Noi dovezi: Beijingul implicat într-o amplă campanie de atacuri cibernetice împotriva Japoniei

Directorul Serviciilor de pensii din Japonia, Toichiro Mizushima, în timpul unei conferinţe de presă în Tokyo
Directorul Serviciilor de pensii din Japonia, Toichiro Mizushima, în timpul unei conferinţe de presă în Tokyo (JIJI PRESS/AFP/Getty Images)

Noi dovezi sugerează că regimul chinez vizează Japonia în cadrul unei operaţiuni de spionaj la scară mare, care se aseamănă cu campaniile de atacuri cibernetice similare, îndreptate împotriva Statelor Unite.

Atacul, care viza informaţii confidenţiale a fost expus de cercetătorii de la compania de securitate cibernetică Kaspersky Lab. Printre sutele de victime ale acestei campanii despre care se crede că a început în noiembrie 2013, se află sistemul japonez de pensii, organizaţii guvernamentale nipone, precum şi ţinte din sectoarele japoneze de cercetare, producţie şi finanţe.

Deşi Kaspersky Lab nu afirmă clar cine este în spatele campaniei de atacuri, pe care cercetătorii o numesc “Blue Termite”, patru dovezi sugerează că este vorba de acţiunile unor hackeri care au legături cu Partidul Comunist Chinez (PCC).

Noile ţinte ale Chinei

Există câteva ciudăţenii în legătură cu campania de atacuri asupra Japoniei care prezintă similarităţi cu atacurile comise de regimul chinez împotriva SUA.

Kaspersky susţine că principala ţintă a campaniei de atacuri este serviciul japonez de pensii, care se potriveşte cu noile metode ale hackerilor PCC. Eric Devansky, director pentru servicii de securitate globală la TrueShield Security, a declarat ziarului Epoch Times într-un interviu recent: “Vedem o schimbare în genul de date [vizate de hackeri]”.

Devansky a declarat că, deşi principalele ţinte ale hackerilor PCC obişnuiau să fie proprietatea intelectuală şi datele din care se puteau obţine câştiguri financiare, acum ei umblă după informaţii personale utile spionilor.

Similar cu atacul asupra serviciului japonez de pensii, hackerii Partidului Comunist Chinez au furat recent datele a aproximativ 80 de milioane clienţi ai companiei americane de asigurări de sănătate Anthem Inc.

La puţin timp după atac, hackerii care au comis spargerea de la Anthem au atacat de asemenea Biroul american pentru Managementul de Personal (OPM) şi au furat datele personale ale 22,1 milioane de foşti şi actuali angajaţi guvernamentali americani.

O sursă familiară cu operaţiunile de spionaj chineze a declarat pentru Epoch Times că datele sunt folosite pentru a construi o bază de date cu privire la cetăţenii americani folosind un sistem modelat după programul chinez de spionare internă. Atacurile asupra Japoniei sugerează că Partidul Comunist şi-ar putea extinde baza de date pentru a include şi cetăţenii japonezi.

Ajutor din partea statului

Organizaţiile nipone vizate de campania de atacuri nu se limitează la serviciul japonez de pensii, sau alte agenţii guvernamentale.

Referitor la campania de atacuri cibernetice, Kurt Baumgartner, cercetător principal în domeniul securităţii la Kaspersky Lab, a declarat că hackerii “adună pe cât posibil toate datele de natură geopolitică şi tehnologică semnificative pentru Japonia”.

Unul dintre programele directoare ale politicii Partidului Comunist pentru furtul economic este Proiectul 863, care a fost început de fostul lider comunist Deng Xiaoping în 1986 şi actualizat în 1992 şi 1996.

Proiectul 863 “oferă fonduri şi ghidare pentru a se obţine achiziţionări clandestine de informaţii tehnologice şi economice sensibile pentru SUA”, conform unui raport din 2011 publicat de U.S. Office of the National Counterintelligence Executive. Programul se axează pe 9 industrii - biotehnologie, spaţiu, tehnologia informaţiei, tehnologia laser, industria automatizărilor, industria energiei, a materialelor noi, telecomunicaţii şi tehnologia maritimă.

Câteva industrii lovite de “Blue Termite” în Japonia se conformează cu patru ţinte identificate de Proiectul 863. În sectorul automatizării, hackerii au vizat industriile nipone ale roboticii, producţiei şi construcţiilor. În sectorul energiei, au fost vizate industriile de electricitate şi energie. În sectorul tehnologiei informaţiei şi telecomunicaţiilor - industriile de comunicaţii, mass media, serviciile de informaţii şi industria pentru sateliţi.

