Місце гакерства в зовнішній політиці КНР

За спостереженнями румунської групи фахівців з кібербезпеки PrivacyAffairs з 2009 по 2018 роки кількість кібератак у світі зросла на 440%, при чому 30% з них мають китайський чи російський слід. З 2009 по 2019 було зафіксовано 79 кібернетичних нападів на національні уряди, у яких звинувачують КНР. Відповідно до звіту Центру стратегічних та міжнародних досліджень, за 2021 рік китайські гакери так чи інакше причетні до 7 серйозних кібератак в Афганістані, В’єтнамі, США та Європі. Ці короткі статистичні дані красномовно демонструють, що Пекін розглядає кіберпростір як нову арену міждержавної боротьби, і він, здається, готовий до неї краще за інших. Як Китай став головним джерелом кіберзагроз у сучасному світі та які цілі він ставить перед своїми гакерськими групами – дізнавайтеся в новому матеріалі. 

Під прицілом КНР – персональні дані

Продовжимо розповідь ще однією невеликою порцією статистики від тієї ж PrivacyAffairs, щоб зрозуміти загальну картину кіберзагроз у світі. За даними групи, 28,6% кібернападів, зафіксованих з 2009 по 2019 роки, походять з території Китаю, що дозволяє оголосити Піднебесну чемпіоном з ведення цифрової війни; за нею лідирують Росія (27,2 %), Північна Корея (11,6%) та Іран (11,2%).

Читайте також: Кіберагресія як інструмент політичного впливу Російської Федерації

За той же період китайським гакерам, фінансованим державою, приписують здійснення 79 нападів на уряди 20 країн. І тут важливо зрозуміти мотиви такої активності. Якщо ціллю атак Москви є дестабілізація політичної ситуації в тій чи іншій країні або кібершпигунство задля викрадення даних у справах, де фігурує держава, то у випадку КНР – це здебільшого доступ до інтелектуальної власності та комерційне шпигунство задля економічного росту та військової модернізації.

Джерела кібернападів у період з 2009 по 2019 роки. PrivacyAffairs

При чому, важливо відзначити, що, якщо бенефіціаром кібершпигунства в більшості держав є саме урядові відомства, які на основі викраденої інформації приймають рішення, то у випадку КНР дані можуть дістатися й неурядовим суб’єктам. Так, у межах китайської парадигми кожен компонент суспільства відповідає за забезпечення державних інтересів, що робить бізнес продовженням КПК: 85% зі 109 китайських компаній у списку Fortune Global 500 – державні підприємства. Тож відмінність кібершпигунства КНР полягає в комерційній складовій: доступ до викраденої інформації отримують не лише відповідні органи влади, а й компанії. Гакерство по-китайськи – це більшою мірою фінансовані урядом корпоративні крадіжки, які використовуються для здобуття економічних переваг, ніж атаки на елементи інфраструктури чи органи влади країн-противників як у випадку з РФ або Іраном.

Дізнавайтеся більше: Кібернетичний фронт американсько-іранського конфлікту: глобальні наслідки

Наймасштабнішими прецедентами останніх років у контексті кібершпигунства Пекіна стали атаки на Equifax, американське бюро кредитних історій, що поставило під загрозу персональні дані 147 млн клієнтів у 2017 році, та компанію Moderna, яка працювала над розробкою вакцини проти Covid-19 у 2020-му. А також напад на Microsoft Exchange Server в січні 2021 р. завдяки якому китайці отримали доступ до моніторингу систем, що належать малому бізнесу, регіональним та державним урядам і деяким військовим підрядникам західних країн. Жозеп Боррель, Верховний представник ЄС із зовнішньої та безпекової політики, заявив, що гакерство «проводилося з території Китаю задля крадіжки інтелектуальної власності та шпигунства».

Давні «друзі»

Об’єктом більшості атак КНР (31,6%) у період з 2009 по 2019 роки були США. Згідно з аналізом CSIS, Центру стратегічних і міжнародних досліджень, зі 160 публічно оголошених випадків китайських кібернападів,  націлених на США з 2000 року, 41% з них – це атаки на урядові відомства. Це, зокрема, напад 2007 року на Пентагон, вину за який покладають на Народно-визвольну армію КНР, а також цілеспрямована кампанія проти установ у США, Канаді та Південно-Східній Азії 2019 року. За даними дослідницької компанії з безпеки iDefense, гакери втрутилися в мережі 27 університетів, що вивчають технології ведення підводних воєн, серед яких – запуск ракет-підводників. Багато «зламаних» установ пов’язані з найбільшим центром океанографічних досліджень Америки – Інститутом Вудс-Гоул, який має тісні зв’язки з ВМС США.

