APT1
APT1 (также известная как Advanced Persistent Threat 1, «Команда 61398», «Соло» или «Бамбуковый урожай») — это условное обозначение, присвоенное группой американской компании Mandiant (ныне подразделение Google Cloud) хакерской группировке, специализирующейся на кибершпионаже. Впервые публично идентифицирована в 2013 году в докладе Mandiant «APT1: Exposing One of China’s Cyber Espionage Units». По данным расследования, группировка базируется на территории Китайской Народной Республики, а её деятельность, по оценкам западных экспертов, связана с интересами китайского правительства, в частности, с подразделением Народно-освободительной армии Китая (НОАК). Основной целью APT1 является кража интеллектуальной собственности, коммерческих тайн и конфиденциальной информации у организаций в различных отраслях по всему миру, с особым акцентом на США и другие западные страны.
История и происхождение
Первое упоминание и доклад Mandiant (2013)
Термин APT1 был введён в широкий оборот компанией Mandiant, которая в феврале 2013 года опубликовала подробный отчёт, основанный на многолетнем анализе атак. В докладе утверждалось, что группировка действует как минимум с 2006 года, а её активность достигла пика в 2010–2012 годах. Mandiant связала инфраструктуру APT1 с конкретным IP-адресом в городе Пудун (Шанхай, КНР), который принадлежал военному подразделению НОАК — 61398-й части. В докладе приводились доказательства: технические данные (IP-адреса, домены, образцы вредоносного ПО), временные метки (рабочие часы по пекинскому времени), а также лингвистический анализ (использование упрощённого китайского языка в коде).
Реакция Китая
Правительство КНР официально отвергло обвинения, заявив, что они являются бездоказательными и наносят ущерб международному сотрудничеству в области кибербезопасности. Китайские официальные лица неоднократно подчёркивали, что страна сама является жертвой кибератак, и призывали к диалогу на основе взаимного уважения. Впоследствии, в 2014 году, США предъявили обвинения пяти китайским военным хакерам, связанным с APT1, но Китай не признал эти обвинения.
Дальнейшая эволюция названия
После публикации доклада Mandiant термин APT1 стал нарицательным для обозначения государственных кибершпионских групп. Позднее, в рамках классификации других компаний по кибербезопасности (например, CrowdStrike, FireEye, Kaspersky), APT1 получила дополнительные идентификаторы: «Соло» (у CrowdStrike), «Бамбуковый урожай» (у FireEye) и «Команда 61398». В некоторых источниках её также связывают с группами APT10 (Red Apollo) и APT30 (Lotus Blossom), хотя точная степень родства остаётся предметом дискуссий.
Характеристики и методы работы
Цели и жертвы
APT1 нацеливалась преимущественно на организации в следующих отраслях:
- Аэрокосмическая и оборонная промышленность (Lockheed Martin, Boeing, Northrop Grumman — по данным Mandiant).
- Высокотехнологичные компании (производители полупроводников, телекоммуникационное оборудование).
- Энергетический сектор (нефтегазовые компании, операторы электросетей).
- Финансовый сектор (банки, инвестиционные фонды).
- Научно-исследовательские институты и университеты (особенно в области материаловедения, нанотехнологий и биотехнологий).
Географически жертвы были распределены по всему миру, но наибольшее количество приходилось на США, Великобританию, Канаду, Австралию, а также на страны Европы и Азиатско-Тихоокеанского региона.
Инструментарий и тактика
Группировка использовала широкий спектр инструментов, включая:
- Вредоносное ПО (malware): трояны удалённого доступа (RAT), такие как Poison Ivy (PIVY), Gh0st RAT, PlugX, а также специализированные бэкдоры.
- Фишинг (spear-phishing): целевые письма с вредоносными вложениями (например, документами Word с макросами) или ссылками на заражённые сайты. Письма часто маскировались под официальные запросы от партнёров или коллег.
- Эксплойты нулевого дня (zero-day): использование ранее неизвестных уязвимостей в программном обеспечении (например, в Microsoft Office, Adobe Reader, Internet Explorer) для обхода защиты.
- Социальная инженерия: манипулирование сотрудниками для получения доступа к системам или паролям.
