Таргетированные атаки: Китай атаковал более 600 объектов в США за последние 5 лет
В распоряжении телекомпании NBC оказался один интересный слайд с брифинга NTOC (NSA Threat Operations Center, Центр Реагирования на Угрозы АНБ), в котором отмечены успешные проникновения со стороны китайских хакеров в правительтсвенные сети и организации в США.
Этот слайд был предоставлен анонимным источником из военной разведки, который подчеркнул заинтересованность китайских хакеров, возможно действующих по указанию правительства КНР для поиска и добычи информации.
На слайде видно, чтоб большинство точек относится к крупным городам и восточному побережью, где сосредоточены основные правительственные организации. В докладе говорится, что АНБ отслеживает китайские кибер-атаки в течение многих лет и фиксирует все возможные случаи успешных атак.
Важно отметить, что каждая красная точка представляет собой успешную атаку в попытке украсть:
- Корпоративные, промышленные и военные секреты.
- Схемы и карты критически важной инфраструктуры в США.
- Схемы, расположение и данные о энергосетях, телекоммуникационных и интернет сетях.
- Производство фармацевтических препаратов, химическая промышленность.
- Технические характеристики для гибридных транспортных средств, в первую очередь автомобилей.
- Данных о гражданских системах управления воздушным движением.
Кто стоит за атаками?
Согласно проведенному компанией Mandiant исследованию, за этими атаками стоит группа APT1, состоящая, в свою очередь из более чем 20 групп китайских хакеров, с большей долей вероятности спонсируемых и управляемых правительством КНР.
Считается, что APT1 входит в Народно-освободительную армию Китая в качестве подразделения 61398. Подразделение 61398 (известное также как »2-е бюро») подчинено 3-му управлению Генштаба НОАК, которое считается аналогом американского Агентства национальной безопасности (АНБ). Иногда это группировка упоминается как Comment Crew или Shanghai Group.
Согласно опубликованным данным, подразделение 61398 отвечает за ведение разведки против США и Канады, в то время как подразделение 61046 (также известное как »8-е бюро») специализируется на разведке против стран Европы.
Хотя правительство КНР и отрицает причастность группы APT1 к государственным структурам, есть и косвенные доказательства. Например, предположительно в этом здании и базируется это подразделение, вход в которое охраняют военизированные подразделения:
По оценкам экспертов компании Mandiant, с высокой степенью вероятности можно считать, что хакерская группа APT1 является ничем иным, как подразделением 61398 НОАК. В пользу этого говорят следующие факторы:
- Масштаб операций кибершпионажа, которые вела эта группа на протяжении длительного времени, требует такого объёма финансовых, людских и материальных ресурсов, который способно обеспечить только государcтво;
- Технические и языковые навыки, необходимые для выполнения функций кибершпионажа, которые вела Shanghai Group, идентичны соответствующим компетенциям подразделения 61398 (шпионаж против США и Канады);
- Тактика, методы и процедуры акций кибершпионажа носили чисто разведывательный характер, не выявлено случаев уничтожения данных или осуществления финансовых махинаций, что характерно для действий обычных хакеров или организованной преступности.
Известные APT с «Китайским следом»
Известно как минимум три крупнейшие атаки, за последние годы, которые провела группировка APT1:
«Титановый дождь»
С 2003 года компьютеры в США несколько лет подвергались скоординированным атакам. В результате компьютерного шпионажа пострадали такие компании, как Lockheed Martin, Sandia National Laboratories, Redstone Arsenal, а также НАСА. Эти компании относятся к военно-промышленному комплексу США, некоторые из них задействованы в производстве самолетов-невидимок (STEALTH).
«Операция Аврора»
Атаки начались в середине 2009 и продолжались до декабря 2009 года. Пострадали Google, Adobe Systems, Juniper Networks Rackspace, Yahoo, Symantec, Northrop Grumman, Morgan Stanley. Цель — получение доступа к исходным кодам ПО атакованных компаний и к информации о китайских диссидентах. Здесь помимо ценности самих разработок ПО могли быть преследованы цели по изучению и поиску уязвимостей в еще не вышедших продуктах, для разработки будущих атак.
«GhostNet»
В марте 2009 года была обнаружена сеть скомпрометированных компьютеров посольств, министерств иностранных дел, государственных учреждений, политических партий и экономических организаций в 103 странах. Целью этих атак стало получение конфиденциальной информации и шпионаж.
Утечка или намеренный вброс?
Скорее всего эта утечка сделана намеренно, для лоббирования политики «кибер-сдерживания». Такого рода законопроект даст возможность США упрочить системы защиты, и возможно, наносить упреждающие удары в киберпространстве, ликвидируя источник атаки после его обнаружения. Также, это поможет расширить полномочия United States Cyber Command, USCYBERCOM — Кибернетическое командование США.
Основными задачами этого подразделения являются:
- Защита военных компьютерных сетей и систем от несанкционированного доступа;
- Обеспечение удаленного доступа к компьютерным сетям вероятного противника и использование их в своих интересах;
- Ведение радиоэлектронной борьбы;
- Проведение психологических операций военного характера;
- Разработка и осуществление мероприятий по введению противника в заблуждение относительно истинных планов руководства ВС США.
Какой из этого можно сделать вывод?
С каждым годом количество атак растет и усложняется. Например здесь https://github.com/kbandla/APTnotes представлена эволюция таких атак за последние несколько лет. А на этом сайте представлена наглядная инфографика большинства известных таргетированных атак:
Интернет превратился в полномасштабную военную арену. Все более явно видна тенденция к разработке наступательного кибер-оружия большой проникающей мощи и технологичности, которое будет применено по прямому назначению профессионалами. Умение противостоять современным угрозам — одна из основополагающих доктрин обороноспособности страны, сохранения конфиденциальных данных, технологических и коммерческих секретов.