Китайски хакери са се насочили към правителството на Кения в широко разпространена, продължила с години поредица от цифрови прониквания срещу ключови министерства и държавни институции. Това показват три източника, доклади за изследване на киберсигурността и собствен анализ на „Ройтерс“ на технически данни, свързани с хакерските атаки.
Два от източниците прецениха, че атаките са насочени, поне отчасти, към получаване на информация за дълга, който източноафриканската нация дължи на Пекин: Кения е стратегическа връзка в инициативата „Един пояс, един път“ – планът на президента Си Дзинпин за глобална инфраструктурна мрежа.
„Могат да възникнат допълнителни компромиси, след като стане необходимо изискването за разбиране на предстоящите стратегии за изплащане“, се казва в изследователски доклад от юли 2021 г., написан от изпълнител на отбраната за частни клиенти.
Министерството на външните работи на Китай заяви, че не е запознато с подобни хакерски атаки, докато китайското посолство във Великобритания нарече обвиненията „безпочвени“, добавяйки, че Пекин се противопоставя и се бори с „кибератаките и кражбите във всичките им форми“.
Влиянието на Китай в Африка нарасна бързо през последните две десетилетия. Но, подобно на няколко африкански държави, финансите на Кения са обтегнати от нарастващите разходи за обслужване на външния дълг – голяма част от него дължим на Китай. Хакерската кампания демонстрира желанието на Китай да използва своите шпионски способности, за да наблюдава и защитава икономически и стратегически интереси в чужбина, казаха двама от източниците.
Хаковете представляват тригодишна кампания, която е насочена към осем от министерствата и правителствените служби на Кения, включително президентската служба, според анализатор на разузнаването в региона. Анализаторът също така сподели с „Агенция Ройтерс“ изследователски документи, които включват времевата линия на атаките, целите и предоставя някои технически данни, свързани с компрометирането на сървър, използван изключително от главната шпионска агенция на Кения.
Кенийски експерт по киберсигурност описа подобна хакерска дейност срещу външното и финансовото министерство. И тримата източници поискаха да не бъдат назовавани поради чувствителния характер на работата им.
„Вашето твърдение за опити за хакване от китайски правителствени субекти не е уникално“, смята президентската канцелария на Кения, добавяйки, че правителството е било обект на „чести опити за проникване“ от китайски, американски и европейски хакери. В съобщението се казва:
„Що се отнася до нас, нито един от опитите не беше успешен.“
Той не предостави повече подробности, нито отговори на последващи въпроси.
Говорител на китайското посолство във Великобритания изтъква, че Китай е против „безотговорни ходове, които използват теми като киберсигурността, за да всеят раздор в отношенията между Китай и други развиващи се страни“. Говорителят призна:
„Китай отдава голямо значение на проблема с дълга на Африка и работи интензивно, за да помогне на Африка да се справи с него.“
Хакерските атаки
Между 2000 г. и 2020 г. Китай е отпуснала близо 160 милиарда долара заеми на африкански страни, според изчерпателна база данни за китайски заеми, поддържана от Бостънския университет, голяма част от които за мащабни инфраструктурни проекти. Кения използва над 9 милиарда долара китайски заеми, за да финансира агресивен натиск за изграждане или модернизиране на железопътни линии, пристанища и магистрали.
Пекин стана най-големият двустранен кредитор на страната и спечели стабилна опора на най-важния източноафрикански потребителски пазар и жизненоважен логистичен център на брега на Африка в Индийския океан. До края на 2019 г. обаче, когато кенийският експерт по киберсигурност коментира пред „Ройтерс“, че е бил привлечен от кенийските власти, за да оцени хакване на правителствена мрежа, китайското кредитиране пресъхва. А финансовото напрежение на Кения си личеше.
Пробивът, прегледан от кенийския експерт по киберсигурност и приписан на Китай, започна с атака „spearphishing“ в края на същата година, когато служител на кенийското правителство несъзнателно изтегли заразен документ, позволявайки на хакери да проникнат в мрежата и да получат достъп до други агенции. Кенийският експерт по киберсигурност беше категоричен:
„Бяха откраднати много документи от министерството на външните работи, както и от финансовия отдел. Атаките изглежда бяха фокусирани върху ситуацията с дълга.“
Друг източник – анализаторът на разузнаването, работещ в региона – потвърди, че китайски хакери са извършили широкообхватна кампания срещу Кения, която е започнала в края на 2019 г. и е продължила поне до 2022 г.