O nouă unealtă

Din punct de vedere tehnic, calea prin care hackerii au infectat reţelele de calculatoare este de asemenea elocventă.

Kaspersky a început să monitorizeze atacurile cibernetice “Blue Termite” în octombrie 2014.

La început, hackerii au folosit atacuri de tip spearphishing pentru a obţine acces la calculatoare în reţelele vizate. Metodologia lor s-a schimbat, totuşi, în jurul datei de 7 august.

Cu doar câteva zile înainte, în 3 august, un grup de hack-activişti a divulgat informaţii despre o companie italiană numită Hacking Team, care furnizează servicii de hacking pentru guverne.

Inclusă în scurgerea de informaţii a fost şi vulnerabilitatea de tipul “ziua zero” – un tip de atac cibernetic care nu poate fi oprit din moment ce nu este încă identificat de companiile de securitate – pe care Hacking Team a folosit-o în atacurile sale, pe care le vindea inclusiv guvernelor.

Acest tip de atac implică infectarea website-urilor frecventate de potenţialele victime şi include un cod pentru filtrarea ţintelor nedorite.

La scurt timp după ce a fost dezvăluită vulnerabilitatea de tipul “ziua zero”, folosită de Hacking Team, hackerii PCC au început să o folosească în atacurile lor.

Primul astfel de atac a fost dezvăluit de compania în securitate cibernetică Zscaler în 14 august. Într-un raport, compania a detaliat un atac cibernetic chinezesc împotriva unei binecunoscute firme ce oferă servicii financiare, dar care nu a fost numită.

Zscaler susţine că hackerii chinezi au folosit “ziua zero” pentru a lansa atacul. După breşa iniţială, ei au instalat un malware pe calculatoarele victimelor lor. Malware-ul pe care l-au folosit a fost un program de tip “remote access trojan (RAT)”, care a oferit hackerilor un control deplin asupra calculatoarelor infectate. De asemenea, acel malware a fost folosit de grupul respectiv de hackeri chinezi în atacuri anterioare îndreptate împotriva diverselor guverne.

Conform datelor publicate de Kaspersky hackerii din spatele campaniei de atacuri “Blue Termite” au folosit aceeaşi tehnică. Folosind “ziua zero” de la Hacking Team, hackerii au fost capabili să infecteze mai multe website-uri japoneze.

Unul dintre website-urile infectate, conform Kaspersky, a aparţinut unui “proeminent membru al guvernului japonez”. Toţi cei care vizitau website-ul respectiv îşi compromiteau calculatoarele. În plus, hackerii au folosit un cod pentru a filtra toate adresele de IP, “cu excepţia celei care aparţinea organizaţiei guvernamentale japoneze specifice.”

Cu mâna în borcanul cu miere

Ultima dovadă care leagă atacurile de Partidul Comunist – dezvăluită de Kaspersky, care a adăugat că nu este totuşi incontestabilă – este aceea că multe dintre documentele şi uneltele folosite de hackeri au fost scrise în limba chineză.

Kaspersky a fost capabilă să decripteze o parte din malware-ul folosit în atacuri şi a reuşit să pună mâna pe o parte din documentele folosite de hackeri.

Hackerii au folosit o interfaţă grafică cu utilizatorul pentru serverul lor de comandă şi control şi au avut documente tehnice legate de malware-ul folosit în atacuri – ambele fiind în limba chineză.

În timp ce dovezile individuale nu ar fi suficiente pentru a învinui PCC, când sunt analizate împreună ele pot crea un caz puternic care arată că în spatele atacurilor se află hackeri susţinuţi de statul chinez.

În general, această informaţie ar putea oferi indicii asupra schimbărilor îngrijorătoare în privinţa ţintelor şi metodologiilor atacurilor organizate de Partid.

Aceleaşi atacuri pe care hackerii chinezi le-au folosit împotriva ţintelor americane şi natura ţintelor lor sugerează faptul că PCC şi-ar putea extinde gama de atacuri.

“Deşi Blue Termite nu este prima campanie de spionaj cibernetic împotriva Japoniei, este prima campanie cunoscută de Kaspersky Lab care se concentrează strict pe ţinte japoneze”, a declarat în raportul său Suguru Ishimaru, cercetător senior la Kaspersky Lab.