Rozsáhlý únik dat z čínské bezpečnostní společnosti I-Soon poodhalil roušku tajemství, která dosud zakrývala vnitřní fungování čínského národního hackerského programu. Společnost napojená na čínskou vládu byla aktivní při kybernetických útocích na vlády ostatních zemí, ale zároveň získávala citlivé informace i od domácích cílů – disidentů, etnických menšin a dalších sledovaných skupin.

Ze získaných informací vyplývá, že společnost I-Soon byla financována převážně ze státních peněz. Na jednu stranu pomáhala chránit zařízení policie a úředníků, ale současně vyvíjela vyspělý malware včetně trojských koní. Ty pak zaměstnancům umožňovaly vzdáleně ovládat a špehovat počítače obětí.

Upravené powerbanky určené k odcizení dat

I-Soon se prolamovala i do chytrých telefonů a využívala například modifikované powerbanky k odcizování dat. Chlubila se také schopností obejít dvoufaktorové ověřování a získat přístup k e-mailům, sociálním sítím nebo SMS zprávám vytipovaných obětí.

Upravená powerbanka je nenápadným způsobem, jak mohou hackeři nabourat cizí zařízení. Foto: Unsplash

„Čínské APT skupiny využívají širokou škálu nástrojů a čínský útočný ekosystém je velmi komplexní a propojený. Opírá se o vojenské jednotky i soukromé dodavatele,“ říká Daniel Šafář ze společnosti Check Point Software Technologies.

APT (Advanced Persistent Threat) neboli pokročilá persistentní hrozba. Tímto termínem se označují sofistikované a cílené kybernetické útoky, které jsou často sponzorovány státními aktéry nebo velkými organizacemi.

Rozsah a cíle špionáže

Ačkoli ne všechny údaje z úniku jsou aktuální, celkově nabízí unikátní vhled do čínských zpravodajských operací. Časová osa interních konverzací sahá od roku 2018 do roku 2023, některé materiály jsou ale ještě starší.
Hlavními cíli kybernetických útoků společnosti I-Soon byly:

1. Jihovýchodní, jižní, východní a střední Asie – zejména vládní subjekty, letecké společnosti a telekomunikační sektor.
2. Sledování disidentů, etnických menšin apod. – mnoho aktivit je označeno jako protiteroristické operace.

V uniklých datech jsou i zmínky o cílech nebo dokumentech souvisejících s NATO. Není však dostatečně prokázán stabilní přístup do organizací Aliance nebo že získané materiály pocházejí z vnějších útoků.

Hackeři si stěžují na mizerné platy

Úniky nabízí i cenné ekonomické detaily. Dokládají náklady na provoz špičkových hackerských týmů a platové podmínky jejich členů. A výsledek? Většina řadových hackerů si stěžuje na nízké platy.

Zmínění hackeři jsou v tomto případě řadovými zaměstnanci, kteří si na velké peníze nepřijdou. Foto: Freepik

Například roční přístup k platformě Tianji Query Platform, poskytující data o obyvatelstvu, telekomunikacích a sociálních sítích, stál 2 miliony jüanů (cca 250 000 eur). Naproti tomu některé smlouvy státních subjektů se společností I-Soon se pohybovaly řádově v desítkách tisíc eur. Například kontrakt s jednou z bezpečnostních složek za přístup ke 4 e-mailovým schránkám byl na 28 000 eur.

Firma dodává hackerské služby čínské vládě

„Když došlo k úniku informací o ruské ransomwarové skupině Conti, ukázalo se, že některé kyberzločinecké organizace mají strukturu jako běžné společnosti. Rozdíl je, že I-Soon je opravdová firma s marketingem, dokumentací a informacemi o zákaznících,“ komentuje Daniel Šafář.

„Oba úniky zároveň odhalují, že většina řadových zaměstnanců není dobře placená a má daleko k hollywoodské představě cool hackerů s luxusními vilami,“ dodává.
I přes občasnou nespokojenost vyplývající z platových podmínek představuje čínský národní hackerský program hrozbu, kterou je třeba brát v potaz.
Zdroj: TZ CheckPoint