Сначала — симуляция, потом — блэкаут. Утечка документов раскрыла, как Китай тренирует кибератаки на соседей
NewsMakerПекин построил виртуальный мир, чтобы научиться ломать настоящий.
Утечка технических документов показала , что Китай, похоже, использует закрытую тренировочную платформу для отработки кибератак на критическую инфраструктуру ближайших соседей. Материалы включают исходный код, учебные данные и программные компоненты системы «Expedition Cloud», а сама утечка дает редкую возможность увидеть подготовку к потенциальным операциям еще до их проведения.
Пекин давно обвиняют в масштабных наступательных киберкампаниях, но чаще всего такие выводы строятся на разведоценках и технических артефактах, собранных уже после взломов. В этот раз речь идет о внутренней документации, где прямо описывается тренировочная среда, предназначенная для практики атак на копиях «реальных сетевых окружений» «основных оперативных противников» Китая в направлениях Южно-Китайского моря и Индокитая.
О находке первой подробно написал специализированный блог NetAskari . В материалах отдельно указано, что в платформе воспроизводятся целевые сети из сфер энергетики, передачи электроэнергии и транспорта, а также элементы инфраструктуры «умного дома». В документах подчеркивается оценка работы «разведывательных групп» и «атакующих групп» при операциях против таких сетей, при этом сценарии не описывают отдельную роль защитников.
Логика такой «репетиции» выглядит прагматично: если операцию можно заранее спланировать и прогнать в контролируемой среде, то в реальной атаке меньше времени уходит на импровизацию и поиск решений на ходу. Опрошенные независимые эксперты также обращают внимание на то, что дизайн платформы может подразумевать более широкое применение ИИ в кибероперациях, что потенциально усиливает возможности и без того крупного китайского кибераппарата.
Существование платформы, ориентированной на наступательные задачи, неизбежно входит в противоречие с публичными заявлениями Китая о непричастности к кибератакам. Так, представитель МИД КНР Го Цзякунь недавно оспорил британские обвинения в содействии атакам на критическую инфраструктуру, заявив, что Пекин выступает против взломов и борется с ними в рамках закона. На запросы об утечке, как отмечается, пресс-бюро посольства Китая в Лондоне не ответило.
По описанию, файлы обнаружили на открытом и незащищенном FTP-сервере. Предполагается, что сервер собрал данные с личного устройства одного из разработчиков Expedition Cloud, которое было заражено вредоносным ПО. В архиве нашлись инженерная документация и описание архитектуры платформы и киберполигона, следы поэтапных исправлений, отладочные артефакты и рабочие отчеты. Рядом оказались личные файлы разработчика и его жены, а также несколько образцов вредоносного ПО, что согласуется с версией о зараженном домашнем компьютере.
Разработчиком платформы называется компания CyberPeace (赛宁网安), которая на своем сайте подчеркивает связи с государственными и военными структурами. При этом в документах не указано, какой именно госорган мог заказать разработку: среди возможных вариантов упоминаются разные структуры, от подразделений НОАК до региональных бюро министерств общественной и государственной безопасности. Также допускается, что платформа могла быть продана нескольким заказчикам.
Ключевая деталь утечки касается того, как внутри полигона разделены роли и как оценивается ход операций. Учения разбиты на две команды. Сначала «разведывательная группа» картирует цифровую среду: выясняет, какие системы есть в сети, какие сервисы или интерфейсы доступны извне и где могут быть потенциальные точки входа. Затем «атакующая группа» использует собранные данные, выбирает маршрут и выполняет запланированную операцию внутри среды, пытаясь достичь цели упражнения.
Конкретные задачи миссий и наборы инструментов в документах описаны обобщенно: вместо детального перечня средств упоминаются «weapon images», которые по контексту выглядят как заранее подготовленные виртуальные машины, используемые как стандартные рабочие станции атакующих внутри полигона. Такой подход логично вписывается в идею платформы как «конвейера», где инструменты считаются заменяемыми входными компонентами, а управление ими остается у конечного заказчика.
Еще один важный акцент сделан на контроле и измеримости: платформа записывает каждый шаг участников, включая сетевой трафик, активность систем и решения операторов. Это позволяет полностью реконструировать и воспроизвести операцию, сравнивать команды и повторные прогоны, а также системно выделять наиболее эффективные методики. Фактически кибероперации превращаются в процесс, который можно изучать, мерить и улучшать итеративно, а главным «продуктом» репетиции становятся журналы и данные о работе системы.
Эксперты также выделяют необычно строгую операционную безопасность: упоминается жесткая сегментация между внутренними управляющими контурами и имитируемой внешней средой, которую считают «недоверенной» и потенциально склонной к утечкам. Такая архитектура обычно характерна для ситуаций, где предполагается работа с чувствительными данными или закрытыми инструментами.
В обсуждении последствий звучит и тема автоматизации. Если система годами собирает детальные логи о траекториях атак, узких местах и наиболее результативных приемах, следующим шагом становится возможность «упаковывать» эти знания в автоматизированные сценарии. В материалах дополнительно упоминается исследование о китайских киберполигонах, на которое ссылаются эксперты: оно опубликовано в работе CSET и рассматривает, зачем в киберполигонах воспроизводят целевые сети и почему для чувствительных сценариев важна изоляция и уничтожение следов.
