БАНГКОК – Китайская хакерская группировка, которая, вероятно, спонсируется государством и ранее была связана с атаками на компьютерные сети властей различных американских штатов, сохраняет высокую активность. Ее действия направлены на широкий круг целей, которые могут представлять стратегический интерес для правительства и спецслужб Китая.
Об этом говорится в опубликованном в четверг отчете частной американской фирмы Recorded Future, работающей в сфере безопасности.
Деятельность хакерской группировки, которая в отчете названа RedGolf, очень сильно пересекается с группировками, отслеженными другими фирмами под названиями АРТ41 и BARIUM. Поэтому можно предположить, что это одна и та же группировка или что они очень тесно связаны, заявил Джон Кондра – директор по стратегическим и постоянным угрозам в Insikt Group, отделении Recorded Future.
«Мы считаем, что эта деятельность, скорее всего, ведется в разведывательных целях, а не для получения финансовой выгоды, поскольку она пересекается с кампаниями кибершпионажа, о которых сообщалось ранее», – заявил Кондра в ответах на вопросы Associated Press.
МИД Китая отверг выдвинутые Recorded Future обвинения.
«Эта компания в прошлом не раз предоставляла ложную информацию о так называемых “китайских хакерских атаках”. Она занимается беспочвенными, надуманными обвинениями», – заявило ведомство.
Китайские власти регулярно отрицают любую форму хакерской деятельности при поддержке государства, настаивая, что сам Китай является основной целью кибератак.
Группировка АРТ41 фигурировала в обвинительном заключении Министерства юстиции США в 2020 году. Документ обвинял китайских хакеров в атаках на более 100 компаний и институтов в США и других странах, включая социальные сети, университеты и провайдеров телекоммуникационных услуг.
В своем анализе Insikt Group заявила, что нашла доказательства того, что RedGolf «остается очень активной» в целом ряде стран и отраслей, «нацеливаясь на авиацию, автомобилестроение, образование, правительственные органы, СМИ, сферу информационных технологий и религиозные организации».
Insikt Group не назвала конкретных жертв RedGolf, но заявила, что она смогла отследить попытки сканирования и эксплуатации уязвимостей в различных отраслях с помощью вредоносной программы KEYPLUG, которую также использовала АРТ41.
Insikt Group заявила, что ей удалось выявить и другие вредоносные инструменты, используемые RedGolf, помимо KEYPLUG, «и все они часто используются многими китайскими группировками, спонсируемыми государством».
В 2022 году компания Mandiant, работающая в сфере безопасности, сообщила, что АРТ41 несет ответственность за взлом сетей правительств как минимум шести американских штатов. При этом также использовалась программа KEYPLUG.
Компании, занимающиеся киберразведкой, используют различные методики отслеживания и часто называют выявленные ими угрозы по-разному. Однако Кондра заявил, что APT41, BARIUM и RedGolf, «вероятно, относятся к одному и тому же кластеру субъектов или группировок» из-за сходства их сетевой инфраструктуры, тактики, методов и процедур.