Ένας σωρός εγγράφων που διέρρευσε από μια κινεζική κρατική ομάδα χάκερ δείχνει ότι οι μυστικές και στρατιωτικές ομάδες του Πεκίνου επιχειρούν μεγάλης κλίμακας, συστηματικές κυβερνοδιεισδύσεις εναντίον ξένων κυβερνήσεων, εταιρειών και υποδομών – με τους χάκερ μιας εταιρείας να ισχυρίζονται ότι μπορούν να στοχεύσουν χρήστες της Microsoft, της Apple και της Google.
Η κρυφή μνήμη – που περιέχει περισσότερα από 570 αρχεία, εικόνες και αρχεία καταγραφής συνομιλιών – προσφέρει μια άνευ προηγουμένου ματιά στο εσωτερικό των εργασιών μιας από τις εταιρείες που προσλαμβάνουν οι κινεζικές κυβερνητικές υπηρεσίες για επιχειρήσεις μαζικής συλλογής δεδομένων κατά παραγγελία.
Τα αρχεία – που αναρτήθηκαν στο GitHub και κρίθηκαν αξιόπιστα από ειδικούς σε θέματα κυβερνοασφάλειας, αν και η πηγή παραμένει άγνωστη – περιγράφουν λεπτομερώς τις συμβάσεις για την απόσπαση ξένων δεδομένων σε διάστημα οκτώ ετών και περιγράφουν στόχους σε τουλάχιστον 20 ξένες κυβερνήσεις και εδάφη, όπως η Ινδία, το Χονγκ Κονγκ, η Ταϊλάνδη, η Νότια Κορέα, το Ηνωμένο Βασίλειο, η Ταϊβάν και η Μαλαισία. Η ινδική δημοσίευση BNN αναφέρθηκε νωρίτερα στα έγγραφα.
“Σπάνια έχουμε τόσο απρόσκοπτη πρόσβαση στα ενδότερα οποιασδήποτε επιχείρησης πληροφοριών”, δήλωσε ο John Hultquist, επικεφαλής αναλυτής της Mandiant Intelligence, μιας εταιρείας κυβερνοασφάλειας που ανήκει στην Google Cloud. “Έχουμε κάθε λόγο να πιστεύουμε ότι πρόκειται για τα αυθεντικά δεδομένα ενός εργολάβου ο οποίος υποστηρίζει παγκόσμιες και εγχώριες επιχειρήσεις κυβερνοκατασκοπείας από την Κίνα”, δήλωσε.
Οι αξιωματούχοι των αμερικανικών μυστικών υπηρεσιών θεωρούν την Κίνα ως τη μεγαλύτερη μακροπρόθεσμη απειλή για την αμερικανική ασφάλεια και έχουν σημάνει συναγερμό για τις στοχευμένες εκστρατείες χακαρίσματός της.
Οι ειδικοί μελετούν τα έγγραφα, τα οποία προσφέρουν μια ασυνήθιστη ματιά στο εσωτερικό του έντονου ανταγωνισμού της κινεζικής βιομηχανίας συλλογής δεδομένων εθνικής ασφάλειας – όπου οι αντίπαλες επιχειρήσεις διεκδικούν επικερδείς κυβερνητικές συμβάσεις υποσχόμενες ολοένα και πιο καταστροφική και ολοκληρωμένη πρόσβαση σε ευαίσθητες πληροφορίες οι οποίες θεωρούνται χρήσιμες από την κινεζική αστυνομία, το στρατό και τις υπηρεσίες πληροφοριών.
Τα έγγραφα προέρχονται από την iSoon, επίσης γνωστή ως Auxun, κινεζική εταιρεία με έδρα τη Σαγκάη που πωλεί υπηρεσίες χακαρίσματος και συλλογής δεδομένων από τρίτους σε κινεζικά κυβερνητικά γραφεία, ομάδες ασφαλείας και κρατικές επιχειρήσεις.΄Ο θησαυρός δεν περιλαμβάνει δεδομένα που εξήχθησαν από κινεζικές επιχειρήσεις χακαρίσματος, αλλά παραθέτει στόχους και – σε πολλές περιπτώσεις – περιλήψεις δειγματοληπτικών ποσοτήτων δεδομένων που εξήχθησαν και λεπτομέρειες σχετικά με το αν οι χάκερ απέκτησαν πλήρη ή μερικό έλεγχο ξένων συστημάτων.
