Китайская хакерская группировка контролировала критические объекты IT инфраструктуры Казахстана

16 февраля 2024 года на ресурсе GitHub неизвестными был опубликован слив секретных данных китайской компании iSoon (ака Anxun) – одного из подрядчиков Министерства общественной безопасности Китая (MPS). Сообщается, что она связана с Chengdu 404 – структура контролируемая киберразведкой КНР известная как APT41.

Утечка проливает свет на формы и методы китайской разведки. ПО, трояны для Windows, Mac, iOS и Android, сервисы для DDoS, системы деанонимизации пользователей соцсетей, оборудование для взлома Wi-Fi и многое другое. Много информации о методике проникновения и получения информации.

Целью атакующих были как общая информация, такие как базы данных, так и точечная информация конкретных лиц: контроль переписки, звонков и передвижения. Анализ данных показал, что объем украденной информации измеряется терабайтами.  Источник данных – критические объекты инфраструктуры Казахстана, Кыргызстана, Монголии, Пакистана, Малайзии, Непала, Турции, Индии, Египта, Франции, Камбоджи, Руанды, Нигерии, Гонконга, Индонезии, Вьетнама, Мьянмы, Филиппин и Афганистана.

При чем тут Казахстан?

Объем и характер данных указывает на системные ошибки в системе защиты информации в нашей стране.

Доступные материалы утечки свидетельствуют о том, что как минимум одна хакерская группировка более двух лет имела полный доступ к критической инфраструктуре казахстанских операторов связи. Ясно, что в нашем распоряжении неполный объем информации, который Казахстан позволил украсть у себя. 

Ниже представлен перевод одного из файлов в обнаруженной утечке:

telecom.kz – 2021.05 – Этот оператор является оператором фиксированной связи, а также предоставляет такие услуги, как виртуальный хостинг и видеонаблюдение. Основные поля образца: имя, адрес электронной почты, почтовый адрес, номер мобильного телефона, регистрационные данные и т. д.

beeline.kz – 2019-2020 – Интрасеть находится под контролем, и данные списка вызовов могут быть проверены. Поскольку существует слишком много оборудования для мониторинга интрасети, невозможно запросить большой объем данных. Данные о местоположении все еще находятся в процессе поиска.

kcell.kz – 2019-2021 – Полный контроль над интрасетью, файловым сервером, антивирусным сервером и т. д. может обеспечить запрос списков вызовов в режиме реального времени и запрос информации о пользователях.

tele2.kz – 2019-2020 – Полный контроль над интрасетью, файловым сервером, антивирусным сервером и т. д. обеспечивает запрос списков вызовов в режиме реального времени, позиционирование и запрос информации о пользователе.

Хакеры контролировали журналы событий операторов, продолжительность звонков, IMEI устройств и биллинг звонков. 

В утечке имеются файлы с информацией об абонентах операторов связи:

Также опубликованы данные пользователей IDNET и IDTV c персональными данными абонентов, их логинами и паролями. 

Ниже приводим данные из внутренних систем мобильных операторов:

Подробные логи отдельных абонентов с детализацией всех звонков и активностей:

В утечке также упоминается ЕНПФ (Единый национальный пенсионный фонд РК) за 2019 год

enpf.kz – 1.92gb – 2019.12 – Интрасеть полностью контролируется, и пользовательские данные могут быть проверены на наличие имени, идентификатора, адреса и номера телефона. Основные поля образца: имя, номер телефона, адрес и т. д.

В одном из скринов фигурирует предположительно информация по почтовому серверу Министерства обороны РК 

Некоторые скрины включают в себя данные об авиаперевозчике Air Astana.

Также найдены файлы, содержащие переписку хакерской группировки между собой, в которой они обсуждают прослушиваемых абонентов и их информацию.

Приводим оригинал и перевод одной из переписок:

Мы проверили кто является жертвами данной хакерской группировки и кем они больше всего интересовались. Результаты проверки номеров через различные утечки и GetContact выявили, что целенаправленные атаки совершались, в том числе и на сотрудников силовых структур.

Что по другим странам? 

Помимо Казахстана в утечке имеются много данных других стран. Уже сейчас можно сказать, что разведки всего мира и хакеры начали активно изучать эту информацию. 

Ниже приводим несколько примеров:

Научно-технический исследовательский совет Турции – tubitak.gov.tr – 421kb – 2020 – Права доступа к почте

Технические подробности утечки

Среди материалов имеется документация и описание самих шпионских программ для мониторинга и сбора информации в реальном режиме времени с возможностью получения полного доступа к устройствам:

• Получение удаленного доступа и управления Windows
• Получение удаленного доступа и управления Mac
• Получение удаленного доступа и управления iOS
• Получение удаленного доступа и управления Android
• Получение удаленного доступа и управления Linux
• Имплантируемое устройство Wi-Fi
• Система бесконтактной атаки на Wi-Fi
• Система управления сетевым трафиком

Для понимания масштабов, приводим описание данных шпионских программ и устройств.

