Как китайские и корейские хакеры атакуют российские госкомпании
Ближайшие союзники проводят кибероперации против России. С 2022 года они сосредоточились на оборонной промышленности
Пока кремлевские власти и пропаганда говорят о развороте на Восток и коалиции с азиатскими странами в противовес Западу, китайские и северокорейские хакеры взламывают российские компании. Обе страны — лидеры по уровню киберугроз, и после начала войны их интерес к России усилился.
Чтобы не пропустить новые тексты «Вёрстки», подписывайтесь на наш телеграм-канал
Почему Китай и КНДР взламывают Россию
За 2023 год Россию атаковали минимум 14 различных APT-группировокi. Большинство из них происходили из Азии, в основном — из Китая. Количество выявленных атак достигло 28 — значительная цифра с учетом масштаба операций.
Противостояние в киберпространстве усилилось за последние три года, так как ведущие кибервоенные силы — Китай, Россия, Иран и Северная Корея — оказались втянуты в активные военные конфликты. Каждая из этих стран стремится перехватить лидерство и удовлетворить свои интересы, ослабив других. Так, Северная Корея продаёт России снаряды и баллистические ракеты, но в то же время северокорейская APT37 (ScarCruft) проникает в систему ракетостроительной компании «НПО машиностроения» и в российский МИД.
В пользу того, что за кибератаками на Россию в конечном счёте стоят государства, а не независимые группировки, говорят несколько факторов. Во-первых, интернет в Китае и особенно в Северной Корее контролируется властями. Хакерские операции такого масштаба не могли бы проходить незамеченными.
Во-вторых, Китай и Корея активно наращивают свой киберпотенциал. Крупная утечка подрядчика китайского министерства общественной безопасности, I‑Soon, показала, что китайское правительство активно нанимает сторонних исполнителей. На 19 ноября 2024 года было известно минимум о 128 китайских APT (для сравнения, корейских в списке всего 10, российских — 42). Вероятно, среди этих 128 APT есть пересечения, одни и те же группировки могли приниматься за разные, но отрыв существенный.
Кроме этого, киберпреступники обеих стран почти неуязвимы перед теми, кого они атакуют: Китай и КНДР мало чувствительны ко внешнему принуждению. Китай — из-за своей роли в мировой экономике, а КНДР и так уже много лет существует под жёсткими санкциями.
Зачем они это делают
По мнению специалиста по кибербезопасности Сергея Кузнецоваi, хакерские атаки союзников не вызывают удивления. «Мы не друзья, а геополитические соперники. Для них, как и для нас, подобные действия — часть программы национальной безопасности. А в том, что союзники шпионят друг за другом, вообще нет ничего нового» — считает Кузнецов. О том, что цель таких атак — шпионаж, говорят и другие эксперты.
Также, именно шпионское ПО злоумышленники чаще всего применяют для проникновения в российские организации, в тч частные компании. Доля его использования выросла с 10% в 2022 году до 49% в 2024.
Выбор жертв атак показывает, что атакующие стремятся собирать информацию политического и дипломатического характера, данные из исследовательских организаций, ОПК и других отраслей промышленности, рассказывает Олег Шакиров, аспирант Университета Джонса Хопкинса и автор телеграм-канала «Кибервойна». Кибершпионаж позволяет получить информацию о внутренних дискуссиях, заранее узнавать о каких-либо событиях и занимать более выигрышную позицию в переговорах. Или экономить на исследованиях, если атакующие получают сведения о разработках.
Этим группировки из Азии отличаются, например, от проукраинских: последние, как правило, нацелены на вывод организаций из строя, дискредитацию, слив данных.
Кто под прицелом
После начала полномасштабного вторжения хакеры, работающие по России, увеличили долю атак на объекты критической инфраструктуры — оборонную промышленность, энергетику, водоснабжение, телекоммуникации. С 24 февраля 2022 по ноябрь 2024 года 51% атак пришелся на объекты критической инфраструктуры, а с января 2019 по февраль 2022 года — только 35,5%. Доля атак на госсектор упала почти в два раза, с 64,3% до 33,6%.
Мишенью не всегда становятся гос- и аффилированные с ними компании: например, северокорейская группировка BlueNoroff атаковала российский финтех- и криптобизнес. Доходы от хакерской деятельности поддерживают слабую экономику страны. Китайские APT не были замечены в крупных атаках с целью выкупа. «Государственные АПТ не занимаются торговлей на чёрном рынке. Это люди на службе» — добавляет Кузнецов.
В основном китайские и северокорейские группировки интересуются оборонными и энергетическими компаниями, IT, госсектором и крупным бизнесом, связанным с государством. Зачастую получить доступ к гостайне можно через подрядчиков — у них есть ценные сведения о клиентах, а защищены они хуже, чем целевые организации.
