Únik dat odhalil pozadí čínského kyberšpionážní programu

17. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
Únik dat z čínské bezpečnostní společnosti I-Soon částečně odhalil vnitřní fungování čínského národního hackerského programu. Společnost napojená na čínskou vládu aktivně útočila na vlády dalších zemí, ale i na domácí cíle. Ze získaných informací například vyplývá, že společnost byla financována především ze státních peněz.

I-Soon na jednu stranu pomáhal chránit zařízení policie a dalších úředníků, ale také vyvíjel trojské koně a další špionážní malware, pomocí kterých získávali zaměstnanci přístup k počítačům obětí a mohli vzdáleně počítače ovládat a špehovat. Společnost I-Soon se také prolamovala do chytrých telefonů vytipovaných obětí a využívala i různý hardware, například powerbanky, ke krádežím a sbírání citlivých dat. Chlubila se také schopností obejít dvoufaktorové ověřování a nabourat se do e-mailových účtů, účtů na sociálních sítích nebo získat přístup k SMS zprávám.

„Podle různých indicií se zdá, že většina uniklých dat je skutečně autentická. Několik zaměstnanců to potvrdilo novinářům a věrohodnost dat z úniku dosvědčily i některé oběti. Například Státní technická služba Kazachstánu vydala tiskovou zprávu, v níž potvrdila, že kazašské telekomunikační služby byly hacknuty již v roce 2020. Ve zprávě sice není konkrétně uveden tento únik, ale zmíněné subjekty se shodují s oběťmi zveřejněnými v úniku informací z I-Soon,“ řekl Daniel Šafář, area manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.

Ne všechny údaje z úniku jsou aktuální, ale celkově jde o unikátní pohled na vnitřní fungování čínských zpravodajských operací. Například časová osa interních konverzací se pohybuje od roku 2018 do roku 2023, ale pár snímků obrazovek pochází již z roku 2013, některé prezentační materiály nejsou datovány, ale odkazují na poměrně staré operační systémy.

Únik obsahuje online konverzace, údaje o obětech, dokumenty související s prodejem, marketingové prezentace, dokumentaci o produktech a systémech a mnoho dalšího.

Pokud jde o cíle, čínská bezpečnostní společnost I-Soon se zaměřovala především na dva typy obětí:

1)      Jihovýchodní, jižní, východní a střední Asie – zejména vládní subjekty, letecké společnosti a telekomunikační sektor.
2)      Sledování disidentů, etnik atd.

Mnoho aktivit je označeno jako protiteroristické operace. V úniku jsou i zmínky o cílech nebo dokumentech souvisejících s NATO, ale není dostatečně prokázán stabilní přístup do organizací nebo že získané dokumenty jsou výsledkem vnějšího útoku.

V posledních letech vidíme stále sofistikovanější a rozsáhlejší čínské špionážní kampaně. Pokud se nějaká organizace stane terčem pokročilé národní hackerské skupiny, není snadné se ubránit, ale správné zabezpečení a přísné bezpečnostní politiky mohou zastavit i profesionální hackery.

„Když došlo k úniku informací o ruské ransomwarové skupině Conti, která napadá kritickou infrastrukturu i zdravotnictví, ukázalo se, že některé kyberzločinecké organizace mají strukturu jako běžné společnosti. Rozdíl je, že I-Soon je opravdová firma, s marketingovými prezentacemi, řádnou dokumentací technologií a produktů a také informacemi o zákaznících a cílech. V obou případech je nicméně vidět, že jde o velmi dobře organizovaný byznys,“ dodal Šafář. „Oba úniky zároveň odhalují, že většina řadových zaměstnanců není dobře placená a má daleko k hollywoodské představě cool hackerů s luxusními vilami a rychlými auty.“

V uniklých dokumentech je i několik informací, které nám mohou pomoci s odhadem nákladů na provoz soukromého bezpečnostního kontraktora. Dokumenty obsahují informace o platech zaměstnanců, nákladech na pořizované služby, ceníky nástrojů a služeb poskytovaných společností I-Soon a také seznamy smluv, včetně finančních částek.

Například automatizovaná platforma pro penetrační testování stála na rok 1,6 milionu jüanů, což je přibližně 200 000 eur. Dva miliony jüanů, tedy 250 000 eur, stál roční přístup k platformě Tianji Query Platform, která poskytuje informace ze sociálních sítích, telekomunikačních společností a údaje o obyvatelstvu.

Co se týče služeb, například smlouva s jednotkou PLA 78012 na konci roku 2020 přinesla společnosti I-Soon 480 000 jüanů (60 000 eur) a zahrnovala praktické školení a tréninkovou platformu. Smlouva s jedním z úřadů veřejné bezpečnosti z roku 2018 vynesla 220 000 jüanů (28 000 eur) a společnost I-Soon měla zajistit přístup ke čtyřem konkrétním e-mailovým schránkám.

Únik každopádně potvrdil, na co v souvislosti s čínskými APT skupinami upozorňuje i kyberbezpečnostní společnost Check Point Software Technologies. Tyto skupiny využívají sledovací technologie a širokou škálu nástrojů, zároveň je čínský útočný ekosystém velmi komplexní a vzájemně propojený. Opírá se o vojenské jednotky i soukromé dodavatele, kterým outsourcuje potřebnou infrastrukturu nebo operace. Je proto komplikované spojit útoky s konkrétní skupinou, protože se použitá infrastruktura často překrývá a sdílené jsou nástroje i cíle. Někdy ale chyby útočníků pomohou odhalit skutečnou identitu hackerů a přiřadit je k národním státům, konkrétním jednotkám nebo známým dodavatelům. Lov hackerů a rozplétání útočných operací vyžaduje precizní detektivní práci. Úniky dat, jako jsme viděli v případech společnosti I-Soon nebo skupiny Conti, mohou pomoci odhalit další nebezpečné útočné a špionážní kampaně.

Štítky: 
Bezpečnost, Kybernetické útoky, Check Point
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Celosvětové výdaje na kybernetickou bezpečnost letos vzrostou o 12,2 %

27. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
IDC očekává, že celosvětové výdaje na bezpečnost vzrostou v roce 2025 meziročně o 12,2 %. Rostoucí složitost a četnost kybernetických hrozeb - urychlená umělou inteligencí - nutí organizace přijímat pokročilejší obranná opatření. V důsledku toho se předpokládá, že výdaje na bezpečnost budou po období mezi lety 2023 až 2028 trvale růst až na 377 miliard dolarů. Čtěte více

Stabilní a odolný: Takový byl podle IDC vloni trh s bezpečnostními zařízeními

12. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
Podle společnosti IDC byly celkové tržby na trhu s bezpečnostními zařízeními stabilní. Ve čtvrtém čtvrtletí roku 2024 trh vykázal 1,5% růst v tržbách a dosáhly 5,1 miliardy dolarů (meziroční nárůst 77 milionů dolarů). Z hlediska tržeb si vloni nejlépe vedl region EMEA s meziročním nárůstem o 12,4 %. Dodávky činily 1,2 milionu kusů (2,7% nárůst ve srovnání se stejným obdobím roku 2023). Čtěte více

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více