Peking si na špinavou práci v zájmu „stability“ najímá soukromé hackery
V polovině února bylo na platformě GitHub zveřejněno na 190 megabytů dokumentů čínské kybernetické firmy I-SOON poskytující hackerské a kyberšpionážní služby čínským institucím. Únik materiálů, jež z GitHubu po nějaké době zase zmizely experti označují za „vůbec první vhled do interních operací hackerské firmy navázané na čínský stát“.
Z dokumentů vyplývá, že společnost I-SOON nabízí své služby klíčovým čínským orgánům z oblasti bezpečnosti a obrany, včetně ministerstev veřejné a státní bezpečnosti a Čínské lidové osvobozenecké armády. Těmito zakázkami se před bezprecedentním únikem firma chlubila i na vlastním webu, který byl krátce poté zablokován.
Na veřejnost se dostaly návrhy smluv, marketingové materiály představující produkty, tedy spyware, které I-SOON vyvíjí, nabídky konkrétních služeb podložené dříve realizovanými operacemi či screenshoty WeChatových konverzací mezi zaměstnanci firmy a klienty.
Najmi si své hackery
Zatím není jasné, kdo za únikem stál, zaměstnanci společnosti I-SOON však pro AP News anonymně potvrdili, že materiály jsou pravé, a čínské orgány již vyšetřují okolnosti kauzy.
Autorkou textu je Kamila Hladíková. Text vznikl v rámci projektu Sinopsis, se kterým HlídacíPes.org spolupracuje.
Přestože není vyloučeno zapojení zejména amerických tajných služeb, analytici kyberbezpečnostní platformy SentinelOn Dakota Cary a Alexandar Milenkoski, mají za to, že únik byl pravděpodobně motivován snahou konkurence poškodit firmu I-SOON.
Odhaluje totiž mimo jiné až směšně nízké ceny za hackerské operace (například za útok na vietnamské ministerstvo hospodářství firma inkasovala 55 tisíc dolarů) a stížnosti zaměstnanců na nízké platy. Zveřejněné materiály také ukazují, že na trhu s poskytováním hackerských služeb státu panuje slušná konkurence.
Únik ukazuje vzkvétající trh nabízející tyto služby státnímu sektoru v ČLR. Nálezy jsou přitom v souladu s dřívějšími zjištěními a odpovídají některým v minulosti zaznamenaným útokům.
Mezi cíli dříve realizovaných operací jsou podle materiálů státní instituce celkem čtrnácti států, převážně ze střední, jižní a jihovýchodní Asie, ale například také prodemokratické organizace v Hongkongu. Několikrát je zmiňováno i NATO.
V zemích Severoatlantické aliance se ale útoky zaměřovaly hlavně na think tanky a nevládní organizace. Podle Sentinelu seznamy cílů a těch, kdo si získání jejich dat objednali, ukazují I-SOON jako „firmu soutěžící o menší hackerské zakázky u celé řady vládních orgánů a institucí“.
Jedna z nabídek se například týká zakázek v Sin-ťiangu, kde jsou místní Ujguři a další muslimské menšiny dlouhodobě předmětem státem řízené sekuritizace a dohledu, včetně sledování soukromých online aktivit. Firma uváděla své předchozí zkušenosti s „protiteroristickými operacemi“, včetně hackerských útoků na cíle v Afghánistánu a Pákistánu.
Součástí dokumentů jsou také screenshoty představující hardware a software, který firma nabízí, včetně zařízení k extrakci dat maskujících se za powerbanky či baterie nebo získávajících přístup do zařízení přes wifi připojení.
Společnost dodává také spyware určený prakticky pro všechny typy zařízení i operační systémy či nástroje pro získávání uživatelských dat z mnoha čínských aplikací jako Weibo, WeChat nebo Baidu, ale také z těch zahraničních, jmenovitě z X a Telegramu.
Podle odborníků nejsou tyto nástroje v ničem nové či revoluční. Únik nicméně ukazuje vzkvétající trh nabízející tyto služby státnímu sektoru v ČLR. Nálezy jsou přitom v souladu s dřívějšími zjištěními a odpovídají některým v minulosti zaznamenaným útokům.
