предприятия топливно-энергетического комплекса. Первая волна была датирована апрелем 2020 года, последние проявления активности случились в сентябре 2020 года. Подробнее здесь
В США китайца посадили на 1,5 года за кражу секретов у полупроводниковых компаний
В начале сентября 2020 года стало известно, что Окружной суд Северной Калифорнии приговорил гражданина Китая Хай Чжана к 1,5 годам заключения, признав его виновным в краже коммерческих тайн у американских полупроводниковых компаний Avago Technologies и Skyworks Solutions. Подробнее здесь.
2019: Китайские госхакеры из APT40 пять лет атакуют оборонные предприятия
Специалисты ИБ-компании FireEye обнаружили[2] кибершпионскую операцию, продолжающуюся в течение пяти лет. Операция проводится финансируемой правительством КНР хакерской группировкой APT40, а ее целью является укрепление военно-морской мощи Пекина[3].
Злоумышленники взламывают сети предприятий оборонной промышленности и похищают секретные чертежи и другую информацию, которая может использоваться для модернизации военно-морских сил Китая и оказания влияния на выборы в иностранных государствах.
Поначалу исследователи решили, что операция представляет собой две отдельные кампании, за которыми стоят группировки TEMP.Periscope и TEMP.Jumper. Тем не менее, как оказалось потом, обнаруженная ими кибершпионская операция – дело рук «государственных хакеров» из APT40.
Как пояснили исследователи, с целью модернизировать свой флот китайцы похищают технологии у производителей оборонной техники. Чаще всего их жертвами становятся инженерные, транспортные и оборонные предприятия, в особенности занятые в сфере кораблестроения. С помощью APT40 китайское правительство также пытается повлиять на результаты выборов в разных странах с целью обеспечить себе плацдарм для выгодной торговли.
Хакеры атакуют своих жертв с помощью целенаправленного фишинга (рассылают электронные письма с вредоносными вложениями). Кроме того, они создают вредоносные web-страницы со встроенным эксплоитом для заражения компьютеров бэкдором. Получив доступ к атакуемой системе, злоумышленники похищают учетные данные для доступа к остальным элементам корпоративной сети.
2018: Китайские киберпреступники атакуют предприятия в Германии
Китайская киберпреступная группировка Cloudhopper в 2018 году атакует предприятия в Германии. В частности ее интересуют машиностроительные, коммерческие и исследовательские компании. Как сообщает издание Suddeutsche Zeitung, Федеральное ведомство по безопасности информационной техники ФРГ (BSI) разослало предприятиям соответствующие предупреждения[4].
Отличительной чертой Cloudhopper является тот факт, что группировка атакует не саму жертву непосредственно, а облачных и хостинговых провайдеров, предоставляющих ей свои услуги. Системы провайдеров, как правило, защищены хуже, поэтому через них добраться к сетям компаний намного проще. В общей сложности Cloudhopper атаковала лишь небольшое число немецких компаний, но все жертвы выбирались тщательно.
2017: Китайские хакеры усилили атаки на российскую военную промышленность
Эксперт по кибербезопасности из «Лаборатории Касперского» Гостев Александр заявил в декабре 2017 года об участившихся в 2017 году кибератаках китайских хакеров на государственные структуры и военную промышленность РФ, сообщает «Интерфакс»[5].
По словам Гостева, хакеры сместили фокус своих атак с США на Россию, поскольку в ней есть множество крупных предприятий, представляющих интерес для кибершпионов. В частности, в 2017 году были зафиксированы атаки на военную промышленность РФ и компании нефтегазовой отрасли.
Эксперт также отметил, что из порядка 100 обнаруженных «ЛК» хакерских группировок 24 говорят на китайском языке. В 2017 году были выявлены атаки двух новых китайских группировок - IronHusky и Travie.
В 2018 году «Лаборатория Касперского» прогнозирует рост количества атак на разработчиков программного обеспечения. Интересующие хакеров большие компании, как правило, обладают надежной и многослойной защитой от кибератак, поэтому злоумышленникам проще атаковать посредника, например, производителя популярных программ, использующихся в корпоративном сегменте, отметили исследователи.
Помимо этого, эксперты заявили о возможных массовых взломах маршрутизаторов и модемов, поскольку успешная атака на данные устройства позволяет злоумышленнику незаметно закрепиться в сети и предпринимать дальнейшие действия. Также специалисты говорят о возможном увеличении числа атак на новые «умные» устройства, например, автомобили и медицинское оборудование.
