Könyékig vájkál a kínai titkosszolgálat Vlagyimir Putyin hadititkaiban

A kiberelemzők szerint az ukrajnai háború kezdete óta a kínai kormányhoz köthető csoportok többször is feltörték orosz vállalatok és kormányzati ügynökségek rendszereit, nyilvánvalóan katonai titkok után kutatva.

A behatolások 2022 májusában kezdtek felgyorsulni, alig néhány hónappal Moszkva teljes körű inváziójának kezdete után. És folyamatosan folytatódtak. A kínai csoportok még akkor is beférkőztek az orosz rendszerekbe, amikor Vlagyimir Putyin orosz és Hszi Csin-ping kínai elnök nyilvánosan az együttműködés és a korlátlan barátság korszakát hirdette.

A hackerkampány azt mutatja, hogy e partnerség és a többéves ígéretek ellenére Kína sebezhető célpontnak tekinti Oroszországot. Egy Sanyo néven ismert csoport egy nagy orosz mérnöki cég e-mail-címeit használta csalinak 2023-ban, miközben nukleáris tengeralattjárókra vonatkozó információkra vadászott – állítja a TeamT5, egy tajvani székhelyű kiberbiztonsági kutatócég, amely tavaly fedezte fel a támadást, és a kínai kormányhoz kötötte – írta meg a The New York Times.

Kína sokkal gazdagabb, mint Oroszország, és rengeteg hazai tudományos és katonai szakértelemmel rendelkezik. A kínai csapatoknak azonban egyáltalán nincs harctéri tapasztalata – ami éles háború esetén talán a legfontosabb faktor. Szakértők szerint Kína az ukrajnai háborúban lehetőséget lát arra, hogy információkat gyűjtsön a modern hadviselési taktikákról, a nyugati fegyverekről és arról, hogy mi működik azok ellen.

Kína valószínűleg igyekszik információkat gyűjteni Oroszország tevékenységéről, beleértve az ukrajnai katonai műveletet, a védelmi fejlesztéseket és más geopolitikai manővereket

– mondta Che Chang, a TeamT5 kutatója.

Az orosz hírszerzés belső dokumentuma szerint az oroszok aggódnak

Nem világos, hogy ezek a kísérletek mennyire voltak sikeresek, részben azért, mert orosz tisztviselők soha nem ismerték el nyilvánosan ezeket a behatolásokat. De az orosz belbiztonsági ügynökség, az FSZB titkos kémelhárítási dokumentuma világossá teszi, hogy a hírszerzési tisztviselők aggódnak. A The New York Times által megszerzett dokumentum szerint Kínát az orosz védelmi szakértelem és technológia érdekli, és megpróbál tanulni Oroszország ukrajnai katonai tapasztalataiból. A dokumentum Kínát „ellenségként” említi.

Mivel Putyin orosz elnök nagyrészt el van vágva a Nyugattól, országa Kínára támaszkodik, hogy az megvásárolja az olaját, és eladja számukra a háborús erőfeszítéseihez nélkülözhetetlen kettős felhasználású technológiákat. Moszkva és Peking egy blokkot alkotott Washingtonnal és szövetségeseivel szemben, ami riadalmat keltett a nyugati vezetőkben. Az FSZB-dokumentum bonyolultabb kapcsolatot mutat be, mint a Hszi és Putyin által leírt „határok nélküli” partnerség.

A szövetségesek köztudottan kémkednek egymás után, de Kína Oroszország elleni hackertevékenységének mértéke egyrészt a kölcsönös bizalmatlanság magasabb szintjére utal, másrészt arra, hogy a Kreml vonakodik megosztani mindazt, amit az ukrajnai harctéren tanul.

A dokumentum szerint a drónhadviselés és a szoftverek különösen érdeklik Kínát.

Az ukrajnai háború alapvetően megváltoztatta a hírszerzési prioritásokat mindkét ország számára

– mondta Itay Cohen, a Palo Alto Networks kiberbiztonsági cég vezető kutatója, aki évek óta követi a kínai hackercsoportokat. Szakértők szerint – és a dokumentum is erre utal – Kína tanulni akar Oroszország háborús tapasztalataiból, hogy megerősítse saját felkészültségét a lehetséges jövőbeli konfliktusokra. Tajvan különösen fontos potenciális konfliktuspont a Nyugattal.

Ezek a fő célpontok

A Palo Alto Networks szerint az egyik kínai kormány által finanszírozott csoport a Rostecet, a hatalmas orosz állami tulajdonú védelmi konglomerátumot vette célba, műholdas kommunikációval, radarokkal és elektronikus hadviseléssel kapcsolatos információkat keresve. Mások rosszindulatú fájlokat használtak, amelyek célja a Microsoft Word sebezhetőségének kihasználása volt, hogy behatoljanak orosz légiközlekedési iparági célpontokba és állami szervekbe.

A SentinelLabs és a Recorded Future kiberbiztonsági kutatói szerint a kínai Advanced Persistent Threat (APT) csoportok, köztük az APT27 (Emissary Panda) és az APT31 (Zirconium) agresszív célpontjai:

• orosz katonai vállalkozók,
• a védelmi K+F-ben részt vevő kormányzati szervek,
• az ukrajnai haditervezéssel kapcsolatos e-mail-szerverek és dokumentumarchívumok

A hackerek a jelentések szerint spear-phishing kampányokat használtak, az orosz egészségügyi minisztérium értesítéseit meghamisítva, hogy rosszindulatú szoftvereket ültessenek be a minősített belső rendszerekbe – írta meg a The Economic Times.

