Американские власти предъявили обвинения двум гражданам Китая. Ли Сяоюй (李啸宇) и Дун Цзячжи (董家志) обвиняются в краже коммерческой тайны у множества технологических и биотехнологических компаний, а также исследовательских центров, в том числе работающих над созданием и тестированием вакцины для борьбы с коронавирусом.
Представители Министерства юстиции пишут, что Цзячжи и Сяоюй более 10 лет занимались атаками на американские (и не только) компании, как с целью получения финансовой выгоды, так и с целью хищения коммерческой тайны. Правоохранители заявляют, что объем украденных ими данных исчисляется терабайтами, и все эти файлы в целом оцениваются в миллионы долларов.
Утверждается, что злоумышленники сотрудничали с Министерством государственной безопасности Китая и другими агентствами, и в период с сентября 2009 года взломали сотни компаний и частных лиц из 11 стран мира, включая США, Австралию, Бельгию, Германию, Японию, Литву, Нидерланды, Испанию, Южную Корею, Швецию и Великобританию. Среди пострадавших были: правительственные и неправительственные организации; высокотехнологичные производства; компании, занимающиеся промышленным и медицинским приборостроением, разработкой ПО для бизнеса, образования и игр; предприятия, работающие в области солнечной энергетики и фармацевтики; диссиденты, священнослужители, правозащитники и многие другие.
Названия компаний, о которых идет речь, в обвинительном заключении не раскрываются. Зато утверждается, что 25 или 27 января 2020 года Ли Сяоюй пытался проникнуть в сети биотехнологической компании в Мэриленде и биотехнологической компании в Массачусетсе. Обе эти компании на тот момент уже работали над вакцинами от коронавируса SARS-CoV2, о чем было публично известно. СМИ полагают, что речь, по всей видимости, идет о компаниях Novavax и Moderna.
В основном хакеров интересовали данные о производственных процессах, химические структуры фармацевтических препаратов, исходные коды, технологические схемы, а также тестовые методики и результаты испытаний. Минюст объясняет, что такая информация дает КНР конкурентное преимущество на рынке и позволяет сэкономить на исследованиях и разработке при создании конкурирующих продуктов.
Кроме того, обвиняемые якобы занимались вымогательством в личных целях. Правоохранители сообщают, что им известно как минимум об одном случае, когда хакеры шантажировали жертву, у которой ранее уже похитили ценные исходные коды. Злоумышленники угрожали опубликовать эти данные в открытом доступе, тем самым уничтожив ценность интеллектуальной собственности компании.
Согласно обвинительному заключению, для своих атак хакеры в основном использовали известные уязвимости в популярном ПО (включая уязвимости в приложениях веб-сервера, наборах для разработки веб-приложений и программах для совместной разработки). В некоторых случаях они эксплуатировали и совсем свежие баги, прежде чем большинство пользователей успевало установить исправления. В итоге в сеть жертвы внедрялась малварь для хищения данных, а также веб-шелл, — часто взломщики использовали известный инструмент China Chopper, чтобы поддерживать доступ к скомпрометированной среде.
Также известно, что для кражи информации злоумышленники использовали архивы RAR, подменяли имена файлов и временные метки, а также «прятали» программы и документы в определенных местах скомпрометированных сетей, включая корзины своих жертв.