Китайская хакерская индустрия: редкий взгляд

ПЕКИН –

Отель был просторным. Это было высококлассно. Там был караоке-бар. Идеальное место, по мнению генерального директора китайской хакерской компании, для проведения банкета в честь Лунного Нового года, заискивая перед правительственными чиновниками. Был только один недостаток, сказал его первый заместитель.

“Кто туда ходит? – написал депутат. – Девочки такие некрасивые”.

Таковы же грязные махинации и сделки, происходящие за кулисами китайской хакерской индустрии, о чем свидетельствует весьма необычная утечка в прошлом месяце внутренних документов частного подрядчика, связанного с правительством и полицией Китая. Как показывают документы, китайская хакерская индустрия страдает от теневой деловой практики, недовольства зарплатой и качеством работы, а также плохих протоколов безопасности.

Частные хакерские подрядчики — это компании, которые крадут данные из других стран для продажи китайским властям. За последние два десятилетия потребность китайской государственной безопасности в зарубежной разведке резко возросла, что привело к появлению обширной сети частных хакерских компаний, которые проникли в сотни систем за пределами Китая.

Хотя существование этих хакерских подрядчиков в Китае ни для кого не секрет, о том, как они работают, было мало что известно. Но просочившиеся документы фирмы I-Soon приоткрыли завесу, обнажив захудалую, разросшуюся отрасль, в которой срезаны углы, а правила неясны и плохо соблюдаются в стремлении заработать деньги.

По просочившимся записям чата видно, что руководители I-Soon ухаживали за чиновниками за счет роскошных ужинов и запоев поздно вечером. Они вступают в сговор с конкурентами, чтобы сфальсифицировать тендеры на государственные контракты. Они платят тысячи долларов в виде «вступительных взносов» контактам, которые предлагают им прибыльные проекты. И-Сун не прокомментировал документы.

Мэй Дановски, аналитик по кибербезопасности, написавшая об I-Soon в своем блоге Natto Thoughts, сказала, что документы показывают, что наемные хакеры в Китае работают так же, как и в любой другой отрасли Китая.

«Это ориентировано на получение прибыли», — сказал Дановский. «Это зависит от деловой культуры Китая — кого вы знаете, с кем обедаете и пьете вино, и с кем дружите».

Взлом в стиле патриотизма

Хакерская индустрия Китая выросла из ранней хакерской культуры страны, впервые появившейся в 1990-х годах, когда граждане покупали компьютеры и выходили в Интернет.

Среди них был основатель и генеральный директор I-Soon У Хайбо. У был членом первой в Китае хактивистской группы «Зеленая армия» — группы, неофициально известной как «Академия Вампоа» в честь знаменитой китайской военной школы.

Ву и некоторые другие хакеры отличились, объявив себя «красными хакерами» — патриотами, которые предлагали свои услуги Коммунистической партии Китая, в отличие от вольного, анархистского и анти-истеблишментского духа, популярного среди многих программистов.

В 2010 году Ву основал I-Soon в Шанхае. В интервью, которые он дал китайским СМИ, изображен человек, решивший укрепить хакерский потенциал своей страны, чтобы догнать конкурентов. В одном интервью 2011 года Ву посетовал, что Китай все еще сильно отстает от США: «В Китае много энтузиастов технологий, но очень мало просвещенных людей».

С распространением Интернета индустрия хакеров по найму в Китае процветала, уделяя особое внимание шпионажу и краже интеллектуальной собственности.

Громкие хакерские атаки китайских государственных агентов, в том числе взлом Управления кадров США, в результате которого были украдены личные данные 22 миллионов существующих или потенциальных федеральных служащих, стали настолько серьезными, что тогдашний президент США Барак Обама лично пожаловался китайскому лидеру Си Цзиньпину. В 2015 году они договорились сократить шпионаж.

За пару лет вторжения утихли. Но I-Soon и другие частные хакерские организации вскоре стали более активными, чем когда-либо, обеспечивая китайским силам государственной безопасности прикрытие и возможность отрицать свою деятельность. I-Soon является «частью экосистемы подрядчиков, которая связана с китайской патриотической хакерской сценой», — сказал Джон Халтквист, главный аналитик подразделения кибербезопасности Google Mandiant.

В наши дни китайские хакеры представляют собой грозную силу.

В мае 2023 года Microsoft сообщила, что спонсируемая китайским государством хакерская группа, связанная с Народно-освободительной армией Китая, под названием «Вольт Тайфун» нацелена на критически важную инфраструктуру, такую ​​​​как телекоммуникации и порты на Гуаме, Гавайях и в других местах, и может закладывать основу для сбоев в работе событие конфликта.

