Как патриотичные китайские «гавканы» стали элитными кибершпионами страны

18 июля 2025 г., 11:28

В новом отчете прослеживается история первой волны китайских хакеров, которые стали основой государственного шпионского аппарата.

Фотоиллюстрация: Жаки ВанЛью; Getty Images

Летом 2005 года Тань Дайлинь был 20-летним аспирантом Сычуаньского университета науки и техники, когда он попал в поле зрения Народно-освободительной армии Китая.

Тан был частью бурно развивающегося хакерского сообщества «Хонкеры» – подростки и молодые люди в Китае конца 90-х – начала 00-х, которые сформировали такие группы, как «Зелёная армия» и «Злой октал», и проводили патриотические кибератаки против западных организаций, которые они считали неуважительными к Китаю. Атаки были несложными – в основном это были взломы веб-сайтов и атаки типа «отказ в обслуживании», направленные на организации в США, Тайване и Японии, – но со временем «Хонкеры» совершенствовали свои навыки, и Тан документировал свои выходки в блогах. После публикации информации о хакерских атаках в Японии, НОАК обратилась к ним.

Тану и его университетским друзьям предложили поучаствовать в хакерском конкурсе, организованном НОАК, и они заняли первое место. НОАК пригласила их в интенсивный месячный тренировочный лагерь хакеров, и уже через несколько недель Тан и его друзья разрабатывали хакерские инструменты, изучали методы проникновения в сети и проводили имитационные атаки.

Дальнейшая хронология событий неясна, но Тан, известный как хакер, работающий под псевдонимами Wicked Rose и Withered Rose, затем основал собственную хакерскую группу — Network Crack Program Hacker (NCPH). Группа быстро приобрела известность благодаря победам в хакерских конкурсах и разработке хакерских инструментов. Они создали руткит GinWui, один из первых китайских бэкдоров для удаленного доступа, а затем, как полагают эксперты, использовали его и десятки написанных ими эксплойтов нулевого дня в серии «беспрецедентных» взломов американских компаний и государственных учреждений весной и летом 2006 года. Они делали это по поручению НОАК, по словам Адама Кози, который годами следил за Таном и другими китайскими хакерами, будучи бывшим аналитиком ФБР, а ныне возглавляющим консалтинговую фирму SinaCyber, специализирующуюся на Китае.

В то время Тан сообщил в интернете, что он и его команда получали около 250 долларов в месяц за свои хакерские действия, хотя он не уточнил, кто именно платил и что именно они взламывали. Согласно отчёту бывшей компании VeriSign iDefense, занимающейся анализом угроз, за 2007 год, после их летнего хакерского сезона гонорар увеличился до 1000 долларов в месяц.

В какой-то момент Тан сменил команду и начал работать по контракту с Министерством государственной безопасности (МГБ), гражданским разведывательным агентством Китая, в составе его печально известной хакерской группы, известной как APT 41. А в 2020 году, когда Тану было 36 лет, Министерство юстиции США объявило о предъявлении ему и другим предполагаемым членам APT 41 обвинений во взломе более 100 объектов, включая правительственные системы США, организации здравоохранения и телекоммуникационные компании.

Путь Тана в APT 41 не уникален. Он лишь один из многих бывших членов «Хонкерс», начинавших свою карьеру как самостоятельные патриотические хакеры, прежде чем государство включило их в свой гигантский шпионский аппарат.

О группе «Хонкерс» и ее важнейшей роли в китайских APT-операциях написано не так много, за исключением показаний Кози в Конгрессе , данных в 2022 году. Однако в новом отчете , опубликованном в этом месяце Эухенио Бенинкасой, старшим исследователем по киберзащите в Центре исследований безопасности при Швейцарской высшей технической школе Цюриха (Швейцария), более подробно рассказывается о работе Кози по отслеживанию первых дней деятельности «Хонкерс» и о том, как эта группа опытных молодых людей стала одними из самых продуктивных кибершпионов Китая.

«Речь идет не только о создании [Хонкерами] хакерской культуры, которая неявно соответствовала целям национальной безопасности, — говорит Бенинкаса, — но и о созданных ими личных отношениях, [которые] мы до сих пор видим в современных APT-атаках».

Ранние дни

Сообщество Honker в значительной степени зародилось с появлением в Китае интернета в 1994 году. Сеть, объединяющая университеты и исследовательские центры по всей стране для обмена знаниями, вывела китайских студентов в интернет раньше остальных. Как и американские хакеры, Honkers были энтузиастами-самоучками, которые собирались на электронных досках объявлений (форумах с коммутируемым доступом), чтобы делиться советами по программированию и компьютерному взлому. Вскоре они основали такие группы, как Xfocus, China Eagle Union и The Honker Union of China, и стали известны как Red Hackers или Honkers, название которых происходит от китайского слова «hong» (красный) и «heike» (тёмный гость) — китайского слова, обозначающего хакера.

