Исследование компании SentinelLabs выявило, что китайские компании, напрямую связанные с государственной хакерской группировкой Silk Typhoon (также известной как Hafnium), подали более 15 патентов на передовые инструменты для кибершпионажа. Это открытие предоставляет беспрецедентное понимание корпоративной и промышленной структуры, стоящей за спонсируемыми государством хакерскими операциями Китая, раскрывая целую «экосистему киберподрядчиков».
Дакота Кэри, стратегический советник по Китаю в SentinelLabs, утверждает: «Наше исследование демонстрирует силу выявления не только лиц, стоящих за атаками, но и компаний, в которых они работают, возможностей этих компаний и того, как эти возможности укрепляют инициативы государственных структур, заключающих с ними контракты». Данный подход знаменует собой сдвиг в атрибуции киберугроз — от идентификации хакерских групп к раскрытию целых корпоративных сетей.
Отношения между Министерством государственной безопасности Китая (MSS) и этими фирмами носят формализованный характер. Такие компании, как Shanghai Firetech, получают «конкретные задания» от офицеров MSS, в частности от Шанхайского бюро государственной безопасности (SSSB), которое описывается как «ведущее региональное управление» министерства. Это создает в Китае «многоуровневую систему наступательных хакерских подразделений».
Хакерская группировка Silk Typhoon несет ответственность за масштабную эксплуатацию серверов Microsoft Exchange в 2021 году с использованием уязвимостей нулевого дня, известных как ProxyLogon. В июле 2021 года Министерство юстиции США выдвинуло обвинения против нескольких китайских граждан, связанных с этой деятельностью, в том числе Сюй Цзэвэя и Чжан Юя, обвиняемых в работе на MSS.
Карьерный путь Сюй Цзэвэя иллюстрирует тесные связи в этой экосистеме. Он являлся сотрудником компании Shanghai Powerock Network Co. Ltd., затем недолго работал в известной фирме по кибербезопасности Chaitin Tech, а позже занял должность ИТ-менеджера в Shanghai GTA Semiconductor Ltd.
Чжан Ю, в свою очередь, работал в компании Shanghai Firetech Information Science and Technology Company, Ltd. и был соучредителем Shanghai Siling Commerce Consulting Center вместе с Инь Вэньцзи, генеральным директором Shanghai Firetech. Обе эти компании подавали заявки на патенты на инструменты для кибершпионажа.
Сеть подрядчиков MSS выходит за рамки одной компании. В марте 2021 года США также предъявили обвинения Инь Кэчэну, еще одному хакеру, связанному с Silk Typhoon. Он был сотрудником компании Shanghai Heiying Information Technology Company, Limited, основанной Чжоу Шуаем, которого характеризуют как «китайского патриотического хакера и предполагаемого брокера данных».
Поданные патенты описывают широкий спектр технологий, включая инструменты для криминалистической экспертизы и обнаружения вторжений, сбора зашифрованных данных с конечных точек, криминалистического анализа устройств Apple, а также для удаленного доступа к маршрутизаторам и устройствам умного дома.
Запатентованные возможности, разработанные Shanghai Firetech, превосходят те, что публично приписывались группировке Silk Typhoon. Это указывает на то, что данные инструменты могли быть проданы или переданы другим региональным управлениям MSS и использованы в атаках, которые еще не были связаны с Hafnium, хотя и исходили из той же корпоративной структуры.
Компании и частные лица, вовлеченные в эту деятельность, предпринимают шаги для сокрытия своих связей. Например, компания Shanghai Powerock Network Co. Ltd., где работал Сюй Цзэвэй, была ликвидирована 7 апреля 2021 года, спустя чуть более месяца после того, как Microsoft публично возложила ответственность за атаки ProxyLogon на Китай. Этот факт был отмечен аналитическим ресурсом Natto Thoughts.
Изображение носит иллюстративный характер
Дакота Кэри, стратегический советник по Китаю в SentinelLabs, утверждает: «Наше исследование демонстрирует силу выявления не только лиц, стоящих за атаками, но и компаний, в которых они работают, возможностей этих компаний и того, как эти возможности укрепляют инициативы государственных структур, заключающих с ними контракты». Данный подход знаменует собой сдвиг в атрибуции киберугроз — от идентификации хакерских групп к раскрытию целых корпоративных сетей.
Отношения между Министерством государственной безопасности Китая (MSS) и этими фирмами носят формализованный характер. Такие компании, как Shanghai Firetech, получают «конкретные задания» от офицеров MSS, в частности от Шанхайского бюро государственной безопасности (SSSB), которое описывается как «ведущее региональное управление» министерства. Это создает в Китае «многоуровневую систему наступательных хакерских подразделений».
Хакерская группировка Silk Typhoon несет ответственность за масштабную эксплуатацию серверов Microsoft Exchange в 2021 году с использованием уязвимостей нулевого дня, известных как ProxyLogon. В июле 2021 года Министерство юстиции США выдвинуло обвинения против нескольких китайских граждан, связанных с этой деятельностью, в том числе Сюй Цзэвэя и Чжан Юя, обвиняемых в работе на MSS.
Карьерный путь Сюй Цзэвэя иллюстрирует тесные связи в этой экосистеме. Он являлся сотрудником компании Shanghai Powerock Network Co. Ltd., затем недолго работал в известной фирме по кибербезопасности Chaitin Tech, а позже занял должность ИТ-менеджера в Shanghai GTA Semiconductor Ltd.
Чжан Ю, в свою очередь, работал в компании Shanghai Firetech Information Science and Technology Company, Ltd. и был соучредителем Shanghai Siling Commerce Consulting Center вместе с Инь Вэньцзи, генеральным директором Shanghai Firetech. Обе эти компании подавали заявки на патенты на инструменты для кибершпионажа.
Сеть подрядчиков MSS выходит за рамки одной компании. В марте 2021 года США также предъявили обвинения Инь Кэчэну, еще одному хакеру, связанному с Silk Typhoon. Он был сотрудником компании Shanghai Heiying Information Technology Company, Limited, основанной Чжоу Шуаем, которого характеризуют как «китайского патриотического хакера и предполагаемого брокера данных».
Поданные патенты описывают широкий спектр технологий, включая инструменты для криминалистической экспертизы и обнаружения вторжений, сбора зашифрованных данных с конечных точек, криминалистического анализа устройств Apple, а также для удаленного доступа к маршрутизаторам и устройствам умного дома.
Запатентованные возможности, разработанные Shanghai Firetech, превосходят те, что публично приписывались группировке Silk Typhoon. Это указывает на то, что данные инструменты могли быть проданы или переданы другим региональным управлениям MSS и использованы в атаках, которые еще не были связаны с Hafnium, хотя и исходили из той же корпоративной структуры.
Компании и частные лица, вовлеченные в эту деятельность, предпринимают шаги для сокрытия своих связей. Например, компания Shanghai Powerock Network Co. Ltd., где работал Сюй Цзэвэй, была ликвидирована 7 апреля 2021 года, спустя чуть более месяца после того, как Microsoft публично возложила ответственность за атаки ProxyLogon на Китай. Этот факт был отмечен аналитическим ресурсом Natto Thoughts.