Сегодня хакеры, подобные хакерам I-Soon, превосходят численность сотрудников ФБР по кибербезопасности «как минимум в 50 раз», заявил директор ФБР Кристофер Рэй в январе на конференции в Мюнхене.

Документы раскрывают неблагополучную государственную отрасль

Хотя I-Soon хвасталась своим хакерским мастерством в блестящих маркетинговых презентациях PowerPoint, настоящий бизнес разворачивался на вечеринках с тушеным мясом, ночных попойках и браконьерских войнах с конкурентами, как показывают просочившиеся записи. Вырисовывается картина компании, запутавшейся в захудалой, разросшейся отрасли, которая в значительной степени полагается на связи для достижения цели.

Руководство I-Soon обсудило покупку подарков и то, какие чиновники любят красное вино. Они обменялись советами о том, кто является легковесом и кто может справиться с выпивкой.

Как показывают записи чата, руководители I-Soon заплатили «вступительные взносы» за прибыльные проекты, в том числе десятки тысяч юаней (тысячи долларов) человеку, который заключил с ними контракт на 285 000 юаней (40 000 долларов США) с полицией провинции Хэбэй. Чтобы подсластить сделку, главный операционный директор I-Soon Чэнь Ченг предложил устроить мужчине попойку и караоке с женщинами.

«Ему нравится прикасаться к девушкам», — написал Чен.

Они ухаживали не только за чиновниками. Конкуренты также становились объектом ухаживаний во время ночных выпивок. Некоторые из них были партнерами — субподрядчиками или сотрудниками государственных проектов. Другие были ненавистными конкурентами, которые постоянно переманивали своих сотрудников. Зачастую они были и тем, и другим.

Одного из них, китайского гиганта кибербезопасности Ци Аньсиня, вызывали особую ненависть, несмотря на то, что он был одним из ключевых инвесторов и деловых партнеров I-Soon.

«Отдел кадров Ци Аньсинь — это сучка из зеленого чая, которая повсюду соблазняет наших молодых людей и у нее нет морали», — написал операционный директор Чен генеральному директору Ву, используя китайское интернет-оскорбление, относящееся к невинным на вид, но амбициозным молодым женщинам.

У I-Soon также сложные отношения с Chengdu 404, конкурентом, обвиненным Министерством юстиции США во взломе более 100 целей по всему миру. Они работали с 404 и пили со своими руководителями, но задерживали выплаты компании и в конечном итоге им предъявили иск из-за контракта на разработку программного обеспечения, как показывают протоколы китайского суда.

Источник документов I-Soon неясен, расследование ведут руководители и китайская полиция. И хотя Пекин неоднократно отрицал свою причастность к наступательным хакерским атакам, эта утечка иллюстрирует глубокие связи I-Soon и других хакерских компаний с китайским государством.

Например, записи чата показывают, что Министерство общественной безопасности Китая предоставило компаниям доступ к доказательствам концепции так называемых «нулевых дней» — отраслевого термина, обозначающего ранее неизвестную дыру в безопасности программного обеспечения. Нулевые дни ценятся, потому что их можно использовать до тех пор, пока они не будут обнаружены. Руководители компании I-Soon обсуждали, как их получить. Их регулярно обнаруживают на ежегодных хакерских соревнованиях, спонсируемых китайским государством.

В других записях руководители обсуждали спонсирование хакерских соревнований в китайских университетах для поиска новых талантов.

Как следует из просочившегося списка контрактов, многие из клиентов I-Soon были полицейскими в городах по всему Китаю. Я-Сун искал базы данных, которые, по их мнению, могли бы хорошо продаваться офицерам, например, данные о дорожном движении Вьетнама в юго-восточной провинции Юньнань или данные о изгнанных тибетцах для тибетского регионального правительства.

Иногда I-Soon взламывал по требованию. В одном из чатов видно, как две стороны обсуждают потенциального «долгосрочного клиента», которого интересуют данные из нескольких правительственных учреждений, связанные с неназванным «премьер-министром».

Как показывают китайские корпоративные отчеты, китайское государственное учреждение, Китайская академия наук, также владеет небольшой долей в I-Soon через тибетский инвестиционный фонд.

Я-Сун провозгласил свой патриотизм, чтобы выиграть новый бизнес. Высшие руководители обсудили участие в программе борьбы с бедностью в Китае — одной из фирменных инициатив китайского лидера Си Цзиньпина — чтобы установить связи. Генеральный директор I-Soon Ву предложил своему операционному директору стать членом Народной политической консультативной конференции Чэнду, правительственного консультативного органа, состоящего из ученых, предпринимателей и других видных членов общества. А в интервью государственным СМИ У цитировал Мэн-цзы, китайского философа, называвшего себя учёным, озабоченным национальными интересами Китая.

