Новый отчет прослеживает путь ранней волны китайских хакеров, ставших опорой государственной шпионской машины.
Летом 2005 года 20-летний аспирант Тань Дайлинь из Сычуаньского университета науки и техники попал в поле зрения Народно-освободительной армии Китая (НОАК). Тань входил в сообщество хакеров, называвшихся Honkers — подростков и студентов конца 1990-х и начала 2000-х годов, которые создавали группы вроде Green Army и Evil Octal, атакуя западные сайты, которых считали антикитайскими. Изначально атаки были примитивными — в основном дефейс сайтов и DDoS-атаки на цели в США, Тайване и Японии, — но навыки хакеров быстро росли, а Тань даже публиковал отчёты о своих действиях в блогах.
После серии постов о взломах японских сайтов им заинтересовалась армия. Его и друзей пригласили участвовать в хакерском конкурсе, организованном структурами, связанными с НОАК. Команда выиграла, и вскоре их направили на интенсивный месячный тренировочный лагерь. Уже через несколько недель они создавали инструменты взлома, изучали методы проникновения в сети и проводили имитации атак.
Позже Тань, под псевдонимами Wicked Rose и Withered Rose, основал группу Network Crack Program Hacker (NCPH), ставшую известной благодаря участию в хакерских конкурсах и созданию инструментов, в том числе rootkit'а GinWui — одного из первых китайских средств удалённого доступа. По мнению экспертов, эта утилита и десятки эксплойтов нулевого дня были использованы в серии «беспрецедентных» атак на американские компании и правительственные учреждения весной и летом 2006 года — в интересах НОАК.
По собственным словам, команда Тань получала около $250 в месяц, а после успешной кампании — $1000. Позже Тань перешёл на работу в Министерство госбезопасности (МГБ) — гражданскую разведку Китая — и стал участником хак-группы APT 41. В 2020 году Минюст США выдвинул против него и других участников APT 41 обвинения во взломе более 100 целей, включая системы правительства США, медицинские организации и телекомы.
Но Тань — лишь один из множества бывших Honkers, начавших путь как патриотические хакеры, а затем ставших частью китайского кибершпионажа.
Изначально у сообщества были этические кодексы, вдохновлённые такими хакерами, как Линь Чжэнлун из Тайваня. Он считал, что хакерские навыки должны служить защите и публиковал руководства, объясняя, как важно укреплять безопасность. Хотя реальных песочниц для практики не существовало, хакеры тестировали себя на живых сетях — в обход государственных и научных систем.
Однако этика быстро уступила место патриотическим эмоциям. В 1998 году после массовых убийств китайцев в Индонезии Honkers атаковали индонезийские сайты. В 1999 году, после заявлений президента Тайваня о "теории двух государств", они взломали тайваньские госресурсы. В 2000-м — началась массированная кибератака на японские сайты после споров о событиях в Нанкине.
Эти «патриотические кибервойны» объединили хакеров с общей миссией — служить интересам Китая. Крупнейшая группа — Honker Union — выросла до 80 000 участников. В дальнейшем, по словам исследователя Еудженио Бенинказы из Цюрихского университета ETH, "Красная сороковка" — наиболее активное ядро сообщества — стали основателями или участниками ключевых ИБ-компаний и подрядчиками государства.
Одни ушли в такие компании, как Baidu, Alibaba, Huawei и Venustech, другие — стали преступниками или, как Тань, перешли на работу в спецслужбы.
После успешных атак NCPH в 2006 году рекрутинг хакеров стал более организованным. К 2009 году, с принятием поправок к уголовному кодексу, хакерские форумы начали закрываться, часть хакеров была арестована. По слухам, Тань получил 7,5 лет, но, вероятно, заключил сделку и стал работать на МГБ. В 2011 году он основал якобы антивирусную фирму Anvisoft, возможно, прикрытие для шпионской деятельности.
Многие современные инструменты китайских APT-групп были созданы бывшими Honkers. Среди них:
Компании i-Soon и Integrity Tech, основанные бывшими Honkers, также были вовлечены в шпионские кампании. В 2024 году США выдвинули обвинения против их сотрудников за взлом правительственных, медийных и зарубежных целей.
www.wired.com
Летом 2005 года 20-летний аспирант Тань Дайлинь из Сычуаньского университета науки и техники попал в поле зрения Народно-освободительной армии Китая (НОАК). Тань входил в сообщество хакеров, называвшихся Honkers — подростков и студентов конца 1990-х и начала 2000-х годов, которые создавали группы вроде Green Army и Evil Octal, атакуя западные сайты, которых считали антикитайскими. Изначально атаки были примитивными — в основном дефейс сайтов и DDoS-атаки на цели в США, Тайване и Японии, — но навыки хакеров быстро росли, а Тань даже публиковал отчёты о своих действиях в блогах.