«Импортозамещение = рост количества уязвимостей»
Positive Technologies, один из лидеров в сфере кибербезопасности, еще в 2022 заключил, что госорганы хуже всех защищены от атак. В 2024 году компания нашла в три раза больше уязвимостей в российском ПО, чем в 2023. Каждая пятая из найденных уязвимостей была критической. Иностранные IT-продукты продолжают покидать российский рынок, поэтому число «дыр» в ПО будет расти. Законодательные требования этому способствуют: например, в сфере здравоохранения разрешено использовать только отечественные IT-решения.
Прямой урон от кибершпионских хакерских атак сложно оценить. Группировки, которые занимаются этим, хотят сохранить доступ в систему организации как можно дольше, поэтому стараются минимально вмешиваться в её работу. Жертвы тоже не распространяются об инцидентах, а госорганы боятся делиться произошедшим даже с экспертами. Самое частое последствие таких атак — утечка конфиденциальной информации.
Российская отрасль инфобезопасности считается одной из самых развитых в мире. Но часто у организаций нет хватает денег на обеспечение нужного уровня безопасности. 71% вакансий по кибербезопасности в госструктурах рассчитаны или на людей с минимальным опытом до трёх лет, или вообще без опыта. Очень часто зловредные программы попадают в систему организации через email-фишинг — то есть, из-за человеческого фактора, невнимательности сотрудников.
Олег Шакиров признаёт, что далеко не все в России пользуются передовыми технологиями. «Многие организации по-прежнему не относятся серьёзно к угрозам хакерских атак. Недавно ФСТЭК проверила 100 государственных органов и организаций, управляющих критической информационной инфраструктурой, и выяснила, что только 10% из них обеспечивают минимально необходимый уровень защиты от киберугроз». В 51% организаций состояние защиты и безопасности информации катастрофическое.
Как это происходит
Азиатских группировок, которые атаковали Россию последние годы, насчитывается минимум 23. Среди них китайские APT31, Karma Panda (CactusPete), Scarab, APT27 (Emissary Panda), TA428, северокорейские Konni Group, APT37 (ScarCruft) и др. У группировок часто много имён, тк агентства кибербезопасности называют обнаруженных ими преступников по-своему.i
После начала войны интерес китайских и корейских хакеров к России усилился. В марте 2022 года сотрудники нескольких российских оборонных НИИ получили электронные письма с заголовком «Список лиц <название института> под санкциями США в связи с вторжением в Украину». При попытке загрузить файл, незаметно запускалась сложная цепочка заражения, целью которой был сбор информации о компьютере, извлечение файлов, манипуляции с локальными файлами и тд. Агентство кибербезопасности Check Point установило, что за операцией стояла китайская группировка Twisted Panda.
Один из самых крупных взломов российских госорганизаций выявили в мае и июле 2024. Как и во многих аналогичных случаях, зловредная программа распространялась через фишинговые письма. Она содержалась во вложенных файлах и устанавливалась на компьютеры, когда сотрудники пытались открыть файлы. Через сложную схему взаимодействий программа собирала и похищала данные российских госорганизаций. Kaspersky назвал китайские группировки APT27 и APT31 ответственными за взлом.
Редко можно стопроцентно сказать, кто стоит за взломом. Хакеры маскируют своё местонахождение, используют самоудаляющийся вредоносный софт и тд. Публичные обвинения чьих-либо спецслужб в кибератаках — чаще всего политическая позиция, чем доказанный факт. Но обнаружить, куда ведут ниточки, всё же реально: методы заражения, инфраструктура командования и управления, время проведения атак и другие отпечатки могут говорить о принадлежности к какой-либо стране или о почерке уже известных преступников.
Иногда хакеры не сильно заботятся о том, чтобы скрыть, на какие страны они работают. Check Point писал о всплеске числа кибератак на страны НАТО с китайских IP-адресов в середине марта 2022, в первый месяц полномасштабного вторжения России в Украину.
Иногда хакеры даже бравируют взломами в соцсетях. Правда, часто за такими заявлениями тоже стоит политическая позиция — как правило, если целью взлома была слежка или кража, а не выведение системы из строя, об этом не распространяются.
Олег Шакиров отмечает, что растет число не только самих кибератак, но и их выявляемость. За последние пару лет всё больше компаний занимаются киберразведкой и публикуют отчёты об инцидентах.
Обложка: Алиса Кананен
Поддержать «Вёрстку» можно из любой страны мира — это всё ещё безопасно и очень важно. Нам очень нужна ваша поддержка сейчас. Как нам помочь →