Китайская хакерская группа, которая, вероятно, спонсируется государством и ранее была связана с атаками на компьютеры Правительства США, по-прежнему «очень активна» и сосредоточена на широком круге целей, которые могут представлять стратегический интерес для правительства и служб безопасности Китая. Об этом говорится в новом отчете частной американской компании по кибербезопасности, опубликованном в четверг.

Хакерская группа, которую в отчете называют RedGolf, настолько тесно пересекается с группами, отслеживаемыми другими компаниями безопасности под названиями APT41 и BARIUM, что считается, что они либо одни и те же, либо очень тесно связаны. Об этом сообщил Джон Кондра, директор по стратегическим и постоянным угрозам Insikt Group, подразделению по исследованию угроз в Google.

Основываясь на предыдущих отчетах о деятельности APT41 и BARIUM и отслеживая цели, которые подверглись атаке, Insikt Group заявила, что выявила кластер доменов и инфраструктуры, «с высокой вероятностью используемых RedGolf в нескольких кампаниях» за последние два года.

«Мы считаем, что эта деятельность, скорее всего, проводится в разведывательных целях, а не для получения финансовой выгоды из-за совпадений с ранее сообщавшимися кампаниями кибершпионажа», – сказал Кондра в ответе по электронной почте на вопросы Associated Press.

Министерство иностранных дел Китая опровергло обвинения, заявив: «Эта компания неоднократно предоставляла ложную информацию о так называемых «китайских хакерских атаках» в прошлом. Их соответствующие действия являются необоснованными обвинениями, надуманными и непрофессиональными».

Китайские власти последовательно отрицают любую форму хакерских атак, спонсируемых государством, вместо этого заявляя, что Китай сам является основной целью кибератак. Министерство иностранных дел Китая отвергло обвинения, заявив: «Эта компания в прошлом неоднократно предоставляла ложную информацию о так называемых «китайских хакерских атаках». Их соответствующие действия являются безосновательными обвинениями, надуманными и непрофессиональными».

Китайские власти последовательно отрицают какие-либо формы хакерских атак, спонсируемых государством, вместо этого заявляя, что сам Китай является главной целью кибератак.

APT41 фигурировал в обвинительном заключении Министерства юстиции США от 2020 года, в котором китайские хакеры обвинялись в нападении на более 100 компаний и учреждений в США и за рубежом, включая компании, занимающиеся социальными сетями и видеоиграми, университеты и поставщиков телекоммуникационных услуг.

В своем анализе Insikt Group заявила, что обнаружила доказательства того, что RedGolf «остается очень активной» в самых разных странах и отраслях, «нацелившись на авиацию, автомобилестроение, образование, правительство, СМИ, информационные технологии и религиозные организации».

Insikt Group не идентифицировала конкретных жертв RedGolf, но заявила, что смогла отследить попытки сканирования и эксплуатации, нацеленные на различные сектора, с помощью версии вредоносного ПО KEYPLUG, также используемого APT41.

Insikt заявила, что обнаружила несколько других вредоносных инструментов, используемых RedGolf в дополнение к KEYPLUG, «все они обычно используются многими группами угроз, спонсируемыми китайским государством».

В 2022 году компания Mandiant, специализирующаяся на кибербезопасности, сообщила, что APT41 несет ответственность за взлом сетей как минимум шести правительств штатов США, также используя KEYPLUG.

В этом случае APT41 использовал ранее неизвестную уязвимость в готовом коммерческом веб-приложении, используемом 18 штатами для управления здоровьем животных, согласно Mandiant, которое теперь принадлежит Google. Он не определил, системы каких штатов были скомпрометированы.

Mandiant назвал APT41 «активной группой киберугроз, которая осуществляет шпионскую деятельность, спонсируемую китайским государством, в дополнение к финансово мотивированной деятельности, которая потенциально находится вне государственного контроля».

Компании, занимающиеся киберразведкой, используют разные методологии отслеживания и часто называют угрозы, которые они выявляют, по-разному, но Кондра сказал, что APT41, BARIUM и RedGolf «вероятно относятся к одному и тому же набору субъектов или групп угроз» из-за сходства их онлайн-инфраструктуры, тактики, техники и процедуры.

«RedGolf — это особенно активная спонсируемая китайским государством группа злоумышленников, которая, вероятно, уже много лет действует против широкого круга отраслей по всему миру», — сказал он.

«Группа продемонстрировала способность быстро использовать в качестве оружия недавно обнаруженные уязвимости и имеет опыт разработки и использования большого количества пользовательских семейств вредоносных программ».

Insikt Group пришла к выводу, что использование вредоносного ПО KEYPLUG через определенные типы серверов управления RedGolf и аналогичными группами «весьма вероятно, продолжится», и рекомендовала клиентам обеспечить их блокировку, как только они будут обнаружены.