Cтарший науковий співробітник проєкту з кіберзахисту Центру досліджень безпеки (CSS) при Швейцарській федеральній вищій технічній школі Цюриха Юджиніо Бенінкаса розповідає як Китай вибудовував свої кіберсили на основі спочатку розрізнених хакерських група, а згодом приватних і державних установ. Відтак протягом двох десятиліть неформальні хакерські угруповання Китаю перетворилися на ключових архітекторів кібернетичного апарату Китаю.
З січня по березень 2025 року США висунули звинувачення або наклали санкції на осіб та компанії, пов'язані з китайськими державними зловмисниками, відомими як APT27, Red Hotel та Flax Typhoon. Це назви, які використовують дослідники кібербезпеки для об'єднання суб'єктів, що застосовують схожі тактики. Багато осіб, що стоять за цими групами, ведуть своє коріння від попередньої спільноти елітних хакерів, відомих як "червоні хакери" або Honkers, які були активними на онлайн-форумах у середині 1990-х і 2000-х роках.
Протягом наступних двох десятиліть ці Honkers еволюціонували від неформальних хакерських угруповань до ключових архітекторів кібернетичного апарату Китаю. Багато з них заснували стартапи в галузі безпеки, допомогли створити команди з кібербезпеки в таких великих технологічних компаніях, як Baidu, Alibaba, Tencent і Huawei, а також сприяли формуванню ринку кібербезпеки, що базується на можливостях захисту від атак. Сьогодні ці можливості, ймовірно, слугують ключовими чинниками для груп APT (Advanced Persistent Threat) Китаю, оскільки кібероперації все частіше здійснюються через проксі-сервери приватного сектору.
Від активізму на базовому рівні до перетворення груп червоних хакерів на професійні організації. Візуалізація Юджиніо Бенінкаса.
Останній звіт Проєкту кіберзахисту Центру досліджень безпеки (CSS) при ЕТН Цюріх, що носить назву "До Вегаса: 'Червоні хакери', які формують кібер-екосистему Китаю", демонструє цю еволюцію. У доповіді акцентується увага на 40 визначних особах, що отримали назву "Червона сороковка", і аналізується, як неформальні таланти поступово інтегрувалися в тісно пов'язану екосистему. Тут перетинаються неформальні мережі, приватний сектор та державні інтереси завдяки поєднанню експериментів на базовому рівні, стратегічного узгодження та посилення інституційного контролю.
Red 40 сформувалася на початку ери інтернету в Китаї. Після підключення Китаю до глобальної мережі інтернет у 1994 році університети стали ключовими центрами зв'язку та експериментів, сприяючи розвитку хакерської культури до поширення інтернету. Наприкінці 1990-х років почали з'являтися групи червоних хакерів, рухомі націоналізмом, технічною цікавістю та зростаючими геополітичними напруженнями. Такі групи, як Honker Union, Green Army та China Eagle Union, набули популярності під час хвилі кібервійн між 1998 і 2001 роками, націлених на іноземні суб'єкти, які вважалися ворожими до Китаю, зокрема США, Тайвань та Японія.
Ці дії включали як атакувальні, так і захисні компоненти, надаючи учасникам практичний досвід у реальних умовах, коли китайська екосистема кібербезпеки лише починала формуватися, а офіційні навчальні програми були досить обмеженими. В університетах було обмаль спеціалізованих курсів, а такі ініціативи, як змагання "Capture the Flag" (імітаційні кіберчелленджі, де учасники використовують як атакувальні, так і захисні навички, включно з експлуатацією вразливостей, зворотною інженерією та криптографією для вирішення завдань і виявлення прихованих "прапорів" заради отримання балів), а також платформи для винагороди за виявлення вразливостей (структуровані програми, в рамках яких організації запрошують дослідників у сфері безпеки знаходити та відповідально повідомляти про вразливості в своїх системах, пропонуючи фінансову винагороду за дійсні знахідки), залишалися на початкових етапах розвитку протягом 2000-х років, здобувши популярність лише у 2010-х. Цю прогалину заповнили групи червоних хакерів, які, будучи самоорганізованими та технічно підкованими, вдосконалювали свої навички через експерименти, часто орієнтуючись на реальні цілі та переконані, що оволодіння атакуючими методами є критично важливим для ефективної оборони.
