За многими атаками на криптовалютные сервисы стоят хакерские подразделения, созданные властями Китая. Хакеры помогают также собирать разведданные по крупным экономическим и политическим вопросам.
Компания FireEye, работающая в сфере кибербезопасности, опубликовала отчет, согласно которому в Китае при поддержке властей создано киберподразделение для шпионажа в сети ART41. Оно «нацелено на отрасли промышленности в целом в соответствии с пятилетними планами экономического развития Китая».
Список отраслей, на которые ориентировано киберподразделение, включает здравоохранение, высокие технологии (полупроводники, аккумуляторы и электромобили), средства массовой информации, фармацевтика, розничная торговля, программное обеспечение, телекоммуникации, туристические услуги, образование, видеоигры и криптовалюты.
Целевыми странами называются Франция, Индия, Италия, Япония, Мьянма, Нидерланды, Сингапур, Южная Корея, Южная Африка, Швейцария, Таиланд, Турция, Великобритания, США и Гонконг.
По данным FireEye, что в июне 2018 года APT41 инициировал рассылку писем с скрытом вредоносом, а в октябре 2018 группа запустила скрытый майнер XMRig для добычи Monero (XMR). Сообщалось, что адрес электронной почты, использованный в шпионской операции против тайваньской газеты, позднее был задействован в хакерской атаке на неназванную криптобиржу в июне 2018 года.
Кроме того, FireEye утверждает, что обнаружил соответствие в кодах вредоносных программ, использованных в мае 2016 года для атаки на американскую студию разработки видеоигр и для компрометации логистической цепочки в 2017 и 2018.
В отчете также отмечается, что группа также активно использует вирусы-вымогатели, по крайней мере, удалось идентифицировать один из вирусов, запущенный китайскими хакерами.
«В отличие от других наблюдаемых китайских операторов шпионажа, APT41 осуществляет явную финансово мотивированную деятельность, которая включает использование инструментов, которые в остальном используются исключительно в кампаниях, поддерживающих интересы государства. Операции APT41 по финансовым мотивам, проводимые с поздней ночи до раннего утра, позволяют предположить, что группа в основном проводит эти действия вне своей обычной дневной работы».
Неизвестно, которые из нападений были заказаны китайским правительством. Возможно, часть атак была выполнена хакерами подрезделения в собственных интересах.
Помимо этого, исследователи FireEye утверждают, что «группа также развернута для сбора разведданных перед предстоящими событиями, такими как слияния, поглощения и политические события».