Хакер #305. Многошаговые SQL-инъекции
Представители Министерства юстиции США предъявили обвинения двум гражданам КНР, якобы входящим в состав правительственной хак-группы APT10. Заочные обвинения были предъявлены Чжу Хуа (Zhu Hua, 朱华, aka Afwar, CVNX, Alayos, Godkiller) и Чженю Шилонгу (Zhang Shilong, 张士, aka Baobeilong, Zhang Jianguo, Atreexp). Теперь они оба разыскиваются ФБР.
Интересно, что обвинения Минюста последовали после того, как в августе текущего года группировка Intrusion Truth деанонимизировала трех граждан КНР, заявив, что они являются участниками APT10 и работают на Министерство государственной безопасности КНР.
По данным властей, данная группировка ответственна за атаки на 45 американских компаний, правительственные учреждения и ряд неназванных сервис-провайдеров. Кроме того, были зафиксированы атаки на цели в других странах, включая Бразилию, Канаду, Финляндию, Францию, Германию, Индию, Японию, Швецию, Швейцарию, ОАЭ и Великобританию.
Власти США убеждены, что деятельность APT10 контролирует правительство Китая, а именно Министерство государственной безопасности КНР.
Хакерская группа APT10 известна специалистам под разными именами, в том числе Red Apollo (PwC), CVNX (BAE Systems), Stone Panda (CrowdStrike), POTASSIUM (Microsoft) и MenuPass (Trend Micro). По информации Минюста, первые атаки APT10 были зафиксированы еще в далеком 2006 году: тогда хакеры использовали направленный фишинг для сбора учетных данных сотрудников различных компаний. С помощью этих логинов и паролей злоумышленники внедряли в сети компаний малварь и похищали интеллектуальную собственность сотнями гигабайт.
Позже хакеры атаковали провайдеров MSP (компании, предоставляющие своим клиентам необходимую ИТ-инфраструктуру). Получив доступ к их инфраструктуре, члены APT10 воровали информацию клиентов или использовали это как точку для дальнейшего развития атаки.
Активность группировки была детально описана специалистами PwC и BAE Systems в 2017 году в отчете от операции Cloud Hopper (PDF).
Министерство юстиции США утверждает, что обвиняемые имели отношение к взломам крупной исследовательской лаборатории НАСА (Центра космических полетов имени Годдарда), НИИ НАСА (Лаборатория реактивного движения), национальной лаборатории Министерства энергетики США в Беркли (Национальная лаборатория им. Лоуренса в Беркли), а также ВМС США (были похищены личные данные 100 000 служащих).
Кроме того, по данным Reuters, в числе пострадавших от атак на MSP были компании Hewlett Packard Enterprise и IBM, и проникновения длились недели и даже месяцы.
В настоящее время к обвинениям, которые выдвигает Минюст США, присоединились и другие представители альянса Five Eyes, который объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании. Также критику в адрес китайских властей поддержала Япония.