Únik dat odhalil pozadí čínského kyberšpionážní programu

17. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
Únik dat z čínské bezpečnostní společnosti I-Soon částečně odhalil vnitřní fungování čínského národního hackerského programu. Společnost napojená na čínskou vládu aktivně útočila na vlády dalších zemí, ale i na domácí cíle. Ze získaných informací například vyplývá, že společnost byla financována především ze státních peněz.

I-Soon na jednu stranu pomáhal chránit zařízení policie a dalších úředníků, ale také vyvíjel trojské koně a další špionážní malware, pomocí kterých získávali zaměstnanci přístup k počítačům obětí a mohli vzdáleně počítače ovládat a špehovat. Společnost I-Soon se také prolamovala do chytrých telefonů vytipovaných obětí a využívala i různý hardware, například powerbanky, ke krádežím a sbírání citlivých dat. Chlubila se také schopností obejít dvoufaktorové ověřování a nabourat se do e-mailových účtů, účtů na sociálních sítích nebo získat přístup k SMS zprávám.

„Podle různých indicií se zdá, že většina uniklých dat je skutečně autentická. Několik zaměstnanců to potvrdilo novinářům a věrohodnost dat z úniku dosvědčily i některé oběti. Například Státní technická služba Kazachstánu vydala tiskovou zprávu, v níž potvrdila, že kazašské telekomunikační služby byly hacknuty již v roce 2020. Ve zprávě sice není konkrétně uveden tento únik, ale zmíněné subjekty se shodují s oběťmi zveřejněnými v úniku informací z I-Soon,“ řekl Daniel Šafář, area manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.

Ne všechny údaje z úniku jsou aktuální, ale celkově jde o unikátní pohled na vnitřní fungování čínských zpravodajských operací. Například časová osa interních konverzací se pohybuje od roku 2018 do roku 2023, ale pár snímků obrazovek pochází již z roku 2013, některé prezentační materiály nejsou datovány, ale odkazují na poměrně staré operační systémy.

Únik obsahuje online konverzace, údaje o obětech, dokumenty související s prodejem, marketingové prezentace, dokumentaci o produktech a systémech a mnoho dalšího.

Pokud jde o cíle, čínská bezpečnostní společnost I-Soon se zaměřovala především na dva typy obětí:

1)      Jihovýchodní, jižní, východní a střední Asie – zejména vládní subjekty, letecké společnosti a telekomunikační sektor.
2)      Sledování disidentů, etnik atd.

Mnoho aktivit je označeno jako protiteroristické operace. V úniku jsou i zmínky o cílech nebo dokumentech souvisejících s NATO, ale není dostatečně prokázán stabilní přístup do organizací nebo že získané dokumenty jsou výsledkem vnějšího útoku.

V posledních letech vidíme stále sofistikovanější a rozsáhlejší čínské špionážní kampaně. Pokud se nějaká organizace stane terčem pokročilé národní hackerské skupiny, není snadné se ubránit, ale správné zabezpečení a přísné bezpečnostní politiky mohou zastavit i profesionální hackery.

„Když došlo k úniku informací o ruské ransomwarové skupině Conti, která napadá kritickou infrastrukturu i zdravotnictví, ukázalo se, že některé kyberzločinecké organizace mají strukturu jako běžné společnosti. Rozdíl je, že I-Soon je opravdová firma, s marketingovými prezentacemi, řádnou dokumentací technologií a produktů a také informacemi o zákaznících a cílech. V obou případech je nicméně vidět, že jde o velmi dobře organizovaný byznys,“ dodal Šafář. „Oba úniky zároveň odhalují, že většina řadových zaměstnanců není dobře placená a má daleko k hollywoodské představě cool hackerů s luxusními vilami a rychlými auty.“

V uniklých dokumentech je i několik informací, které nám mohou pomoci s odhadem nákladů na provoz soukromého bezpečnostního kontraktora. Dokumenty obsahují informace o platech zaměstnanců, nákladech na pořizované služby, ceníky nástrojů a služeb poskytovaných společností I-Soon a také seznamy smluv, včetně finančních částek.

