Chińscy "państwowi" hakerzy szpiegowali w Azji Południowo-Wschodniej

25 września 2015, 12:05

W dobie wizyty prezydenta Xi Jinpinga w Stanach Zjednoczonych nie milkną echa raportu firmy ThreatConnect dotyczącego aktywności jednej z grup hakerskich APT „Naikon”. Zgodnie z nim działania prowadzone przez grupę hakerską w Azji Południowo-Wschodniej mogły być wspierane przez chińskie siły zbrojne. Hakerów miały w głównej mierze interesować dane dotyczące relacji z państwami, z którymi Chiny mają spory w obrębie Morza Południowochińskiego. 

Po raz kolejny w stronę władz Chińskiej Republiki Ludowej padają oskarżenia dotyczące aprobowania aktywności grup hakerskich, atakujących infrastrukturę teleinformatyczną obcych państw, firm czy też think tanków. Tym razem firma ThreatConnect, zajmująca się sferą cyberbezpieczeństwa, miała ustalić, że znana grupa hakerów APT (Advanced Persistent Threat) „Naikon” działała z wykorzystaniem infrastruktury Jednostki 78020. Jest to struktura należąca do chińskiej Armii Ludowo-Wyzwoleńczej, a jej siedziba jest zlokalizowana w Kunming. Zgodnie ze stanowiskiem ThreatConnect, o prawdziwości obecnych oskarżeń świadczyć ma m.in. specjalistyczna analiza narzędzi stosowanych w ramach ataków APT „Naikon”.

Dokonano bowiem pewnych spostrzeżeń dotyczących metody programowania używanej przez jednego z funkcjonariuszy Jednostki 78020, pokrywającej się z analizowaną, nielegalną aktywnością APT „Naikon”. Raport firmy ThreatConnect skupił się w znacznej mierze na wykorzystywanym przez APT „Naikon” oprogramowaniu malware. Służyło ono do działań wywiadowczych. Wykryto w nim odniesienia do domeny "greensky27.vicp[.]net", która - jak się później okazało - była połączona z licznymi kontami, zakładanymi w ramach mediów społecznościowych. Co najważniejsze, użytkownikiem wspomnianej domeny miał być obywatel ChRL, Ge Xing. Miał on przebywać we wspomnianym Kunming, skąd wyprowadzane były ataki hakerskie APT „Naikon”. Ge Xing alias "GreenSky27", to osoba związana z chińskimi siłami zbrojnymi, a dokładniej ze wskazaną Jednostką 78020.

Ge Xing na co dzień specjalizował się w ocenie sytuacji politycznej w Azji Południowo-Wschodniej, ze szczególnym uwzględnieniem Tajlandii. Trzeba podkreślić, że dotychczasowa aktywność APT „Naikon” skupiała się właśnie na pozyskiwaniu tajnych informacji z systemów komputerowych rządów, służb wywiadowczych oraz innych instytucji analitycznych państw z tego regionu. Szczególną uwagę hakerzy skupiali na tych państwach, z którymi ChRL toczą spory terytorialne w obrębie strategicznie ważnego Morza Południowochińskiego. Na celowniku hakerów od pewnego czasu znajdowały się chociażby Tajlandia, Singapur, Filipiny, Malezja, Indonezja oraz Kambodża.

Władze chińskie, jak zwykle w takiej sytuacji, zaprzeczają jednak jakiemukolwiek wspieraniu instytucjonalnemu, logistycznemu itd. tego rodzaju aktywności hakerów. Prezydent Xi Jinping w wywiadzie udzielonym dla Wall Street Journal podkreślił, że kradzież tajemnic w sferze komercyjnej, jak i atakowanie sieci cybernetycznych państw obcych jest nielegalne. Xi Jinping stwierdził jednocześnie, że każde tego typu przestępstwo powinno być ukarane zgodnie z istniejącymi systemami prawa w danych państwach. Władzom w Pekinie jest jednak coraz trudniej dystansować się od kolejnych afer, takich jak obecna sprawa Ge Xinga, mającego należeć do APT „Naikon” i symultanicznie działającego w ramach Jednostki 78020 chińskiej Armii Ludowo-Wyzwoleńczej.