Зацікавленість КНР у «морських секретах» підтверджують і більш ранні атаки: FireEye – американська компанія у сфері мережевої безпеки – оприлюднила інформацію про гакерську групу АРТ40, що фінансується урядом Китаю для підтримки зусиль держави з модернізації флоту, яка тривала щонайменше з 2013 року. Про це свідчить принаймні паралельна діяльність військово-морських сил КНР та гакерів: наприкінці 2016 року ВМС Китаю захопили безпілотний підводний апарат ВМС Сполучених Штатів, що перебував у Південнокитайському морі, і протягом того ж року APT40 шпигувала за університетами, що займаються морськими дослідженнями.

Детальніше на цю тему: США vs КНР: хто переможе в Південнокитайському морі?

Утім, був і період «примирення» – щоправда, нетривалий. У 2015, після атаки на Офіс управління кадрами США, яка призвела до витоку особистих даних 22 млн чинних та колишніх держслужбовців, а також членів їхніх родин, і вину за яку вперше КНР визнала за китайськими гакерами, хоч і заперечивши причетність уряду, Білий дім уклав угоду з Пекіном про припинення кібершпигунства. Тоді протягом 18 місяців проглядався помітний спад китайського гакерства в американських мережах, але після вступу Дональда Трампа на президентську посаду та розв’язання торговельної війни з Китаєм кіберзлочинність активізувалася.

Лінія оборони

З розвитком інформаційно-комунікаційних технологій невпинно зростає і вправність гакерів. Починаючи з фішингових атак, тобто отримання доступу до даних через «шкідливі» мейли, спеціалісти КНР поповнили арсенал більш складними методами цифрової боротьби, наприклад, як у випадку з Microsoft Exchange Server, використовуючи «Zero-day» – вразливість програмного забезпечення, невідому розробникам, а відповідно, позбавлену механізму захисту. Тож поки з одного боку росте винахідливість гакерів, з іншого – уряди постійно працюють над посиленням механізмів захисту від цифрових загроз.

Відчувши на собі кібернетичні потужності Китайської Народної Республіки, регіональні актори вже кілька років працюють над зміцненням оборонного сектору. Приміром, у 2018 році Тайвань, реагуючи на збільшення кількості нападів, вирішив посилювати кіберспроможності за рахунок залучення й навчання талантів.

Вас може зацікавити: Тайванська проблема: чи можливе возз'єднання Китаю з Китаєм?

Національний науково-технічний інститут Чунг-Шаня – провідна дослідницька установа Міністерства національної оборони Тайваню – оголосив про набір фахівців з кібердосліджень та збільшення стартової заробітної плати. А Японія до березня 2022 року планує створити кібербезпековий підрозділ з 540 членів – експертів із сухопотних, повітряних та морських сил самооборони й спеціалістів з приватного сектору. А також на порядку денному зміцнення співробітництва у сфері космосу та кіберпростору в межах альянсу зі США.

До того ж, саме злам десятків тисяч держустанов та приватних кампаній з використанням вразливості Microsoft Exchange Server посприяв зближенню міжнародної спільноти задля оборони від китайської кіберзлочинності – офіційне звинувачення США підтримали НАТО, ЄС, Великобританія, Австралія, Японія, Нова Зеландія та Канада.

З політичних міркувань

Інший мотив злочинів з використанням інформаційно-комунікаційних технологій, що походять з території КНР за урядової фінансової підтримки, є досягнення політичних цілей держави, зокрема через демонстрацію сили.

Наприклад, напередодні переговорів між Ватиканом та Пекіном щодо поновлення «тимчасової дворічної угоди про діяльність католицької церкви в Китаї» гакери атакували мережі Ватикану та католицьку єпархію Гонконгу, включно з головою Гонконзької місії, який вважається фактичним представником Папи Франциска в КНР. А під час президентських виборів на Тайвані під прицілом опинилися соціальні мережі нинішньої очільниці Республіки Китай – Цай Інвей. Такі-от політичні меседжі-нагадування про можливості впливу й контролю ситуації з боку Пекіна.

Утім, якщо попередні сигнали не несли руйнівних наслідків, то встановленням шкідливого програмного забезпечення в критичну цивільну інфраструктуру Індії на фоні індо-китайського конфлікту група Red Echo вразила щонайменше 10 об’єктів енергетичного сектору та 2 порти, згідно зі звітом кібербезпекової компанії Recorded Future за 2021 рік.

Більше про проблему: Загострення на індо-китайському кордоні: як Пекін встановлює гегемонію в регіоні

У такий спосіб Китай демонструє спроможність вразити цивільні об’єкти кібернетичними методами, що загрожує ескалацією конфлікту. Проте наразі Індія не завдала удару у відповідь у цифровому просторі.