Ένα φύλλο απαριθμούσε 80 υπερπόντιους στόχους τους οποίους οι χάκερ της iSoon φαίνεται να έχουν παραβιάσει με επιτυχία. Η λεία περιλάμβανε 95,2 gigabytes δεδομένων για τη μετανάστευση από την Ινδία και μια συλλογή 3 terabyte με αρχεία καταγραφής κλήσεων από τον πάροχο τηλεπικοινωνιών LG U Plus της Νότιας Κορέας. Η ομάδα έβαλε επίσης στο στόχαστρο άλλες εταιρείες τηλεπικοινωνιών στο Χονγκ Κονγκ, το Καζακστάν, τη Μαλαισία, τη Μογγολία, το Νεπάλ και την Ταϊβάν. Η πρεσβεία της Ινδίας στην Ουάσινγκτον δεν απάντησε σε αίτημα για σχολιασμό των εγγράφων.
Σύμφωνα με τα έγγραφα που διέρρευσαν, οι πελάτες της ISoon ζήτησαν ή απέκτησαν επίσης δεδομένα για τις υποδομές. Το ενημερωτικό φύλλο έδειξε ότι η εταιρεία είχε ένα δείγμα 459 GB δεδομένων οδικής χαρτογράφησης από την Ταϊβάν, το νησί των 23 εκατομμυρίων κατοίκων που η Κίνα διεκδικεί ως έδαφός της. Τα οδικά δεδομένα θα μπορούσαν να αποδειχθούν χρήσιμα στον κινεζικό στρατό σε περίπτωση εισβολής στην Ταϊβάν, δήλωσαν αναλυτές. “Η κατανόηση του εδάφους των αυτοκινητοδρόμων και της θέσης των γεφυρών και των σηράγγων είναι απαραίτητη, ώστε να μπορείς να μετακινήσεις τεθωρακισμένες δυνάμεις και πεζικό γύρω από το νησί σε μια προσπάθεια κατάληψης της Ταϊβάν”, δήλωσε ο Ντμίτρι Αλπέροβιτς, ειδικός σε θέματα εθνικής ασφάλειας και πρόεδρος της δεξαμενής σκέψης Silverado Policy Accelerator.
Στους στόχους περιλαμβάνονταν επίσης 10 κυβερνητικές υπηρεσίες της Ταϊλάνδης, μεταξύ των οποίων το υπουργείο Εξωτερικών της χώρας, η υπηρεσία πληροφοριών και η Γερουσία. Το ενημερωτικό φύλλο σημειώνει ότι η iSoon κατέχει δείγμα δεδομένων που εξήχθησαν από τις εν λόγω υπηρεσίες από το 2020 έως το 2022. Η πρεσβεία της Ταϊλάνδης στην Ουάσινγκτον δεν απάντησε σε αίτημα σχολιασμού.
Οι περισσότεροι από τους στόχους ήταν στην Ασία, αν και η iSoon έλαβε αιτήματα για hacks πιο μακριά. Τα αρχεία καταγραφής συνομιλιών που περιλαμβάνονται στη διαρροή, περιγράφουν την πώληση απροσδιόριστων δεδομένων που σχετίζονται με το ΝΑΤΟ το 2022. Δεν είναι σαφές αν τα δεδομένα συλλέχθηκαν από δημόσια διαθέσιμες πηγές ή εξήχθησαν σ ένα χακάρισμα.
“Η Συμμαχία αντιμετωπίζει συνεχείς απειλές στον κυβερνοχώρο και έχει προετοιμαστεί γι’ αυτό επενδύοντας σε εκτεταμένες άμυνες στον κυβερνοχώρο. Το ΝΑΤΟ εξετάζει κάθε ισχυρισμό για απειλές στον κυβερνοχώρο”, δήλωσε αξιωματούχος του ΝΑΤΟ.
Ένα άλλο αρχείο δείχνει υπαλλήλους να συζητούν έναν κατάλογο στόχων στη Βρετανία, συμπεριλαμβανομένων των υπουργείων Εσωτερικών και Εξωτερικών, καθώς και του υπουργείου Οικονομικών. Στη λίστα ήταν επίσης οι βρετανικές δεξαμενές σκέψης Chatham House και το Διεθνές Ινστιτούτο Στρατηγικών Σπουδών.
“Στο σημερινό κλίμα, είμαστε, μαζί με πολλούς άλλους οργανισμούς, στόχος τακτικών επιχειρούμενων επιθέσεων τόσο από κρατικούς όσο και από μη κρατικούς φορείς”, δήλωσε εκπρόσωπος του Chatham House. Ο όμιλος είναι “φυσικά ανήσυχος” για τις διαρροές, αλλά έχει λάβει μέτρα προστασίας, δήλωσε ο εκπρόσωπος. Ερωτηθείς σχετικά με τα έγγραφα που διέρρευσαν, το βρετανικό υπουργείο Εξωτερικών αρνήθηκε να σχολιάσει. Οι χάκερ διευκόλυναν επίσης προσπάθειες απόσπασης πληροφοριών από στενούς διπλωματικούς εταίρους, όπως το Πακιστάν και η Καμπότζη.
Η Κίνα ενθαρρύνει την αντιπαλότητα των χάκερ
Η ISoon είναι μέρος ενός οικοσυστήματος εργολάβων που προέκυψε από μια “πατριωτική” σκηνή χακαρίσματος που δημιουργήθηκε πριν από δύο δεκαετίες. Τώρα εργάζεται για μια σειρά ισχυρών κυβερνητικών φορέων, όπως το Υπουργείο Δημόσιας Ασφάλειας, το Υπουργείο Κρατικής Ασφάλειας και ο κινεζικός στρατός.
Σύμφωνα με Αμερικανούς αξιωματούχους, οι χάκερ του Λαϊκού Απελευθερωτικού Στρατού έχουν παραβιάσει συστήματα υπολογιστών σε περίπου δύο δωδεκάδες βασικές αμερικανικές οντότητες υποδομών κατά το τελευταίο έτος, σε μια προσπάθεια να εδραιωθούν και να μπορέσουν να διαταράξουν τις υπηρεσίες κοινής ωφέλειας ενέργειας και νερού, καθώς και τα συστήματα επικοινωνιών και μεταφορών.
Το μοντέλο της Κίνας που συνδυάζει την κρατική υποστήριξη με το κίνητρο του κέρδους έχει δημιουργήσει ένα μεγάλο δίκτυο φορέων που ανταγωνίζονται για την εκμετάλλευση των τρωτών σημείων και την ανάπτυξη των επιχειρήσεών τους. Η κλίμακα και η επιμονή των επιθέσεών τους, προκαλούν πονοκέφαλο στους αμερικανικούς τεχνολογικούς κολοσσούς όπως η X, η Microsoft και η Apple, οι οποίοι έχουν πλέον εγκλωβιστεί σ’ ένα συνεχή αγώνα δρόμου για να ξεπεράσουν τους χάκερ.
Όλα τα προϊόντα λογισμικού έχουν τρωτά σημεία και μια ισχυρή παγκόσμια αγορά ανταμείβει όσους βρίσκουν αδυναμίες στην ασφάλεια ή αναπτύσσουν εργαλεία γνωστά ως exploits για να τις εκμεταλλευτούν. Πολλοί προμηθευτές λογισμικού προσφέρουν αμοιβές για να ανταμείψουν τους ερευνητές οι οποίοι αναφέρουν αδυναμίες ασφάλειας, αλλά οι κυβερνητικοί εργολάβοι στις Ηνωμένες Πολιτείες και αλλού συχνά διεκδικούν αυτά τα exploits – πληρώνοντας περισσότερα για το δικαίωμα να τα χρησιμοποιήσουν σε κατασκοπευτικές ή επιθετικές δραστηριότητες.
Οι εργολάβοι άμυνας και πληροφοριών των Ηνωμένων Πολιτειών αναπτύσσουν επίσης εργαλεία για τη διάρρηξη λογισμικού, τα οποία στη συνέχεια χρησιμοποιούνται από ομοσπονδιακούς υπαλλήλους σε επιχειρήσεις παρακολούθησης και κατασκοπείας ή σε επιθετικά κυβερνοόπλα. Οι Κινέζοι ερευνητές ασφάλειας σε ιδιωτικές εταιρείες έχουν αποδεδειγμένα βελτιωθεί τα τελευταία χρόνια, κερδίζοντας μεγαλύτερο αριθμό διεθνών διαγωνισμών χακαρίσματος, καθώς και συγκεντρώνοντας περισσότερες αμοιβές από εταιρείες τεχνολογίας.
Η ISoon έχει υπογράψει εκατοντάδες συμφωνίες με την κινεζική αστυνομία, οι οποίες κυμαίνονται από μικρές εργασίες με τιμή 1.400 δολάρια έως πολυετείς συμβάσεις που κοστίζουν έως και 800.000 δολάρια, όπως έδειξε ένα ενημερωτικό φύλλο. Τα εγχειρίδια προϊόντων της εταιρείας που διέρρευσαν περιγράφουν τις υπηρεσίες που προσφέρουν και τις τιμές τους και καυχιούνται ότι μπορούν να κλέψουν δεδομένα χωρίς να εντοπιστούν. Οι περιγραφές των προϊόντων, που απευθύνονται σε πελάτες κρατικής ασφάλειας, χρησιμοποιούν κατά καιρούς γλώσσα πολέμου για να περιγράψουν μια αποστολή απόσπασης δεδομένων που υποστηρίζεται από ακραίες απειλές για την εθνική ασφάλεια της Κίνας.
“Οι πληροφορίες έχουν γίνει όλο και περισσότερο το αίμα της ζωής μιας χώρας και ένας από τους πόρους που οι χώρες προσπαθούν να εκμεταλλευτούν. Στον πόλεμο των πληροφοριών, η κλοπή των εχθρικών πληροφοριών και η καταστροφή των εχθρικών πληροφοριακών συστημάτων έχουν γίνει το κλειδί για την ήττα του εχθρού”, αναφέρεται σε ένα έγγραφο που περιγράφει ένα πακέτο iSoon προς πώληση, το οποίο, όπως υποστηρίζεται, θα επιτρέπει στους πελάτες να έχουν πρόσβαση και να ελέγχουν κρυφά τους λογαριασμούς Microsoft Outlook και Hotmail παρακάμπτοντας τα πρωτόκολλα ελέγχου ταυτότητας.
Τα εγχειρίδια προϊόντων της ISoon διαφημίζουν επίσης μια υπηρεσία 25.000 δολαρίων για ένα σύστημα ελέγχου “απομακρυσμένης πρόσβασης” για την απόκτηση δεδομένων smartphone Apple iOS από έναν στόχο, συμπεριλαμβανομένων “βασικών πληροφοριών κινητού τηλεφώνου, εντοπισμού θέσης GPS, επαφών κινητού τηλεφώνου” και “καταγραφής περιβάλλοντος”.
Ένα διαφημιστικό μήνυμα προωθούσε μια υπηρεσία με την οποία η iSoon θα μπορούσε να διεξάγει αποτελεσματικά εκστρατείες phishing εναντίον μεμονωμένων ατόμων ή ομάδων χρηστών του Twitter. Μια άλλη περιέγραφε υπηρεσίες που θα επέτρεπαν στην εταιρεία να ελέγχει εξ αποστάσεως στοχευμένα λειτουργικά συστήματα Windows και Mac.
Η Apple, η Microsoft και η X, πρώην Twitter, δεν απάντησαν σε αιτήματα για σχολιασμό.
Η Google δήλωσε ότι τα έγγραφα δεν απαριθμούσαν συγκεκριμένες αδυναμίες στο λογισμικό της. Ένας εκπρόσωπος δήλωσε ότι οι χάκερ πιθανότατα προσπαθούσαν να κάνουν τους στόχους να εγκαταστήσουν κακόβουλο λογισμικό, το οποίο στη συνέχεια παρέμενε απαρατήρητο. Εκτός από την επίτευξη μακροπρόθεσμων συμφωνιών, η iSoon εργαζόταν τακτικά κατά παραγγελία ανταποκρινόμενη σε αιτήματα της αστυνομίας σε μικρότερες κινεζικές πόλεις και με ιδιωτικές εταιρείες, σύμφωνα με σελίδες καταγραφών συνομιλιών μεταξύ των κορυφαίων στελεχών της εταιρείας.
Ορισμένες φορές οι πελάτες ήξεραν ακριβώς τι ήθελαν -για παράδειγμα, να βρουν την ταυτότητα ενός συγκεκριμένου χρήστη του Twitter- αλλά συχνά έκαναν και ανοιχτά αιτήματα. Σε μια ανταλλαγή, οι υπάλληλοι συζήτησαν ένα αίτημα από ένα γραφείο κρατικής ασφάλειας στη νότια Κίνα που ρωτούσε αν η iSoon είχε πολλά να προσφέρει για το κοντινό Χονγκ Κονγκ. Ένας υπάλληλος του iSoon πρότεινε αντ’ αυτού μηνύματα ηλεκτρονικού ταχυδρομείου από τη Μαλαισία.
Η διάσπαρτη προσέγγιση φαίνεται ότι υποκινήθηκε εν μέρει από την πίεση των πελατών να παρέχουν περισσότερες και ποιοτικότερες πληροφορίες. Όμως, παρά το γεγονός ότι η εταιρεία καυχιόταν για τις δυνατότητες αιχμής, οι συνομιλίες δείχνουν ότι οι πελάτες δεν εντυπωσιάζονταν τακτικά από τις πληροφορίες που είχαν υποκλαπεί. Η ISoon απέτυχε επανειλημμένα να αποσπάσει δεδομένα από κυβερνητικές υπηρεσίες, όπως έδειξαν οι εσωτερικές συζητήσεις, με ορισμένες τοπικές αρχές να διαμαρτύρονται για υποβαθμισμένες πληροφορίες.
Παρόλο που ορισμένες από τις υπηρεσίες της iSoon επικεντρώνονταν σε εγχώριες απειλές, η εταιρεία συχνά υπογράμμιζε την ικανότητά της να χακάρει υπερπόντιους στόχους στην περιοχή – συμπεριλαμβανομένων κυβερνητικών υπηρεσιών στην Ινδία και το Νεπάλ, καθώς και σε υπερπόντιες οργανώσεις του Θιβέτ – για να προσελκύσει πελάτες. Τον Δεκέμβριο του 2021, η ομάδα ισχυρίστηκε ότι είχε αποκτήσει πρόσβαση στο intranet της εξόριστης κυβέρνησης του Θιβέτ, ξεκινώντας μια αγωνιώδη αναζήτηση αγοραστή. Περίπου 37 λεπτά αργότερα, είχε παρουσιαστεί ενδιαφερόμενος πελάτης.
Ένα άλλο προϊόν – με τιμή 55.600 δολάρια ανά πακέτο – προορίζεται να επιτρέψει τον έλεγχο και τη διαχείριση της συζήτησης στο Twitter, συμπεριλαμβανομένης της χρήσης συνδέσμων phishing για την πρόσβαση και την κατάληψη στοχευμένων λογαριασμών. Η ISoon ισχυρίζεται ότι το σύστημα επιτρέπει στη συνέχεια στους πελάτες να βρίσκουν και να απαντούν σε “παράνομα” και “αντιδραστικά συναισθήματα” χρησιμοποιώντας λογαριασμούς που ελέγχονται κεντρικά από τον πελάτη για να “χειραγωγήσουν τη συζήτηση”.
Τα έγγραφα δείχνουν ότι η iSoon συναντήθηκε και συνεργάστηκε με μέλη της APT41, κινεζικής ομάδας χάκερ, η οποία κατηγορήθηκε από το Υπουργείο Δικαιοσύνης των ΗΠΑ το 2020 για τη στοχοποίηση περισσότερων από 100 εταιρειών βιντεοπαιχνιδιών, πανεπιστημίων και άλλων θυμάτων παγκοσμίως. Στη συνέχεια, ο ιδρυτής και διευθύνων σύμβουλος της iSoon, Wu Haibo, ο οποίος χρησιμοποιεί το ψευδώνυμο “shutdown”, αστειεύτηκε μ’ ένα άλλο στέλεχος ότι θα πήγαιναν για “41” ποτά με την Chengdu 404 – την οργάνωση στην οποία ανήκει η APT41 – για να γιορτάσουν ότι πλέον “επαληθεύονται από το Ομοσπονδιακό Γραφείο Ερευνών”.
Αλλά τα μηνύματα συνομιλίας μεταξύ στελεχών από το 2022 υποδηλώνουν ότι οι σχέσεις μεταξύ των ομάδων είχαν χαλάσει επειδή η iSoon είχε καθυστερήσει να πληρώσει στην Chengdu 404 περισσότερα από 1 εκατομμύριο γιουάν (140.000 δολάρια). Η Chengdu 404 μήνυσε αργότερα την iSoon σε μια διαμάχη σχετικά με μια σύμβαση ανάπτυξης λογισμικού.
Ο Wu και η ομάδα του εμφανίστηκαν αδιάφοροι στην ιδέα ότι μια μέρα θα κατηγορούνταν από τις αμερικανικές αρχές όπως η APT41. Τον Ιούλιο του 2022, ένα στέλεχος ρώτησε τον Wu αν η εταιρεία παρακολουθείται στενά από τις Ηνωμένες Πολιτείες. “Δεν ενοχλείται”, απάντησε ο Wu. “Ήταν ούτως ή άλλως ένα θέμα του αργά ή γρήγορα”.
Όμως τα αρχεία του iSoon περιέχουν καταγγελίες από δυσαρεστημένους υπαλλήλους για κακές αμοιβές και φόρτο εργασίας. Πολλοί χάκερ εργάζονται για λιγότερα από 1.000 δολάρια το μήνα, μια εκπληκτικά χαμηλή αμοιβή ακόμη και στην Κίνα, δήλωσε ο Adam Kozy, πρώην αναλυτής του FBI, ο οποίος γράφει ένα βιβλίο για το κινεζικό χακάρισμα.
Οι διαρροές υποδηλώνουν εσωτερικές διαμάχες και δυσαρέσκεια στο δίκτυο των πατριωτών Κινέζων χάκερ, παρά τη μακροχρόνια συνεργασία μεταξύ των ομάδων. Αν και δεν είναι σαφές ποιος κυκλοφόρησε τα έγγραφα και γιατί, οι ειδικοί σε θέματα κυβερνοασφάλειας δήλωσαν ότι μπορεί να πρόκειται για έναν δυσαρεστημένο πρώην υπάλληλο ή ακόμη και για χάκερ από αντίπαλη οργάνωση.
Ο άνθρωπος που έκανε τη διαρροή παρουσιάστηκε στο GitHub ως πληροφοριοδότης που εκθέτει κακές πρακτικές, κακές συνθήκες εργασίας και “χαμηλής ποιότητας” προϊόντα που χρησιμοποιεί η iSoon για να “ξεγελάσει” τους κυβερνητικούς πελάτες της. Σε συνομιλίες που χαρακτηρίστηκαν ως περιέχουσες καταγγελίες εργαζομένων, οι εργαζόμενοι γκρίνιαζαν για σεξισμό, πολλές ώρες εργασίας και αδύναμες πωλήσεις.
Χάκερ προς ενοικίαση
Στο εσωτερικό της Κίνας, οι ομάδες αυτές παρουσιάζονται ως απαραίτητες για την εκτεταμένη εκστρατεία του Κομμουνιστικού Κόμματος με στόχο την εξάλειψη των απειλών κατά της εξουσίας του από τον κυβερνοχώρο. Τα τελευταία χρόνια η Κίνα έχει κλιμακώσει τις προσπάθειές της να ανιχνεύσει τα διεθνή δημόσια μέσα κοινωνικής δικτύωσης και να εντοπίσει στόχους στο εξωτερικό, αν και η διασταύρωση μεταξύ της δημόσιας μαζικής παρακολούθησης και της ιδιωτικής πειρατείας είναι συχνά ασαφής.
Πηγή : The Washington Post