Ким Чен Ун и генерали се забавляват с руските тайни…
Докато властите и пропагандата на Кремъл говорят за топлата дружба с Си Дзинпин и Ким Чен Ун, китайски и севернокорейски хакери атакуват ударно руски институции – най-вече правителствени структури и централите на тайните служби. Руският сайт за специализирана информация verstka.media публикува уникални факти за кибер кражбите на руски тайни от Пекин и Пхенян.
Защо Китай и КНДР хакват Русия
През 2023 г. Русия е била атакувана от минимум 14 различни групи на APTот i. Повечето от тях са от Азия, предимно от Китай. Броят на засечените атаки достигна 28 – значителна цифра, като се има предвид, че става дума за широкомащабни операции.
Конфронтацията в киберпространството се засилва през последните три години, тъй като Китай, Русия, Иран и Северна Корея бяха въвлечени в активни военни конфликти. Всяка от тези страни се стреми да завладее чужди пространства, за да обслужи интересите си, като отслаби другите. Така Северна Корея продава снаряди и балистични ракети на Русия, но в същото време севернокорейският APT37 (ScarCruft) прониква в системата на ракетната компания NPO Machinery и руското външно министерство.
Има няколко силни доказателства за това, че зад кибератаките срещу Русия най-често са уж приятелски държави, а не независими групи, казват няколко фактора. Първо, интернет в Китай и особено в Северна Корея се контролира от властите. Хакерските операции от такъв мащаб не могат да се осъществят без правителствено разрешение.
Второ, Китай и Северна Корея в последно активно увеличават своя киберпотенциал. Голям теч на изпълнител на китайското министерство на обществената сигурност I-Soon показа, че китайското правителство активно наема изпълнители от трети страни. Към 19 ноември 2024 г. е минимум 128 китайски APT (за сравнение, севернокорейски в списъка само на 10, руски – 42). Вероятно сред тези 128 APT има пресечни точки, едни и същи групи биха могли да се приемат като различни, но всъщност поръчителя и целите са едни и същи.
Защо го правят?
Според руския специалист по киберсигурност Сергей Кузнецов хакерските атаки на съюзниците не са изненадващи. „Ние не сме приятели, а геополитически съперници. За тях, както и за нас, подобни действия са част от програмата за национална сигурност. А фактът, че съюзниците се шпионират един друг, не е нищо ново“, каза Кузнецов. Целта на подобни атаки е шпионаж“.
Китайските и севернокорейските хакери използват специално създаден шпионски софтуер, за да проникнат в руските организации, институции и компании.
Пекин и Пхенян се стремят да събират информация от политически и дипломатически характер, данни от изследователски центрове, отбранителната индустрия и секретни обекти, казва Олег Шакиров, автор на телеграмния канал „Киберварина“. Кибершпионажът ви позволява да получите информация за вътрешни дискусии, да научите предварително за важни събития и да заемате по-изгодна позиция в очаквани преговори.
Тези групи от Азия се различават, например, от украинските: тези на Киев като правило са насочени към извеждане от строя на важни центрове, свързани с войната среку Украйна. Както и за дискредитиране на властта в Русия и източване на секретни данни.
Целите
След началото на пълномащабната война срещу Украйна хакерите на Китай и Северна Корея, работещи по руското направление, са увеличили атаките срещу руските отбранителна индустрия, енергетика, водоснабдяване и телекомуникации с над 50%.
Целта не винаги е държавата и свързаните с нея компании: например севернокорейската група BlueNoroff атакува руските финансови институции и крипто бизнеса. Хакерската дейност е подкрепа за слабата икономика на Пхенян. Китайският APT не е забелязан в големи сделки нито търгува на черния пазар. Защото става дума за хора от китайските секретни служби, убеден е експертът Кузнецов.
По принцип китайските и севернокорейските групи се интересуват от отбранителни и енергийни компании, ИТ- сектора, публичния сектор и структурите с големи проблеми, свързани с държавата, които са подложени на тежки наказателни международни санкции. Често китайските и севернокорейските служби получават достъп до руски държавни тайни чрез служители в руските институции.