Попри те, що такі організації, як Honker Union і Green Army, залучили тисячі учасників, саме їхні закриті спільноти стали каталізатором справжніх технологічних інновацій та стали основою для виникнення Red 40. Ця група з 40 технічно підкованих спеціалістів зіграла ключову роль у формуванні основ національної кібербезпеки в Китаї.
На початку 2010-х років багато відомих груп червоних хакерів переживали розпад через різноманітні обставини. Внутрішні конфлікти між лідерами, розбіжності в цілях та старіння учасників ставали серйозними проблемами. Як зазначив один з колишніх учасників Honker Union, "переважна більшість з нас, хто був студентами, змушена була шукати роботу після завершення навчання". З боку держави спостерігалася зростаюча настороженість щодо активності хакерських угруповань. Введення поправки VII до Кримінального кодексу у 2009 році зробило несанкціоноване втручання та розповсюдження хакерських інструментів кримінальним злочином, що призвело до арештів і закриття онлайн-платформ.
Протягом цього ж часу Китайський сектор інформаційно-комунікаційних технологій (ІКТ) демонстрував значне зростання, що стало наслідком розвитку телекомунікаційної інфраструктури, збільшення доступу до Інтернету та підйому великих технологічних компаній. Ця динаміка привернула увагу багатьох хакерів Red 40. Деякі з них стали засновниками стартапів у галузі кібербезпеки, таких як NSFOCUS і Knownsec, в той час як інші приєдналися до відомих фірм у сфері кібербезпеки, таких як Venustech і Topsec, або брали участь у створенні кібербезпекових команд у таких компаніях, як Baidu, Alibaba, Tencent і Huawei.
Проте, попри це зростання, сектора кібербезпеки все ще залишався недостатньо розвиненим. Як зазначив китайський технологічний портал PingWest, до 2010 року питання кібербезпеки не отримувало необхідної уваги. Витік інформації, що стався завдяки Сноудену у 2013 році, став ключовим моментом. Цей інцидент підтвердив давно існуючі побоювання щодо контролю з боку США та прискорив зусилля Китаю у зміцненні своїх кіберзахисних можливостей. Інвестиції різко зросли, а законодавча база була оновлена, що суттєво підвищило економічні стимули. У цьому контексті компанія Red 40 стала лідером у переході до нової ери.
Траєкторії Red 40. Ілюстрація Юджиніо Бенінкаса.
До середини 2010-х років компанії, створені учасниками Red 40, такі як NSFOCUS і Knownsec, стали провідними гравцями на національному рівні. Деякі члени Red 40 продовжили вести ініціативи у сфері безпеки хмарних технологій у таких великих корпораціях, як Alibaba, Tencent і Huawei. Інші заснували стартапи в нових напрямках, зокрема в галузі виявлення APT-атак та розвідки кіберзлочинності. Лабораторії, як-от Keen Lab і Xuanwu Lab від Tencent, під керівництвом членів Red 40, здобули міжнародне визнання завдяки своїм досягненням у дослідженні вразливостей, зокрема через участь в елітних хакерських змаганнях та програмах bug bounty.
У 2010-х роках, коли китайська кібербезпекова індустрія досягла нового рівня розвитку, паралельно сформувалася й екосистема висококваліфікованих кіберакторів, що отримують фінансування від держави і все більше інтегруються з приватними проксі-серверами. Члени групи Red 40 не лише активно долучилися до приватного сектора, але й стали важливими гравцями у державних кіберопераціях Китаю.
Такі фігури, як Тан Дайлін (wicked rose), Цзен Сяойон (envymask) і Чжоу Шуай (coldface), перейшли з онлайн-форумів до підставних компаній, що здійснюють кібершпигунство для урядових служб безпеки, ставши центральними фігурами в таких групах, як APT41, APT17 і APT27. З січня по березень 2025 року не тільки підставні компанії, але й відомі фірми, очолювані членами Red 40, були пов'язані з операціями, що фінансуються державою. Серед них - i-SOON, очолювана Ву Хайбо (shutdown) і Чен Чен (lengmo), та Integrity Tech, очолювана Цай Цзінцзін (cbird).