Nem minden kínai hackercsoport működik a kormány megbízásából. Biztonsági szakértők azonban láttak bizonyítékot a kormányzati kapcsolatokra.

A Positive Technologies orosz kiberbiztonsági cég például 2023-ban közölte, hogy kibertámadásokat intéztek több orosz célpont ellen, többek között a repülőgépipar, a magánbiztonsági és a védelmi ágazatban. A támadók a Deed RAT néven ismert eszközt használták, amelyet a kínai államilag támogatott hackerek széles körben alkalmaznak. A kiberbiztonsági szakértők szerint a Deed RAT „védettnek” számít e csoportok körében, és nem vásárolható meg a sötét weben, mint más rosszindulatú szoftverek.

A kínai állam által támogatott hackercsoportok gyakran céloztak meg nemzetközi vállalatokat és kormányzati intézményeket, többek között az Egyesült Államokban és Európában. Úgy tűnik azonban, hogy a hackercsoportok az ország 2022. februári ukrajnai inváziója után jobban érdeklődnek az orosz célpontok iránt.

A nevezetes Mustang Panda

Chang elmondta, hogy ő és kollégái több, Oroszországot célba vevő kínai hackercsoportot is nyomon követnek. Köztük volt az ország egyik legaktívabb hackercsoportja, amelyet Mustang Panda néven ismernek.

A Mustang Panda eredetéről vagy arról, hogy hol működik Kínán belül, keveset tudni a csoportot tanulmányozó kutatók szerint. Rafe Pilling, a Sophos biztonsági cég fenyegetéselemzési igazgatója szerint tevékenysége gyakran kíséri Kína Övezet és Út gazdasági fejlesztési kezdeményezését. Elmondása szerint, ahogy Kína beruházott a nyugat-afrikai és délkelet-ázsiai fejlesztési projektekbe, a hackertámadások hamarosan követték azt.

„Ez valószínűleg azért van így, mert Kína olyan országokban fektet be, ahol politikai és gazdasági érdekei vannak, ami motiválja az államilag támogatott hackereket” – mondta Pilling.

Miután Oroszország megszállta Ukrajnát, a TeamT5 szerint a Mustang Panda kiterjesztette hatókörét, hogy Oroszország és az Európai Unió kormányzati szervezeteit vegye célba.

Pilling, aki több éve figyeli a Mustang Panda tevékenységét, azt mondja, gyanúja szerint a csoport mögött a kínai állambiztonsági minisztérium, Kína legfőbb hírszerző szerve áll. „A minisztérium olyan csoportokat támogat, amelyek világszerte támadnak célpontokat” – mondta. A Mustang Panda 2022-ben orosz katonai tisztviselőket és határőrségeket vett célba a Kínával közös szibériai határ közelében.

Az általunk megfigyelt célpontok általában politikai és katonai hírszerzési célúak. Ez a kínai állam egyik fő eszköze a politikai és gazdasági hírszerzésre

– mondta Pilling. Ez igaz az összes kínai hackercsoportra, amely Oroszországot veszi célba – fogalmazott.

A Mustang Panda az amerikai hatóságok figyelmét is felkeltette. Januárban az Igazságügyi Minisztérium és az FBI közölte, hogy a csoport rosszindulatú programja több ezer számítógépes rendszert fertőzött meg, és információkat akart ellopni. A célpontok közül sokan amerikaiak voltak, de a szövetségi vádirat szerint a kártevő kínai disszidensek, valamint európai és ázsiai kormányok számítógépein is megtalálható volt.

A dokumentum egyértelművé teszi, hogy az Egyesült Államok szerint a Mustang Panda államilag támogatott csoport.

Számos hackercsoport érintett

Más kínai csoportok is célba vették Oroszországot. Csang elmondta, csapata egy másik fenyegető csoportot, a Slime19-et követi, amely folyamatosan az orosz kormányzati, energetikai és védelmi ágazatokat veszi célba.

Kína és Oroszország a 2009-ben és 2015-ben kötött megállapodásokban ígéretet tett arra, hogy nem hajtanak végre egymás ellen irányuló kibertámadásokat. De elemzők már akkor is azt közölték, hogy a bejelentés nagyrészt szimbolikus volt.

Az oroszországi kínai hackertámadások nem az ukrajnai háborúval kezdődtek. Egy 2021-es akció például orosz tengeralattjáró-tervezőket vett célba. Azonban a szakértők szerint a háború hatására megugrott a számítógépes behatolások száma.

Az aktivitás radikálisan megnőtt – ezt azonnal láttuk az Oroszország ukrajnai teljes körű invázióját követő hónapokban. Történt ez annak ellenére, hogy a közvélemény az Oroszország és Kína közötti szoros kapcsolatokról beszélt

– mondta Cohen.

(Borítókép: Vlagyimir Putyin Moszkvában 2025. június 22-én. Fotó: Contributor / Getty Images)