05/03/20
Китайская ИБ-компания Qihoo 360 опубликовала отчет, в котором связала Центральное разведывательное управление США (ЦРУ) с долгосрочной кампанией по кибершпионажу, направленной на китайские промышленные и правительственные организации.
По словам исследователей, кампания продолжалась в период с сентября 2008 года по июнь 2019 года, и большинство целей были расположены в Пекине, Гуандуне и Чжэцзяне.
Шпионская кампания была обнаружена в ходе анализа образцов вредоносного ПО и их сравнения с инструментами из арсенала ЦРУ, обнародованными порталом WikiLeaks в 2017 году. Бывший сотрудник ЦРУ Джошуа Адам Шульте (Joshua Adam Schulte) передал секретные документы спецслужбы организации WikiLeaks в 2017 году, которая обнародовала их в рамках проекта Vault 7. Из них стало известно, что ЦРУ использовало уязвимости в программном обеспечении, чтобы подключиться к операционным системам Android и iOS, а также к «умным телевизорам» Samsung.
Согласно Qihoo 360, разработанные ЦРУ инструменты взлома, такие как Fluxwire и Grasshopper, использовались группой APT-C-39 против китайских компаний еще в 2010 году.
По словам специалистов, некоторые инструменты ЦРУ связаны с Агентством национальной безопасности (АНБ). В ходе атаки на крупную интернет-компанию в Китае в 2011 году группировка APT-C-39 использовала плагин WISTFULTOOL, разработанный АНБ.
Анализ дат компиляции вредоносных программ является распространенным методом в исследовании APT-группировок. В ходе изучения дат компиляции полученных образцов специалисты выяснили, что деятельность разработчиков вредоносов совпадает с часовым поясом США.
Также были зафиксированы попытки атаковать энергетический сектор Китая, исследовательские центры, интернет-компании и госорганы. Команда Qihoo 360 считает, что США интересуется авиационной промышленностью в первую очередь из-за возможности отслеживать перемещение «важных лиц».
