Канадское отделение Amnesty International подтвердило, что оно стало целью «изощренной» кибератаки, осуществленной китайскими хакерами, спонсируемыми государством.
Правозащитная организация заявила, что впервые обнаружила нарушение 5 октября, когда в ИТ-инфраструктуре Amnesty была обнаружена подозрительная активность. Криминалистами и экспертами по кибербезопасности было немедленно начато расследование, и были предприняты шаги для защиты систем организации. Это включало отключение всей электронной почты и организационных систем почти на три недели, сообщила TechCrunch Кетти Нивьябанди, генеральный секретарь Amnesty International Canada, что оказало «значительное влияние» на операции, сбор средств и запланированную работу Amnesty Canada Human Rights.
Amnesty заявила, что нет никаких доказательств того, что злоумышленники извлекли данные о донорах или членах, но Нивьябанди сказал TechCrunch, что злоумышленники имели доступ к рабочим файлам Amnesty. Нивьябанди добавил, что, хотя нарушение было впервые обнаружено в октябре, попытки вторжения злоумышленника начались в июле 2021 года, хотя он отказался поделиться какой-либо дополнительной информацией о характере нарушения.
Американская фирма по кибербезопасности SecureWorks, с которой Amnesty International заключила контракт на расследование взлома, установила, что за атакой, вероятно, стояла «группа угроз, спонсируемая или уполномоченная китайским государством». Их расследование показало, что злоумышленники использовали инструменты и методы, связанные с определенными группами продвинутых постоянных угроз (APT), нацеленную информацию, соответствующую китайским группам угроз кибершпионажа, и не пытались монетизировать доступ.
Барри Хенсли, директор по анализу угроз в SecureWorks, отказался сообщить, связывала ли компания атаку с конкретной APT-группой. Однако в заявлении, переданном TechCrunch, он похвалил Amnesty за «открытость и прозрачность последних событий, безусловно, помогут всем организациям, сталкивающимся с постоянными и изощренными субъектами угроз».
Amnesty International заявила, что публично говорит о нападении, чтобы предупредить другие правозащитные организации. Новость о взломе появилась всего через день после того, как совместное расследование, проведенное Amnesty International Security Lab и Human Rights Watch, показало, что поддерживаемые иранским правительством злоумышленники преследовали правозащитников, журналистов, дипломатов и политиков, работающих на Ближнем Востоке.
«Как глобальная правозащитная организация, мы прекрасно осознаем, что можем стать мишенью спонсируемых государством попыток сорвать нашу работу или контролировать ее. Нас это не запугает, и безопасность и неприкосновенность частной жизни наших активистов, сотрудников, доноров и заинтересованных сторон остаются нашим главным приоритетом», — сказал Нивьябанди.
«Этот случай кибершпионажа говорит о все более опасном контексте, в котором сегодня приходится ориентироваться активистам, журналистам и гражданскому обществу. Наша работа по расследованию и осуждению этих событий никогда не была более важной и актуальной. Мы будем продолжать разоблачать нарушения прав человека, где бы они ни происходили, и осуждать использование правительствами цифрового наблюдения для удушения прав человека», — добавил Нивьябанди.