APT 30 занимается кибершпионажем как минимум с марта 2004 года. По оценкам FireEye, это одна из самых долгих в истории хакерских операций. Группировка действует до сих пор и работает в Индии и Юго-Восточной Азии, ее цели находятся, в том числе, в Малайзии, Вьетнаме, Таиланде, Непале, Сингапуре, на Филиппинах и в Индонезии. Несмотря на то, за 10 лет изменилось многое, хакеры сохранили свой почерк, инструменты и методы нападения, к тому же они принимают все меры, чтобы остаться анонимными. Они активно используют фишинговые сообщения для заражения компьютеров своих жертв, после проникновения в сети развертывают сложный набор средств нападения и бэкдоров, которые были разработаны в течение последних 10 лет. FireEye отмечает, что некоторые вредоносные программы, в первую очередь Backspace, постоянно модифицируются APT 30.
FireEye проанализировали более 200 образцов вредоносных программ и графических интерфейсов программ для удаленного управления, которые использует группировка. Хакеры сосредоточены на получении конфиденциальной информации из различных источников, в том числе правительственных сетей и сетей, недоступных при стандартном подключении к Интернету, — отмечают в компании. APT 30 не раскрывает, где находятся ее члены, но FireEye не исключают китайское участие. Эксперты выявили стойкий интерес хакеров к дипломатическим ведомствам, политическим структурам, СМИ, экологическим компаниям и частным организациям стран Юго-Восточной Азии. Хакеров интересует информация, которая может быть востребована китайским правительством, о ключевых проблемах Юго-Восточного региона, региональных политических, экономических и военных вопросах, территориальных спорах и обсуждениях, связанных с деятельностью Коммунистической партии Китая. Например, хакеров интересуют встречи на высшем уровне руководителей Азиатско-Тихоокеанского региона
Технический директор FireEye в Азиатско-Тихоокеанском регионе Брайс Боланд (Bryce Boland), отмечает, что нет прямых доказательств на причастность к операциям APT 30 китайского правительства, но «все признаки указывают на Китай». «Стремительное развитие интеллектуальной собственности в Азии — это новое поле битвы», — считает он. По его словам, специалисты FireEye обнаружили часть кода и инструкции на китайском языке. Кроме того, подозрительные доменыьт(km-nyc.com и km153.com) зарегистрированы в 2004 и 2007 годах на компании в сельских районах Китая. Брайс Борланд отметил, что хакеры APT 30 начали нападать на сети с «воздушным зазором» еще в 2006 году, когда как считается, что первыми примерами проникновения в физически изолированные сети стали атаки русский хакеров в 2008-2009 годах. По мнению эксперта, сегодня невозможно оценить нанесенный ущерб из-за слишком длительного срока действия шпионской кампании.
Адам Куяава (Adam Kujawa), глава Malware Intelligence, уверен, что использование в хакерском ПО, которым пользуются члены APT 30, китайского языка может быть ложным следом. Он сравнивает ситуацию с конфликтом между США и КНР, получившим название «Хайнаньский инцидент». В апреле 2001 года в районе острова Хайнань в воздухе столкнулись самолет радиоэлектронной разведки EP-3E, принадлежавший США, и китайский истребитель-перехватчик J-8II. Китайский пилот погиб, EP-3E совершил аварийную посадку. В июне 2011 года Китай вернул США захваченный самолет в разобранном виде. Считается, что разбирая американский самолет, Китай заполучил ряд технологий, использованных в нем. По мнению Куяава, некто мог поступить точно также с китайским инструментарием. Китайское правительство в настоящее время не комментирует отчет FireEye. Многие эксперты считают его очередным этапом кибервойны между США и КНР, которые регулярно обмениваются взаимными обвинениями в кибершпионаже и хакерских атаках на объекты противника.
.jpg)
