Únik dat odhalil pozadí čínského kyberšpionážní programu

17. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
Únik dat z čínské bezpečnostní společnosti I-Soon částečně odhalil vnitřní fungování čínského národního hackerského programu. Společnost napojená na čínskou vládu aktivně útočila na vlády dalších zemí, ale i na domácí cíle. Ze získaných informací například vyplývá, že společnost byla financována především ze státních peněz.

I-Soon na jednu stranu pomáhal chránit zařízení policie a dalších úředníků, ale také vyvíjel trojské koně a další špionážní malware, pomocí kterých získávali zaměstnanci přístup k počítačům obětí a mohli vzdáleně počítače ovládat a špehovat. Společnost I-Soon se také prolamovala do chytrých telefonů vytipovaných obětí a využívala i různý hardware, například powerbanky, ke krádežím a sbírání citlivých dat. Chlubila se také schopností obejít dvoufaktorové ověřování a nabourat se do e-mailových účtů, účtů na sociálních sítích nebo získat přístup k SMS zprávám.

„Podle různých indicií se zdá, že většina uniklých dat je skutečně autentická. Několik zaměstnanců to potvrdilo novinářům a věrohodnost dat z úniku dosvědčily i některé oběti. Například Státní technická služba Kazachstánu vydala tiskovou zprávu, v níž potvrdila, že kazašské telekomunikační služby byly hacknuty již v roce 2020. Ve zprávě sice není konkrétně uveden tento únik, ale zmíněné subjekty se shodují s oběťmi zveřejněnými v úniku informací z I-Soon,“ řekl Daniel Šafář, area manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.

Ne všechny údaje z úniku jsou aktuální, ale celkově jde o unikátní pohled na vnitřní fungování čínských zpravodajských operací. Například časová osa interních konverzací se pohybuje od roku 2018 do roku 2023, ale pár snímků obrazovek pochází již z roku 2013, některé prezentační materiály nejsou datovány, ale odkazují na poměrně staré operační systémy.

Únik obsahuje online konverzace, údaje o obětech, dokumenty související s prodejem, marketingové prezentace, dokumentaci o produktech a systémech a mnoho dalšího.

Pokud jde o cíle, čínská bezpečnostní společnost I-Soon se zaměřovala především na dva typy obětí:

1)      Jihovýchodní, jižní, východní a střední Asie – zejména vládní subjekty, letecké společnosti a telekomunikační sektor.
2)      Sledování disidentů, etnik atd.

Mnoho aktivit je označeno jako protiteroristické operace. V úniku jsou i zmínky o cílech nebo dokumentech souvisejících s NATO, ale není dostatečně prokázán stabilní přístup do organizací nebo že získané dokumenty jsou výsledkem vnějšího útoku.

V posledních letech vidíme stále sofistikovanější a rozsáhlejší čínské špionážní kampaně. Pokud se nějaká organizace stane terčem pokročilé národní hackerské skupiny, není snadné se ubránit, ale správné zabezpečení a přísné bezpečnostní politiky mohou zastavit i profesionální hackery.

„Když došlo k úniku informací o ruské ransomwarové skupině Conti, která napadá kritickou infrastrukturu i zdravotnictví, ukázalo se, že některé kyberzločinecké organizace mají strukturu jako běžné společnosti. Rozdíl je, že I-Soon je opravdová firma, s marketingovými prezentacemi, řádnou dokumentací technologií a produktů a také informacemi o zákaznících a cílech. V obou případech je nicméně vidět, že jde o velmi dobře organizovaný byznys,“ dodal Šafář. „Oba úniky zároveň odhalují, že většina řadových zaměstnanců není dobře placená a má daleko k hollywoodské představě cool hackerů s luxusními vilami a rychlými auty.“

V uniklých dokumentech je i několik informací, které nám mohou pomoci s odhadem nákladů na provoz soukromého bezpečnostního kontraktora. Dokumenty obsahují informace o platech zaměstnanců, nákladech na pořizované služby, ceníky nástrojů a služeb poskytovaných společností I-Soon a také seznamy smluv, včetně finančních částek.

Například automatizovaná platforma pro penetrační testování stála na rok 1,6 milionu jüanů, což je přibližně 200 000 eur. Dva miliony jüanů, tedy 250 000 eur, stál roční přístup k platformě Tianji Query Platform, která poskytuje informace ze sociálních sítích, telekomunikačních společností a údaje o obyvatelstvu.

Co se týče služeb, například smlouva s jednotkou PLA 78012 na konci roku 2020 přinesla společnosti I-Soon 480 000 jüanů (60 000 eur) a zahrnovala praktické školení a tréninkovou platformu. Smlouva s jedním z úřadů veřejné bezpečnosti z roku 2018 vynesla 220 000 jüanů (28 000 eur) a společnost I-Soon měla zajistit přístup ke čtyřem konkrétním e-mailovým schránkám.

Únik každopádně potvrdil, na co v souvislosti s čínskými APT skupinami upozorňuje i kyberbezpečnostní společnost Check Point Software Technologies. Tyto skupiny využívají sledovací technologie a širokou škálu nástrojů, zároveň je čínský útočný ekosystém velmi komplexní a vzájemně propojený. Opírá se o vojenské jednotky i soukromé dodavatele, kterým outsourcuje potřebnou infrastrukturu nebo operace. Je proto komplikované spojit útoky s konkrétní skupinou, protože se použitá infrastruktura často překrývá a sdílené jsou nástroje i cíle. Někdy ale chyby útočníků pomohou odhalit skutečnou identitu hackerů a přiřadit je k národním státům, konkrétním jednotkám nebo známým dodavatelům. Lov hackerů a rozplétání útočných operací vyžaduje precizní detektivní práci. Úniky dat, jako jsme viděli v případech společnosti I-Soon nebo skupiny Conti, mohou pomoci odhalit další nebezpečné útočné a špionážní kampaně.

Štítky: 
Bezpečnost, Kybernetické útoky, Check Point
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více

Patrick Müller (Sophos): Budoucnost je ve spravovaných službách

10. 10. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme hovořili o aktuálním dění v oblasti kybernetické bezpečnosti. V rozhovoru se můžete dočíst nejen o aktuálních trendech v segmentu cyber security, ale také o příležitostech, které vám v kombinaci s produkty a službami společnosti Sophos přináší. Čtěte více

Prodej bezpečnostních zařízení ve 2. čtvrtletí 2024 meziročně vzrostl

16. 9. 2024. (redaktor: František Doupal, zdroj: IDC)
Celkové tržby z prodeje bezpečnostních zařízení ve druhém čtvrtletí roku 2024 meziročně vzrostly o 0,5 % na 4,2 miliardy dolarů, což představuje oproti druhému čtvrtletí roku 2023 nárůst o 20 milionů dolarů. V objemu prodej naopak meziročně klesl o 4,3 % na milion kusů. Čtěte více