В понеделник Министерството на правосъдието на САЩ представи обвинителни актове срещу седем китайски граждани за участието им в хакерска група, която в продължение на около 14 години се е насочвала към американски и чуждестранни критици, журналисти, предприятия и политически служители.

Сред обвиняемите са Ни Гаобин (倪高彬), Уенг Мин (翁明), Ченг Фън (程锋), Пенг Яовен (彭耀文), Сун Сяохуей (孙小辉), Сюн Уан (熊旺) и Джао Гуандзун (赵光宗).

Заподозрените кибершпиони са обвинени в заговор за извършване на компютърни прониквания и заговор за извършване на телеграфни измами във връзка с държавно спонсорирана група за заплахи, проследена като APT31, която е известна още като Altaire, Bronze Vinewood, Judgement Panda и Violet Typhoon (преди това Zirconium). Хакерският колектив е активен поне от 2010 г. насам.

По-конкретно, техните отговорности включват тестване и експлоатиране на зловредния софтуер, използван за извършване на прониквания, управление на инфраструктурата за атаки и провеждане на наблюдение на конкретни американски структури, отбелязват федералните прокурори, като добавят, че кампаниите са предназначени за постигане на целите на икономическия шпионаж и външното разузнаване на Китай.

Предполага се, че и Гаобин, и Гуандзун са свързани с Wuhan Xiaoruizhi Science and Technology Company, Limited (Wuhan XRZ) – подставена компания, за която се смята, че е извършила няколко злонамерени кибероперации за Министерството на държавната сигурност (MSS).

В доклад, публикуван през май 2023 г., Intrusion Truth характеризира Wuhan XRZ като „схематично изглеждаща компания в Ухан, която търси специалисти по миниране на уязвимости и чужди езици“.

Освен че обявиха награда в размер до 10 млн. долара за информация, която може да доведе до идентифициране или местонахождение на хора, свързани с APT31, Великобритания и САЩ наложиха санкции срещу Gaobin, Guangzong и Wuhan XRZ за застрашаване на националната сигурност и за атаки срещу парламентаристи по целия свят.
„Тези обвинения открехват завесата на мащабната незаконна хакерска операция на Китай, която е била насочена към чувствителни данни на американски избрани и правителствени служители, журналисти и учени; ценна информация от американски компании; и политически дисиденти в Америка и в чужбина“, заявява прокурорът на САЩ Бреон Миър.
„Зловещата им схема направи жертва  хиляди хора и организации по целия свят и продължи повече от десетилетие.“

Разширяващата се хакерска операция – която се е състояла поне между 2010 г. и ноември 2023 г. – е включвала изпращането от обвиняемите и други членове на APT31 на повече от 10 000 имейла до цели, представляващи интерес, за които се е твърдяло, че са от известни журналисти и привидно са съдържали легитимни новинарски статии.

В действителност обаче в тях има скрити връзки за проследяване, които позволяват да се извлича информация за местоположението на жертвите, адресите на интернет протоколите (IP), мрежовите схеми и устройствата, използвани за достъп до имейл акаунтите, само след отваряне на съобщенията.

Тази информация впоследствие позволява на извършителите да провеждат по-целенасочени атаки, съобразени с конкретни лица, включително чрез компрометиране на домашните рутери и други електронни устройства на получателите.
Твърди се също, че членовете на групата  са използвали експлойти от типа „нулев ден“, за да поддържат постоянен достъп до компютърните мрежи на жертвите, което е довело до потвърдена и потенциална кражба на записи на телефонни разговори, акаунти за съхранение в облак, лични имейли, икономически планове, интелектуална собственост и търговски тайни, свързани с американски предприятия.
Установено е също така, че други spear-phishing кампании, организирани от APT31, са насочени към правителствени служители на САЩ, работещи в Белия дом, в министерствата на правосъдието, търговията, финансите и държавата, както и към американски сенатори, представители и предизборни щабове на двете политически партии.

Атаките са били  улеснени чрез персонализиран зловреден софтуер като RAWDOOR, Trochilus RAT, EvilOSX, DropDoor/DropCat и други, които установяват защитени връзки с контролирани от противника сървъри, за да получават и изпълняват команди на машините на жертвите. Използвана е и кракната версия на Cobalt Strike Beacon за извършване на дейности след експлоатирането.