Според документите, предоставени от анализатора, китайските кибершпиони са подложили кабинета на президента на Кения, неговите министерства на отбраната, информацията, здравеопазването, земята и вътрешните работи, неговия център за борба с тероризма и други институции на постоянна и продължителна хакерска дейност.
Засегнатите правителствени служби не отговориха на искания за коментар, отказаха да бъдат интервюирани или бяха недостъпни.
До 2021 г. глобалните икономически последици от пандемията от COVID-19 вече бяха помогнали да накарат един основен китайски кредитополучател – Замбия – да просрочи външния си дълг. Кения успя да осигури временен мораториум за изплащане на дълга от Китай.
В началото на юли 2021 г. докладите за изследване на киберсигурността, споделени от анализатора на разузнаването в региона, описват подробно как хакерите са получили тайен достъп до имейл сървър, използван от Националната разузнавателна служба на Кения (NIS).
„Ройтерс“ успя да потвърди, че IP адресът на жертвата принадлежи на NIS. Инцидентът беше отразен и в доклад на частния изпълнител на отбраната, прегледан от „Ройтерс“.
Ройтерс не можа да определи каква информация е взета по време на хакерската дейност или да установи категорично мотива за атаките. Но в доклада на отбранителния изпълнител се казва, че нарушението на NIS вероятно е имало за цел да събере информация за това как Кения планира да управлява плащанията по дълга си. В доклада се посочва:
„В момента Кения изпитва натиска на тези дългови тежести… тъй като много от проектите, финансирани от китайски заеми, все още не генерират достатъчно приходи, за да се изплатят.“
Преглед на „Ройтерс“ на интернет регистрационните файлове, очертаващи дейността на китайския дигитален шпионаж, показа, че сървър, контролиран от китайските хакери, също е имал достъп до споделена услуга за уеб поща на кенийското правителство наскоро от декември 2022 г. до февруари тази година.
Китайските официални лица отказаха да коментират това скорошно нарушение, а кенийските власти не отговориха на въпрос за това.
„ТАЙНА ДИПЛОМАЦИЯ“
Изпълнителят на отбраната, посочвайки идентични инструменти и техники, използвани в други хакерски кампании, идентифицира хакерски екип, свързан с китайската държава, като извършил атаката срещу разузнавателната агенция на Кения.
Групата е известна като „BackdoorDiplomacy“ (в превод „Тайна дипломация“) в общността за изследване на киберсигурността, поради опитите си за постигане на целите на китайската дипломатическа стратегия.
Според базираната в Словакия фирма за киберсигурност ESET, BackdoorDiplomacy повторно използва зловреден софтуер срещу своите жертви, за да получи достъп до техните мрежи, което прави възможно проследяването на техните дейности.
Предоставена от Ройтерс с IP адреса на хакерите на NIS, Palo Alto Networks, американска фирма за киберсигурност, която проследява дейностите на BackdoorDiplomacy, потвърди, че принадлежи към групата, добавяйки, че нейният предишен анализ показва, че групата е спонсорирана от китайската държава.
Изследователите на киберсигурността са документирали хакове на BackdoorDiplomacy, насочени към правителства и институции в редица страни в Азия и Европа.
Нахлуванията в Близкия изток и Африка изглеждат по-рядко срещани, което прави фокуса и мащаба на неговите хакерски дейности в Кения особено забележителни, се казва в доклада на отбранителния изпълнител.
„Този ъгъл очевидно е приоритет за групата.“
Посолството на Китай във Великобритания отхвърли всякакво участие в хакерските атаки в Кения и не отговори директно на въпроси относно връзката на правителството с BackdoorDiplomacy. Говорител потвърди:
„Китай е основна жертва на кибер кражби и атаки и твърд защитник на киберсигурността.“