Toyota среди компаний, на которые нацелена хакерская группа, связанная с Вьетнамом

Эксперты по кибербезопасности утверждают, что хакерская группа из Вьетнама учится на китайском учебнике, используя все более изощренные кибератаки, чтобы шпионить за конкурентами и помочь Вьетнаму догнать глобальных конкурентов.

За последние два года группа, которая, как считается, связана с вьетнамским правительством и известна как APT32, усилила свой кибершпионаж, особенно в Юго-Восточной Азии, по данным фирмы CrowdStrike Inc., занимающейся кибербезопасностью. Кража интеллектуальной собственности, по словам фирмы, относится к той же деятельности, для которой хакеры являются печально известными.

По мнению многочисленных экспертов, автомобильная промышленность была ключевой целью APT32. Например, APT32 создал поддельные домены для Toyota Motor Corp. и Hyundai Motor Co., пытаясь проникнуть в сети автопроизводителей, по словам исследователя, знакомого с вопросом, который просил компании, обсуждающие анонимность. В марте Toyota обнаружила, что она была нацелена на Вьетнам и Таиланд, а также через дочернюю компанию - Toyota Tokyo Sales Holdings Inc. - в Японии, по словам представителя Брайана Лайонс. Официальный представитель Toyota, попросивший об анонимности при обсуждении хакерской группы, подтвердил, что APT32 несет ответственность.

По словам экспертов, Вьетнам на протяжении многих лет нацеливается на американские предприятия, имеющие отношение к экономике Вьетнама, включая промышленность потребительских товаров.

«То, что изменилось совсем недавно, и это согласуется с более широкими тенденциями в среде актеров киберугроз, заключается в том, что они становятся все лучше и лучше», - сказал Эндрю Гротто, сотрудник Стэнфордского университета, который занимал должность старшего директора по политике в области кибербезопасности Совет национальной безопасности с конца 2015 года до середины 2017 года. «Они становятся все более опытными в разработке своих собственных инструментов, и в то же время используют глобальный рынок вредоносных программ для коммерческих инструментов».

По данным CrowdStrike, всплеск экономической шпионской деятельности во Вьетнаме, начавшейся в 2012 году и достигшей пика с 2018 года, вызван тем, что администрация Трампа пытается обуздать то, что многие считают безудержной кражей интеллектуальной собственности со стороны Китая - бывшего директора Агентства национальной безопасности Кейта Александра, который служил при президентах Бараке Обаме и Джордже Буше-младшем, назвал это «величайшей передачей богатства в истории».

Конкурентное преимущество
Вьетнамские хакеры подражали некоторым китайским кибер-методам, хотя и в значительно меньших масштабах, считают эксперты.

По словам Эрика Розенбаха, со-директора Белферского центра по науке и международным отношениям при Гарвардской школе Кеннеди и бывшего помощника секретаря, вьетнамские правительственные хакеры, вероятно, «увидели, насколько успешны китайцы в создании возможностей кибершпионажа и кибер-слежки». обороны для глобальной безопасности при Обаме. В результате они могут наращивать или приобретать свои собственные возможности «либо для экономических интересов, либо для кражи интеллектуальной собственности», сказал он.

Министерство иностранных дел Вьетнама и посольство Вьетнама в Вашингтоне не ответили на запросы о комментариях. Представительница правительства ранее заявляла, что утверждения о том, что государственные хакеры преследовали иностранных автопроизводителей, были «необоснованными». Представитель Госдепартамента США отказался комментировать утверждения об экономическом шпионаже во Вьетнаме.

Представитель Hyundai не прокомментировал, была ли она объектом нападений вьетнамской хакерской группы, но сказал, что компания «оперативно обнаруживает и реагирует на события своих ценных бумаг в сфере ИТ».

По словам бывших правительственных чиновников, Вьетнам является частью растущей группы стран - за исключением крупных кибер-игроков, таких как Россия и Китай, - которые разрабатывают и покупают кибер-возможности.

«Одной из тенденций, которые мы проследили, когда я был в Белом доме, было как расширение числа стран, в которых действовали киберпрограммы», - сказал Майкл Дэниел, который работал координатором по кибербезопасности в Совете национальной безопасности при Обаме и является Сейчас президент и генеральный директор некоммерческой группы Cyber ​​Threat Alliance. «Те, кто инвестировал в кибер, как Вьетнам, продолжают наращивать свои возможности».

Эксперты по кибербезопасности предложили различные, а иногда и противоречивые причины для объяснения деятельности хакерской группы: от кражи интеллектуальной собственности до улучшения вьетнамских продуктов, до получения конкурентных преимуществ в переговорах до обеспечения соответствия иностранных корпораций национальным нормам.

Ocean Lotus
Фирма по кибербезопасности FireEye Inc. отслеживает APT32 - также известный как Ocean Lotus и Ocean Buffalo - с 2012 года, по словам Ника Карра, директора фирмы. В 2017 году его команда исследовала серию хакерских атак в США, Германии и нескольких странах Азии и обнаружила, что группа провела как минимум три года в отношении иностранных правительств, журналистов, диссидентов и «иностранных корпораций, заинтересованных в производстве во Вьетнаме, потребительские товары и гостиничный сектор ».

«APT32 использует уникальный набор полнофункциональных вредоносных программ в сочетании с коммерчески доступными инструментами для проведения целевых операций, соответствующих интересам вьетнамского государства», - сообщает FireEye.

Точная тактика APT32, по-видимому, включает регистрацию доменов, которые напоминают автомобильные компании - шаг, который может предшествовать фишинговым атакам, когда хакеры крадут учетные данные для доступа к внутренним сетям, сказал Джон Хультквист, директор по анализу разведки FireEye.

«Совсем недавно мы видели подозрительные действия по регистрации доменов APT32, разработанные, чтобы напоминать автомобильные фирмы», - сказал Хультквист. «Эта постоянная регистрационная деятельность подтверждает постоянный интерес APT32 к иностранным автопроизводителям, ведущим бизнес во Вьетнаме».

APT32 недавно использовала Facebook для нацеливания на людей, которые активно участвуют во вьетнамской политике, сообщает словацкая фирма Eset, занимающаяся кибербезопасностью. В этой атаке хакеры APT32 отправляли сообщения Facebook или страницы Facebook, содержащие то, что выглядело как фотоальбом. Когда жертвы прокручивали альбом, одна из многих фотографий была на самом деле вредоносным документом, который устанавливал вредоносное ПО на компьютер, говорит Марк-Этьен М. Левей, исследователь фирмы.

По словам Стивена Адэйра, основателя фирмы по кибербезопасности Volexity, Inc. «Volexity» сообщила, что очень изощренная и чрезвычайно широко распространенная кампания массового цифрового наблюдения и нападения, нацеленная на азиатские страны, средства массовой информации, группы, связанные с правами человека и гражданским обществом, а также на Ассоциацию государств Юго-Восточной Азии.

История мини-Китая
Хотя вьетнамские взломы корпораций, похоже, растут, в FireEye наблюдается значительное снижение кражи интеллектуальной собственности в Китае против корпораций - даже несмотря на то, что торговые переговоры США с Китаем подчеркивают необходимость переговоров по его прекращению. «С точки зрения Китая, мы определенно видели, как это сильно упало», - сказал Хультквист из FireEye.

Но Вьетнам находится на значительно более ранней стадии развития, и, как и несколько лет назад, Китай превратился в кибершпионаж как средство повышения конкурентоспособности, сказал Адам Мейерс, вице-президент CrowdStrike по разведке. «Это что-то вроде истории о мини-Китае», - сказал он.