Кібербезпека Коментарі експертів

APT41: вдала модель взаємодії

Спонсороване Китаєм кіберугруповання APT41 (Wicked Panda, Double Dragon, Wicked Spider або Winnti Group), яке проводить фінансово вмотивовані операції, еволюціонувало та більше не зосереджене виключно на ігровій індустрії.

Експерти виявили докази того, що APT41 створює підставні компанії в комп’ютерному та технологічному секторі, наймаючи тестувальників та розробників програмного забезпечення, що послуговує їхній меті продовжувати використовувати агресивні методи для підтримки амбітних цілей розвитку своєї держави.

Так, APT41 в робочий час виконує завдання визначені спеціальними службами своєї держави, а в неробочий – займається злочинною діяльністю з метою отримання фінансової вигоди. У деяких випадках навіть відмічається використання зловмисного програмного забезпечення державного рівня в обох потоках активності.

Китайські групи APT наполегливі у своїй діяльності та утворюють велику мережу злочинних хакерів. Серед інших загроз такого рівня APT41 виділяється завдяки масовому використанню закритого шкідливого ПЗ в неробочий час.

Зосередженість APT41 лише на певних цілях вказує на чітке виконання завдань поставлених Урядом Китаю та відповідний ступень координації.

Так, вилучення APT41 розвідувальної інформації з різноманітних іноземних інститутів розробки вакцин та охорони здоров’я сприяли поглибленню знань та отриманню незаконної конкурентної переваги Китаєм.

Але APT41 націлене не лише на іноземні міжнародні компанії, а також на власних громадян, застосовуючи зловмисне програмне забезпечення для збору великих масивів даних, щоб здійснювати прямий нагляд за високопоставленими китайськими особами.

Протягом часу своєї діяльності APT41 систематично націлювалося на готельні комплекси та місця відпочинку ще до того, як у них зупинялися високопосадовці, щоб отримати їхню особисту інформацію та інформацію, яка дозволяє ідентифікувати особу.

Цей вид прямого, передчасного та конкретного націлювання дає докази того, що спеціальні служби Китаю передають принаймні частину своєї інтрузивної програми стеження кіберзлочинцям у межах своїх кордонів.

Останім часом експерти спостерігали стійкі з’єднання з командно-контрольними серверами (C2) із кількох IP-адрес, пов’язаних із університетами Тайваню (зокрема, Національного тайванського університету) та Гонконгу (зокрема, Гонконзьким університетом науки і технологій), що призвело до успішного отримання учасниками APT41 ідентифікаційних даних співробітників, студентів та випускників даних навчальних освітних закладів.

Те, що APT41 продовжує використовувати подвійне хеджування, незважаючи на те, що вони стали відомими у ЗМІ, не перешкоджає групі продовжувати злом цілей та говорить про те, що уряд держави закриває на це очі.

Повторювані дії злочинного кіберугруповання APT41 роблять дуже малоймовірним те, що воно працює без відома Уряду Китаю, який використовує цю модель для просування своєї державної програми та забезпечення захисту спонсорованих нею кіберзлочинців.