Google разоблачил хакеров, связанных с КПК, атаковавших 53 цели по всему миру

Google объявил об успешном пресечении деятельности хакерской сети, известной как UNC2814 или «Gallium» и предположительно связанной с Коммунистической партией Китая (КПК), которая проникла как минимум в 53 организации в 42 странах. Хакеры получили доступ к системам, содержащим конфиденциальные персональные данные, в том числе полные имена, номера телефонов, даты рождения, места рождения, номера удостоверений избирателя и национальные идентификационные номера. Google совместно с партнёрами принял технические меры для прекращения операции, которая велась на протяжении

Google разоблачил хакеров, связанных с КПК, атаковавших 53 цели по всему миру

Google успешно ликвидировал спонсируемую государством хакерскую сеть, связанную с Коммунистической партией Китая и известную в сообществе кибербезопасности под именами UNC2814 и «Gallium». Группировка незаметно проникла как минимум в 53 организации в 42 странах, похищая конфиденциальные персональные данные: полные имена, номера телефонов, даты рождения, места рождения, номера удостоверений избирателя и национальные идентификационные номера. Операция продолжалась более десяти лет, прежде чем Google и его партнёры вмешались.

Это не история об очередной корпоративной утечке данных где-то далеко. Это история о том, как персональная информация, определяющая вашу личность, собирается в глобальном масштабе хорошо финансируемой операцией, связанной с государством.

Кто такие Gallium и что им было нужно?

Gallium — это то, что специалисты по безопасности называют группой повышенной постоянной угрозы (APT). Это не случайные киберпреступники, запускающие фишинговые схемы ради быстрой наживы. APT-группы, как правило, поддерживаются государствами, действуют в рамках долгосрочных стратегических целей и обладают терпением и ресурсами, позволяющими им месяцами или годами оставаться незамеченными внутри скомпрометированных систем.

В данном случае Gallium на протяжении более десяти лет осуществляла вторжения в различные отрасли, уделяя особое внимание государственным структурам и операторам телекоммуникаций. Телекоммуникационные сети являются приоритетной целью, поскольку через них проходят огромные объёмы данных о коммуникациях. Компрометация оператора связи даёт злоумышленникам доступ к записям звонков, метаданным сообщений и сведениям об абонентах в масштабах всей сети — без необходимости взламывать отдельных пользователей напрямую.

Данные, к которым они получили доступ, представляют собой именно то, что нужно мошеннику, иностранной разведке или похитителю личных данных: имена, даты рождения, места рождения, номера телефонов, сведения о регистрации избирателей и национальные идентификационные номера.

Почему государственные органы и операторы связи — лишь точка входа

Прочитав подобную историю, легко прийти к выводу, что она касается только государственных служащих или людей, которым не повезло пользоваться услугами скомпрометированного оператора связи. Это предположение стоит поставить под сомнение.

Когда группировка, связанная с государством, атакует телекоммуникационную инфраструктуру, последствия ощущают рядовые абоненты. Когда взламываются государственные базы данных, хранящиеся в них личные записи принадлежат частным гражданам. 53 организации, пострадавшие в 42 странах, были лишь точками доступа, а не конечной целью.

Спонсируемые государством киберoperации, подобные операции Gallium, нередко используются для составления досье на отдельных лиц в целях слежки, шантажа или последующего преследования. Накопление, казалось бы, незначительных фрагментов данных — дата рождения здесь, номер удостоверения избирателя там — создаёт профиль, гораздо более опасный, чем любой из этих элементов по отдельности.

Вмешательство Google — значимая победа, однако оно не отменяет десятилетия несанкционированного доступа. Данные, полученные в ходе этого периода, не исчезают после ликвидации сети.

Что это означает для вас

Если вы проживаете в одной из 42 стран, ставших мишенями, или пользуетесь услугами любой из 53 пострадавших организаций, ваши персональные данные могут быть уже скомпрометированы. Официального публичного списка этих организаций на данный момент не существует, что не позволяет с уверенностью установить, затронуло ли это именно вас.

Вот что вы можете предпринять прямо сейчас:

Следите за своими личными данными. Обращайте внимание на незнакомые аккаунты, неожиданные запросы кредитной истории или любую официальную корреспонденцию, свидетельствующую о том, что кто-то использует ваши данные.
Будьте осторожны с незапрошенными обращениями. Фишинговые атаки и методы социальной инженерии нередко следуют за масштабными утечками данных, поскольку злоумышленники используют похищенную информацию, чтобы сделать свои подходы более убедительными.
Ограничьте распространение своих данных в интернете. Чем меньше персональных данных вы передаёте через незащищённые соединения, тем меньше ваша уязвимая поверхность.
Используйте VPN в публичных и ненадёжных сетях. VPN не защитит данные, уже похищенные из сторонней организации, однако шифрует ваш интернет-трафик, не позволяя перехватывать информацию о вашей активности в сети, местоположении и коммуникациях тем, кто прослушивает сеть, — будь то преступник, брокер данных или государственный актор.

Дело Gallium напоминает о том, что киберoperации, ориентированные на слежку, — это не гипотетическая угроза. Они работают годами, нацеливаются на инфраструктуру, которой вы пользуетесь каждый день, и собирают те самые категории персональных данных, которые вы регулярно предоставляете сервисам и организациям.

Зашифрованные соединения как часть комплексной защиты

Ни один инструмент не устраняет все риски, и было бы нечестно утверждать обратное. Однако многоуровневая защита имеет значение. [Понимание принципов работы VPN-шифрования](internal-link: encryption explainer) и его последовательное применение — особенно при подключении через публичный Wi-Fi или сети вне вашего контроля — сокращает объём данных, которые могут быть перехвачены в процессе передачи.

VPN-сервис hide.me шифрует ваше интернет-соединение с использованием надёжных проверенных протоколов, скрывает ваш IP-адрес и не позволяет третьим лицам перехватывать ваш трафик. Он не устранит последствия утечки, уже произошедшей в государственной структуре или у оператора связи. Однако он гарантирует, что ваше собственное соединение не станет лёгкой мишенью для пассивной слежки и сбора данных, питающих такие операции, как Gallium.

Ликвидация этой сети силами Google — подлинная победа в сфере глобальной кибербезопасности. Более широкий урок, однако, состоит в следующем: спонсируемый государством взлом — это постоянная, терпеливая и хорошо финансируемая проблема. Принятие мер по защите собственных данных, включая [выбор инструментов для обеспечения конфиденциальности, которым можно доверять](internal-link: privacy tools guide), — это не паранойя. Это разумная реакция на задокументированную угрозу.