Получение удаленного доступа и управления Windows:

Троян удаленного доступа (Remote Access Trojan) для Windows x64/x86, который может:

1. Доставать всю информацию о хосте
2. Управлять процессами
3. Управлять файлами (просмотр, удаление, исполнения, изменения)
4. Исполнять команды (CMD operations)
5. Делать скриншоты
6. KEYLOGGER (запись каждой нажатой кнопки на клавиатуре)
7. И многое другое

Авторы утверждают, что 95% антивирусных программ не смогут обнаружить данный троян, включая Kaspersky, Symantec и другие популярные решения. Троян умеет самостоятельно удаляться и стартовать.

Скриншот программы:

Получение удаленного доступа и управления Mac:

Для Mac тоже существует версия трояна для кейлоггинга, скрина записи, управления файлами, выполнение shell команд и т. д.

Диаграмма работы системы:

Авторы заявляют, что троян поддерживает все версии ОС Apple, имея функционал self-recovery.

Пример интерфейса:

Получение удаленного доступа и управления iOS устройствами:

Авторы утверждают и об iOS, причем со всеми версиями. Функционал включает в себя следующее:

1. Сбор IP адреса
2. Сбор GPS локации
3. Сбор всего контактного листа пользователя
4. Сбор мультимедиа
5. Запись экрана пользователя

Диаграмма работы системы:

Скриншот интерфейса:

Получение удаленного доступа и управления Android устройств:

Авторы утверждают, что существует версия и для Android (от Android 6.0 и выше).

Функционал:

1. Сбор всей информации о телефоне (device name, номер телефона, IMEI, CPU информация и др.)
2. Сбор всего контакт листа
3. Сбор всех звонков (с кем, длительность, анализ и т. д.)
4. Сбор всех файлов (музыка, видео, фото, документы и т. д.)
5. Мониторинг клавиатуры
6. Скриншоты
7. Wi-Fi информация (SSID, MAC адрес, уровень сигнала и т. д.)
8. Выгрузка сообщений из QQ, WeChat и MoMo (требуется root права)
9. Кейлог специально для QQ, WeChat, Momo и Telegram (требуется root права)

Скриншот интерфейса

Получение удаленного доступа и управления Linux:

Существует версия для Linux. Она так же поддерживает CentOS 5/6/7 и Ubuntu 12/14.

Функционал трояна:

1. Запуск shell команд у пользователя
2. Управление файлами (просмотр, удаление, скачивание и др.)
3. Поддержка прокси сервера socks5 proxy
4. Поддержка TCP port multiplexing

Имплантируемое устройство Wi-Fi:

Авторы утверждают, что есть устройство, которое может работать с Android устройствами, подключенных к Wi-Fi.

Функционал:

1. Сбор информации об устройстве
2. Сбор GPS информации
3. Сбор сообщений
4. Сбор контактов, истории звонков
5. А так же файл менеджмент

Скриншот программы

Система бесконтактной атаки Wi-Fi:

Также существует “мини” версия:

Устройство “мини” может имитировать себя под удлинитель, адаптер питания и др. Может быть настроена для подключения к целевому Wi-Fi и создания туннеля SOCKS с внутренней сетью.

Обычная версия работает с ARM процессором, а “мини” версия идет под MIPS.

Обычная версия выглядит как популярная беспроводная батарея Xiaomi:

А вот “мини” версия выглядит совсем иначе, это обычная плата, которая может быть внутри чего угодно:

Также в следующих главах автор перечисляет другие системы:

1. Системы DDOS атак
2. Система по пентесту (поддерживает Windows, Linux и др)
3. Устройство для отслеживания устройств, подключенных к Wi-Fi
4. Устройство для переключения между точками (наподобие Tor)
5. Сбор по китайским мессенджерам с обратным поиском номера телефона
6. И даже разработка собственной CTF платформы для обучения сотрудников.

Заключение 

Китайская APT-группировка сидела в казахстанской инфраструктуре около 2 лет и это только верхушка айсберга. Сколько еще невыявленных хакеров и утечек наших данных неизвестно никому. 

Все это результат бессистемных действий и приоритет ведомственного интереса над интересами государства.

Структура государства, в которой Комитет информационной безопасности подчинен Министерству цифровизации всегда будет уязвима. 

Казахстан нуждается в отдельном независимом органе, ответственным за кибербезопасность – Агентство по кибербезопасности.