Únik dat odhalil pozadí čínského kyberšpionážní programu

17. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
Únik dat z čínské bezpečnostní společnosti I-Soon částečně odhalil vnitřní fungování čínského národního hackerského programu. Společnost napojená na čínskou vládu aktivně útočila na vlády dalších zemí, ale i na domácí cíle. Ze získaných informací například vyplývá, že společnost byla financována především ze státních peněz.

I-Soon na jednu stranu pomáhal chránit zařízení policie a dalších úředníků, ale také vyvíjel trojské koně a další špionážní malware, pomocí kterých získávali zaměstnanci přístup k počítačům obětí a mohli vzdáleně počítače ovládat a špehovat. Společnost I-Soon se také prolamovala do chytrých telefonů vytipovaných obětí a využívala i různý hardware, například powerbanky, ke krádežím a sbírání citlivých dat. Chlubila se také schopností obejít dvoufaktorové ověřování a nabourat se do e-mailových účtů, účtů na sociálních sítích nebo získat přístup k SMS zprávám.

„Podle různých indicií se zdá, že většina uniklých dat je skutečně autentická. Několik zaměstnanců to potvrdilo novinářům a věrohodnost dat z úniku dosvědčily i některé oběti. Například Státní technická služba Kazachstánu vydala tiskovou zprávu, v níž potvrdila, že kazašské telekomunikační služby byly hacknuty již v roce 2020. Ve zprávě sice není konkrétně uveden tento únik, ale zmíněné subjekty se shodují s oběťmi zveřejněnými v úniku informací z I-Soon,“ řekl Daniel Šafář, area manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.

Ne všechny údaje z úniku jsou aktuální, ale celkově jde o unikátní pohled na vnitřní fungování čínských zpravodajských operací. Například časová osa interních konverzací se pohybuje od roku 2018 do roku 2023, ale pár snímků obrazovek pochází již z roku 2013, některé prezentační materiály nejsou datovány, ale odkazují na poměrně staré operační systémy.

Únik obsahuje online konverzace, údaje o obětech, dokumenty související s prodejem, marketingové prezentace, dokumentaci o produktech a systémech a mnoho dalšího.

Pokud jde o cíle, čínská bezpečnostní společnost I-Soon se zaměřovala především na dva typy obětí:

1)      Jihovýchodní, jižní, východní a střední Asie – zejména vládní subjekty, letecké společnosti a telekomunikační sektor.
2)      Sledování disidentů, etnik atd.

Mnoho aktivit je označeno jako protiteroristické operace. V úniku jsou i zmínky o cílech nebo dokumentech souvisejících s NATO, ale není dostatečně prokázán stabilní přístup do organizací nebo že získané dokumenty jsou výsledkem vnějšího útoku.

V posledních letech vidíme stále sofistikovanější a rozsáhlejší čínské špionážní kampaně. Pokud se nějaká organizace stane terčem pokročilé národní hackerské skupiny, není snadné se ubránit, ale správné zabezpečení a přísné bezpečnostní politiky mohou zastavit i profesionální hackery.

„Když došlo k úniku informací o ruské ransomwarové skupině Conti, která napadá kritickou infrastrukturu i zdravotnictví, ukázalo se, že některé kyberzločinecké organizace mají strukturu jako běžné společnosti. Rozdíl je, že I-Soon je opravdová firma, s marketingovými prezentacemi, řádnou dokumentací technologií a produktů a také informacemi o zákaznících a cílech. V obou případech je nicméně vidět, že jde o velmi dobře organizovaný byznys,“ dodal Šafář. „Oba úniky zároveň odhalují, že většina řadových zaměstnanců není dobře placená a má daleko k hollywoodské představě cool hackerů s luxusními vilami a rychlými auty.“

V uniklých dokumentech je i několik informací, které nám mohou pomoci s odhadem nákladů na provoz soukromého bezpečnostního kontraktora. Dokumenty obsahují informace o platech zaměstnanců, nákladech na pořizované služby, ceníky nástrojů a služeb poskytovaných společností I-Soon a také seznamy smluv, včetně finančních částek.

