Открыть сервис

APT1

APT1 (также известная как Advanced Persistent Threat 1, «Команда 61398», «Соло» или «Бамбуковый урожай») — это условное обозначение, присвоенное группой американской компании Mandiant (ныне подразделение Google Cloud) хакерской группировке, специализирующейся на кибершпионаже. Впервые публично идентифицирована в 2013 году в докладе Mandiant «APT1: Exposing One of China’s Cyber Espionage Units». По данным расследования, группировка базируется на территории Китайской Народной Республики, а её деятельность, по оценкам западных экспертов, связана с интересами китайского правительства, в частности, с подразделением Народно-освободительной армии Китая (НОАК). Основной целью APT1 является кража интеллектуальной собственности, коммерческих тайн и конфиденциальной информации у организаций в различных отраслях по всему миру, с особым акцентом на США и другие западные страны.

История и происхождение

Первое упоминание и доклад Mandiant (2013)

Термин APT1 был введён в широкий оборот компанией Mandiant, которая в феврале 2013 года опубликовала подробный отчёт, основанный на многолетнем анализе атак. В докладе утверждалось, что группировка действует как минимум с 2006 года, а её активность достигла пика в 2010–2012 годах. Mandiant связала инфраструктуру APT1 с конкретным IP-адресом в городе Пудун (Шанхай, КНР), который принадлежал военному подразделению НОАК — 61398-й части. В докладе приводились доказательства: технические данные (IP-адреса, домены, образцы вредоносного ПО), временные метки (рабочие часы по пекинскому времени), а также лингвистический анализ (использование упрощённого китайского языка в коде).

Реакция Китая

Правительство КНР официально отвергло обвинения, заявив, что они являются бездоказательными и наносят ущерб международному сотрудничеству в области кибербезопасности. Китайские официальные лица неоднократно подчёркивали, что страна сама является жертвой кибератак, и призывали к диалогу на основе взаимного уважения. Впоследствии, в 2014 году, США предъявили обвинения пяти китайским военным хакерам, связанным с APT1, но Китай не признал эти обвинения.

Дальнейшая эволюция названия

После публикации доклада Mandiant термин APT1 стал нарицательным для обозначения государственных кибершпионских групп. Позднее, в рамках классификации других компаний по кибербезопасности (например, CrowdStrike, FireEye, Kaspersky), APT1 получила дополнительные идентификаторы: «Соло» (у CrowdStrike), «Бамбуковый урожай» (у FireEye) и «Команда 61398». В некоторых источниках её также связывают с группами APT10 (Red Apollo) и APT30 (Lotus Blossom), хотя точная степень родства остаётся предметом дискуссий.

Характеристики и методы работы

Цели и жертвы

APT1 нацеливалась преимущественно на организации в следующих отраслях:

  • Аэрокосмическая и оборонная промышленность (Lockheed Martin, Boeing, Northrop Grumman — по данным Mandiant).
  • Высокотехнологичные компании (производители полупроводников, телекоммуникационное оборудование).
  • Энергетический сектор (нефтегазовые компании, операторы электросетей).
  • Финансовый сектор (банки, инвестиционные фонды).
  • Научно-исследовательские институты и университеты (особенно в области материаловедения, нанотехнологий и биотехнологий).

Географически жертвы были распределены по всему миру, но наибольшее количество приходилось на США, Великобританию, Канаду, Австралию, а также на страны Европы и Азиатско-Тихоокеанского региона.

Инструментарий и тактика

Группировка использовала широкий спектр инструментов, включая:

  • Вредоносное ПО (malware): трояны удалённого доступа (RAT), такие как Poison Ivy (PIVY), Gh0st RAT, PlugX, а также специализированные бэкдоры.
  • Фишинг (spear-phishing): целевые письма с вредоносными вложениями (например, документами Word с макросами) или ссылками на заражённые сайты. Письма часто маскировались под официальные запросы от партнёров или коллег.
  • Эксплойты нулевого дня (zero-day): использование ранее неизвестных уязвимостей в программном обеспечении (например, в Microsoft Office, Adobe Reader, Internet Explorer) для обхода защиты.
  • Социальная инженерия: манипулирование сотрудниками для получения доступа к системам или паролям.
  • Использование легитимных инструментов: после проникновения злоумышленники использовали стандартные системные утилиты Windows (например, netstat, ipconfig, regedit) для разведки и перемещения по сети.

