15/10/19
Исследователи из компании Crowdstrike рассказали об одной из крупных киберпреступных операций, в которую были вовлечены сотрудники Министерства государственной безопасности Китая, хакеры и исследователи безопасности, а также сотрудники компаний по всему миру.
Целью данной операции было заполучить интеллектуальную собственность для сокращения технологического разрыва Китая в авиационной промышленности, и помочь китайскому государственному авиационно-космическому производителю Comac построить собственный авиалайнер — самолет C919 для конкуренции с такими компаниями, как Airbus и Boeing. Скоординированная многолетняя вредоносная кампания систематически атаковала иностранные компании, поставляющие компоненты для самолета C919. Как утверждают исследователи, конечная цель заключалась в заполучении интеллектуальной собственности, необходимой для производства всех компонентов C919 внутри Китая.
По словам исследователей, Министерство государственной безопасности КНР поручило Бюро Цзянсу осуществить данные атаки, а оно, в свою очередь, поручило двум ведущим сотрудникам координировать процесс. Один отвечал за киберпреступную команду, в то время как другой нанимал инсайдеров, работающих в авиационных и аэрокосмических компаниях.
В период с 2010 по 2015 год злоумышленники атаковали разные компании и взломали системы таких поставщиков для C919, как Ametek, Honeywell, Safran, Capstone Turbine, GE и пр.
Согласно обвинительному заключению Министерства юстиции США, ответственными за совершение атак были киберпреступники, которых вербовало Бюро Цзянсу. Им было поручено взломать целевые сети, где они обычно развертывали вредоносные программы, такие как Sakula, PlugX и Winnti, и использовать их для поиска конфиденциальной информации и ее передачи на удаленные серверы. В тех редких случаях, когда преступники не могли взломать сеть, второй сотрудник Бюро Цзянсу нанимал гражданина Китая, работающего на целевую компанию, и использовал его для установки Sakula в сети жертвы, обычно через USB-носители.
Киберпреступная группировка, получившая название Turbine Panda, совершила ошибку, когда атаковала таких крупных поставщиков, как Anthem и Управление кадровой службы США. Атаки привлекли внимание правительства США, позволив обнаружить вредоносную кампанию. Первыми были рассекречены инсайдеры, поскольку они не имели защиты от правительства Китая. Далее был обнаружен создатель вредоносного ПО Sakula по имени Ю, который вскоре был арестован во время участия в конференции по безопасности в Лос-Анджелесе.
Исследователи предполагают, что атаки на иностранные авиационные фирмы будут продолжаться в будущем, поскольку самолет Comac C919 не является тем результатом, которого ожидало китайское правительство. В настоящее время предпринимаются усилия по созданию модели C929.
