The Hack That Made China a Superpower: Operation Shady Rat

CyberNews

22 Oct 202313:49

Summary

TLDRВ 2012 году эксперимент К. Вилхоит демонстрирует уязвимость промышленных систем. Он создает виртуальную воду-станцию с поддельной деятельностью, подключает к интернету и быстро атакуют хакеры из КНДР, России и Европы. Особенно стоит выделить китайских, которые украли документацию и отправили на сервер. Это подтверждает глобальную проблему кибер-шпионажа, которая началась в 2006 году с атаки на южнокорейскую компанию. Хакеры, используя spearfishing и удаленный доступ к компьютерам, собирали данные и расширяли свои сети. В 2011 году McAfee назвал эту активность 'операцией Shady rat', а в 2013 году Mandiant определил хакерскую группу APT1, связанную с китайской армией. Цель атак - кража технологий и интеллектуальной собственности для развития китайской экономики. Несмотря на обвинения и меры США, атаки продолжаются, но стали более скрытными.

Takeaways

🧑‍💻 В 2012 году Кирилл Вилхоит, опытный исследователь в области кибербезопасности, создал экспериментальную сеть промышленных управляющих систем, которая имитирует работу водоочистного завода.
🌐 После подключения к интернету, экспериментальная система была атакована хакерами из разных стран, включая северокорейских военных хакеров и российских групп разработки шифров.
🎣 Одна из атак, которая выделилась, была путем фишинга, в результате которой был украден документ, содержащий информацию об оборудование и документации завода, и отправлен на сервер в Китае.
🔎 Кирилл Вилхоит смог отследить хакеров до серверов в Китае, где были храниться государственные записи, документы и корпоративные секреты.
🔒 В 2006 году началось глобальное появление атак под названием APT (Advanced Persistent Threat), которые использовались для длительного невидимого присутствия в сетях и кражи данных.
📧 Эти атаки обычно начинались с фишингового письма, которое выдавало знакомство с компанией-жертвой и содержало вложение с вредоносным кодом.
🔑 В результате таких атак, теророристы получали доступ к системам и сетям компаний, изучали их и передавали данные в централизованные сервера.
🇺🇸 В результате совместной работы частных компаний кибербезопасности и правительства США стало известно, что первоначальные атаки APT были связаны с китайскими хакерами.
🏢 Группа APT, ответственная за операцию Shady Rat, была идентифицирована как подразделение китайской армии, работающее в здании на окраине Шанхая под названием 61398.
🚀 Одним из первых жертв операции Shady Rat стал американский концерн Martin, откуда было украдено проектирование F-35, самого передового в мире истребителя.
🌏 После скандалов с утечкой данных, китайские хакеры стали более осторожными, используя прокси-сервера и не государственных акторов для обеспеченияausible deniability.

Q & A

Что такое эксперимент, который создал Кайл Уилхоит в декабре 2012 года?
-Эксперимент Кая Уилхоита - это виртуальная модель водной электростанции с сложным оборудованием и документацией, которая работала на нескольких машинах в его подвале, имитируя активность. Он подключил систему к интернету, чтобы изучить, как атаки на неё будут происходить.
Какие атаки были направлены на виртуальную электростанцию после подключения к интернету?
-Электростанция была атакована с разных сторон, включая северокорейские военные хакеры, российские группировки расшифровщиков и тролли из США и Европы. Они пытались подключиться к серверам, ломать страницы входа и внедрять код.
Какой атакующий актор выделился среди всех, кто атакует виртуальную электростанцию?
-Один из атак, отправленных через фишинговые электронные письма, выделился. Письма были хорошо исследованы и содержали легитимные внешние вложения, один текстовый документ скрывал вредоносное ПО, которое отправило информацию об оборудовании электростанции на сервер управления.
Какой хакерской группе приписывается атака на виртуальную электростанцию?
-Атакующим был определен китайский хакерский коллектив APT1, который ведет операцию Shady Rat.
Какие компании были атакованы в результате атаки Shady Rat в 2006 году?
-В результате атаки Shady Rat в 2006 году были атакованы по крайней мере восемь компаний, включая строительные компании и промышленные предприятия.
Что такое 'APT' и как оно связано с атаками Shady Rat?
-APT - это сокращение от 'Advanced Persistent Threat', которое обозначает группу хакеров, способных проводить долгосрочные атаки на компьютерные сети. Термин был придуман для описания таких атак, как Shady Rat.
Какой была цель атак Shady Rat и как они работали?
-Цель атак Shady Rat заключалась в краже данных и интеллектуальной собственности. Хакеры устанавливали удаленный доступ к компьютерам компаний, затем копировали и отправляли информацию о новых технологиях и документации в Китай.
Какие компании помогли раскрыть операцию Shady Rat?
-Компания McAfee и Mandiant помогли раскрыть операцию Shady Rat, определив хакерскую группу APT1 и связав их с китайскими военными.
Какую роль сыграла операция Shady Rat в китайском экономическом росте?
-Операция Shady Rat сыграла важную роль в китайском экономическом росте, предоставив стране доступ к новым технологиям и интеллектуальной собственности, что позволило Китаю ускорить свой прогресс и стать крупным кибер-супердержавой.
Как Китай отреагировал на обвинения в кибершпионаже после раскрытия операции Shady Rat?
-Китай отрицал обвинения в кибершпионаже и заявлял, что США также проводят подобные операции. Однако, хакеры начали быть более осторожными, используя перенаправления трафика и привлекая нестатных участников для проведения атак.
Что такое 'Рыбная нора' (rat cave) и как она использовалась в контексте атак Shady Rat?
-Рыбная нора - это метафорический термин для описания секретных точек доступа к сетям, установленных хакерами. В контексте атак Shady Rat, 'рыбные норы' использовались для длительного доступа к системам и кражи данных.