Атака на защитата и увеличаване броя на уязвимостите
Positive Technologies, един от лидерите в областта на киберсигурността, през 2022 г. обяви, че правителствените агенции са най-лошо защитени от хакерски прониквания. През 2024 г. компанията открива три пъти повече уязвимости в руския софтуер, отколкото през 2023 г. Установено е, че всяка пета цел е докарана до критична точка. Затова чуждестранните IT компании и техни филиали усилено напускат руския пазар. Това е гаранция, че броят на „дупките“ в софтуера на руските компании ще се увеличава. Например в руското здравеопазване положението вече е критично.
Директните щети от кибершпионски хакерски атаки е трудно да се оценят. Групите, които се занимават с това, се опитват да запазят достъпа до системата на организацията възможно най-дълго, затова прикриват щетите. Жертвите също не искат да се шуми около инциденти, а правителствените агенции се страхуват да признаят големите загуби и пробиви. Най-често срещаната последица от подобни атаки обаче остава изтичането на поверителна информация. Тайните на Кремъл вече не са тайните, които бяха и това е голям проблем за Путин и кръга му.
Руската индустрия за инфосигурност се смяташе за една от най-развитите в света. Но това вече е минало, защото специализираните звена нямат финансиране, за да гарантират сигурност. Вече 71% от длъжностите в киберсигурността в държавните агенции и тайните служби на Русия се заемат от хора с минимален опит или въобще без опит. Затова все по-често злонамерени програми влизат в тайните на Москва чрез имейл фишинг, защото човешкият фактор е на най-ниско ниво. Това е истински ужас за Кремъл.
Олег Шакиров признава, че все по-малко структури в Русия използват напреднали технологии. „Много организации са все по-беззащитни срещу заплахите от хакерски атаки. Наскоро FSTEC провери 100 държавни органи и организации, които управляват критична информационна инфраструктура, и установи, че само 10% от тях осигуряват минимално необходимото ниво на защита срещу киберзаплахи. При 51% от организациите състоянието на защита и сигурността на информацията е катастрофално.
Как се случва това?
Групировките, които нападнаха Русия през последните години са минимум 23. Сред тях са китайски APT31, Karma Panda (CactusPete), Scarab, APT27 (Емисионерска панда), TA428 и др. Също и севернокорейските Konni Group, APT37 (ScarCruft) и др. Групите често имат много имена, тъй като действат от различни фалшиви адреси.
След избухването на войната интересът на китайските и севернокорейските хакери в Русия се засили многократно. През март 2022 г. служители на няколко руски изследователски института по отбрана получиха имейли със заглавие „Списъкът на лицата и „наименованието на института“ под санкциите на САЩ във връзка с нахлуването в Украйна. Когато се опитва да качи файла, сложната верига на инфекцията неусетно започва да се разраства, чиято цел е да събира информация за компютъра, да извлича файлове, да манипулира локални файлове и т.н. Агенцията за киберсигурност Check Point установи, че операцията е дело на китайската група Twisted Panda.
Една от най-големите хакерски атаки срещу руски държавни организации беше регистрирана през май и юли 2024 г. Както в много подобни случаи, зловредната програма се разпространяваше чрез фишинг имейли. Те се съдържаха в прикачените файлове и се инсталираха на компютри, когато служителите се опитваха да отворят файловете. Чрез сложна схема на взаимодействия програмата събира и разбива данните на руските държавни организации. Защитните програми на Касперски посочиха, че всичко това е работа на китайските групи APT27 и APT31.
Рядко се доказва на 100% кой стои зад атаките. Хакерите прикриват местоположението си, специален злонамерен софтуер и т.н. Публичните обвинения за нечии специални служби в кибератаките най-често са политическа позиция, отколкото доказан факт.
Понякога хакерите не се интересуват много от това да крият в кои държави работят. Check Point пише за скок в броя на кибератаките срещу страни от НАТО от китайски IP адреси в средата на март 2022 г., първият месец от пълномащабното нахлуване на Русия в Украйна.
Олег Шакиров отбелязва, че броят на самите кибератаки нараства. Разкриването им също. През последните няколко години все повече компании са се занимавали с киберразузнаване и са публикували съобщения за инциденти. Китай и Северна Корея очевидно не се вълнуват от това, че Русия знае за техните хакерски удари. Знае, но премълчава, защото се страхува ужасно да ги загуби като съюзници поне още известно време.
Алис Кананън
