Астана. 21 февраля. КазТАГ – Китайские хакеры атаковали критическую IT-инфраструктуру Казахстана, сообщает Центр анализа и расследования кибер атак (ЦАРКА).
«Объем и характер данных указывает на системные ошибки в системе защиты информации в нашей стране. Доступные материалы утечки свидетельствуют о том, что как минимум одна хакерская группировка более двух лет имела полный доступ к критической инфраструктуре казахстанских операторов связи. Ясно, что в нашем распоряжении неполный объём информации, который Казахстан позволил украсть у себя», — говорится в сообщении.
По данным ЦАРКА, утечки допущены в системах «Казахтелекома», Beeline («Билайн»), Kcell и Tele2, причём, относительно последних двух речь идёт о полном контроле интрасетью.
«Хакеры контролировали журналы событий операторов, продолжительность звонков, IMEI устройств и биллинг звонков. В утечке имеются файлы с информацией об абонентах операторов связи. Также опубликованы данные пользователей IDNET и IDTV c персональными данными абонентов, их логинами и паролями. В утечке также упоминается ЕНПФ (Единый национальный пенсионный фонд РК) за 2019 год», — сказано в сообщении.
В одном из скринов фигурирует предположительно информация по почтовому серверу министерства обороны Казахстана.
«Некоторые скрины включают в себя данные об авиаперевозчике Air Astana. Также найдены файлы, содержащие переписку хакерской группировки между собой, в которой они обсуждают прослушиваемых абонентов и их информацию», — добавили в ЦАРКА.
Эксперты проверили, кто является жертвами данной хакерской группировки и кем они больше всего интересовались.
«Результаты проверки номеров через различные утечки и GetContact выявили, что целенаправленные атаки совершались, в том числе и на сотрудников силовых структур. Помимо Казахстана в утечке имеются много данных других стран. Уже сейчас можно сказать, что разведки всего мира и хакеры начали активно изучать эту информацию», — отметили эксперты.
В числе пострадавших – научно-технический исследовательский совет Турции.
«Среди материалов имеется документация и описание самих шпионских программ для мониторинга и сбора информации в реальном режиме времени с возможностью получения полного доступа к устройствам: получение удалённого доступа и управления Windows; получение удалённого доступа и управления Mac; получение удалённого доступа и управления iOS; получение удалённого доступа и управления Android; получение удалённого доступа и управления Linux; имплантируемое устройство Wi-Fi; система бесконтактной атаки на Wi-Fi; система управления сетевым трафиком», — говорится в информации.
Для понимания масштабов ЦАРКА приводит описание данных шпионских программ и устройств, в том числе получение удалённого доступа и управления Windows. Так, троян удалённого доступа (Remote Access Trojan) для Windows x64/x86, который может:
- доставать всю информацию о хосте;
- управлять процессами;
- управлять файлами (просмотр, удаление, исполнения, изменения);
- исполнять команды (CMD operations);
- делать скриншоты;
- KEYLOGGER (запись каждой нажатой кнопки на клавиатуре);
- и многое другое.
«Авторы утверждают, что 95% антивирусных программ не смогут обнаружить данный троян, включая Kaspersky, Symantec и другие популярные решения. Троян умеет самостоятельно удаляться и стартовать. Китайская APT-группировка сидела в казахстанской инфраструктуре около двух лет и это только верхушка айсберга. Сколько ещё невыявленных хакеров и утечек наших данных, неизвестно никому. Все это результат бессистемных действий и приоритет ведомственного интереса над интересами государства. Структура государства, в которой комитет информационной безопасности подчинен министерству цифровизации, всегда будет уязвима. Казахстан нуждается в отдельном независимом органе вне правительства, ответственном за кибербезопасность – агентство по кибербезопасности», — считают казахстанские IT-шники.
Согласно информации, 16 февраля на ресурсе GitHub неизвестными был опубликован слив секретных данных китайской компании iSoon (ака Anxun) – одного из подрядчиков Министерства общественной безопасности Китая (MPS). Сообщается, что она связана с Chengdu 404 – структура контролируемая киберразведкой КНР известная как APT41.
«Утечка проливает свет на формы и методы китайской разведки. ПО, трояны для Windows, Mac, iOS и Android, сервисы для DDoS, системы деанонимизации пользователей соцсетей, оборудование для взлома Wi-Fi и многое другое. Много информации о методике проникновения и получения информации. Целью атакующих были как общая информация, такие как базы данных, так и точечная информация конкретных лиц: контроль переписки, звонков и передвижения. Анализ данных показал, что объём украденной информации измеряется терабайтами. Источник данных – критические объекты инфраструктуры Казахстана, Кыргызстана, Монголии, Пакистана, Малайзии, Непала, Турции, Индии, Египта, Франции, Камбоджи, Руанды, Нигерии, Гонконга, Индонезии, Вьетнама, Мьянмы, Филиппин и Афганистана», — уточнили в ЦАРКА.