- Использование легитимных инструментов: после проникновения злоумышленники использовали стандартные системные утилиты Windows (например,
netstat,ipconfig,regedit) для разведки и перемещения по сети.
Инфраструктура
Для управления заражёнными компьютерами (C2, Command and Control) APT1 использовала сотни серверов по всему миру, включая арендованные VPS (Virtual Private Server) в США, Европе и Азии. Коммуникация с C2-серверами часто маскировалась под обычный веб-трафик (HTTP/HTTPS) или использовала протоколы, не вызывающие подозрений у систем обнаружения вторжений (IDS). По данным Mandiant, в период с 2006 по 2013 год было зафиксировано более 10 000 уникальных IP-адресов, связанных с деятельностью APT1.
Классификация и критика
Проблемы атрибуции
Атрибуция кибератак — сложный и часто спорный процесс. Технические данные (IP-адреса, стиль кода, временные метки) могут быть сфальсифицированы или использованы для ложной атрибуции. Критики доклада Mandiant указывали на то, что:
- IP-адреса могут быть скомпрометированы третьими лицами, выдающими себя за китайских хакеров.
- Связь с 61398-й частью НОАК не была окончательно доказана техническими методами, а основывалась на косвенных уликах.
- Доклад мог быть использован в политических целях для усиления антикитайской риторики.
Тем не менее, большинство экспертов по кибербезопасности признают, что APT1 является реальной и высокоактивной группировкой, а её связь с китайским государством — наиболее вероятным объяснением её возможностей и целей.
Статус в РФ
В России деятельность APT1 не признаётся официально, а сама группировка не включена в какие-либо реестры запрещённых организаций. Российские эксперты по кибербезопасности, как правило, рассматривают APT1 в контексте глобального противостояния в киберпространстве, отмечая, что аналогичные группы существуют и в других странах, включая США, Россию, Израиль и Великобританию. В российской правовой системе отсутствует понятие «государственная хакерская группа», поэтому APT1 не подпадает под юрисдикцию РФ.
Влияние и последствия
Изменение подходов к кибербезопасности
Публикация доклада Mandiant стала поворотным моментом в истории кибербезопасности. Она:
- Повысила осведомлённость бизнеса и правительств о реальности государственного кибершпионажа.
- Стимулировала развитие методов обнаружения и реагирования на продвинутые угрозы (APT).
- Привела к созданию новых стандартов и практик в области кибергигиены (например, многофакторная аутентификация, сегментация сетей, регулярное обновление ПО).
- Ускорила принятие законов о кибербезопасности в ряде стран (например, в США — Executive Order 13636).
Политические последствия
Дело APT1 обострило отношения между США и Китаем в сфере киберпространства. В 2014 году Министерство юстиции США предъявило обвинения пяти офицерам НОАК, приписываемым к APT1. В ответ Китай приостановил сотрудничество с США по ряду вопросов кибербезопасности. В 2015 году, после серии двусторонних переговоров, было достигнуто соглашение о неприменении кибератак в коммерческих целях, однако эксперты отмечают, что активность APT1 и подобных групп не прекратилась, а лишь изменила тактику.
Интересные факты
- Название «APT1» было выбрано Mandiant не случайно: оно символизировало «первую» (по значимости и активности) из выявленных групп.
- В докладе Mandiant приводился пример, когда APT1 взломала серверы компании, занимающейся производством солнечных батарей, и украла чертежи нового поколения фотоэлементов, что позволило китайским производителям сократить разрыв в технологиях.
- Некоторые эксперты связывают APT1 с группой Comment Crew (также известной как «Команда комментаторов»), которая в 2007–2008 годах атаковала правительственные сайты ряда стран, включая США и Тайвань.
Источники
- Mandiant. «APT1: Exposing One of China’s Cyber Espionage Units». 2013.
- FireEye. «Redline: The Chinese Cyber Espionage Campaign». 2014.
- CrowdStrike. «Global Threat Report». 2015–2018.
- Kaspersky Lab. «The Chinese Cyber Espionage Group: A Technical Analysis». 2016.
- Министерство юстиции США. «United States v. Wang Dong et al.». 2014.
- Отчёты компаний Positive Technologies, Group-IB, «Лаборатории Касперского» (за 2013–2020 годы).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →