Αποκλειστικό: Αποκαλύπτουμε τη διαρροή λογισμικού κατασκοπείας της Κίνας! Τα πρώτα στοιχεία εδώ!

By

Marizas Dimitris

On

Φεβ 23, 2024

Τη διάρκεια του Σαββατοκύριακου

κάποιος δημοσίευσε

μι

α κρυφή μνήμη αρχείων και εγγράφων που προφανώς είχαν κλαπεί από τον εργολάβο πειρατείας της κινεζικής κυβέρνησης, I-Soon.

Αυτή η διαρροή δίνει στους ερευνητές της

κυβερνοασφάλεια

ς και στις αντίπαλες κυβερνήσεις μια άνευ προηγουμένου ευκαιρία να κοιτάξουν πίσω από το παραπέτασμα των κινεζικών κυβερνητικών επιχειρήσεων hacking που διευκολύνονται από ιδιώτες εργολάβους.

Σαν το

λειτουργία hack-and-leak

που στόχευε την ιταλική εταιρεία κατασκευής spyware Hacking Team το 2015, η διαρροή του I-Soon περιλαμβάνει εταιρικά έγγραφα και εσωτερικές επικοινωνίες, οι οποίες δείχνουν ότι η I-Soon φέρεται να συμμετείχε σε πειρατεία εταιρειών και κυβερνητικών υπηρεσιών στην Ινδία, το Καζακστάν, τη Μαλαισία, το Πακιστάν, την Ταϊβάν και την Ταϊλάνδη , μεταξύ άλλων.

Τα αρχεία που διέρρευσαν

δημοσιεύτηκαν στον ιστότοπο κοινής χρήσης κώδικα GitHub

την

Παρασκευή

. Από τότε, παρατηρητές κινεζικών επιχειρήσεων hacking ξεχύθηκαν πυρετωδώς πάνω από τα αρχεία.

«Αυτή αντιπροσωπεύει τη σημαντικότερη διαρροή δεδομένων που συνδέεται με μια εταιρεία ύποπτη για παροχή κυβερνοκατασκοπείας και στοχευμένων υπηρεσιών εισβολής για τις κινεζικές

υπηρεσίες

ασφαλείας», δήλωσε ο Jon Condra, αναλυτής πληροφοριών απειλών στην εταιρεία κυβερνοασφάλειας Recorded Future.

Για τον John Hultquist, τον επικεφαλής αναλυτή της Mandiant που ανήκει στην Google, αυτή η διαρροή είναι «στενή, αλλά βαθιά», είπε. «Σπάνια έχουμε τόσο απεριόριστη πρόσβαση στις εσωτερικές λειτουργίες οποιασδήποτε επιχείρησης πληροφοριών».

Η Dakota Cary, αναλύτρια στην εταιρεία κυβερνοασφάλειας SentinelOne,

έγραψε σε ένα blog

δημοσιεύει ότι «αυτή η διαρροή παρέχει μια πρώτη στο είδος της ματιά στις εσωτερικές λειτουργίες ενός συνδεδεμένου με το κράτος εργολάβου hacking».

Και, ο ερευνητής του κακόβουλου λογισμικού της ESET, Matthieu Tartare, δήλωσε ότι η διαρροή «θα μπορούσε να βοηθήσει τους αναλυτές των πληροφοριών να απειλήσουν να συνδέσουν ορισμένους συμβιβασμούς που παρατήρησαν με το I-Soon».

Ένας από τους πρώτους ανθρώπους που πέρασαν από τη διαρροή ήταν ένας ερευνητής πληροφοριών απειλών από την Ταϊβάν, ο οποίος λέγεται Azaka. Την Κυριακή ο Αζάκα

δημοσίευσε ένα μακρύ νήμα

στο X, πρώην Twitter, αναλύοντας ορισμένα από τα έγγραφα και τα αρχεία, τα οποία εμφανίζονται μόλις το 2022. Ο ερευνητής τόνισε το λογισμικό κατασκοπείας που αναπτύχθηκε από την I-Soon για συσκευές Windows, Mac, iPhone και Android, καθώς και συσκευές χάκερ υλικού που έχουν σχεδιαστεί για να μπορεί να χρησιμοποιηθεί σε πραγματικές καταστάσεις που μπορούν να σπάσουν κωδικούς πρόσβασης Wi-Fi, να εντοπίσουν συσκευές Wi-Fi και να διακόψουν τα σήματα Wi-Fi.

Το «WiFi Near Field Attack System» της I-Soon, μια συσκευή για να χακάρει δίκτυα Wi-Fi, η οποία έρχεται μεταμφιεσμένη ως εξωτερική μπαταρία. (Στιγμιότυπο οθόνης:

Αζάκα

)

«Εμείς οι ερευνητές έχουμε επιτέλους μια επιβεβαίωση ότι έτσι λειτουργούν τα πράγματα εκεί και ότι οι ομάδες APT δουλεύουν σχεδόν όπως όλοι εμείς οι κανονικοί εργαζόμενοι (εκτός από το ότι πληρώνονται φρικτά), είπε ο Azaka στο TechCrunch, «ότι η κλίμακα είναι αξιοπρεπής μεγάλη, ότι υπάρχει μια προσοδοφόρα αγορά για την παραβίαση μεγάλων κυβερνητικών δικτύων». Το APT, ή οι προηγμένες επίμονες απειλές, είναι ομάδες hacking που συνήθως υποστηρίζονται από μια κυβέρνηση.

Σύμφωνα με την ανάλυση των ερευνητών, τα έγγραφα δείχνουν ότι ο I-Soon εργαζόταν για το Υπουργείο Δημόσιας Ασφάλειας της Κίνας, το Υπουργείο Κρατικής Ασφάλειας, τον κινεζικό στρατό και το ναυτικό. και η I-Soon παρουσίασαν επίσης και πούλησαν τις υπηρεσίες τους σε τοπικές υπηρεσίες επιβολής του νόμου σε όλη την Κίνα για να βοηθήσουν στη στόχευση μειονοτήτων όπως οι Θιβετιανοί και οι Ουιγούροι, μια μουσουλμανική κοινότητα που ζει στη δυτική κινεζική περιοχή Xinjiang.

Τα έγγραφα συνδέουν το I-Soon με το APT41,

μια κινεζική κυβερνητική ομάδα χάκερ

που φέρεται να δραστηριοποιείται από το 2012, στοχεύοντας οργανισμούς σε διαφορετικούς κλάδους της υγειονομικής περίθαλψης, των τηλεπικοινωνιών, της τεχνολογίας και των βιντεοπαιχνιδιών σε όλο τον κόσμο.

Επίσης, μια διεύθυνση IP που βρέθηκε στη διαρροή του I-Soon φιλοξενούσε έναν ιστότοπο phishing που ο οργανισμός ψηφιακών δικαιωμάτων Citizen Lab

πριόνι που χρησιμοποιήθηκε εναντίον Θιβετιανών σε εκστρατεία hacking το 2019

. Οι ερευνητές του Citizen Lab εκείνη την εποχή ονόμασαν την ομάδα hacking “Poison Carp”.

Ο Azaka, καθώς και άλλοι, βρήκαν επίσης αρχεία καταγραφής συνομιλιών μεταξύ των υπαλλήλων και της διοίκησης του I-Soon, μερικά από αυτά εξαιρετικά κοσμικά, όπως οι υπάλληλοι που μιλούν για τζόγο και παίζουν το δημοφιλές κινέζικο παιχνίδι mahjong που βασίζεται σε πλακίδια.

Ο Cary τόνισε τα έγγραφα και τις συνομιλίες που δείχνουν πόσο – ή πόσο λίγο – αμείβονται οι υπάλληλοι της I-Soon.

Επικοινωνήστε μαζί μας

Ξέρετε περισσότερα για το I-Soon ή τις κινεζικές κυβερνητικές εισβολές; Από μια συσκευή που δεν λειτουργεί, μπορείτε να επικοινωνήσετε με τον Lorenzo Franceschi-Bicchierai με ασφάλεια στο Signal στο +1 917 257 1382 ή μέσω Telegram, Keybase and Wire @lorenzofb ή μέσω email. Μπορείτε επίσης να επικοινωνήσετε με το TechCrunch μέσω του SecureDrop.

«Πληρώνονται 55.000 δολάρια [US] — σε δολάρια

2024

— για να χακάρετε το Υπουργείο Οικονομίας του Βιετνάμ, δεν είναι πολλά χρήματα για έναν τέτοιο στόχο», είπε ο Cary στο TechCrunch. «Με κάνει να σκεφτώ πόσο φθηνό είναι για την Κίνα να εκτελέσει μια επιχείρηση εναντίον ενός στόχου υψηλής αξίας. Και τι λέει αυτό για τη φύση της ασφάλειας του οργανισμού».

Αυτό που δείχνει επίσης η διαρροή, σύμφωνα με τον Cary, είναι ότι οι ερευνητές και οι εταιρείες κυβερνοασφάλειας θα πρέπει να εξετάσουν προσεκτικά τις πιθανές μελλοντικές ενέργειες των μισθοφόρων ομάδων hacking με βάση την προηγούμενη δραστηριότητά τους.

«Αποδεικνύει ότι η προηγούμενη συμπεριφορά στόχευσης ενός παράγοντα απειλής, ιδιαίτερα όταν είναι ανάδοχος της κινεζικής κυβέρνησης, δεν είναι ενδεικτική των μελλοντικών στόχων τους», είπε ο Κάρι. «Οπότε δεν είναι χρήσιμο να κοιτάξουμε αυτόν τον οργανισμό και να πούμε, «χάκαραν μόνο τη βιομηχανία της υγειονομικής περίθαλψης ή χάκαραν τη βιομηχανία X, Y, Z και χακάρουν αυτές τις χώρες». Ανταποκρίνονται σε αυτά [government] ζητούν οι φορείς. Και αυτές οι υπηρεσίες μπορεί να ζητήσουν κάτι διαφορετικό. Μπορεί να ξεκινήσουν δουλειά με ένα νέο γραφείο και μια νέα τοποθεσία».

Η κινεζική πρεσβεία στην Ουάσιγκτον δεν απάντησε σε αίτημα για σχολιασμό.

Ένα email που στάλθηκε στα εισερχόμενα υποστήριξης του I-Soon έμεινε αναπάντητο. Δύο ανώνυμοι υπάλληλοι της I-Soon

είπε στο Associated Press

ότι η εταιρεία είχε συνάντηση την Τετάρτη και είπε στο προσωπικό ότι η διαρροή δεν θα επηρεάσει την επιχείρησή τους και ότι «να συνεχίσουν να εργάζονται κανονικά».

Σε αυτό το σημείο, δεν υπάρχουν πληροφορίες σχετικά με το ποιος δημοσίευσε τα έγγραφα και τα αρχεία που διέρρευσαν και το GitHub

αφαίρεσε πρόσφατα την προσωρινή μνήμη που διέρρευσε

από την πλατφόρμα του. Αλλά αρκετοί ερευνητές συμφωνούν ότι η πιο πιθανή εξήγηση είναι ένας δυσαρεστημένος νυν ή πρώην υπάλληλος.

«Οι άνθρωποι που συγκέντρωσαν αυτή τη διαρροή, της έδωσαν έναν πίνακα περιεχομένων. Και ο πίνακας περιεχομένων της διαρροής είναι οι εργαζόμενοι που διαμαρτύρονται για τις χαμηλές αμοιβές, τις οικονομικές συνθήκες της επιχείρησης», είπε ο Cary. «Η διαρροή είναι δομημένη με τρόπο που να προκαλεί αμηχανία στην εταιρεία».

//platform.twitter.com/widgets.js

VIA:

techcrunch.com