После серии постов о взломах японских сайтов им заинтересовалась армия. Его и друзей пригласили участвовать в хакерском конкурсе, организованном структурами, связанными с НОАК. Команда выиграла, и вскоре их направили на интенсивный месячный тренировочный лагерь. Уже через несколько недель они создавали инструменты взлома, изучали методы проникновения в сети и проводили имитации атак.
Позже Тань, под псевдонимами Wicked Rose и Withered Rose, основал группу Network Crack Program Hacker (NCPH), ставшую известной благодаря участию в хакерских конкурсах и созданию инструментов, в том числе rootkit'а GinWui — одного из первых китайских средств удалённого доступа. По мнению экспертов, эта утилита и десятки эксплойтов нулевого дня были использованы в серии «беспрецедентных» атак на американские компании и правительственные учреждения весной и летом 2006 года — в интересах НОАК.
По собственным словам, команда Тань получала около $250 в месяц, а после успешной кампании — $1000. Позже Тань перешёл на работу в Министерство госбезопасности (МГБ) — гражданскую разведку Китая — и стал участником хак-группы APT 41. В 2020 году Минюст США выдвинул против него и других участников APT 41 обвинения во взломе более 100 целей, включая системы правительства США, медицинские организации и телекомы.
Но Тань — лишь один из множества бывших Honkers, начавших путь как патриотические хакеры, а затем ставших частью китайского кибершпионажа.
Ранние годы Honkers
Сообщество Honkers возникло после подключения Китая к интернету в 1994 году. Студенты, получившие доступ к университетским сетям, начали обмениваться знаниями на электронных досках объявлений. Группы вроде XFocus, China Eagle Union и Honker Union of China стали костяком движения. Название "Honkers" происходит от слов "hong" (красный) и "heike" (хакер).Изначально у сообщества были этические кодексы, вдохновлённые такими хакерами, как Линь Чжэнлун из Тайваня. Он считал, что хакерские навыки должны служить защите и публиковал руководства, объясняя, как важно укреплять безопасность. Хотя реальных песочниц для практики не существовало, хакеры тестировали себя на живых сетях — в обход государственных и научных систем.
Однако этика быстро уступила место патриотическим эмоциям. В 1998 году после массовых убийств китайцев в Индонезии Honkers атаковали индонезийские сайты. В 1999 году, после заявлений президента Тайваня о "теории двух государств", они взломали тайваньские госресурсы. В 2000-м — началась массированная кибератака на японские сайты после споров о событиях в Нанкине.
Эти «патриотические кибервойны» объединили хакеров с общей миссией — служить интересам Китая. Крупнейшая группа — Honker Union — выросла до 80 000 участников. В дальнейшем, по словам исследователя Еудженио Бенинказы из Цюрихского университета ETH, "Красная сороковка" — наиболее активное ядро сообщества — стали основателями или участниками ключевых ИБ-компаний и подрядчиками государства.
Переход под контроль государства
До 2001 года государство закрывало глаза на их деятельность, а иногда даже поощряло её. 84% китайских пользователей интернета поддерживали патриотическое хакерство. Но после инцидента с американским самолётом-шпионом над Хайнанем в 2001 году, который спровоцировал дипломатический кризис, тон изменился. Государственные СМИ назвали хакеров «веб-террористами». Группы начали распадаться, возникли конфликты между теми, кто хотел идти в бизнес, и теми, кто стремился к хакингу ради денег.Одни ушли в такие компании, как Baidu, Alibaba, Huawei и Venustech, другие — стали преступниками или, как Тань, перешли на работу в спецслужбы.
После успешных атак NCPH в 2006 году рекрутинг хакеров стал более организованным. К 2009 году, с принятием поправок к уголовному кодексу, хакерские форумы начали закрываться, часть хакеров была арестована. По слухам, Тань получил 7,5 лет, но, вероятно, заключил сделку и стал работать на МГБ. В 2011 году он основал якобы антивирусную фирму Anvisoft, возможно, прикрытие для шпионской деятельности.
Наследие Honkers
Многие современные инструменты китайских APT-групп были созданы бывшими Honkers. Среди них:
- Glacier — троян (1999),
- X-Scan — сканер уязвимостей (2000),
- HTRAN — инструмент для сокрытия IP (2003),
- PlugX и ShadowPad — популярные бэкдоры, использовавшиеся более чем 10 APT-группами.
Компании i-Soon и Integrity Tech, основанные бывшими Honkers, также были вовлечены в шпионские кампании. В 2024 году США выдвинули обвинения против их сотрудников за взлом правительственных, медийных и зарубежных целей.
Заключение
Путь китайских хакеров напоминает историю их американских коллег, многие из которых также стали работать на АНБ или ЦРУ. Однако в отличие от США, Китай действует по принципу «государства всего общества», где частные компании и отдельные специалисты обязаны помогать государству в разведке.
How China’s Patriotic ‘Honkers’ Became the Nation’s Elite Cyberspies
A new report traces the history of the early wave of Chinese hackers who became the backbone of the state's espionage apparatus.
www.wired.com
