Únik dat odhalil pozadí čínského kyberšpionážní programu

17. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
Únik dat z čínské bezpečnostní společnosti I-Soon částečně odhalil vnitřní fungování čínského národního hackerského programu. Společnost napojená na čínskou vládu aktivně útočila na vlády dalších zemí, ale i na domácí cíle. Ze získaných informací například vyplývá, že společnost byla financována především ze státních peněz.

I-Soon na jednu stranu pomáhal chránit zařízení policie a dalších úředníků, ale také vyvíjel trojské koně a další špionážní malware, pomocí kterých získávali zaměstnanci přístup k počítačům obětí a mohli vzdáleně počítače ovládat a špehovat. Společnost I-Soon se také prolamovala do chytrých telefonů vytipovaných obětí a využívala i různý hardware, například powerbanky, ke krádežím a sbírání citlivých dat. Chlubila se také schopností obejít dvoufaktorové ověřování a nabourat se do e-mailových účtů, účtů na sociálních sítích nebo získat přístup k SMS zprávám.

„Podle různých indicií se zdá, že většina uniklých dat je skutečně autentická. Několik zaměstnanců to potvrdilo novinářům a věrohodnost dat z úniku dosvědčily i některé oběti. Například Státní technická služba Kazachstánu vydala tiskovou zprávu, v níž potvrdila, že kazašské telekomunikační služby byly hacknuty již v roce 2020. Ve zprávě sice není konkrétně uveden tento únik, ale zmíněné subjekty se shodují s oběťmi zveřejněnými v úniku informací z I-Soon,“ řekl Daniel Šafář, area manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.

Ne všechny údaje z úniku jsou aktuální, ale celkově jde o unikátní pohled na vnitřní fungování čínských zpravodajských operací. Například časová osa interních konverzací se pohybuje od roku 2018 do roku 2023, ale pár snímků obrazovek pochází již z roku 2013, některé prezentační materiály nejsou datovány, ale odkazují na poměrně staré operační systémy.

Únik obsahuje online konverzace, údaje o obětech, dokumenty související s prodejem, marketingové prezentace, dokumentaci o produktech a systémech a mnoho dalšího.

Pokud jde o cíle, čínská bezpečnostní společnost I-Soon se zaměřovala především na dva typy obětí:

1)      Jihovýchodní, jižní, východní a střední Asie – zejména vládní subjekty, letecké společnosti a telekomunikační sektor.
2)      Sledování disidentů, etnik atd.

Mnoho aktivit je označeno jako protiteroristické operace. V úniku jsou i zmínky o cílech nebo dokumentech souvisejících s NATO, ale není dostatečně prokázán stabilní přístup do organizací nebo že získané dokumenty jsou výsledkem vnějšího útoku.

V posledních letech vidíme stále sofistikovanější a rozsáhlejší čínské špionážní kampaně. Pokud se nějaká organizace stane terčem pokročilé národní hackerské skupiny, není snadné se ubránit, ale správné zabezpečení a přísné bezpečnostní politiky mohou zastavit i profesionální hackery.

„Když došlo k úniku informací o ruské ransomwarové skupině Conti, která napadá kritickou infrastrukturu i zdravotnictví, ukázalo se, že některé kyberzločinecké organizace mají strukturu jako běžné společnosti. Rozdíl je, že I-Soon je opravdová firma, s marketingovými prezentacemi, řádnou dokumentací technologií a produktů a také informacemi o zákaznících a cílech. V obou případech je nicméně vidět, že jde o velmi dobře organizovaný byznys,“ dodal Šafář. „Oba úniky zároveň odhalují, že většina řadových zaměstnanců není dobře placená a má daleko k hollywoodské představě cool hackerů s luxusními vilami a rychlými auty.“

V uniklých dokumentech je i několik informací, které nám mohou pomoci s odhadem nákladů na provoz soukromého bezpečnostního kontraktora. Dokumenty obsahují informace o platech zaměstnanců, nákladech na pořizované služby, ceníky nástrojů a služeb poskytovaných společností I-Soon a také seznamy smluv, včetně finančních částek.

