Сотрудники TSARKA сделали анализ утечки, разобрав следующие вопросы:
- Какие казахстанские организации были скомпрометированы и какие данные могли утечь хакерской группировке?
- Внутренняя переписка группировки и кем больше всего интересовались в Казахстане?
- Технические подробности шпионских программ и устройств?
- Что нужно делать Казахстану после данного кейса?
Также опубликованы данные пользователей IDNET и IDTV c персональными данными абонентов, их логинами и паролями:
В утечке также упоминается ЕНПФ (Единый национальный пенсионный фонд РК) за 2019 год.
enpf.kz — 1.92gb — 2019.12 — Интрасеть полностью контролируется, и пользовательские данные могут быть проверены на наличие имени, идентификатора, адреса и номера телефона. Основные поля образца: имя, номер телефона, адрес и т. д.
Некоторые скрины включают в себя данные об авиаперевозчике Air Astana.
Также найдены файлы, содержащие переписку хакерской группировки между собой, в которой они обсуждают прослушиваемых абонентов и их информацию. Вот оригинал одной их них:
Технические подробности утечки
-
Получение удаленного доступа и управления Windows
-
Получение удаленного доступа и управления Mac
-
Получение удаленного доступа и управления iOS
-
Получение удаленного доступа и управления Android
-
Получение удаленного доступа и управления Linux
-
Имплантируемое устройство Wi-Fi
-
Система бесконтактной атаки на Wi-Fi
-
Система управления сетевым трафиком
Получение удаленного доступа и управления Windows:
Троян удаленного доступа (Remote Access Trojan) для Windows x64/x86, который может:
-
-
Управлять процессами
-
Управлять файлами (просмотр, удаление, исполнения, изменения)
-
Исполнять команды (CMD operations)
-
Делать скриншоты
-
KEYLOGGER (запись каждой нажатой кнопки на клавиатуре)
-
И многое другое
Получение удаленного доступа и управления Mac:
Для Mac тоже существует версия трояна для кейлоггинга, скрина записи, управления файлами, выполнение shell команд и т. д.
Диаграмма работы системы:
Авторы заявляют, что троян поддерживает все версии ОС Apple, имея функционал self-recovery.
Получение удаленного доступа и управления iOS устройствами:
Авторы утверждают и об iOS, причем со всеми версиями. Функционал включает в себя следующее:
-
Сбор IP адреса
-
Сбор GPS локации
-
Сбор всего контактного листа пользователя
-
Сбор мультимедиа
-
Запись экрана пользователя
Диаграмма работы системы:
Получение удаленного доступа и управления Android устройств:
Авторы утверждают, что существует версия и для Android (от Android 6.0 и выше).
Функционал:
-
Сбор всей информации о телефоне (device name, номер телефона, IMEI, CPU информация и др.)
-
Сбор всего контакт листа
-
Сбор всех звонков (с кем, длительность, анализ и т. д.)
-
Сбор всех файлов (музыка, видео, фото, документы и т. д.)
-
Мониторинг клавиатуры
-
Скриншоты
-
Wi-Fi информация (SSID, MAC адрес, уровень сигнала и т. д.)
-
Выгрузка сообщений из QQ, WeChat и MoMo (требуется root права)
-
Кейлог специально для QQ, WeChat, Momo и Telegram (требуется root права)
Получение удаленного доступа и управления Linux:
Существует версия для Linux. Она так же поддерживает CentOS 5/6/7 и Ubuntu 12/14.
Функционал трояна:
-
Запуск shell команд у пользователя
-
Управление файлами (просмотр, удаление, скачивание и др.)
-
Поддержка прокси сервера socks5 proxy
-
Поддержка TCP port multiplexing
Имплантируемое устройство Wi-Fi:
Авторы утверждают, что есть устройство, которое может работать с Android устройствами, подключенных к Wi-Fi.
Функционал:
-
Сбор информации об устройстве
-
Сбор GPS информации
-
Сбор сообщений
-
Сбор контактов, истории звонков
-
А также файл-менеджмент
Обычная версия работает с ARM процессором, а “мини” версия идет под MIPS.
Обычная версия выглядит как популярная беспроводная батарея Xiaomi:
Также в следующих главах автор перечисляет другие системы:
-
Системы DDOS атак
-
Система по пентесту (поддерживает Windows, Linux и др)
-
Устройство для отслеживания устройств, подключенных к Wi-Fi
-
Устройство для переключения между точками (наподобие Tor)
-
Сбор по китайским мессенджерам с обратным поиском номера телефона
-
И даже разработка собственной CTF платформы для обучения сотрудников.
В качестве заключения ЦАРКА пишет:
«Китайская APT-группировка сидела в казахстанской инфраструктуре около 2 лет и это только верхушка айсберга. Сколько еще невыявленных хакеров и утечек наших данных неизвестно никому.Все это результат бессистемных действий и приоритет ведомственного интереса над интересами государства.
