Специалисты китайской ИБ-компании Qihoo 360 опубликовали отчет, в котором обвинили ЦРУ в хакерских атаках на китайские компании и правительственные учреждения. Причем атаки, по словам исследователей, длились более 11 лет.
Аналитики Qihoo 360 утверждают, что с сентября 2008 года по июнь 2019 года ЦРУ взламывало различные цели в области авиационной и нефтяной промышленности Китая, научно-исследовательские институты, а также интернет-компании и государственные учреждения.
Сообщается, что большинство целей находилось в Пекине, Гуандуне и Чжэцзяне, а основные усилия ЦРУ были сосредоточены на индустрии гражданской авиации Китая и других стран. Основной задачей данной кампании, по словам экспертов, был «долгосрочный и целенаправленный сбор разведданных» с целью отслеживания статусов международных рейсов в режиме реальном времени, сбора информации о пассажирах, грузах и так далее.
Исследователи пишут, что обнаружить атаки ЦРУ им удалось благодаря использованию такой малвари, как Fluxwire (1, 2, 3) и Grasshopper.
Напомню, что о существовании этих разновидностей вредоносного ПО стало известно в начале 2017 года, когда Wikileaks опубликовал дамп Vault 7: огромный архив документации, подробно рассказывающий о различных инструментах и техниках ЦРУ. Тогда, спустя несколько недель после публикации данных Vault 7, компания Symantec подтвердила, что Fluxwire — это малварь, которую они отслеживали долгие годы под именем Corentry. Теперь китайские исследователи, по сути, повторяют в своем отчете выводы Symantec, а также отмечают, что обнаружили образчики Fluxwire, задолго до того, как дамп Vault 7 стал общедоступным, а время их компиляции соответствует часовым поясам США.
В своем отчете Qihoo 360 обозначает хакерские операции ЦРУ кодовым названием APT-C-39. В отчетах, опубликованных другими ИБ-компаниями ранее, операции ЦРУ также отслеживались как Longhorn (обозначение Symantec) и Lamberts (обозначение «Лаборатории Касперского»).
Многие эксперты отмечают, что в отчете Qihoo 360 фактически нет ничего нового, большая часть информации уже была достоянием общественности, а исследователи лишь собрали и подтвердили данные из разных источников. Единственная действительно новая информация — это данные о конкретных целях, которые предположительно были взломаны ЦРУ в Китае.