На сторожі державних інтересів

Коли мова йде про шпигунство, гакери становлять неабияку користь для досягнення національних інтересів, тож КНР давно організувала діяльність низки груп «спеціалістів», які здійснюють атаки по всьому світу на користь Пекіна. Далі поговоримо детальніше про деякі з них.

За даними CISA, однією з найбільш «зрілих» підконтрольних Міністерству державної безпеки Китаю гакерських груп вважається націлена на комерційне шпигунство проти регіональних та міжнародних гравців, зокрема Японії, Великобританії та Сполучених Штатів, група АРТ10 (вона ж Cicada чи Stone Panda), що діє з 2006 року. Саме на неї компанія Cybereason покладає вину за операцію Soft Cell – стійку атаку, спрямовану на глобальних провайдерів телекомунікацій, яка діяла з 2012 року задля викрадення даних користувачів: інформації, що ідентифікує особу, облікових та платіжних даних, а також географічного розташування. Вона вразила близько 43% постачальників телекомунікаційних послуг у світі. Ту саму Cicada звинувачують у розвідопераціях проти японських компаній, зокрема дочірніх, в автомобільному, фармацевтичному та машинобудівному секторах.

Розташування деяких компаній, які вразила Cicada. Symantec

Не менш активна «державна службовиця» – АРТ31 – група, орієнтована отримання інформації, яка може забезпечити політичні, економічні та військові переваги владі Китаю та державним підприємствам. Минулого року уряд Фінляндії вказав на причетність АРТ31 до зламу парламенту, «загострення шпигунства» та «перехоплення повідомлень, сприяючи інтересам КНР». До того ж, саме цій групі приписують вину за атаки на передвиборчу кампанію Джо Байдена: мейлами, що походили начебто з антивірусної компанії McAfee, і з використанням законних сервісів, як-от DropBox, гакери намагалися викрасти облікові дані співробітників та заразити їх шкідливим програмним забезпеченням.

Детальніше про ті події: Сполучені Штати напередодні виборів: кібератаки набирають обертів

Чи не найбільш широкий спектр діяльності – у АРТ41 або ж Winnti: група встановила та підтримує стратегічний доступ до організацій у галузі охорони здоров’я, освіти й науки, високих технології та телекомунікацій, а також до продемократичних політиків й активістів у Гонконзі. У вересні 2016 року Сполучені Штати висунули звинувачення 5 членам групи за ураження понад 100 компаній у всьому світі. Group-IB, компанія-розробник рішень для попередження кібератак, вважає АРТ41 причетною до атак на SITA, міжнародного постачальника ІТ-послуг для галузі глобальних авіаперевезень: у період з березня по травень цього року були зафіксовані витоки даних користувачів авіакомпаній Air India, Singapore Airlines, Malaysia Airlines.

Галузі, що зазнали нападів АРТ41 з 2012 по 2019 роки. Fireeye

Інша група – BlackTech – відома передусім шпигунством проти урядів у Східній Азії, зосереджуючись на Тайвані та Японії. Зокрема, у серпні 2020 року Тайбей заявив, що група діє від імені Компартії КНР та помічена в операціях проти низки тайванських урядових та комерційних структур. Розпочавши кампанію у 2018, BlackTech зачепила щонайменше 10 урядових установ та близько 6000 облікових записів мейлів урядовців. Крім BlackTech, Тайвань звинуватив АРТ40 та Mustang Panda в атаках останніх років на технологічний сектор. Першу з них, АРТ40, на початку лютого в спробі викрасти дані про урядові проєкти Малайзії звинуватила MyCERT – малайзійська команда комп’ютерного реагування на кіберзагрози. Крім того, FireEye зазначила, що серед територіальних цілей групи також перебувають Камбоджа, Гонконг, Філіппіни, Саудівська Аравія, США та деякі країни Європи, як-от Бельгія, Німеччина, Норвегія, Швейцарія та Великобританія.

Висновок

У системі забезпечення національної безпеки КНР одне з пріоритетних місць відведене кібершпигунству, зокрема на користь комерційного та безпекового секторів задля досягнення економічної та військової першості. Своє лідерство за кількістю атак з використанням інформаційно-комунікаційних технологій Китай зумів забезпечити завдяки низці фінансованих урядом гакерських груп.

Серед мотивів злочинів чітко простежуються два напрямки: комерційний та політичний. У межах першої категорії кібершпигунство та викрадення інтелектуальної власності здійснюється, спираючись на китайську парадигму єдності дій урядових та комерційних акторів на користь державних інтересів, зокрема економічного зростання. З іншого боку, кібератаки на елементи критичної інфраструктури чи урядові відомства також використовуються у купі з політичним тиском на опонентів з метою їх залякування, як це видно на прикладі Індії чи Тайваню.

Авторка – Богдана Садомська, спеціалістка з кібербезпеки Аналітичного центру ADASTRA