Группировка Xiaoqiying: кибервойна за идеологию и патриотизм Китая

Согласно новому отчету исследователей безопасности Insikt Group из Recorded Future, в конце января китайскоязычная группировка Xiaoqiying (Genesis Day, Teng Snake) атаковала 12 исследовательских и академических учреждений Южной Кореи с целью кражи данных.

Атаки на южнокорейские учреждения начались 25 января. В частности, пострадали НИИ, медицинские академии и исследовательские институты. Основываясь на анализе Telegram-каналов группы, сообщений на форумах и присутствия группы в Интернете, эксперты заключили, что Xiaoqiying — это хактивистская группа, которая не заинтересована главным образом в финансовой выгоде. Киберпреступники мотивированы патриотизмом к Китаю.

По словам специалистов, с момента обнаружения кампании хакеры уже провели серию новых кибератак против организаций в Японии и на Тайване. Эксперты считают, что группа будет проводить аналогичные кибератаки против Запада и стран НАТО, а также любой враждебной Китаю страны.

Исследователи обнаружили 2 Telegram-канала группировки: один для публикации сообщений, а другой для нескольких других хакеров, но оба канала были закрыты в феврале, когда СМИ начали освещать кибератаки в Южной Корее. До закрытия каналов группа набирала новых членов через Telegram.

На одном из Telegram-каналов (с 700 подписчиков на момент закрытия), хакеры Xiaoqiying заявили, что похитили в общей сложности 54 ГБ данных у различных организаций.

Исследователи Insikt заявили, что канал содержал десятки непроверенных заявлений о кибератаках, совершенных в 2022 году и затронувших ФБР США, Украину, Министерство здравоохранения и обороны Южной Кореи, Тайвань и Японию. Хакеры также утверждали, что получили доступ к внутренней сети компании Samsung.

Партнерские отношения, рекламируемые на канале, включали сотрудничество предположительно с группировками Lapsus$, Hive, пакистанскими и российскими хакерскими группами. Изученные исследователями журналы чатов показали, что группа обычно взламывала IoT-устройства, используя популярные инструменты для пентеста и PoC-эксплоиты.

Связь группы с китайским правительством не была установлена, но тот факт, что группа никогда не стремилась «заработать» на полученном доступе или украденных данных, предполагает, что хакеры имеют идеологическую мотивацию.

Из Telegram-канала исследователям Insikt Group удалось получить, помимо прочего:

• украденные у различных компаний данные;
• инструменты группы;
• исходные коды и образцы вредоносных программ;
• файлы, связанные с госорганами США;
• украденные данные кредитных карт.

Главная страница Xiaoqiying в Интернете

Примечательно, что после закрытия Telegram-каналов участники Xiaoqiying продолжали рекламировать свою деятельность на своём сайте в общедоступном Интернете.

Китайские хакеры – не единственные, кто проводит атаки на Южную Корею. Так, северокорейские киберпреступники являются очень сильными противниками Южной Кореи в киберпространстве. Так, например, недавно команда Google TAG заявила, что северокорейские правительственные хакеры ARCHIPELAGO проводят атаки на правительственный и военный персонал, аналитические центры, политиков, ученых и исследователей в Южной Корее и США.