O serie de documente scurse dezvăluie capacităţile şi ţintele de hacking ale Chinei

O cantitate masivă de documente divulgate de un contractor chinez de hacking subliniază şi mai mult ameninţările globale la adresa securităţii cibernetice pe care le reprezintă regimul comunist chinez, afirmă experţii.

Documentele, care au fost postate pe GitHub de persoane necunoscute, la 16 februarie, includ manuale de utilizare a produselor, materiale de marketing, liste de angajaţi, înregistrări de chat, informaţii financiare şi detalii despre infiltrarea străină.

Associated Press a confirmat într-un raport din 21 februarie că documentele provin de la furnizorul de securitate cibernetică I-Soon, cunoscut sub numele de Anxun în mandarină, cu sediul în China, după ce a vorbit cu doi dintre angajaţii companiei.

Potrivit documentelor, I-Soon se laudă cu o linie de produse care include instrumente cibernetice ofensive şi sisteme spyware. De asemenea, în documente este inclusă o listă de contracte pe care compania le-a semnat în perioada iulie 2016 - iunie 2022, care arată că majoritatea clienţilor săi sunt birourile regionale de securitate din China. Dezvăluirea se adaugă la ceea ce se ştie de pe site-ul web al companiei, care prezintă Ministerul Securităţii Publice al Partidului Comunist Chinez ca fiind unul dintre partenerii săi.

"Incidentul I-Soon ar trebui să reamintească încă o dată tuturor că securitatea reţelelor este securitate naţională. Există un război fără praf de puşcă, iar acesta are loc în spaţiul cibernetic", a declarat experta în tehnologie Chiang Ya-chi pentru The Epoch Times miercuri, 21 februarie.

Chiang este preşedinta Asociaţiei de Drept şi Tehnologie din Taiwan şi profesoară specializată în tehnologia internetului şi în dreptul proprietăţii intelectuale la Universitatea Naţională Taiwan Ocean.

Documentele scurse arată că I-Soon este finanţată de Partidul Comunist Chinez (PCC), a declarat Chiang, menţionând că Bejingul foloseşte instrumente dezvoltate de firme precum I-Soon pentru a se infiltra în guverne şi entităţi străine.

În documentele respective este inclusă o listă de victime, care arată că I-Soon a vizat companii de telecomunicaţii, spitale, universităţi, organizaţii şi entităţi guvernamentale din multe ţări. Printre aceste naţiuni se numără Franţa, Egipt, India, Indonezia, Kazahstan, Malaezia, Mongolia, Nepal, Coreea de Sud, Taiwan, Tailanda, Filipine şi Vietnam.

Un document arată că I-Soon a cerut mai mulţi bani pentru piratarea site-ului Ministerului Economiei din Vietnam decât pentru piratarea altor două ministere guvernamentale vietnameze.

Program spion (Spyware)

De la publicarea online de săptămâna trecută, numeroşi cercetători şi experţi şi-au publicat analiza documentelor scrise în chineza simplificată.

Malwarebytes, o companie californiană care oferă protecţie cibernetică în timp real, a publicat o analiză a datelor scurse pe 21 februarie, afirmând că documentele "oferă o privire din interior asupra operaţiunilor care se desfăşoară la un furnizor de spyware de top şi APT-for-hire". APT se referă la ameninţare persistentă avansată.

Analiza evidenţiază unele dintre produsele I-Soon dezvăluite de documente, inclusiv ceea ce numeşte "Twitter stealer".

"Printre caracteristicile [Twitter stealer] se numără obţinerea e-mailului şi a numărului de telefon al utilizatorului de Twitter, monitorizarea în timp real, citirea mesajelor personale şi postări pe Twitter în numele utilizatorului", se arată în analiză.

Într-o pagină a documentului, I-Soon se laudă că a studiat ani de zile mecanismul de securitate al Twitter; astfel, produsul său poate, se presupune, să ocolească caracteristicile de securitate pentru a viza contul unui utilizator Twitter.

Documentele scurse dezvăluie, de asemenea, costul produsului "Twitter stealer". O utilizare a produsului timp de un an costă 700.000 de yuani (aproximativ 97.000 USD), iar o utilizare timp de trei ani costă 1,5 milioane de yuani (aproximativ 208.000 USD).