Ekosystém kybernetické bezpečnosti
Materiály poskytují jak cenné informace o čínských hrozbách pro odborníky na kybernetickou bezpečnost a odhalování hrozeb, tak i nové poznatky ohledně fungování čínských operací v oblasti veřejné a státní bezpečnosti a obrany.
Přinášejí důkazy o narůstající všudypřítomné státní kontrole cílící na disidenty a aktivisty doma i v zahraničí, etnické menšiny v Sin-ťiangu a Tibetu či činnost aktivistů v Hongkongu či na Tchaj-wanu.
IT firmy pomáhají státu zajistit dohled nad obyvateli a přístup k jejich datům, s důrazem na „rizikové“ obyvatelstvo, jako jsou etnické menšiny, aktivisté či disidenti aktivní online.
Vypovídají také o čínskými orgány objednaných hackerských útocích na instituce jiných států nebo o šíření pročínských narativů na sociálních sítích. Společnost se jmenovitě chlubí přístupy k databázím mnoha zahraničních institucí, jako například malajská ministerstva zahraničí a vnitra, thajská ministerstva financí a obchodu, mongolské ministerstvo zahraničí a policie, letecké společnosti Macau Airways či Air Astana atd.
Na svých stránkách společnost před jejich odstavením inzerovala schopnost zajistit takzvané útoky APT (advanced persistent threats; pokročilé trvalé hrozby) a obranu před nimi. Tyto útoky provádějí sofistikované hackerské sítě, často právě ve službách konkrétních států, které si mohou dovolit vysoké finanční i lidské náklady.
Specialista na malware Mathieu Tartare pro AP News potvrdil, že společnost I-SOON je pravděpodobně napojená na čínskou státní hackerskou síť označovanou jako Fishmonger, která je zodpovědná např. za hackerské útoky na hongkongské univerzity v době studentských protestů.
Slovenská kyberbezpečnostní firma ESET tuto síť, známou také jako Winnti, již několik let monitoruje a odhalila dílčí útoky na vládní úřady v zahraničí, nevládní organizace i think tanky v Asii, Evropě i na americkém kontinentu.
Únik dokumentů tak pomáhá poskytnout ucelenější obrázek o spolupráci mezi soukromým IT sektorem a bezpečnostními složkami. To potvrzují i analytici z firmy TeamT5 sídlící na Tchaj-wanu, kteří již dříve označovali soukromý sektor za „klíčový pro čínské útoky APT v celosvětovém měřítku“.
Mezi dokumenty jsou podle nich i doklady o tom, že se I-SOON podílel na vývoji nechvalně známého malwaru RAT (Remote Access Trojan) ShadowPad, tedy toho, který byl použit mimo jiné právě v útoku na hongkongské univerzity.
Zmiňují také, že mezi produkty I-SOONu jsou i nástroje na nabourávání se do systémů nelegálního online hazardu, proti němuž čínské orgány intenzivně bojují. Toto vše dokazuje úzké vazby mezi hackerskými firmami jako I-SOON a zájmy a cíli čínské vlády.
IT firmy pomáhají státu zajistit dohled nad obyvateli a přístup k jejich datům, s důrazem na „rizikové“ obyvatelstvo, jako jsou etnické menšiny, aktivisté či disidenti aktivní online. Směrem ven pak jde hlavně o šíření pročínských narativů na sociálních sítích a prosazování čínských zájmů.
Podle reportáže deníku New York Times materiály inzerovaly přístup k informacím, které mohou sloužit pro potřeby čínské policie i armády, včetně softwaru schopného monitorovat dění na čínských sociálních sítích či osobní údaje i aktivity uživatelů na sítích X a Telegram, podrobných map pozemních komunikací na Tchaj-wanu nebo uživatelských metadat telekomunikačních společností. I-SOON se přitom jeví jen jako jedna z mnoha takových firem nabízejících služby čínskému státu.
Tvrdá konkurence – motor pokroku
Únik však zároveň odhaluje slabiny tohoto ekosystému: záznamy interních konverzací ukazují vysokou míru nespokojenosti přetěžovaných a nedostatečně placených zaměstnanců, která mohla stát za zveřejněním citlivých dokumentů.