Například automatizovaná platforma pro penetrační testování stála na rok 1,6 milionu jüanů, což je přibližně 200 000 eur. Dva miliony jüanů, tedy 250 000 eur, stál roční přístup k platformě Tianji Query Platform, která poskytuje informace ze sociálních sítích, telekomunikačních společností a údaje o obyvatelstvu.

Co se týče služeb, například smlouva s jednotkou PLA 78012 na konci roku 2020 přinesla společnosti I-Soon 480 000 jüanů (60 000 eur) a zahrnovala praktické školení a tréninkovou platformu. Smlouva s jedním z úřadů veřejné bezpečnosti z roku 2018 vynesla 220 000 jüanů (28 000 eur) a společnost I-Soon měla zajistit přístup ke čtyřem konkrétním e-mailovým schránkám.

Únik každopádně potvrdil, na co v souvislosti s čínskými APT skupinami upozorňuje i kyberbezpečnostní společnost Check Point Software Technologies. Tyto skupiny využívají sledovací technologie a širokou škálu nástrojů, zároveň je čínský útočný ekosystém velmi komplexní a vzájemně propojený. Opírá se o vojenské jednotky i soukromé dodavatele, kterým outsourcuje potřebnou infrastrukturu nebo operace. Je proto komplikované spojit útoky s konkrétní skupinou, protože se použitá infrastruktura často překrývá a sdílené jsou nástroje i cíle. Někdy ale chyby útočníků pomohou odhalit skutečnou identitu hackerů a přiřadit je k národním státům, konkrétním jednotkám nebo známým dodavatelům. Lov hackerů a rozplétání útočných operací vyžaduje precizní detektivní práci. Úniky dat, jako jsme viděli v případech společnosti I-Soon nebo skupiny Conti, mohou pomoci odhalit další nebezpečné útočné a špionážní kampaně.

Štítky: 
Bezpečnost, Kybernetické útoky, Check Point
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Třetina zaměstnanců v práci sdílí hesla, otevírá neznámé přílohy nebo jinak ohrožuje bezpečnost

3. 5. 2024. (redaktor: František Doupal, zdroj: Anect)
Třetina českých zaměstnanců porušuje zásady bezpečného chování na internetu a své zaměstnavatele tak vystavuje zvýšenému riziku online podvodu nebo hackerského útoku. Lidé například navzájem sdílejí přihlašovací údaje do firemních systémů, zasílají pracovní dokumenty soukromým e-mailem či přes sociální sítě nebo k práci využívají neschválené soukromé počítače či telefony. Čtěte více

Počet DDoS útoků na české firmy roste druhý měsíc v řadě

3. 5. 2024. (redaktor: František Doupal, zdroj: ComSource)
Počty DDoS útoků na české firmy i jejich celková intenzita v březnu opět vzrostly. Oproti předcházejícímu měsíci dvojnásobně, ve srovnání se začátkem roku dokonce šestinásobně. Dostaly se tak přibližně na úroveň léta loňského roku. Trendem je přitom využívání stále kvalitnějších a efektivnějších útoků. Nejvíce útoků již od července loňského roku míří z Ruska. Čtěte více

Řešení HP Wolf Pro Security získalo vynikající hodnocení v AV-TESTu

3. 5. 2024. (redaktor: František Doupal, zdroj: HP Inc.)
Výzkumníci z AV-TESTu označili nové řešení HP Wolf Pro Security za „TOP Produkt“ pro ochranu koncových zařízení ve firmách. Studie výzkumného institutu v oblasti bezpečnosti IT AV-TEST potvrdila, že bezpečnostní software Wolf Pro Security od HP je jedním z nejlepších antivirových řešení pro firemní uživatele využívající platformu Windows na trhu. Čtěte více

Zyxel posiluje kybernetickou bezpečnost v souladu s požadavky směrnice NIS2

2. 5. 2024. (redaktor: František Doupal, zdroj: Zyxel)
Směrnice EU o bezpečnosti sítí a informačních systémů NIS1, která platí od roku 2016, přestala v důsledku rostoucí četnosti a složitosti kybernetických hrozeb vyhovovat nárokům dnešní doby. Její novela, která nabude účinnosti 18. října 2024, představuje příležitost k posílení kybernetické bezpečnosti. Čtěte více