Утечка технических документов показала , что Китай, похоже, использует закрытую тренировочную платформу для отработки кибератак на критическую инфраструктуру ближайших соседей. Материалы включают исходный код, учебные данные и программные компоненты системы «Expedition Cloud», а сама утечка дает редкую возможность увидеть подготовку к потенциальным операциям еще до их проведения.
Пекин давно обвиняют в масштабных наступательных киберкампаниях, но чаще всего такие выводы строятся на разведоценках и технических артефактах, собранных уже после взломов. В этот раз речь идет о внутренней документации, где прямо описывается тренировочная среда, предназначенная для практики атак на копиях «реальных сетевых окружений» «основных оперативных противников» Китая в направлениях Южно-Китайского моря и Индокитая.
О находке первой подробно написал специализированный блог NetAskari . В материалах отдельно указано, что в платформе воспроизводятся целевые сети из сфер энергетики, передачи электроэнергии и транспорта, а также элементы инфраструктуры «умного дома». В документах подчеркивается оценка работы «разведывательных групп» и «атакующих групп» при операциях против таких сетей, при этом сценарии не описывают отдельную роль защитников.
Логика такой «репетиции» выглядит прагматично: если операцию можно заранее спланировать и прогнать в контролируемой среде, то в реальной атаке меньше времени уходит на импровизацию и поиск решений на ходу. Опрошенные независимые эксперты также обращают внимание на то, что дизайн платформы может подразумевать более широкое применение ИИ в кибероперациях, что потенциально усиливает возможности и без того крупного китайского кибераппарата.
Существование платформы, ориентированной на наступательные задачи, неизбежно входит в противоречие с публичными заявлениями Китая о непричастности к кибератакам. Так, представитель МИД КНР Го Цзякунь недавно оспорил британские обвинения в содействии атакам на критическую инфраструктуру, заявив, что Пекин выступает против взломов и борется с ними в рамках закона. На запросы об утечке, как отмечается, пресс-бюро посольства Китая в Лондоне не ответило.
По описанию, файлы обнаружили на открытом и незащищенном FTP-сервере. Предполагается, что сервер собрал данные с личного устройства одного из разработчиков Expedition Cloud, которое было заражено вредоносным ПО. В архиве нашлись инженерная документация и описание архитектуры платформы и киберполигона, следы поэтапных исправлений, отладочные артефакты и рабочие отчеты. Рядом оказались личные файлы разработчика и его жены, а также несколько образцов вредоносного ПО, что согласуется с версией о зараженном домашнем компьютере.
Разработчиком платформы называется компания CyberPeace (赛宁网安), которая на своем сайте подчеркивает связи с государственными и военными структурами. При этом в документах не указано, какой именно госорган мог заказать разработку: среди возможных вариантов упоминаются разные структуры, от подразделений НОАК до региональных бюро министерств общественной и государственной безопасности. Также допускается, что платформа могла быть продана нескольким заказчикам.
Ключевая деталь утечки касается того, как внутри полигона разделены роли и как оценивается ход операций. Учения разбиты на две команды. Сначала «разведывательная группа» картирует цифровую среду: выясняет, какие системы есть в сети, какие сервисы или интерфейсы доступны извне и где могут быть потенциальные точки входа. Затем «атакующая группа» использует собранные данные, выбирает маршрут и выполняет запланированную операцию внутри среды, пытаясь достичь цели упражнения.
Конкретные задачи миссий и наборы инструментов в документах описаны обобщенно: вместо детального перечня средств упоминаются «weapon images», которые по контексту выглядят как заранее подготовленные виртуальные машины, используемые как стандартные рабочие станции атакующих внутри полигона. Такой подход логично вписывается в идею платформы как «конвейера», где инструменты считаются заменяемыми входными компонентами, а управление ими остается у конечного заказчика.
Еще один важный акцент сделан на контроле и измеримости: платформа записывает каждый шаг участников, включая сетевой трафик, активность систем и решения операторов. Это позволяет полностью реконструировать и воспроизвести операцию, сравнивать команды и повторные прогоны, а также системно выделять наиболее эффективные методики. Фактически кибероперации превращаются в процесс, который можно изучать, мерить и улучшать итеративно, а главным «продуктом» репетиции становятся журналы и данные о работе системы.
Эксперты также выделяют необычно строгую операционную безопасность: упоминается жесткая сегментация между внутренними управляющими контурами и имитируемой внешней средой, которую считают «недоверенной» и потенциально склонной к утечкам. Такая архитектура обычно характерна для ситуаций, где предполагается работа с чувствительными данными или закрытыми инструментами.
В обсуждении последствий звучит и тема автоматизации. Если система годами собирает детальные логи о траекториях атак, узких местах и наиболее результативных приемах, следующим шагом становится возможность «упаковывать» эти знания в автоматизированные сценарии. В материалах дополнительно упоминается исследование о китайских киберполигонах, на которое ссылаются эксперты: оно опубликовано в работе CSET и рассматривает, зачем в киберполигонах воспроизводят целевые сети и почему для чувствительных сценариев важна изоляция и уничтожение следов.