Получившая не так давно независимость инфосек кампания Mandian | Kalashnikov Guide
Получившая не так давно независимость инфосек кампания Mandiant выпустила отчет об операции влияния DRAGONBRIDGE, в котором обвинила Китай в продвижении следующих ложных, как сейчас можно говорить, нарративов:
- APT 41 является хакерской группой, работающей на Правительство США;
- демократия в США прогнила;
- Вашингтон несет ответственность за взрывы веток Северных потоков.
В истинности последних двух тезисов у нашей редакции нет никаких сомнений и не важно, кто конкретно продвигает эти посылы в инфополе. С первым же пунктом, казалось бы, все предельно ясно - APT 41 это китайская прогосударственная хакерская группа, которую часто также именуют как Winnti, и в отношении активности которой достаточно много отчетов у различных исследовательских групп.
А вот нифига. Заглянем-ка в наши архивы.
Во-первых, весной 2020 года, в самый разгар карантина, мы делали один из наших первых обзоров APT (делали-делали, а потом устали) и он был посвящен как раз APT 41 и Winnti. И пришли к выводу, что кадавр, именуемый Mandiant группой APT 41 (это их система атрибуции), сшит из множества лоскутков, самый большой из которых принадлежит Winnti. А вот по поводу других есть некоторые сомнения.
Во-вторых, чуть позже ESET неожиданно раскопали совпадение в коде малвари, использовавшейся в 2018 году в атаке на тайскую компанию-игродела и приписываемой Winnti с кодом из утечки Lost in Translation 2017 года, в ходе которой в сеть выкинули инструментарий хакерской группы Equation, являющейся штатным подразделением АНБ.
Таким образом, отчасти китайские сетевые пропагандисты, по нашему мнению, правы - под APT 41 западные инфосек компании подгоняют атаки американских (а может и не только) прогосударственных хакерских групп, действующих под чужим флагом. А чтобы все это выглядело достоверно, замешивают их с реальной активностью Winnti и других кибер-ястребов Дядюшки Си.
Вот такая занимательная геополитика в отдельно взятом Интернете.