Фірми, які мають зв'язок із хакерськими групами Aquatic Panda та Flax Typhoon, що, за даними, здійснюють зломи в різних секторах по всьому світу, надають значну увагу комерційному навчанні в сфері кібербезпеки. Цей аспект є особливо важливим: на відміну від підставних компаній, які часто функціонують з обмеженою комерційною діяльністю і виконують роль прикриття, справжні підприємства мають на меті отримання прибутку, здатні до масштабування та інтегровані в ширшу індустрію кібербезпеки. Наприклад, компанія Integrity Tech займає провідну позицію на ринку кібербезпекового навчання в Китаї, володіючи часткою 20,4%. Співпраця з такими підприємствами сприяє розвитку більш стійких, ресурсно забезпечених та інноваційних кіберможливостей.
Мережі Red 40 та колективне використання інструментів в китайській APT-екосистемі. Ілюстрація Юджиніо Бенінкаса.
Нарешті, багато членів Red 40, які брали участь у державних операціях, були особисто знайомі між собою і підтримували давні професійні та неформальні мережі, які допомогли сформувати спосіб обміну талантами та інструментами між китайськими групами APT.
Red 40 заклав основу для того, що з того часу перетворилося на структуровану та інституціоналізовану кібер-екосистему, засновану на галузі, яка все більше рухається вперед завдяки інноваціям у сфері засобів захисту від атак. На відміну від попередніх поколінь, які дорослішали, читаючи хакерські журнали та навчаючись самостійно в Інтернеті, сьогодні кібер-кадри країни формуються завдяки хакерським змаганням, спеціалізованим університетським програмам та навчанням із захисту від атак. Сьогодні компанії, що базуються на культурі "захоплення прапора", вважаються основним двигуном інновацій, пропонуючи наступальні та оборонні послуги, такі як "червона команда", тестування на проникнення та аналіз загроз.
Чень Пейвен (Boundary Unlimited), Кевін Шень (Yunqi Wuyin) та Шу Цзюньлян (Feiyu Security) раніше очолювали видатні команди CTF у провідних університетах, а тепер керують стартапами, що спеціалізуються на наступальних технологіях. Їхні компанії зосереджені на фузінгу, безпеці програмного забезпечення та захищеній розробці, де їхні наступальні вміння стають важливим стратегічним активом. Інші підприємці, такі як Чжан Жуйдун (NoSugar) та Ян Чанчен (Zhongan Netstar), використовують схожі методи для виявлення шахрайства та підтримки правоохоронних органів. З розвитком цієї екосистеми, вона, ймовірно, займе все більш важливе місце у підтримці активностей APT Китаю, враховуючи зростаючу тенденцію залучення приватних структур до державних кібероперацій.
Історія китайських червоних хакерів ілюструє, як неформальні кіберспільноти, під впливом відповідних факторів, можуть перетворитися на ключових гравців у розвитку державних можливостей. Red 40 не лише поповнили кадрами екосистему кібербезпеки Китаю, а й створили її з нуля. У той час як інші країни намагаються знайти способи підвищення кіберталантів і укріплення співпраці між державним та приватним секторами, досвід Китаю надає важливий урок: те, що починається на анонімних форумах, може завершитися в кабінетах влади та на цифрових полях битв. Ігнорування цих нових цивільних талантів несе в собі значні стратегічні ризики.
#Університет #Архітектор #Сполучені Штати #Підприємницька діяльність #Армія США #Інтернет #Стартап-компанія #Експеримент #Телекомунікації #Huawei #Комп'ютерна безпека #Китай #Японія #Китай (регіон) #Тайвань #Еволюція #Інжиніринг #Націоналізм #Династія Тан #Екосистема #Alibaba Group #Baidu #Tencent #Хакер. #Вразливість (комп'ютерна безпека) #Криптографія #Цюріх #CSS #APT (програмне забезпечення) #Проксі-сервер #Доброчесність
