Кибершпионаж на аутсорсе: как Китай привлекает хакеров к госоперациям

Недавний отчёт команды Sekoia и эксперта по кибербезопасности Колина Шавана раскрывает многослойную систему кибератак, поддерживаемую китайскими государственными структурами. Документ под названием «Трёхтактный вальс: экосистема китайских государственно-спонсируемых киберугроз» подробно описывает слаженную работу военных, государственных и гражданских структур, координируемых Коммунистической партией Китая.

Основными «столпами» кибершпионской деятельности Поднебесной являются Народно-освободительная армия Китая (НОАК), Министерство государственной безопасности (МГБ) и Министерство общественной безопасности (МОБ). Каждый из этих акторов имеет свои функции и гармонично дополняет друг друга. Если раньше НОАК отвечала за кибероперации в рамках военных задач, то с 2021 года инициативу перехватило МГБ.

НОАК, обладая значительными кибервозможностями, сосредоточена на достижении информационного превосходства на мировой арене. МГБ, в свою очередь, опирается на разветвлённую сеть региональных отделений и сотрудничество с частными компаниями для проведения шпионажа и контрразведки. Эта тактика позволяет Китаю скрывать непосредственное участие государства, прибегая к услугам частных подрядчиков.

Китайская стратегия кибератак выходит за рамки традиционных государственных структур. Ещё с 1990-х годов патриотически настроенные хакеры поддерживали правительство, самостоятельно атакуя иностранные цели. Со временем власти начали интегрировать эти группы в государственные операции, что стало частью национальной стратегии «Военно-гражданского слияния», инициированной Си Цзиньпином в 2015 году.

Особую тревогу вызывает наличие рынка «хакеров на заказ», где государственные органы заключают контракты с частными компаниями на выполнение киберопераций. Так называемые утечки I-SOON продемонстрировали, что в этой системе ключевую роль играют подрядчики на региональном уровне. Это подтверждает, что провинциальные и городские структуры МГБ и МОБ обладают значительной автономией в проведении кибератак.

Конкурсы, подобные Tianfu Cup, позволяют привлекать гражданских хакеров для выявления уязвимостей, которые затем используются в государственных операциях. Закрытость китайской кибербезопасности и запрет на обмен уязвимостями с международным сообществом способствуют накоплению уникальных инструментов внутри страны.

Анализ Sekoia подчёркивает, что Китай продолжает размывать границы между государственными и частными кибероператорами. Это усложняет атрибуцию атак и требует пересмотра подходов к обеспечению кибербезопасности.