Группы были самоуправляемыми, имели свободную иерархию и даже кодексы этики, разработанные влиятельными участниками, такими как тайваньский хакер Линь Чжэнлун (известный под псевдонимом «coolfire»). Линь считал, что хакерские навыки следует развивать только для укрепления киберзащиты — чтобы изучать методы хакеров и противостоять им, — и написал влиятельное руководство по взлому, «чтобы повысить осведомлённость о важности компьютерной безопасности, а не учить людей взламывать пароли».

В то время не существовало симуляций, позволяющих хакерам оттачивать свои навыки, поэтому Хонкерс часто прибегал к взлому реальных сетей. Линь не возражал против этого — хакерство в Китае было запрещено, за исключением случаев, когда речь шла о правительственных, оборонных или научно-исследовательских сетях, — но он опубликовал свод этических рекомендаций, в которых рекомендовал хакерам избегать взлома государственных систем, не причиняющего непоправимого ущерба, и восстанавливать системы до их первоначального состояния после того, как Хонкерс их взломает.

Однако вскоре эти правила были упразднены после серии инцидентов, связанных с оскорблениями Китая со стороны иностранных государств. В 1998 году в Индонезии прокатилась волна насилия против этнических китайцев, и возмущённые группы «Хонкер» ответили скоординированными взломами веб-сайтов и атаками типа «отказ в обслуживании» на объекты индонезийского правительства. В следующем году, после того как президент Тайваня Ли Дэнхуэй обнародовал свою теорию «двух государств» , бросающую вызов доктрине Коммунистической партии Китая о едином Китае, «Хонкер» разместили на сайтах тайваньского правительства патриотические сообщения, утверждающие существование единого Китая.

В 2000 году, после того как участники конференции в Японии отрицали факты о Нанкинской резне, в которой, по оценкам, во время оккупации города Японией в 1930-х годах погибло около 300 000 китайцев, Honkers распространил список из более чем 300 японских правительственных и корпоративных сайтов, а также адреса электронной почты японских чиновников, и призвал членов организации атаковать их.

Так называемые патриотические кибервойны дали «Хонкерам» общее дело, которое сформировало уникальную идентичность, отличающуюся от западных хакерских групп, которым «Хонкеры» подражали до тех пор. В то время как западные хакеры были движимы прежде всего любопытством, интеллектуальным вызовом и желанием похвастаться, «Хонкеры» объединились вокруг общей цели — помочь Китаю «подняться». Как гласит клятва «Союза китайского орла», «Хонкеры» поклялись «ставить интересы китайской нации превыше всего».

Патриотические войны сделали китайских «Хонкеров» известными и вдохновили на присоединение к ним новых членов. Число членов «Хонкерского союза» выросло примерно до 80 000, а «Зелёная армия» — до 3 000. Большинство из них были просто энтузиастами и искателями приключений, но одна группа выделялась лидерскими качествами и хакерскими навыками. Особенно влиятельная группа среди них, которую Бенинкаса называет «Красной сорокой», впоследствии основала или присоединилась ко многим ведущим китайским компаниям в сфере кибербезопасности и технологий, став неотъемлемой частью государственной системы киберразведки.

По словам Бенинкасы, нет никаких доказательств того, что правительство руководило патриотическими хакерскими атаками, но их деятельность соответствовала государственным интересам и привлекла внимание правительства. Отставной контр-адмирал Народно-освободительной армии Китая и бывший профессор Национального университета обороны НОАК высоко оценил их патриотизм. Общественность, по всей видимости, также поддержала это. Согласно отчёту, 84% интернет-пользователей в Китае одобряют патриотические хакерские атаки.

Но в апреле 2001 года ситуация начала меняться после того, как китайский истребитель столкнулся с американским разведывательным самолётом в воздухе у побережья Хайнаня, что спровоцировало международный инцидент. В результате столкновения погиб китайский пилот, а американский самолёт был вынужден приземлиться на Хайнане, где китайские военные захватили самолёт и удерживали экипаж более недели. Инцидент разжег националистические настроения как среди американских, так и среди китайских хакеров, и обе стороны начали проводить кибератаки на системы друг друга.

Китайское правительство было обеспокоено отсутствием контроля над группировкой «Хонкерс» и опасалось, что она может стать обузой и привести к эскалации напряжённости. Официальная газета Коммунистической партии Китая сравнила хакерскую атаку с «сетевым терроризмом», а глава Интернет-сообщества Китая опубликовал через официальные государственные СМИ заявление, в котором также осудил её. Отставной контр-адмирал НОАК, ранее восхвалявший эти группировки, теперь предупредил, что они представляют угрозу международным отношениям.

«Хонкеры» поняли посыл, но, поскольку их патриотическая миссия была отложена, группы стали менее сплоченными. Возникали конфликты руководства и разногласия по поводу направления и приоритетов: одни хотели стать профессионалами и основать компании по кибербезопасности для защиты китайских систем от атак; другие хотели действовать нелегально и продавать вредоносные инструменты. Первые ушли, чтобы присоединиться к технологическим компаниям, таким как Baidu, Alibaba и Huawei, или к компаниям, специализирующимся на кибербезопасности, таким как Venustech и Topsec. Некоторые стали предпринимателями и основали собственные охранные компании, такие как NSFocus и Knownsec, которые стали лидерами в области исследования уязвимостей и разведки угроз. Некоторые, однако, переключились на киберпреступность. А другие, как Тан, стали хакерами по контракту для НОАК и MSS или основали фирмы, обслуживавшие эти операции.

