Один бренд — десятки атак: как работает китайская киберкоалиция Brass Typhoon

Китайская хакерская группа Brass Typhoon, также известная под названиями APT 41 и Barium, снова оказалась в центре внимания исследователей киберугроз. Несмотря на то, что её название звучит реже, чем Volt Typhoon или Salt Typhoon , именно она стоит за целым рядом масштабных и технически изощрённых атак, охватывающих десятки стран и отраслей. Специалисты подчёркивают, что в последнее время активность группы не только не ослабевает, но и становится всё более изощрённой и скрытной.

Группировка действует с начала 2010-х годов, но за последний год вновь отметилась рядом громких атак, включая взломы в сферах телекоммуникаций, энергетики, логистики, полупроводниковых технологий и даже платформ онлайн-гемблинга. При этом в отличие от более «медийных» коллег Brass Typhoon избегает излишнего шума, предпочитая тихую, но целенаправленную активность. По словам исследователей, спектр её целей столь широк, что складывается ощущение: речь идёт не об одной группе, а о целой коалиции под общим брендом.

Среди последних кампаний упоминаются атаки на приложения, используемые в животноводстве, похищение исходных кодов, чертежей микросхем тайваньских производителей, компрометация компаний в области материаловедения, средств массовой информации, высоких технологий и автомобильной промышленности. Во всех этих эпизодах группа использовала усовершенствованное вредоносное ПО и меняла инструменты в зависимости от конкретной цели, что говорит о высокой степени подготовленности и адаптивности.

Brass Typhoon прославилась в конце 2010-х годов благодаря дерзким атакам на цепочки поставок программного обеспечения и взломам телеком-компаний, когда её целью становились записи вызовов. Позже стало известно о её связях с Министерством государственной безопасности Китая. Однако в отличие от типичных групп кибер шпионажа , она параллельно проводила и киберпреступные операции, включая мошенничество в видеоигровой индустрии и махинации с внутриигровой валютой. Такой гибридный подход стал визитной карточкой APT 41.

По мнению аналитиков, особенно сложно стало отслеживать атаки группы из-за слияния её деятельности с другими китайскими хак-группировками. Salt Typhoon, атакующая телеком-сектор США, и Volt Typhoon, нацелившаяся на критическую инфраструктуру, действуют в том же ключе. Вместе они представляют собой часть единой киберэкосистемы, которая создавалась Китаем годами и сегодня демонстрирует высокую эффективность и координацию.

По словам бывшего директора Агентства по кибербезопасности и инфраструктуре США, обсуждать действия каждой отдельной группировки становится всё менее уместно. Все они — лишь части одного большого механизма, в рамках которого Китай становится наиболее устойчивой и мощной киберугрозой на планете. А такие группы, как Brass Typhoon, играют в этой системе важнейшую роль.

Компания Mandiant также подчёркивает, что эпоха громких, легко идентифицируемых атак уходит в прошлое. Сегодня группы всё чаще используют тонкие методы, незаметно обходят защиту и действуют точечно, чтобы не привлекать внимание. Тем не менее, Brass Typhoon по-прежнему проводит и «громкие» операции, но всё чаще делает ставку на осторожность и избегание обнаружения.

Главный вывод, к которому приходят специалисты, прост: Brass Typhoon никуда не исчезла, не свернула деятельность и не ушла в подполье — наоборот, она эволюционировала, научилась маскироваться и продолжает системно атаковать международные компании и отрасли. В условиях, когда границы между шпионажем и киберпреступностью стираются, такие игроки становятся особенно опасными — именно потому, что действуют тихо, но неотвратимо.