Сначала — симуляция, потом — блэкаут. Утечка документов раскрыла, как Китай тренирует кибератаки на соседей

Утечка технических документов показала, что Китай, похоже, использует закрытую тренировочную платформу для отработки кибератак на критическую инфраструктуру ближайших соседей. Материалы включают исходный код, учебные данные и программные компоненты системы «Expedition Cloud», а сама утечка дает редкую возможность увидеть подготовку к потенциальным операциям еще до их проведения.

Пекин давно обвиняют в масштабных наступательных киберкампаниях, но чаще всего такие выводы строятся на разведоценках и технических артефактах, собранных уже после взломов. В этот раз речь идет о внутренней документации, где прямо описывается тренировочная среда, предназначенная для практики атак на копиях «реальных сетевых окружений» «основных оперативных противников» Китая в направлениях Южно-Китайского моря и Индокитая.

О находке первой подробно написал специализированный блог NetAskari. В материалах отдельно указано, что в платформе воспроизводятся целевые сети из сфер энергетики, передачи электроэнергии и транспорта, а также элементы инфраструктуры «умного дома». В документах подчеркивается оценка работы «разведывательных групп» и «атакующих групп» при операциях против таких сетей, при этом сценарии не описывают отдельную роль защитников.

Логика такой «репетиции» выглядит прагматично: если операцию можно заранее спланировать и прогнать в контролируемой среде, то в реальной атаке меньше времени уходит на импровизацию и поиск решений на ходу. Опрошенные независимые эксперты также обращают внимание на то, что дизайн платформы может подразумевать более широкое применение ИИ в кибероперациях, что потенциально усиливает возможности и без того крупного китайского кибераппарата.

Существование платформы, ориентированной на наступательные задачи, неизбежно входит в противоречие с публичными заявлениями Китая о непричастности к кибератакам. Так, представитель МИД КНР Го Цзякунь недавно оспорил британские обвинения в содействии атакам на критическую инфраструктуру, заявив, что Пекин выступает против взломов и борется с ними в рамках закона. На запросы об утечке, как отмечается, пресс-бюро посольства Китая в Лондоне не ответило.

По описанию, файлы обнаружили на открытом и незащищенном FTP-сервере. Предполагается, что сервер собрал данные с личного устройства одного из разработчиков Expedition Cloud, которое было заражено вредоносным ПО. В архиве нашлись инженерная документация и описание архитектуры платформы и киберполигона, следы поэтапных исправлений, отладочные артефакты и рабочие отчеты. Рядом оказались личные файлы разработчика и его жены, а также несколько образцов вредоносного ПО, что согласуется с версией о зараженном домашнем компьютере.

Разработчиком платформы называется компания CyberPeace (赛宁网安), которая на своем сайте подчеркивает связи с государственными и военными структурами. При этом в документах не указано, какой именно госорган мог заказать разработку: среди возможных вариантов упоминаются разные структуры, от подразделений НОАК до региональных бюро министерств общественной и государственной безопасности. Также допускается, что платформа могла быть продана нескольким заказчикам.

Ключевая деталь утечки касается того, как внутри полигона разделены роли и как оценивается ход операций. Учения разбиты на две команды. Сначала «разведывательная группа» картирует цифровую среду: выясняет, какие системы есть в сети, какие сервисы или интерфейсы доступны извне и где могут быть потенциальные точки входа. Затем «атакующая группа» использует собранные данные, выбирает маршрут и выполняет запланированную операцию внутри среды, пытаясь достичь цели упражнения.

Конкретные задачи миссий и наборы инструментов в документах описаны обобщенно: вместо детального перечня средств упоминаются «weapon images», которые по контексту выглядят как заранее подготовленные виртуальные машины, используемые как стандартные рабочие станции атакующих внутри полигона. Такой подход логично вписывается в идею платформы как «конвейера», где инструменты считаются заменяемыми входными компонентами, а управление ими остается у конечного заказчика.

Еще один важный акцент сделан на контроле и измеримости: платформа записывает каждый шаг участников, включая сетевой трафик, активность систем и решения операторов. Это позволяет полностью реконструировать и воспроизвести операцию, сравнивать команды и повторные прогоны, а также системно выделять наиболее эффективные методики. Фактически кибероперации превращаются в процесс, который можно изучать, мерить и улучшать итеративно, а главным «продуктом» репетиции становятся журналы и данные о работе системы.

Эксперты также выделяют необычно строгую операционную безопасность: упоминается жесткая сегментация между внутренними управляющими контурами и имитируемой внешней средой, которую считают «недоверенной» и потенциально склонной к утечкам. Такая архитектура обычно характерна для ситуаций, где предполагается работа с чувствительными данными или закрытыми инструментами.

В обсуждении последствий звучит и тема автоматизации. Если система годами собирает детальные логи о траекториях атак, узких местах и наиболее результативных приемах, следующим шагом становится возможность «упаковывать» эти знания в автоматизированные сценарии. В материалах дополнительно упоминается исследование о китайских киберполигонах, на которое ссылаются эксперты: оно опубликовано в работе CSET и рассматривает, зачем в киберполигонах воспроизводят целевые сети и почему для чувствительных сценариев важна изоляция и уничтожение следов.