Инфраструктура

Для управления заражёнными компьютерами (C2, Command and Control) APT1 использовала сотни серверов по всему миру, включая арендованные VPS (Virtual Private Server) в США, Европе и Азии. Коммуникация с C2-серверами часто маскировалась под обычный веб-трафик (HTTP/HTTPS) или использовала протоколы, не вызывающие подозрений у систем обнаружения вторжений (IDS). По данным Mandiant, в период с 2006 по 2013 год было зафиксировано более 10 000 уникальных IP-адресов, связанных с деятельностью APT1.

Классификация и критика

Проблемы атрибуции

Атрибуция кибератак — сложный и часто спорный процесс. Технические данные (IP-адреса, стиль кода, временные метки) могут быть сфальсифицированы или использованы для ложной атрибуции. Критики доклада Mandiant указывали на то, что:

  • IP-адреса могут быть скомпрометированы третьими лицами, выдающими себя за китайских хакеров.
  • Связь с 61398-й частью НОАК не была окончательно доказана техническими методами, а основывалась на косвенных уликах.
  • Доклад мог быть использован в политических целях для усиления антикитайской риторики.

Тем не менее, большинство экспертов по кибербезопасности признают, что APT1 является реальной и высокоактивной группировкой, а её связь с китайским государством — наиболее вероятным объяснением её возможностей и целей.

Статус в РФ

В России деятельность APT1 не признаётся официально, а сама группировка не включена в какие-либо реестры запрещённых организаций. Российские эксперты по кибербезопасности, как правило, рассматривают APT1 в контексте глобального противостояния в киберпространстве, отмечая, что аналогичные группы существуют и в других странах, включая США, Россию, Израиль и Великобританию. В российской правовой системе отсутствует понятие «государственная хакерская группа», поэтому APT1 не подпадает под юрисдикцию РФ.

Влияние и последствия

Изменение подходов к кибербезопасности

Публикация доклада Mandiant стала поворотным моментом в истории кибербезопасности. Она:

  • Повысила осведомлённость бизнеса и правительств о реальности государственного кибершпионажа.
  • Стимулировала развитие методов обнаружения и реагирования на продвинутые угрозы (APT).
  • Привела к созданию новых стандартов и практик в области кибергигиены (например, многофакторная аутентификация, сегментация сетей, регулярное обновление ПО).
  • Ускорила принятие законов о кибербезопасности в ряде стран (например, в США — Executive Order 13636).

Политические последствия

Дело APT1 обострило отношения между США и Китаем в сфере киберпространства. В 2014 году Министерство юстиции США предъявило обвинения пяти офицерам НОАК, приписываемым к APT1. В ответ Китай приостановил сотрудничество с США по ряду вопросов кибербезопасности. В 2015 году, после серии двусторонних переговоров, было достигнуто соглашение о неприменении кибератак в коммерческих целях, однако эксперты отмечают, что активность APT1 и подобных групп не прекратилась, а лишь изменила тактику.

Интересные факты

  • Название «APT1» было выбрано Mandiant не случайно: оно символизировало «первую» (по значимости и активности) из выявленных групп.
  • В докладе Mandiant приводился пример, когда APT1 взломала серверы компании, занимающейся производством солнечных батарей, и украла чертежи нового поколения фотоэлементов, что позволило китайским производителям сократить разрыв в технологиях.
  • Некоторые эксперты связывают APT1 с группой Comment Crew (также известной как «Команда комментаторов»), которая в 2007–2008 годах атаковала правительственные сайты ряда стран, включая США и Тайвань.

Источники

  • Mandiant. «APT1: Exposing One of China’s Cyber Espionage Units». 2013.
  • FireEye. «Redline: The Chinese Cyber Espionage Campaign». 2014.
  • CrowdStrike. «Global Threat Report». 2015–2018.
  • Kaspersky Lab. «The Chinese Cyber Espionage Group: A Technical Analysis». 2016.
  • Министерство юстиции США. «United States v. Wang Dong et al.». 2014.
  • Отчёты компаний Positive Technologies, Group-IB, «Лаборатории Касперского» (за 2013–2020 годы).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →