Эксперты компании Crowdstrike опубликовали объемный отчет, посвященный разработке китайского самолета Comac C919. По данным компании, для создания этого лайнера усилия объединили китайские хакеры, сотрудники Министерства государственной безопасности страны, ИБ-исследователи и многие другие.

Comac C919

Целью этой масштабной операции было получение интеллектуальной собственности и разработок, которые помогли бы Китаю сократить технологический разрыв в области авиационной промышленности, чтобы китайский государственный авиакосмический производитель Comac смог построить собственный авиалайнер, способный конкурировать с такими отраслевыми гигантами, как Airbus и Boeing. Так, по данным исследователей, полученная интеллектуальная собственность была необходима для производства всех компонентов C919 внутри Китая.

Согласно отчету Crowdstrike, Министерство государственной безопасности (MSS) поручило эту задачу Бюро в Цзянсу (MSS JSSD). Там, в свою очередь, атаки были перепоручены двум ведущим сотрудникам, которые должны были координировать общие усилия. Один из них отвечал непосредственно за работу хакерской команды, тогда как второй находил инсайдеров, работающих в авиационных и аэрокосмических компаниях.

В период с 2010 по 2015 годы эта хакерская команда успешно взломала такие компании, как Ametek, Honeywell, Safran, Capstone Turbine, GE и так далее.

Интересно, что по данным Crowdstrike и Минюста США для этой операции MSS использовало подход, отличный от обычного. Так, хак-группа, которую исследователи назвали Turbine Panda, состояла не из проверенных кибероперативников из числа военных: вместо этого для работы вербовали местных хакеров и ИБ-исследователей, в  том числе известных в андеграундных кругах. Затем им поручали найти точку входа в целевые сети, где они обычно применяли такую малварь, как Sakula, PlugX и Winnti, используя вредоносов для поиска конфиденциальной информации и ее хищения.

Сообщается, что в подавляющем большинстве случаев хакеры применяли вредоносную программу, специально разработанную для этих атак. Эта малварь носит имя Sakula, и она была разработана ИБ-специалиситом Ю Пинганом (Yu Pingan) как легитимный инструмент.

В редких случаях, когда участники Turbine Panda не могли отыскать лазейку для проникновения в сеть, в дело вступал второй координатор из JSSD MSS. Он находил и нанимал гражданина Китая, работающего на целевую компанию, и использовал его услуги для размещения Sakula в сети жертвы (обычно через USB-накопитель).

Аналитики Crowdstrike пишут, что деятельность Turbine Panda можно назвать чрезвычайно эффективной. Так, в 2016 году, после почти шести лет постоянных атак на иностранные авиационные компании, корпорация Aero Engine Corporation of China (AECC) представила двигатель CJ-1000AX, который будет использоваться в разрабатываемом лайнере C919, и заменит двигатель, созданный иностранным подрядчиком.

Эксперты уже отмечали, что CJ-1000AX демонстрирует множество сходств (12) с двигателями LEAP-1C и LEAP-X, производимыми CFM International — совместным предприятием американской компании GE Aviation и французской аэрокосмической фирмы Safran, тем самым иностранными подрядчиком, который работал над двигателями для C919.

Крах Turbine Panda

Внимание американских властей были привлечено к Turbine Panda после атак на такие крупные цели, как поставщик медицинских услуг Anthem и Службу управления персоналом США (U.S. Office of Personnel Management, OPM). Хотя эти взломы принесли хакерам много полезных данных, в том числе для вербовки будущих инсайдеров, они же спровоцировали масштабное расследование.

Первыми правоохранители вычислили и арестовали инсайдеров в 2017 году, так как их было проще обнаружить, и они не имели защиты правительства Китая, поскольку действовали на чужой территории. Затем, в том же году, во время участия в конференции по безопасности в Лос-Анджелесе был арестован создатель малвари Sakula, которого позже обвинили в причастности к хакерским атакам на Anthem и OPM. В ответ на арест Ю Пингана китайское правительство запретило своим специалистам участвовать в иностранных конференциях по безопасности, опасаясь, что власти США могут прибрать к рукам и другие  «активы».

И если сначала эти аресты выглядели довольно странно, вскоре был опубликован отчет компании Record future, который пролил свет на тот факт, что китайское Министерство государственной безопасности имеет обширные связи на китайской сцене кибербезопасности, накапливает и скрывает информацию об уязвимостях, обнаруженных китайскими ИБ-экспертами, а затем эти проблемы, до их публичного раскрытия, используются на практике хакерами MSS.

Судя по всему, последним гвоздем в крышку гроба Turbine Panda в 2018 году стал арест Сюй Яньцзюня (Xu Yanjun), офицера JSSD MSS, отвечавшего за вербовку  сотрудников иностранных компаний. Власти США надеются, что он будет сотрудничать со следствием для смягчения приговора.

По данным Crowdstrike, в настоящее время оставшиеся участники Turbine Panda перешли в другие китайские хак-групы, включая Emissary Panda, Nightshade Panda, Sneaky Panda, Gothic Panda, Anchor Panda и так далее. Однако аналитики считают, что в будущем атаки на иностранные авиационные компании будут продолжены, так как Comac C919 пока вовсе не так хорош и успешен, как ожидало китайское правительство. Сейчас уже предпринимаются усилия для создания следующей версии авиалайнера, модели C929.

Также исследователи отмечают, что кибершпионские атаки на авиакосмическую отрасль — это совсем неуникальное явление и похожие усилия прилагаются для атак на предприятия и организации из многих других отраслей, от морской индустрии до производства оборудования, от научных исследований до биотехнологий.

1 комментарий

  1. Аватар

    Владиславище

    18.10.2019 at 00:30

    «Арест Сюй Яньцзюня (Xu Yanjun), офицера JSSD MSS, отвечавшего за вербовку сотрудников иностранных компаний.» Не пойму, какого чёрта офицер лично попёрся в другую страну, да ещё и после ареста других сотрудников??? Разве не логично, что их раскрыли???

Оставить мнение