Například automatizovaná platforma pro penetrační testování stála na rok 1,6 milionu jüanů, což je přibližně 200 000 eur. Dva miliony jüanů, tedy 250 000 eur, stál roční přístup k platformě Tianji Query Platform, která poskytuje informace ze sociálních sítích, telekomunikačních společností a údaje o obyvatelstvu.

Co se týče služeb, například smlouva s jednotkou PLA 78012 na konci roku 2020 přinesla společnosti I-Soon 480 000 jüanů (60 000 eur) a zahrnovala praktické školení a tréninkovou platformu. Smlouva s jedním z úřadů veřejné bezpečnosti z roku 2018 vynesla 220 000 jüanů (28 000 eur) a společnost I-Soon měla zajistit přístup ke čtyřem konkrétním e-mailovým schránkám.

Únik každopádně potvrdil, na co v souvislosti s čínskými APT skupinami upozorňuje i kyberbezpečnostní společnost Check Point Software Technologies. Tyto skupiny využívají sledovací technologie a širokou škálu nástrojů, zároveň je čínský útočný ekosystém velmi komplexní a vzájemně propojený. Opírá se o vojenské jednotky i soukromé dodavatele, kterým outsourcuje potřebnou infrastrukturu nebo operace. Je proto komplikované spojit útoky s konkrétní skupinou, protože se použitá infrastruktura často překrývá a sdílené jsou nástroje i cíle. Někdy ale chyby útočníků pomohou odhalit skutečnou identitu hackerů a přiřadit je k národním státům, konkrétním jednotkám nebo známým dodavatelům. Lov hackerů a rozplétání útočných operací vyžaduje precizní detektivní práci. Úniky dat, jako jsme viděli v případech společnosti I-Soon nebo skupiny Conti, mohou pomoci odhalit další nebezpečné útočné a špionážní kampaně.

Štítky: 
Bezpečnost, Kybernetické útoky, Check Point
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Nová služba Acronis MDR přináší integrovanou obnovou po útoku a další možnosti

14. 5. 2024. (redaktor: František Doupal, zdroj: Acronis)
Nová služba Acronis Managed Detection and Response (MDR), dostupná poskytovatelům MSP využívajícím Acronis Cyber Protect Cloud, umožňuje nabízet bezpečnostní monitoring, rychlou detekci, investigaci, eliminaci hrozeb, reakci na incidenty a nápravu kybernetických útoků na profesionální úrovni bez nutnosti udržovat kvalifikovaný tým a specializovanou sadu nástrojů. Čtěte více

Platby výkupného za ransomware vzrostly za poslední rok na pětinásobek

10. 5. 2024. (redaktor: František Doupal, zdroj: Sophos)
Podle výroční zprávy State of Ransomware 2024 společnosti Sophos se průměrná výše výkupného za poslední rok zvýšila na pětinásobek. Organizace, které zaplatily výkupné, uvádějí průměrnou platbu ve výši dvou milionů dolarů, oproti 400 000 dolarů v průzkumu z roku 2023. Výkupné je ale pouze částí celkových nákladů. Čtěte více

Obavy o zabezpečení cloudů má 96 % firem

9. 5. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Neustálý vývoj a zavádění nových cloudových aplikací komplikuje zabezpečení podnikového IT. Podle průzkumu společnosti Fortinet například 96 % respondentů uvádí, že mají střední nebo velké obavy o cloudovou bezpečnost. Podle 93 % dotazovaných je vážným problémem zejména všeobecný nedostatek odborníků na zabezpečení cloudů. Čtěte více

Nový tým Esetu se zaměří na mezinárodní kyberkriminalitu

6. 5. 2024. (redaktor: František Doupal, zdroj: Eset)
Bezpečnostní experti z pražské pobočky ESETu se nově cíleně zaměří na mezinárodní aktivity kyberkriminálních útočných skupin. Nově vzniklý tým vedený Jakubem Součkem má za úkol aktivně vyhledávat a dlouhodobě monitorovat obávané útoky ransomwarem, který dle dat společnosti ESET posílil v minulém roce o více než 50 procent. Čtěte více