В последние годы мир наблюдает за нарастающей активностью китайских хакерских групп, связанных с государственными структурами. Недавние утечки данных, ставшие достоянием общественности благодаря публикациям на англоязычных DarkForums, дали уникальную возможность взглянуть внутрь масштабной и сложной индустрии хакерских услуг, которая существует в Китае. Эти утечки, именуемые как «VenusTech» и «Salt Typhoon», проливают свет на то, как государственные и частные интересы переплетаются в сфере кибератак и сбора разведывательной информации. VenusTech — одна из ключевых компаний на рынке кибербезопасности в Китае, зарекомендовавшая себя как поставщик услуг государственным клиентам. Основанная в 1996 году, она активно работает на государственном рынке, оказывая услуги, включающие в себя и оборонительные, и наступательные кибероперации.
Изучение утечек, связанных с VenusTech, выявило наличие документов и контрактов, отражающих масштаб их участия в проведении кибершпионажа и оказании услуг по взлому различных иностранных объектов. В частности, анализ показал списки организаций, входящих в число целей – это структуры из Гонконга, Индии, Тайваня, Южной Кореи, Хорватии и Таиланда. Одним из самых примечательных моментов стал факт, что компания имела доступ к почтовому серверу Южнокорейского национального собрания и поставляла данные с частотой обновлений четыре раза в месяц за цену порядка 65 тысяч юаней. Эти данные подкрепляют мнение, что китайская государственная машина использует каналы частных компаний для выполнения масштабных операций по кибершпионажу, тщательно маскируя свое участие через сложные юридические и корпоративные организации. Также утечки показали, что VenusTech тесно связана с известными хакерскими группировками, в том числе с XFocus, который еще в 2003 году был создателем вредоносного Blaster-вируса, и Integrity Tech, участвовавшей в операциях, связанных с Flax Typhoon.
Вторая крупная утечка, получившая название Salt Typhoon, относится к группировке, напрямую связанной с Министерством государственной безопасности Китая (MSS). Эта advanced persistent threat (APT) группировка была известна в связи с атаками на крупные американские телекоммуникационные компании и провайдеров интернета, инциденты с которыми были раскрыты в конце 2024 года. Новые данные показывают, что Salt Typhoon продолжает активные операции, направленные на глобальные телекоммуникационные сети и университеты, включая недавний случай с компанией Viasat. Утечки содержат персональные данные сотрудников Salt Typhoon, включая их имена, национальные идентификаторы и контактные телефоны, что является редким случаем раскрытия таких сведений. Помимо этого, была представлена важная информация о скомпрометированных маршрутизаторах, с IP-адресами и конфигурациями, которые позволяли атакующим контролировать трафик.
Значительное количество этих устройств носит маячки устройств Cisco — популярного оборудования в корпоративной и интернет-инфраструктуре. Данные также указывают на сложную сеть бизнес-компаний, используемых для прикрытия деятельности группы. Три компании, среди которых уже известная Sichuan Juxinhe Network Technology Company, а также Beijing Huanyu Tiangiong Information Technology Company Limited и Sichuan Zhixin Ruijie Network Technology Company Limited, выступают в роли продавцов вредоносных услуг и оборудования. Их бизнес-истории характеризуются минимальной цифровой видимостью и ограниченным числом сотрудников, что напоминает типичные «фронт-компании», созданные для маскировки государственной деятельности. Значительным открытием стали связи отдельных сотрудников этих фирм с другими малоизвестными компаниями, демонстрирующими схожие признаки — скрытность и маленькие штаты, что является свидетельством существования целой экосистемы, служащей для ведения кибервойны с минимальными публичными следами.
Среди клиентов этих организаций упоминаются Китайская Народно-освободительная армия, академические институты, работающие на стыке науки и военной кибердеятельности, а также крупные государственные предприятия, такие как Tsinghua Tongfang Co., связанная с Технологическим университетом Цинхуа и ключевым поставщиком военного оборудования. Эти случаи вывели на поверхность несколько важнейших тенденций. Во-первых, государственная структура Китая страдает от масштабных утечек изнутри, где коррумпированные сотрудники дарят ценные сведения на черный рынок. В первую очередь это влияет на обычных граждан Китая, персональные данные которых распространяются среди киберпреступников и иностранных сборщиков информации.
Во-вторых, китайские хакеры и преступные синдикаты активно расширяют свое присутствие в западных киберпреступных пространствах, используя двойные стратегии, как прямые атаки, так и перепродажу украденных данных между разными языковыми сообществами. Эксперты SpyCloud Labs и других аналитических компаний внимательно наблюдают за этими изменениями и считают, что важно понимать не только технические аспекты хакерских операций, но и социально-экономический контекст, в котором развивается эта индустрия. Это комплексное явление, в котором государственные интересы Китая тесно переплетены с частными компаниями и киберпреступными группами, создавая мощный и стойкий механизм воздействия на мировую информационную инфраструктуру. В свете этих утечек международное сообщество получает новые вызовы в области кибербезопасности. Растет необходимость в усовершенствовании механизмов защиты критически важных структур, расширении сотрудничества между странами и создании прозрачных нормативных рамок для регулирования деятельности подобных организаций.