Analiza Malwarebytes arată următoarea descriere a produsului: "Troieni de acces la distanţă (RAT) personalizaţi pentru Windows x64/x86: Caracteristicile includ gestionarea proceselor/serviciilor/registrelor, remote shell, keylogging, logarea accesului la fişiere, obţinerea de informaţii despre sistem, deconectarea de la distanţă şi dezinstalarea".

Există versiuni pentru iOS şi Android ale RAT-urilor. Modelul pentru iOS susţine că suportă toate versiunile de dispozitive iOS fără jailbreaking, cu caracteristici care variază de la informaţii hardware la date GPS, contacte, fişiere media şi înregistrări audio în timp real ca extensie, potrivit analizei.

I-Soon are, de asemenea, dispozitive portabile pentru "atacarea reţelelor din interior", se precizează în raport.

Potrivit documentelor scurse, dispozitivele portabile sunt disponibile în două dimensiuni diferite - o versiune standard care poate fi deghizată ca o baterie de telefon mobil, o bandă de alimentare sau un adaptor de alimentare şi o versiune mini care poate fi deghizată ca o placă de circuite imprimate.

Bazele de date de căutare a utilizatorilor, care includ numerele de telefon, numele şi adresele de e-mail ale utilizatorilor, pot fi corelate cu conturile de social media, potrivit analizei Malwarebytes.

Partidul Comunist Chinez poate utiliza bazele de date de căutare a utilizatorilor pentru a urmări şi localiza disidenţii din China. Potrivit documentelor scurse, au fost create baze de date pentru diferite platforme chinezeşti, inclusiv Weibo, Baidu şi WeChat.

Ameninţări

Su Tzu-yun, director la Institutul pentru Cercetare în domeniul Apărării şi Securităţii Naţionale cu sediul în Taiwan, a declarat pentru The Epoch Times că documentele I-Soon sunt cele mai recente dovezi care susţin afirmaţiile Statelor Unite şi NATO potrivit cărora regimul chinez reprezintă o ameninţare la adresa securităţii lor cibernetice.

În conceptul său strategic convenit în 2022, NATO a afirmat că "operaţiunile hibride şi cibernetice rău intenţionate ale regimului, precum şi retorica sa de confruntare şi dezinformarea vizează aliaţii şi dăunează securităţii Alianţei".

La începutul acestei luni, Agenţia pentru Securitatea Cibernetică şi Securitatea Infrastructurii a emis un avertisment potrivit căruia Partidul Comunist Chinez pre-poziţionează programe malware în sistemele americane în vederea pregătirii unui conflict. Avertismentul a venit la doar câteva zile după ce directorul FBI, Christopher Wray, a declarat în faţa parlamentarilor că o operaţiune a mai multor agenţii a dezmembrat "Volt Typhoon", un important grup de hacking sponsorizat de stat cu sediul în China, care a început să vizeze o gamă largă de reţele din infrastructura critică americană în 2021.

Anul trecut, Wray a avertizat că hackerii chinezi sunt mai numeroşi decât specialiştii cibernetici din SUA cu cel puţin 50 la 1.

Unii cercetători au sugerat că I-Soon ar putea avea legături cu APT41, un grup de hacking sponsorizat de statul chinez, pe baza analizei documentelor scurse.

În 2020, cinci cetăţeni chinezi din cadrul APT41 au fost puşi sub acuzare pentru acuzaţii legate de campanii de hacking menite să fure secrete comerciale şi informaţii sensibile de la peste 100 de companii şi entităţi din întreaga lume. Cele cinci persoane se află în prezent pe lista persoanelor căutate de FBI.

Firma de securitate cibernetică Mandiant a declarat într-un raport din 2022 că APT41 a exploatat vulnerabilităţi în sistemele online a cel puţin şase guverne ale unor state americane pentru a obţine acces la aceste reţele.

"Scurgerea de informaţii oferă unele dintre cele mai concrete detalii văzute în mod public până în prezent, dezvăluind natura în curs de maturizare a ecosistemului de spionaj cibernetic al Chinei. Arată în mod explicit modul în care cerinţele guvernamentale de direcţionare a ţintelor conduc o piaţă competitivă de hackeri independenţi care sunt angajaţi de contractanţi", a declarat compania de securitate cibernetică SentinelLabs, cu sediul în California, în analiza sa asupra datelor scurse de I-Soon, publicată pe 21 februarie.