Структура государства, в которой Комитет информационной безопасности подчинен Министерству цифровизации всегда будет уязвима.
Казахстан нуждается в отдельном независимом органе, ответственным за кибербезопасность — Агентство по кибербезопасности».
Госорганы уже отреагировали на инцидент
В Министерстве цифрового развития, инноваций и аэрокосмической промышленности Казахстана (МЦРИАП) заявили:
«В связи с распространяющейся информацией в сети Интернет по утечке персональных данных сообщаем, что на сегодняшний день министерством совместно с Комитетом национальной безопасности Республики Казахстан проводится анализ полученных материалов».
«Службы безопасности ЕНПФ провели детальный анализ данных, размещенных на сайте GitHub. В результате установлено, что в опубликованном каталоге приведено лишь описание сайта enpf.kz. При этом сайт является открытым источником информации и не содержит персональных данных вкладчиков и получателей».
«Утечку обнаружили на иностранных ресурсах. Это очередное следствие прямого игнорирования требований законов крупными, далеко не бедными компаниями. Мы ежедневно доверяем им чувствительную информацию с надеждой, что она будет в безопасности».
Однако, заметила Смышляева, новости об утечках личной информации казахстанцев можно встретить в лентах почти ежедневно.«Это вызывает справедливые нарекания граждан. Настораживает то, как меняется качество и степень конфиденциальности. Если раньше речь шла об адресах и телефонах, то сегодня по тем же схемам утекают медицинские данные, банковская информация, то есть сведения, являющиеся тайнами», – заявила депутат.
При этом, по её словам, даже принятые поправки в законе не всегда реализуются на практике. Так, 13 февраля вступил в силу законодательный запрет на сбор бумажных копий удостоверений.«Пересмотрены ли правила и регламенты работы организаций, например, вокзалов или гостиниц? Нет, бумажные копии по прежнему собираются повсеместно», – заявила Екатерина Смышляева.
Затронув в своём обращении ещё один недавний скандал — утечку чувствительных данных студенток КазНУ, депутат задалась вопросом сбора избыточной информации граждан:«Когда в последний раз уполномоченный орган в сфере медицины оценивал и пересматривал перечень медицинской информации, который подлежит сбору и хранению? Получая аккредитацию, регистрируясь на сайтах, оформляя дисконтные карты, граждане заполняют формы на несколько листов по принципу «всегда так было». Такое игнорирование требований безопасности сходит с рук, поскольку информированность граждан о своих цифровых правах всё ещё остаётся низкой».
В этой связи она предложила либо увеличить штатную численность уполномоченного органа по вопросам защиты персональных данных, либо рассмотреть перераспределение функций, возможно, с передачей их в конкурентную среду, то есть аккредитованным организациям в сфере информационной безопасности.Она также указала на необходимость усилить администрирование требований, принятых в части оборота персональных данных и истребования информации, и обеспечить информирование граждан о правилах обращения с данными через государственную информационную политику.
АО «ГТС» дало комментарий о компрометации инфраструктуры операторов связи Казахстана.
В 2022 году АО «ГТС» во взаимодействии с КНБ выявили деятельность иностранной хакерской группировки в инфраструктуре операторов сотовой связи, говорится в сообщении ведомства. Проверка показала, что злоумышленники получили неправомерный доступ к базам данных еще в 2021 году.
«Причиной проникновения явилось грубое нарушение мер по обеспечению информационной безопасности со стороны самих операторов связи. Принятыми мерами угрозы и риски нейтрализованы», – заверяют в ГТС.
Организаторы и члены хакерской группировки находятся в международном розыске по инициативе сразу нескольких стран.
По фактам доступа к инфраструктуре ЕНПФ и компании «Air Astana» уполномоченным органом в сфере информационной безопасности РК (МЦРИАП) проводится проверка.
Председатель Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности РК Руслан Абдикаликов на основании анализа предоставленных ЦАРКА материалов заявил, что:
Казахстанцы должны быть готовы к тому, что их персональные данные либо уже скомпрометированы, либо могут попасть в руки хакеров. Об этом на брифинге по вопросам информационной безопасности в МЦРИАП РК заявил президент ОЮЛ «ЦАРКА» (Центр анализа и расследования кибератак) Олжас Сатиев.
Комментируя информацию о недавней утечке персональных данных казахстанцев, эксперт отметил, что обострение проблем с информационной безопасностью в Казахстане — обратная сторона быстрой цифровизации страны. Внедрение электронных сервисов, по скорости которого Казахстан зачастую опережает консервативную Европу, идёт быстрее, чем граждане страны осваивают основы защиты персональных данных.
«Цифровизация — палка о двух концах. Либо это удобно, либо это защищено, но ограничивает тебя в каких-то действиях. К сожалению, у нас в Казахстане есть такой уклон — мы такая страна-стартап: стремимся вырваться вперёд и всё быстро-быстро делаем, быстро запускаем», – сказал Олжас Сатиев.