Сервер, с которого была атакована сеть связи ЕС, использовался несколькими правительственными учреждениями Китая.
Анализ C&C-сервера, который использовался для атак на дипломатическую организацию, показал множество операций, проводимых различными китайскими кибергруппировками. Злоумышленники пользовались одними и теми же инструментами, но действовали в интересах разных правительственных учреждений.
14 мая специалисты BlackBerry Cylance Threat Intelligence опубликовали доклад об атаках китайских хакеров, который основан на более раннем исследовании компании Area 1 Security.
В декабре 2018 года эксперты Area 1 Security сообщили о вредоносной операции, проводимой китайскими «правительственными» хакерами. По мнению экспертов, злоумышленники получили доступ к сети дипломатической переписки в Европейском союзе. Взломаны были системы Министерства иностранных дел Кипра и вся сеть COREU, используемая для дипломатической переписки между странами ЕС. В итоге число жертв атаки достигло ста (в том числе торговые союзы и научные организации). Ответственность за взлом предположительно лежит на Войсках стратегической поддержки Народно-освободительной армии КНР.
Все атаки осуществлялись с одного и того же C&C-сервера. Дальнейший анализ показал, что кроме Войск стратегической поддержки сервером пользовался целый ряд китайских кибергруппировок разного масштаба. Все они использовали одни и те же вредоносные программы и шаблоны проектирования эксплоитов.
Исследователям удалось найти связь между Войсками стратегической поддержки и киберпреступниками, занимающимися шпионажем в интересах Национальной комиссии по безопасности, народной вооруженной милиции и Министерства общественной безопасности. Если Войска стратегической поддержки интересуют военные цели, то остальные ведомства следят за активистами, представителями различных этнических групп на территории Китая (в частности за уйгурами и тибетцами) и сторонниками независимости Тайваня.