Jak pro noviny Guardian uvedla Mei Danowski specializující se na kybernetickou bezpečnost ve vztahu k Číně, firmy musí samy vyhledávat byznysové příležitosti a nabízet své služby státu ve vysoce kompetitivním prostředí.
Únik odhalil jasné vazby mezi touto firmou a čínským státem a mnohé detaily o fungování ekosystému, v němž soukromé firmy soutěží o přízeň ústředních i lokálních vládních bezpečnostních institucí.
Danowski se shodou okolností na firmu I-SOON a její úsilí o získání státních zakázek od ministerstva veřejné bezpečnosti a provinčních oddělení veřejné bezpečnosti zaměřila již v říjnu loňského roku, kdy se v čínském Čcheng-tu dostal k soudu spor mezi již známou hackerskou společností ve službách čínského státu Chengdu 404 a I-SOONem.
Výkonným ředitelem společnosti I-SOON je Wu Chaj-po alias shutdown, známý hacker „první generace“, nazývané „rudí hackeři“ nebo také „zelená armáda“.
Tato generace, která začala svou činnost již v roce 1997, bývá označována jako „vlastenečtí hackeři“. V roce 2019 I-SOON obdržel certifikaci na dodávání technologií a vybavení pro Kancelář kybernetické bezpečnosti a obrany čínského ministerstva veřejné bezpečnosti.
O rok později firma získala od ministerstva průmyslu a informačních technologií bezpečnostní prověrku druhého stupně, která ji opravňovala k „výzkumu a výrobě zbraní a zařízení pro státní bezpečnost“.
Na základě toho poté získala zakázku v prefektuře Aksu v Ujgurské autonomní oblasti Sin-ťiang, pro niž pravděpodobně vyvíjela malware do mobilů k získávání přístupu k aplikacím a datům uživatelů.
Týmy analyzující kybernetické hrozby již dříve identifikovaly skupinu označovanou jako Earth Lusca operující z provincie S‘-čchuan, kde je jedna z klíčových poboček I-SOONu.
Mezi cíli útoků této skupiny byly čínské společnosti provozující online hazard, vládní instituce na Tchaj-wanu, Filipínách, v Thajsku, Vietnamu, Spojených arabských emirátech, Mongolsku či v Nigérii, řada vzdělávacích institucí, médií, lidskoprávních organizací, ale také organizace zabývající se výzkumem covidu-19, nepálské telekomunikační společnosti, v ČLR zakázaná náboženská hnutí nebo platformy pro obchodování s kryptoměnami.
Tyto cíle do značné míry korespondují s materiály I-SOONu. Přímé linky mezi I-SOONem a konkrétními čínskými hackerskými skupinami jsou zatím sporadické, únik nicméně odhalil jasné vazby mezi touto firmou a čínským státem a mnohé detaily o fungování ekosystému, v němž soukromé firmy soutěží o přízeň ústředních i lokálních vládních bezpečnostních institucí.
Arthur Kaufman pro China Digital Times shrnuje, že „uniklé dokumenty I-SOONu ukazují především na nestabilitu čínského ekosystému kybernetické špionáže“. Společnost měla zjevně finanční potíže kvůli nedostatku zakázek, což může naznačovat ekonomické problémy a korupci v tomto sektoru.
To však neznamená, že by kybernetické útoky z Číny v budoucnu ustávaly, spíše naopak: nastavení tohoto ekosystému nutí firmy aktivně hledat příležitosti.
Pop-up mobil Mobile (207451)
SMR mobil článek Mobile (207411)
SMR mobil článek 2 Mobile (207416)
SMR mobil článek 2 Mobile (207416-2)
SMR mobil článek 2 Mobile (207416-3)
SMR mobil pouze text Mobile (207431)
Líbil se vám tento text? Pokud nás podpoříte, bude budoucnost HlídacíPes.org daleko jistější.
Přispět 50 KčPřispět 100 KčPřispět 200 KčPřispět 500 KčPřispět 1000 KčPlatbu on-line zabezpečuje Darujme.cz
Recommended (5901)
Čtěte též
BIS a NÚKIB opět důrazně varují před Čínou. Obchod používá jako zbraň
Čína tlačí na zvýšení porodnosti. Začne komplikovat rozvody
Skyscraper 2 Desktop (211796-4)