2016: Число атак китайских хакеров на российский ВПК утроилось - «Лаборатория Касперского»
«Лаборатория Касперского (Kaspersky)» зафиксировала значительный рост числа атак китайских хакеров на российские предприятия, связанные с ядерной, авиационной и оборонной отраслями, передает летом 2016 года Newsru.com со ссылкой на Bloomberg.
По словам главного эксперта Лаборатории Александра Гостева, в 2015 году было зафиксировано всего 72 атаки из Китая, в то время как с января по июль 2016 года, число атак составило 194. При этом, реальное число атак гораздо выше, поскольку только 10% корпоративных клиентов компании передают данные о взломах, считает эксперт. Рост числа атак подтвердили и в калифорнийской компании Proofpoint.
Гостев не уточнил названия атакованных компаний и организаций, однако сообщил, что почти каждое предприятие российского ВПК подверглось атакам, которые с большой вероятностью завершились утечкой данных. По его словам, среди 35 атакованных организаций были семь предприятий по производству ракетных систем, радаров и корабельных технологий, пять министерств, четыре авиапредприятия и две компании, связанные с атомной отраслью. При этом киберпреступники использовали свыше 50 разновидностей вредоносного ПО.
«Они действуют словно пылесос, скачивая всё без разбора. Затем кто-то анализирует украденную информацию. Вероятно, для организации этой работы требуются сотни людей», - сообщил Гостев.
При этом, по его мнению, прямо связать китайских хакеров с властями страны нельзя, однако характер деятельности киберпреступников, которые занимаются шпионажем, позволяет утверждать, что за ними стоят государственные структуры.
Гостев также отметил, что активность китайских хакеров возросла после того, как осенью прошлого года Китай и США заключили соглашение об отказе от экономического кибершпионажа. Аналогичное соглашение между Пекином и Москвой было заключено в мае 2015 года.
2014: Промышленный кибершпионаж Китая против США обходится американским компаниям в миллиарды долларов - ФБР
В октябре 2014 года, во время 60-минутного эфира на CBS, Джеймс Корни, директор ФБР, сказал, что веб-атаки против США ежегодно обходятся американским компаниям в миллиарды долларов.
«Существует два вида крупных компаний в Соединенных Штатах», сказал Корни: «Те, которых уже взломали китайцы, и те, которые не знают, что они были взломаны китайцами».
Добавим сюда ежегодные потери от китайских хакеров, которые «невозможно» подсчитать, отметил Корни, и речь пойдет о миллиардах. Он ссылается на обвинительное заключение для пяти китайских военнослужащих, взломавших американские фирмы, задействованные в ядерной индустрии, металлообрабатывающей промышленности и солнечной энергетике, вынесенное в мае, как только один пример дорогостоящих атак.
Корни сказал, что хакеры Китая нацелены на промышленные секреты и делают то, что они делают, чтобы «не нужно было изобретать».
«Они могут скопировать или украсть все что угодно, чтобы узнать о том, как компания может вести переговоры с китайской компанией», добавил он.
Рассказ на 60 минут является напоминанием нации, что Китай является плохим парнем, учитывая, что Россия стоит за крупнейшей для страны утечкой данных в JPMorgan Chase, а группу, стоящую за этим инцидентом, обвиняют еще в девяти других случаях.
Тем не менее, несмотря на то, что произнесено много обвинений, существует мало доказательств в их поддержку. Каждый раз, когда возникает проблема, Китай появляется в новостях.
Это не означает, что кто-то из России и Китая не нападал на США. Очевидно, что такие случаи имеют место, но есть серьезные сомнения, что они нанесли удар такой степени, до которой правительство его раздувает.
Говоря о преступности в Интернете в целом, Корни сказал, что она становится все более всеобъемлющей.
«Опять же, из-за того, что люди связывают всю свою жизнь с Интернетом, находятся те, кто хочет украсть деньги, навредить или обмануть. Так что, эпидемия существует по очевидным причинам».
2004: Китайцы атакуют Lockheed-Martin
В 2004 году в сети одного из предприятий оборонного концерна Lockheed Martin китайские хакеры прорвали систему защиты компьютеров, оставили множество следов своего пребывания в виде троянов и бэкдоров. До сих пор не понятно, успели ли хакеры скопировать важные данные, но часть данных компании была сильно испорчена.
Не обошли вниманием хакеры и компьютерную сеть американского Министерства обороны, сисадмины которого даже не замечали, что злоумышленники вот уже 2 года имеют свободный доступ к ценной информации. Правительство США обвинило в хакерской атаке российских программистов, но Официальный Кремль данное обвинение опроверг.