Три 0Day и два года тишины Knownsec. Хакеры обошли защиту «флагмана кибербезопасности» Китая

Утечка данных китайской компании Knownsec, прославленной как один из флагманов национальной кибербезопасности, обернулась для неё имиджевым ударом и неожиданным признанием слабых мест. В начале ноября неизвестные выложили в сеть массив внутренних документов компании, а заодно раскрыли, что «король уязвимостей» не сумел защитить собственные системы — сразу три нулевых дня использовали злоумышленники, чтобы проникнуть в инфраструктуру Knownsec ещё в 2023 году. Компания подробно описала инцидент, продемонстрировав редкую для китайского корпоративного сектора прозрачность, но вокруг произошедшего остаётся множество вопросов.

5 ноября в китайском блоге Mrxn's Blog появился пост о «крупнейшей утечке» Knownsec: автор утверждал, что в открытый доступ попало около 12 тысяч конфиденциальных документов — от инструментов и внутренних систем до списков целей. Позднее выяснилось, что первоначально данные всплыли на GitHub, откуда были удалены за нарушение правил. Англоязычная площадка NETASKARI одной из первых проанализировала доступные фрагменты: в них нашлись лишь рекламные материалы, списки данных для мониторинга и корпоративный профиль — ничего, что указывало бы на «боевое кибероружие» уровня госхакеров. Однако журналист отметил: Knownsec остаётся компанией, способной по заказу клиентов разрабатывать инструменты для проникновения в чужие системы и, возможно, проводить наступательные операции.

При этом никто из исследователей, включая самих журналистов NETASKARI и Natto Team, так и не видел полный архив утечки. Несмотря на это, западные СМИ быстро растиражировали громкие заголовки о «масштабной утечке китайского киберарсенала». На фоне шума вокруг инструментов Natto Team решила взглянуть на ситуацию глазами самой Knownsec, чтобы понять роль крупных частных игроков в построении киберсил Китая.

Knownsec, основанная в 2007 году, входит в число самых влиятельных и технологически сильных компаний отрасли. В 2024 году исследовательский институт RoarTalk включил её в двадцатку ключевых «комплексных» игроков рынка. Основатели и нынешний CSO компании — легендарные «патриотические хакеры» первой волны, стоявшие у истоков китайского хакинга конца 1990-х. Особенно выделяется CSO Чжоу Цзинпин по прозвищу SuperHei — многолетний лидер рейтингов по обнаружению уязвимостей в крупнейших ИТ-продуктах мира, от Microsoft до Tencent.

Среди инвесторов Knownsec — Baidu и Tencent, а в 2018 году компания попала на билборд Nasdaq в рамках программы CCTV «Национальный бренд». Свыше 1,5 тысячи сотрудников, десятки подразделений по всей стране — Knownsec давно стала витриной китайской киберотрасли.

Именно поэтому её реакция на утечку была моментальной. В день появления публикаций компания выпустила клиентское уведомление, подробно описав происшествие: инцидент на самом деле произошёл в августе 2023 года, когда неизвестные использовали три zero-day уязвимости и проникли в облачную офисную систему. Попытку расширить атаку тогда удалось остановить, но определить объём похищенного компания не смогла — технологии злоумышленников оказались слишком изощрёнными.

После появления данных на даркнет-форумах Knownsec подтвердила: утечка связана с тем самым взломом. Проанализировав опубликованные фрагменты, компания решила, что речь идёт о частичных списках сотрудников и клиентов, а также данных из собственной системы мониторинга даркнета. Knownsec подчеркнула, что ни пользовательские аккаунты, ни пароли, ни критические данные клиентов похищены не были. При этом она признала двухлетний разрыв между атакой и публичным раскрытием, объяснив его тем, что сама не видела полный объём украденных файлов.

В уведомлении компания извинилась перед клиентами и отметила, что для кибербезопасной организации подобный инцидент «чрезвычайно прискорбен и неловок». Она также раскритиковала СМИ за преувеличение масштабов происшествия.

Тем временем обсуждение утечки подогрело фигура блогера Mrxn — автора, который уже более десяти лет публикует новости об инцидентах информационной безопасности и выкладывает инструменты для пентеста на GitHub. Его мотивы остаются неясными: желание обрушить репутацию Knownsec, попытка «дать компании урок», как в нашумевшей истории с TCL, или стремление заработать на уже украденной информации.

Инцидент вновь поднял вопрос о том, какие китайские компании считаются «заменяемыми», а какие — «слишком крупными, чтобы провалиться». Для контраста многие вспомнили скандал вокруг i-SOON в 2024 году: та компания так и не признала утечку, исчезла из публичного пространства и, судя по расследованиям, в бизнесе едва держится на плаву. Knownsec же является национальным брендом, объектом инвестиций, и, как показывают действия властей, структурой, которую государство намерено поддерживать.

Это объясняет и международный контекст: ещё в 2021 году США включили Knownsec в список «китайских военных компаний» и ограничили экспорт технологий в её адрес — наряду всего лишь с одной другой киберкомпанией, гигантом Qihoo 360. На китайских форумах это объясняют просто: Knownsec якобы представляет «наибольшую угрозу доминированию США в киберпространстве».

На практике же утечка 2025 года показывает парадокс: даже лидеры отрасли, ищущие уязвимости в продуктах всего мира, могут пропустить критическую брешь в собственных системах — и столкнуться с последствиями, когда забытые инциденты оживают спустя два года.