Но, несмотря на заявленный Ву патриотизм, просочившиеся записи разговоров рассказывают более сложную историю. Они изображают конкурентоспособного человека, стремящегося разбогатеть.

«Вы не можете быть Лэй Фэном», — писал Ву в личных сообщениях, имея в виду давно умершего коммунистического рабочего, которого на протяжении поколений пропагандировали как образец самоотверженности. — Если вы не зарабатываете деньги, быть знаменитым бесполезно. “

Слабая безопасность, низкая оплата труда хакеров

Как показывают просочившиеся документы, быстро развивающаяся индустрия найма хакеров в Китае пострадала от недавнего экономического спада в стране, что привело к снижению прибылей, низкой заработной плате и оттоку талантов.

I-Soon потеряла деньги и боролась с проблемами с денежными потоками, задерживая выплаты субподрядчикам. За последние несколько лет пандемия ударила по экономике Китая, вынудив полицию сократить расходы, которые нанесли ущерб прибыли I-Soon. «У правительства нет денег», — написал в 2020 году операционный директор I-Soon.

Персоналу часто плохо платят. В документе о заработной плате, датированном 2022 годом, большинству сотрудников групп оценки безопасности и разработки программного обеспечения I-Soon платили всего от 5600 юаней (915 долларов США) до 9000 юаней (1267 долларов США) в месяц, и лишь немногие получали больше. В документах чиновники I-Soon признавали низкую зарплату и беспокоились о репутации компании.

Низкие зарплаты и неравенство в оплате труда стали причиной жалоб сотрудников, как показывают записи чата. Утечка в списках сотрудников показывает, что большинство сотрудников I-Soon имели диплом профессионально-технического училища, а не степень бакалавра, что предполагает более низкий уровень образования и подготовки. Сотрудники отдела продаж сообщили, что клиенты были недовольны качеством данных I-Soon, что затрудняло сбор платежей.

I-Soon — это часть хакерской экосистемы Китая. Страна может похвастаться хакерами мирового уровня, многие из которых работают в китайской армии и других государственных учреждениях. Однако проблемы компании отражают более широкие проблемы частной хакерской индустрии Китая. Падение экономики страны, ужесточение контроля со стороны Пекина и растущая роль государства привели к оттоку лучших хакерских талантов, сообщили Associated Press четыре аналитика по кибербезопасности и инсайдеры китайской отрасли.

«Китай больше не та страна, которую мы знали. Многие высококвалифицированные люди уходят», — сказал один из представителей отрасли, отказавшись от своего имени для обсуждения деликатной темы. При Си Цзиньпине, добавил этот человек, растущая роль государства в технологической отрасли Китая поставила идеологию выше компетентности, препятствовала оплате труда и сделала доступ к чиновникам ключевым.

Основная проблема, по мнению людей, заключается в том, что большинству китайских чиновников не хватает технической грамотности для проверки утверждений подрядчиков. Поэтому хакерские компании отдают предпочтение заискиванию перед достижением совершенства.

В последние годы Пекин активно продвигал технологическую индустрию Китая и использование технологий в правительстве, что является частью более широкой стратегии по содействию подъему страны. Но большая часть работ по работе с данными и кибербезопасностью в Китае была передана по контракту более мелким субподрядчикам с начинающими программистами, что привело к неэффективной цифровой практике и крупным утечкам данных.

Несмотря на тайный характер работы I-Soon, в компании действуют на удивление слабые протоколы безопасности. Офисы I-Soon в Чэнду, например, имеют минимальный уровень безопасности и открыты для публики, несмотря на плакаты на стенах офисов, напоминающие сотрудникам, что «хранить тайны страны и партии — обязательная обязанность каждого гражданина». показывают, что топ-менеджеры I-Soon часто общаются через WeChat, в котором отсутствует сквозное шифрование.

Документы действительно свидетельствуют о том, что сотрудники проверяются на политическую благонадежность. Например, один показатель показывает, что I-Soon проверяет, есть ли у сотрудников родственники за границей, а другой показывает, что сотрудники классифицируются в зависимости от того, являются ли они членами правящей Коммунистической партии Китая.

Тем не менее, Дановски, аналитик по кибербезопасности, говорит, что многие стандарты в Китае часто «просто для галочки». Но в конце концов, добавила она, это может не иметь значения.

«Это немного неряшливо. Инструменты не так впечатляют. Но Министерство общественной безопасности следит за тем, чтобы вы выполнили свою работу», — сказала она об I-Soon. «Они наймут того, кто сможет выполнить работу».

___

Су сообщил из Гонконга. В написании этого отчета участвовал писатель AP Technology Фрэнк Баяк из Бостона.