Підтримувана Китаєм шпигунська кампанія проти журналістів і активістів

Хакери, які діють за підтримки китайської держави, атакують журналістів і організації громадянського суспільства

Дослідники з Citizen Lab та Міжнародного консорціуму журналістів-розслідувачів (ICIJ) викрили масштабну операцію цифрового шпигунства, пов'язану з Китаєм, яка систематично переслідувала журналістів, уйгурських і тибетських активістів, а також урядовців Тайваню. Кампанія використовувала понад 100 шкідливих доменів та сфабриковані за допомогою штучного інтелекту фішингові повідомлення, призначені для викрадення облікових даних і несанкціонованого доступу до електронної пошти, файлів і списків контактів.

Масштаб і витонченість цієї операції ставлять її в один ряд із найбільш значущими задокументованими кампаніями стеження, спонсорованими державою, за останні роки. Вона також порушує серйозні питання щодо вразливості організацій громадянського суспільства, незалежних медіаорганізацій і спільнот етнічних меншин, які постійно працюють під тиском держави.

Як здійснювалася атака

Зловмисники значною мірою покладалися на фішинг — метод, який змушує цілі розкривати свої імена користувача та паролі шляхом імітації довірених сервісів або контактів. Особливість цієї кампанії полягає у використанні повідомлень, згенерованих штучним інтелектом, що дозволяє зловмисникам у великих масштабах створювати переконливі, граматично правильні повідомлення, знижуючи один із традиційних бар'єрів для ефективного фішингу.

Отримавши облікові дані, зловмисники могли без зайвого галасу отримувати доступ до поштових скриньок, збирати списки контактів і читати конфіденційні файли, не викликаючи очевидних попереджень. Такий доступ є особливо руйнівним для журналістів-розслідувачів, чиї комунікації з джерелами та неопубліковані документи можуть бути розкриті, а також для активістів, чиї мережі контактів можуть бути ідентифіковані та поставлені під загрозу.

Використання понад 100 шкідливих доменів свідчить про добре забезпечену ресурсами операцію. Розподіл інфраструктури між багатьма доменами ускладнює для команд безпеки блокування кампанії шляхом атаки на єдине джерело, а також дозволяє зловмисникам швидко переключатися, якщо окремі домени будуть позначені.

Хто був під прицілом і чому це важливо

Цілі цієї кампанії об'єднує спільна риса: всі вони є групами, за якими китайська влада має вагомі політичні мотиви стежити. ICIJ найбільш відомий публікацією великих фінансових розслідувань, зокрема «Панамських документів» і «Документів Пандори». Уйгурські та тибетські спільноти давно перебувають під цифровим стеженням — Citizen Lab задокументував кілька попередніх кампанії проти обох груп. Урядовці Тайваню є геополітично чутливою ціллю з огляду на постійну напруженість у відносинах між двома берегами протоки.

Це не поодинокий випадок. Citizen Lab, що базується в Університеті Торонто, задокументував десятки кампаній протягом багатьох років, спрямованих проти дисидентів, журналістів і меншин, пов'язаних із Китаєм. Ця остання справа ілюструє, що методи еволюціонують. Застосування інструментів штучного інтелекту у фішингових операціях свідчить про те, що навіть обережним у цифровому просторі цілям може бути все важче відрізнити шкідливі повідомлення від законних.

Для організацій громадянського суспільства наслідки виходять за межі окремих акаунтів. Коли поштова скринька журналіста скомпрометована, джерела можуть бути встановлені. Коли список контактів активіста зібраний, ціла мережа стає видимою для ворожого державного актора. Шкода рідко обмежується безпосередньо атакованою особою.

Що це означає для вас

Якщо ви працюєте в журналістиці, активізмі або будь-якій сфері, де конфіденційні комунікації є звичним явищем, ця кампанія є чітким нагадуванням про те, що викрадення облікових даних є одним із найефективніших інструментів, доступних зловмисникам, спонсорованим державою. Щоб потрапити в широку мережу стеження, не обов'язково бути відомою ціллю.

Кілька практичних кроків можуть суттєво знизити вашу вразливість:

• Використовуйте апаратні ключі безпеки або двофакторну автентифікацію на основі застосунку. Фішингові атаки, які викрадають паролі, є значно менш ефективними, коли для завершення входу потрібен другий фактор. Апаратні ключі, зокрема, є дуже стійкими до фішингу.
• Ставтеся скептично до несподіваних запитів на вхід. Згенеровані штучним інтелектом фішингові повідомлення можуть виглядати переконливо, але сам запит — прохання підтвердити облікові дані або увійти через незнайоме посилання — є тривожним сигналом.
• Використовуйте зашифровані засоби комунікації для конфіденційних розмов. Електронну пошту за своєю природою важко захистити. Наскрізь зашифровані програми для обміну повідомленнями забезпечують значно надійніший захист комунікацій із джерелами та конфіденційної координації.
• Регулярно перевіряйте доступ до свого акаунту. Перевіряйте, які пристрої та застосунки мають доступ до вашої електронної пошти та хмарного сховища. Відкликайте все незнайоме.
• Розгляньте можливість використання VPN при доступі до конфіденційних акаунтів у публічних або ненадійних мережах. VPN не запобігає фішингу, але захищає ваш трафік від перехоплення на мережевому рівні, що важливо, коли ваша модель загроз включає акторів державного рівня.

Фішингові кампанії, спонсоровані державою, подібні до цієї, розроблені так, щоб бути непомітними. Облікові дані викрадаються, доступ підтримується тихо, і цілі часто не здогадуються про компрометацію, поки значна шкода вже не завдана. Розуміння того, як працюють ці операції, є першим кроком до захисту себе та своєї мережі.

Для журналістів, активістів і всіх, чия робота ставить їх під приціл мотивованого супротивника, цифрова безпека — це не технічна другорядна думка. Це основна частина безпечної роботи. Перегляд практик автентифікації та комунікаційних звичок зараз, до того як відбудеться інцидент, є найефективнішим захистом.