Группировка Intrusion Truth продолжает деанонимизировать китайских «правительственных хакеров». Это уже четвертое разоблачение на их счету, и на этот раз Intrusion Truth отследили 13 подставных компаний, через которые, по их словам, правительство вербует хакеров.
«APT-группировки в Китае имеют общую структуру: в них есть хакеры, специалисты по контрактам, подставные компании и офицеры разведки, — рассказывают Intrusion Truth. — Нам известно, что в нескольких регионах Китая есть собственные APT».
Ранее анонимные разоблачители уже опубликовали информацию о APT3 (предположительно действующей в провинции Гуандун), APT10 (провинция Тяньцзинь) и APT17 (провинция Цзинань), Теперь пришла очередь острова и самой южной провинции Китая, Хайнань.
Участники Intrusion Truth пишут, что вычислили 13 компаний, работающих в качестве «ширм». Эти компании имеют одинаковые контактные данные, совместно используют офисы и никак не представлены в интернете, не считая почти идентичных вакансий, в которых компании ищут экспертов по информационной безопасности, обладающих offensive-навыками. Судя по требованиям к кандидатам, компании ищут специалистов для формирования red team и проведения кибератак.
Некоторые из этих компаний удалось связать с профессором кафедры информационной безопасности в университете Хайнаня. По сути, одна из фирм имеет штаб-квартиру в библиотеке университета. Участники Intrusion Truth пишут, что профессор — бывший военный и ранее он курировал проведение ИБ-соревнований в университете, где искали новые способы взлома паролей, предлагая в качестве призов крупные суммы.
И хотя Intrusion Truth открыто не связывают свои изыскания с конкретной китайской хак-группой, эксперты компаний FireEye и Kaspersky пишут, что речь идет о группировке APT40. По данным FireEye, APT40 — сосредоточенная на кибершпионаже группировка, активная с 2013 года. Обычно она атакует на страны, имеющие стратегическое значение для китайской инициативы «Один пояс и один путь».
Нужно сказать, что Intrusion Truth обладает весьма надежной репутацией. Так, в 2017 году, когда Intrusion Truth впервые заявила о том, что APT3 скрывается под вывеской компании Boyusec (подрядчика Министерства государственной безопасности Китая), многим было сложно в это поверить. Но вскоре выводы анонимных разоблачителей подтвердили аналитики компании Recorded Future, а затем Министерство юстиции выдвинуло обвинения. Ситуация повторилась после публикации данных о APT10, официальные обвинения против членов которой были выдвинуты в 2018 году.