Honker Recruitment

По словам Бенинкасы, НОАК и МГБ начали нанимать «Хонкеров» примерно в 2003 году, но набор стал более структурированным и серьёзным после хакерских атак 2006 года, приписываемых NCPH и Тану. Набор активизировался во время и после Олимпийских игр 2008 года в Пекине и, вероятно, этому способствовало принятие в 2009 году поправки VII к Уголовному кодексу Китая, которая криминализировала несанкционированное проникновение в любые сети, а также распространение хакерских программ.

Хакерские форумы начали закрываться, а некоторые участники Honkers были арестованы. Прошёл слух, что среди них был Тан. По словам Кози, Тану грозило семь с половиной лет тюрьмы, хотя неясно, отсидел ли он какое-либо время. Кози считает, что он заключил сделку и начал работать на MSS. В 2011 году он, по всей видимости, основал антивирусную компанию Anvisoft , которая, возможно, служила прикрытием для его работы в MSS.

По данным Бенинкасы, бывшие бойцы «Хонкерс» Цзэн Сяоюн (envymask) и Чжоу Шуай (coldface) также стали подрядчиками НОАК и МГБ и участвовали в операциях APT 41, APT 17 и APT 27. Некоторые работали через подставные компании, другие — через легальные фирмы, выступавшие посредниками для разведывательных служб.

Topsec и Venustech – две компании, предположительно, содействовавшие этим действиям. Topsec наняла ряд бывших сотрудников Honker, включая основателя профсоюза Honker Union of China, а основатель Topsec однажды признал в интервью, что его компанией руководила НОАК. В 2015 году Topsec была связана с кибероперациями, спонсируемыми государством, включая взлом Anthem Insurance в США.

На протяжении многих лет многие инструменты, используемые китайскими APT-группами, были созданы Honkers, а НОАК и MSS добывали их для исследования уязвимостей и разработки эксплойтов. В 1999 году Хуан Синь (glacier), член Green Army, выпустил «Glacier», троян удаленного доступа. В следующем году он и Ян Юн (coolc) из XFocus выпустили X-Scan, инструмент для сканирования сетей на наличие уязвимостей, который до сих пор используется хакерами в Китае. В 2003 году два члена Honker Union выпустили HTRAN, инструмент для сокрытия местоположения злоумышленника путем перенаправления его трафика через прокси-компьютеры, который использовался китайскими APT-группами. Считается, что Тан и его коллега из NCPH Чжоу Цзибинг (whg) создали бэкдор PlugX в 2008 году, который использовался более чем 10 китайскими APT-группами. По словам Бенинкасы, Чжоу усовершенствовал его и создал ShadowPad, который использовался APT 41 и другими.

За прошедшие годы утечки информации и обвинительные заключения США против бывших членов экипажа Honkers раскрыли их предполагаемую шпионскую карьеру после ухода из экипажа Honkers, а также использование Китаем коммерческих компаний для государственных хакерских операций. К последним относятся i-Soon и Integrity Tech, основанные бывшими членами экипажа Honkers.

У Хайбо (закрыт), ранее работавший в Green Army и 0x557, запустил i-Soon в 2010 году. А в прошлом году произошла утечка внутренних файлов и журналов чатов i-Soon , что раскрыло шпионскую деятельность компании в пользу МГБ и МПС. В марте этого года восемь сотрудников i-Soon и два офицера МПС были обвинены США в хакерских операциях, направленных против правительственных агентств США, министерств иностранных дел азиатских стран, диссидентов и СМИ.

Компания Integrity Tech, основанная в 2010 году бывшим членом «Зеленой армии» Цай Цзинцзином (cbird), в этом году попала под санкции США из-за связей с глобальными хакерскими атаками на инфраструктуру.

В этом году США также предъявили обвинения бывшим членам «Зеленой армии» Чжоу и У за проведение государственных хакерских операций и ввели санкции против Чжоу за связи с APT 27. Помимо участия в спонсируемых государством хакерских атаках, он предположительно также руководил службой утечки данных и продавал часть украденных данных клиентам, в том числе разведывательным службам.

Это мало чем отличается от ситуации с ранними американскими хакерами, которые также стали основателями компаний, занимающихся кибербезопасностью, а также были завербованы Агентством национальной безопасности и Центральным разведывательным управлением или наняты подрядчиками для проведения хакерских операций в интересах США. Но, в отличие от США, китайские разведывательные органы, действующие в интересах всего общества, вынудили некоторых китайских граждан и компании сотрудничать с государством в шпионаже, отмечает Кози.

«Думаю, Китай с самого начала просто подумал: „Мы можем использовать [«Хонкеров»] в государственных интересах“», — говорит Кози. «И… поскольку многие из этих молодых ребят изначально имели патриотические наклонности, их как бы принуждали к службе, говоря: „Эй, вы сделаете много действительно хороших дел для страны“». Кроме того, многие из них начали понимать, что, занимаясь этим, можно разбогатеть».