Някои от известните сектори, към които се е насочила групата, са отбраната, информационните технологии, телекомуникациите, производството и търговията, финансите, консултантските услуги и правните и изследователските индустрии. APT31 също така се е насочила към дисиденти по целия свят и други лица, за които се смята, че ги подкрепят.
„APT31 е съвкупност от спонсорирани от китайската държава служители на разузнаването, хакери по договор и помощен персонал, които провеждат злонамерени кибероперации от името на Държавния департамент за сигурност на Хубей (HSSD)“, заявиха от Министерството на финансите.

„През 2010 г. HSSD създава Wuhan XRZ като подставено лице за провеждане на кибероперации. Тази злонамерена кибердейност доведе до следене на американски и чуждестранни политици, експерти по външна политика, учени, журналисти и продемократични активисти, както и на лица и компании, работещи в области от национално значение.“

„Спонсорираният от китайската държава кибершпионаж не е нова заплаха и разсекретеното днес обвинение на Министерството на правосъдието показва пълната гама от техните кибероперации с цел да се постигне напредък в дневния ред на Китайската народна република (КНР). Въпреки че това не е нова заплаха, обхватът на шпионажа и използваните тактики са обезпокоителни“, заяви Алекс Роуз, директор на правителствените партньорства в отдела за борба със заплахи на Secureworks.

„През последните няколко години китайците развиха типичните си похвати, за да избегнат откриването и да затруднят приписването на конкретни кибератаки. Това е част от по-широкообхватни стратегически усилия, които Китай е в състояние да изпълни. Уменията, ресурсите и тактиките, с които разполага КНР, ги превръщат в постоянна висока и устойчива заплаха за правителствата, предприятията и организациите по света.“

Обвиненията идват, след като правителството на Обединеното кралство посочи с пръст APT31 за насочване към имейлите на парламентаристите през 2021 г. и неназован участник в заплахи, свързан с китайската държава, за „злонамерени киберкампании“, насочени към избирателната комисия. Пробивът в Избирателната комисия доведе до неразрешен достъп до данни на избиратели, принадлежащи на 40 милиона души.

Инцидентът беше разкрит от регулаторния орган през август 2023 г., въпреки че има доказателства, че участниците в заплахата са получили достъп до системите две години преди това.

Съвпадайки с разкритията от Великобритания и САЩ, Нова Зеландия заяви, че през 2021 г. е разкрила връзки между китайския държавно-спонсориран апарат и кибератаките срещу парламентарни структури в страната. Дейността е приписана на друга подкрепяна от МСС група, проследена като APT40 (известна още като Bronze Mohawk, Gingham Typhoon, ISLANDDREAMS и Kryptonite Panda).

В свое собствено изявление Австралия изрази „сериозна загриженост“ относно злонамерените кибердейности, извършвани от спонсорирани от държавата Китай участници, насочени срещу Обединеното кралство, и призова „всички държави да действат отговорно в киберпространството“. Тя обаче заяви, че собствените ѝ избирателни системи „не са били компрометирани от киберкампаниите, насочени срещу Обединеното кралство“.

Китай обаче отхвърли обвиненията, като ги определи като „напълно изфабрикувани“ и представляващи „злонамерени клевети“. Говорител на китайското посолство във Вашингтон заяви пред BBC News, че страните са „отправили безпочвени обвинения“.

„Проследяването на произхода на кибератаките е изключително сложно и чувствително. При разследването и определянето на естеството на киберинцидентите е необходимо да се разполага с адекватни и обективни доказателства, вместо да се клеветят други държави, когато не съществуват факти, още по-малко да се политизират въпросите на киберсигурността“, заяви говорителят на външното министерство Лин Цзян.

„Надяваме се, че съответните страни ще спрат да разпространяват дезинформация, ще заемат отговорно отношение и съвместно ще защитават мира и сигурността в киберпространството. Китай се противопоставя на незаконните и едностранни санкции и твърдо ще защитава законните си права и интереси.“