Například automatizovaná platforma pro penetrační testování stála na rok 1,6 milionu jüanů, což je přibližně 200 000 eur. Dva miliony jüanů, tedy 250 000 eur, stál roční přístup k platformě Tianji Query Platform, která poskytuje informace ze sociálních sítích, telekomunikačních společností a údaje o obyvatelstvu.

Co se týče služeb, například smlouva s jednotkou PLA 78012 na konci roku 2020 přinesla společnosti I-Soon 480 000 jüanů (60 000 eur) a zahrnovala praktické školení a tréninkovou platformu. Smlouva s jedním z úřadů veřejné bezpečnosti z roku 2018 vynesla 220 000 jüanů (28 000 eur) a společnost I-Soon měla zajistit přístup ke čtyřem konkrétním e-mailovým schránkám.

Únik každopádně potvrdil, na co v souvislosti s čínskými APT skupinami upozorňuje i kyberbezpečnostní společnost Check Point Software Technologies. Tyto skupiny využívají sledovací technologie a širokou škálu nástrojů, zároveň je čínský útočný ekosystém velmi komplexní a vzájemně propojený. Opírá se o vojenské jednotky i soukromé dodavatele, kterým outsourcuje potřebnou infrastrukturu nebo operace. Je proto komplikované spojit útoky s konkrétní skupinou, protože se použitá infrastruktura často překrývá a sdílené jsou nástroje i cíle. Někdy ale chyby útočníků pomohou odhalit skutečnou identitu hackerů a přiřadit je k národním státům, konkrétním jednotkám nebo známým dodavatelům. Lov hackerů a rozplétání útočných operací vyžaduje precizní detektivní práci. Úniky dat, jako jsme viděli v případech společnosti I-Soon nebo skupiny Conti, mohou pomoci odhalit další nebezpečné útočné a špionážní kampaně.

Štítky: 
Bezpečnost, Kybernetické útoky, Check Point
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Přihlašování k účtům: nejčastější chybou je opakované použití stejných hesel

21. 5. 2024. (redaktor: František Doupal, zdroj: GFI Software)
Podle dotazování společnosti GFI Software mezi českými a slovenskými partnery je nejbezpečnějším způsobem přihlašování k účtům dvoufaktorové ověřování (2FA). Podle 91 % dotázaných IT profesionálů dělají uživatelé nejčastější chybu opakovaným použitím stejného hesla pro přihlašování k více účtům. Čtěte více

Kyberzločinci zneužívají nové zranitelnosti o 43 % rychleji než v 1. pololetí loňského roku

20. 5. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Studie FortiGuard Labs Global Threat Landscape Report za 2. pololetí 2023 zdůrazňuje potřebu, aby dodavatelé dodržovali osvědčenou praxi ve zveřejňování zranitelností a aby podniky zlepšily kybernetickou hygienu a správu oprav softwaru. Čtěte více

Nová služba Acronis MDR přináší integrovanou obnovou po útoku a další možnosti

14. 5. 2024. (redaktor: František Doupal, zdroj: Acronis)
Nová služba Acronis Managed Detection and Response (MDR), dostupná poskytovatelům MSP využívajícím Acronis Cyber Protect Cloud, umožňuje nabízet bezpečnostní monitoring, rychlou detekci, investigaci, eliminaci hrozeb, reakci na incidenty a nápravu kybernetických útoků na profesionální úrovni bez nutnosti udržovat kvalifikovaný tým a specializovanou sadu nástrojů. Čtěte více

Platby výkupného za ransomware vzrostly za poslední rok na pětinásobek

10. 5. 2024. (redaktor: František Doupal, zdroj: Sophos)
Podle výroční zprávy State of Ransomware 2024 společnosti Sophos se průměrná výše výkupného za poslední rok zvýšila na pětinásobek. Organizace, které zaplatily výkupné, uvádějí průměrnou platbu ve výši dvou milionů dolarů, oproti 400 000 dolarů v průzkumu z roku 2023. Výkupné je ale pouze částí celkových nákladů. Čtěte více