Sprawa ta przypomina aktywność innego hakera chińskiego, znanego jako Zhang Changhe. W roku 2013 jego działalność prześledził Bloomberg Businessweek. Zhang Changhe, tak samo jak obecnie Ge Xing, był bezpośrednio związany z oficjalnymi strukturami Armii Ludowo-Wyzwoleńczej - dokładniej miał pracować na państwowym, wojskowym uniwersytecie w centralnych Chinach, kształcącym kadry w zakresie wywiadu elektronicznego i działań polegających na infiltracji obcych sieci komputerowych.

We wspomnianym 2013 roku raport, podobny do obecnego sprawozdania ThreatConnect, dotyczący aktywności hakerów afiliowanych przy chińskich siłach zbrojnych wydała amerykańska firma Mandiant, zajmująca się działalnością w dziedzinie cyberbezpieczeństwa. Sugerowała w nim, że równie znana grupa hakerska „comment crew” mogła współdziałać z dowództwem Jednostki 61398 w Szanghaju. Ofiarą działalności tej grupy miało paść od 2006 r. 141 organizacji, z których skradziono terabajty danych. Wówczas, tak samo jak teraz, władze w Pekinie zdecydowanie odcięły się od oskarżeń o pomoc w operacjach grupy „comment crew”, a minister obrony stwierdził, że wojsko nie udzielało nigdy pomocy żadnym hakerom.

Niemniej, pomimo polityki ciągłego zaprzeczania strony chińskiej, doradca ds. bezpieczeństwa w administracji prezydenta Baracka Obamy Susan Rice ostrzegła niedawno władze w Pekinie, że muszą one wstrzymać działania wspieranych przez państwo grup hakerskich. Tego rodzaju aktywność Amerykanie traktują bowiem jako istotne zagrożenie dla bezpieczeństwa narodowego. Rice stwierdziła przy tym, że dalsze działania tego typu ze strony Pekinu mogą wpłynąć negatywnie na całokształt relacji pomiędzy oboma mocarstwami. Prezydent ChRL, niejako w odpowiedzi na tak stanowcze wystąpienie wysokiego przedstawiciela władz z Waszyngtonu, podkreślił we wspomnianym wcześniej wywiadzie prasowym, że Pekin jest gotowy do nawiązania ściślejszej współpracy w sferze cyberbezpieczeństwa.

Publikacja raportu dotyczącego działalności APT „Naikon” została, zapewne, również skorelowana z terminem zaplanowanej, oficjalnej wizyty Xi Jinpinga w Stanach Zjednoczonych. Co ważne, w tym samym czasie Amerykanie toczą z Chińczykami rozmowy dotyczące klasycznej sprawy z zakresu wywiadu agenturalnego. Sandy Phan-Gillis, amerykańska businesswoman, została już oficjalnie aresztowana pod zarzutem zaangażowania w nielegalną działalność wywiadowczą. Była ona przez ostatnie sześć miesięcy przetrzymywana w ukryciu przez Chińczyków, po tym jak zatrzymano ją w trakcie przemieszczania się z Makau do Chin kontynentalnych. Sandy Phan-Gillis brała udział w wizycie handlowców z Teksasu, którzy odwiedzić mieli m.in. Pekin. Eksperci przytaczają w jej kontekście wcześniejszy przypadek Feng Xue. Ten obywatel amerykański został zatrzymany w ChRL, oskarżony i skazany pod zarzutem szpiegostwa, a deportowano go dopiero po siedmiu latach.

KomentarzeLiczba komentarzy: 0
No results found.
Reklama
Tweets InfoSecurity24