Китайские полуиндикаторы компрометации

Китайская национальная команда реагирования на инциденты (CNCERT/CC) опубликовала отчёты о двух американских кибератаках. Первое сообщение CNCERT/CC о них вышло месяц назад и содержало краткое описание взломов организации, разрабатывающей и исследующей новые материалы, и предприятия, относящегося к отраслям умной энергетики и цифровой информации.

Теперь каждой атаке посвящён отдельный документ (1, 2) с более развёрнутым описанием и даже некоторыми техническими сведениями — правда, они раскрываются только частично. Например, в отчёте про атаку на предприятие в сфере умной энергетики сообщается, что использовавшийся атакующими стилер маскировался под приложение, связанное с WeChat: WeChatxxxxxxxx.exe. А ещё один бэкдор скрывался под именем tip4XXXXXXXX.php. Аналогичным образом CNCERT/CC поделился и использовавшимися в ходе обеих атак IP-адресами — вторая половина адреса скрыта иксами (см. картинки). (Для максимального удобства отчёты опубликованы в виде JPG-картинок.) Так или иначе, это первый случай, когда CNCERT/CC делится техническими деталями атаки, в которой обвиняются США.

Что касается обвинений, то в этом плане новые отчёты звучат даже более уверенно, чем декабрьское сообщение. Если тогда в тексте говорилось, что в обеих атаках лишь подозреваются американские спецслужбы, то на этот раз обе атаки просто названы американскими. Впрочем, в качестве свидетельств в эту пользу в обоих отчётах приводится только то, что по времени проведения они в основном распределены с 10:00 до 20:00 по восточному времени в США с понедельника по пятницу, а в крупные американские праздники атак не зафиксировано.

Отчёты CNCERT/CC — очередной пример обвинений (или контробвинений) в кибератаках со стороны Китая в адрес США за последние годы. Как и заведено в китайской практике публичной атрибуции кибератак, отчёты получили дополнительное освещение через Global Times на англоязычную аудиторию. Также новость привычным образом прокомментировал МИД Китая на брифинге в пятницу. Официальный представитель министерства Го Цзякунь, отвечая на вопрос СМИ про отчёты CNCERT/CC, заявил:

«Мы приняли к сведению этот доклад. Он в очередной раз разоблачил кибератаки правительства США и кражу коммерческой и интеллектуальной собственности в отношении Китая. Китай выражает серьезную озабоченность в связи с этим и настоятельно призывает американскую сторону немедленно прекратить подобную злонамеренную деятельность. Китай примет необходимые меры для обеспечения собственной кибербезопасности и защиты своих интересов.

Киберпространство — это вопрос национальной безопасности и экономического процветания для всех стран. США следует подумать о себе, прекратить политическую клевету, сначала самим сделать то, о чем они просят других, ответственно соблюдать общие международные правила и сотрудничать с международным сообществом для поддержания мира и безопасности в киберпространстве».