Китай запретил софт США, а американцы в ответ...смягчили тон. Palo Alto показала, чего стоят слова в отчёте о хакерах

Компания Palo Alto Networks смягчила формулировки в отчёте о крупной шпионской хакерской кампании и не стала напрямую связывать её с Китаем, хотя изначально такие выводы в документе были. Об этом сообщили источники, знакомые с подготовкой исследования. Решение приняли из опасений, что жёсткая атрибуция может вызвать ответные меры со стороны Пекина и ударить по самой компании и её заказчикам.

Речь идёт о масштабной операции, которую подразделение анализа угроз Unit 42 раскрыло на прошлой неделе. В опубликованной версии отчёта группу злоумышленников обозначили как «связанную с государством структуру, действующую из Азии». По словам источников, в рабочем варианте документа прямо указывалась связь с Китаем, но перед выпуском текст переписали. Это произошло вскоре после сообщений о том, что китайские власти запретили использовать программные продукты примерно 15 американских и израильских компаний в сфере информационной безопасности, включая Palo Alto Networks, сославшись на соображения национальной безопасности.

Собеседники утверждают, что исследователи Unit 42 были уверены в китайском происхождении кампании и опирались на большой объём технических следов и косвенных признаков. При этом сама компания заявила журналистам, что вопрос указания конкретной страны «не имеет значения». В последующих комментариях представитель по глобальным коммуникациям Николь Хокин подчеркнула, что формулировки отчёта не связаны с китайскими правилами закупок, а предположения об обратном назвала домыслами. По её словам, выбранный язык нужен для того, чтобы точнее предупредить и защитить государственные структуры от угрозы.

В посольстве Китая в Вашингтоне заявили, что выступают против любых кибератак. Там добавили, что установление источника взломов – сложная техническая задача, и призвали опираться на доказательства, а не на предположения и обвинения.

В отчёте говорится, что группу под обозначением TGR-STA-1030 впервые заметили в начале 2025 года. Кампания, получившая название «Теневые операции», охватила почти весь мир. Злоумышленники вели разведку сетей в разных странах и сумели проникнуть в государственные структуры и объекты критической инфраструктуры как минимум в 37 государствах.

Хотя Китай в тексте не назван, в отчёте приводятся детали, которые косвенно указывают на возможную связь. Активность совпадала с рабочим временем часового пояса GMT+8, к которому относится Китай. Также описаны операции против государственных систем Чехии вскоре после встречи президента страны с Далай-ламой, которого Пекин считает политически чувствительной фигурой. Ещё одна атака пришлась на Таиланд накануне дипломатического визита, а уже через неделю король Таиланда совершил государственную поездку в Пекин.

Независимые исследователи, изучившие технические данные кампании, сообщили, что наблюдали похожие приёмы и инфраструктуру в операциях, которые ранее связывали с китайскими государственными службами разведки.

Ситуация показывает, в каком сложном положении оказываются крупные международные компании по информационной безопасности. Публично назвать государство, стоящее за шпионской операцией, значит привлечь внимание и укрепить репутацию. Но такой шаг может обернуться ответными действиями, особенно если у компании есть сотрудники и офисы в стране, о которой идёт речь.