0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Хотели признания на Западе, но смогли лишь подделать сайт «The Guardian». Исповедь китайских хакеров

leer en español

Graphika Spamouflage HaiEnergy Tencent Alibaba Cloud Hangzhou Jijia Technology прокитайская кампания
Хотели признания на Западе, но смогли лишь подделать сайт «The Guardian». Исповедь китайских хакеров
Graphika Spamouflage HaiEnergy Tencent Alibaba Cloud Hangzhou Jijia Technology прокитайская кампания

Авторы схемы «наследили» так сильно, что их быстро раскрыли.

image

Американская компания Graphika опубликовала доклад «Glass Onion», в котором описала разветвлённую сеть сайтов, маскирующихся под авторитетные СМИ и продвигающих прокитайский контент. По данным авторов отчёта, инфраструктура объединяет десятки доменов и связана с китайскими маркетинговыми и PR-структурами, а также пересекается с ранее выявленными информационными кампаниями.

Специалисты обнаружили 43 домена и 37 поддоменов, которые копировали оформление и структуру таких изданий, как The New York Times, The Guardian, The Wall Street Journal, Los Angeles Times и Wired. Сайты воспроизводили элементы дизайна оригиналов и использовали схожие названия, чтобы создать видимость публикации в западных медиа. Часть ресурсов имитировала китайские государственные СМИ, включая CCTV и People's Daily, а ещё девять площадок представлялись новостными порталами отдельных стран.

Технический анализ показал, что многие домены зарегистрировали в одни и те же даты и разместили на одних IP-адресах. Они использовали одинаковую архитектуру и шаблоны, загружали страницы как статический HTML и применяли китайский редактор UEditor. Изображения и видео подтягивались с внешних серверов, в том числе с Alibaba Cloud. В исходном коде некоторых страниц нашли ссылки на инфраструктуру Shenzhen Tencent Computer Systems и Jiangsu Xinhua Newspaper Media Group, что указывает на заимствование или переработку их контента.

Graphika связала сеть как минимум с 30 китайскими компаниями и тремя физическими лицами, работающими в сфере рекламы и цифрового маркетинга. Среди них Hangzhou Jijia Technology, Wenzhou Bilin Media, Wuhan Shifenqinfen Network Technology и другие. Несколько компаний открыто предлагали услуги по размещению заказных публикаций на зарубежных площадках, обещая выход на крупные международные медиа. При этом фактически материалы размещались на сайтах-клонах с минимальной аудиторией.

Авторы отчёта нашли контракты между китайскими госструктурами и подрядчиками, которые предусматривали публикацию десятков материалов в «международных СМИ». Один из примеров связан с продвижением выставки в Чанчунь, материалы о которой появились на одном из имитирующих сайтов. Отдельные домены распространяли статьи с критикой Фалуньгун и Shen Yun, которые затем массово продвигали аккаунты, связанные с кампанией Spamouflage.

Помимо политических публикаций, сеть размещала рекламу криптовалют, коммерческих сервисов, культурных мероприятий и китайских артистов. После выхода таких материалов заказчики часто ссылались на них в китайских соцсетях как на доказательство освещения в зарубежной прессе.

В Graphika отмечают, что выявленная экосистема напоминает ранее описанные операции HaiEnergy, Paperwall и другие кампании, которые Google объединила под названием Glassbridge. Однако масштаб задействованных структур оказался шире, чем предполагалось ранее. Доклад подчёркивает, что частные PR-компании играют заметную роль в создании инфраструктуры псевдоновостных сайтов, через которую продвигают нужные Пекину и коммерческим клиентам материалы.