Интеллектуальная собственность в опасности

Израильско-американская компания, занимающаяся кибербезопасностью, заявила, что раскрыла крупную хакерскую операцию. По-видимому, ее проводила группа хакеров, которая, как полагают, поддерживается Китаем и которая на трех континентах занималась кражей интеллектуальной собственности, а также промышленным шпионажем.

Компания Cybereason со штаб-квартирой в Бостоне и офисами в Тель-Авиве, Лондоне и Токио пояснила, что хакеры использовали сложные методы кибератак и долгое время были неуловимыми, атакуя технологические и производственные компании в США, Европе и Азии с целью похищения конфиденциальной информации.

Ассаф Дахан, старший директор и глава отдела исследования киберугроз в Cybereason, сказал, что группа злоумышленников, известнaя как Winnti Group (а также отслеживаемaя в кругах кибербезопасности как APT41, Blackfly и Barium), былa «одной из самых плодовитых и усердных» группировок кибермошенников. Есть веские доводы полагать, что она действует в интересах китайского государства.

Winnti Group работает как минимум с 2010 г. В 2020 г. Министерство юстиции США предъявило некоторым известным членам группы обвинения в киберпреступлениях против примерно 100 компаний в США и других странах. В их числе были компании-разработчики программного обеспечения, производители компьютерного оборудования, телекоммуникационные компании, провайдеры и разработчики компьютерных игр.

Дахан отметил, что исследование Cybereason показало, что Winnti Group занималась «кражей интеллектуальной собственности и кибершпионажем в крупных масштабах» как минимум с 2019 г., а возможно, и с более раннего периода. Компания Cybereason началa изучение деятельности группы в области промышленного шпионажа в прошлом году, будучи предупрежденной одной из подопечных фирм о том, что в ее сети происходит что-то «странное». Дахан рассказал, что исследователи Cybereason смогли наблюдать в режиме реального времени за усилиями группы по получению конфиденциальных данных, в том числе сведений о патентах и разработках, исходных кодов, технических чертежей и производственных инструкций.

«Уровень их скрытности и изощренности был очень высок, – сказал Дахан, описывая методы работы группы в контексте этой конкретной хакерской операции как „карточный домик“, состоящий из нескольких компонентов, которые были взаимосвязаны. – Это невероятно сложный процесс развертывания работы, когда все компоненты должны работать вместе в определенном порядке. Весь процесс очень сложно обнаружить, потому что каждый компонент в отдельности не выглядит вредоносным. Это тщательно продуманный способ того, как избежать обнаружения, и он сработал – они действовали незамеченными в течение минимум трех лет».

В ходе анализа этой преступной деятельности Cybereason удалось обнаружить ранее недокументированное семейство вредоносных программ, включая новую версию вредоносного программного обеспечения Winnti под названием WINNKIT, которое Дахан назвал «очень продвинутым киберинструментом китайского происхождения, – вероятно, военной разведки Китая».

Вредоносная программа позволяла хакерам проводить выявление и фиксацию учетных данных для извлечения нескольких паролей и регистрационной информации, что позволяло им перемещаться по сети. Взлом позволил злоумышленникам украсть особо важную информацию с важных серверов и конечных точек, принадлежащих высокопоставленным заинтересованным сторонам.

Дахан сказал, что степень ущерба, нанесенного компаниям-мишеням, трудно оценить. Cybereason заявила, что проинформировала о своем исследовании Федеральное бюро расследований (ФБР) и Министерство юстиции США.

Западные страны, в частности США и Великобритания, на протяжении многих лет обвиняли Китай в крупномасштабных хакерских операциях, направленных на кражу огромных объемов данных, включая коммерческие тайны и научную информацию, а также личные данные граждан.

В отчете Bloomberg за прошлый год подробно описано, как китайские оперативники смогли взломать компьютерные сети крупных компаний, используя крупного американского поставщика технологий.

В 2018 г. власти США предъявили обвинения двум предполагаемым китайским хакерам, которые, как утверждается, действовали от имени главного разведывательного управления Пекина с целью кражи коммерческой тайны и другой информации из государственных учреждений и крупных корпораций Соединенных Штатов, а также других стран. Целевые государства, упомянутые в обвинительном заключении США, включают Бразилию, Канаду, Финляндию, Францию, Германию, Индию, Японию, Швецию, Швейцарию и Объединенные Арабские Эмираты.

В прошлом году Cybereason в отдельном отчете сообщил, что китайские хакерские группы, поддерживаемые их государством, взломали как минимум пять глобальных телекоммуникационных компаний, похитив записи телефонных разговоров и данные о местоположении абонентов.

Компания Cybereason, основанная в 2012 г., за последнее десятилетие привлекла более 700 млн. долл. капитала с помощью таких инвесторов, как GV (ранее известна как Google Ventures), венчурного подразделения Alphabet, Softbank, CRV, Spark Capital, Lockheed Martin и Liberty Strategic Capital – частной инвестиционной компании, созданной в начале 2021 г. бывшим министром финансов США Стивеном Мначинoм.

Cybereason использует поведенческую аналитику и машинное обучение для обработки информации в режиме реального времени и обеспечения расширенного обнаружения кибератак и реагирования на них. Согласно веб-сайту Cybereason, ее программное обеспечение может дать знать компаниям, в случае если они подвергаются атаке, оценить уровень нежелательного воздействия и принять меры для устранения угрозы.

 

Сергей ХАУДРИНГ