Скопировано

Инцидент с китайскими хакерами обнажил системные проблемы в кибербезопасности Республики Казахстан

22.02.2024
Дата публикации
Пожалуй, это один из самых масштабных инцидентов, связанный с государственным кибершпионажем не только в отношении нашей страны, но также сразу нескольких стран Центральной и Юго-восточной Азии, Евросоюза и Африки.

16 февраля 2024 года на ресурсе GitHub неизвестными был опубликован слив секретных данных китайской компании iSoon (ака Anxun) — одного из подрядчиков Министерства общественной безопасности Китая (MPS). Сообщается, что она связана с Chengdu 404 — структура контролируемая киберразведкой КНР известная как APT41.

Утечка проливает свет на формы и методы китайской разведки. ПО, трояны для Windows, Mac, iOS и Android, сервисы для DDoS, системы деанонимизации пользователей соцсетей, оборудование для взлома Wi-Fi и многое другое. Много информации о методике проникновения и получения информации.

Целью атакующих были как общая информация, такие как базы данных, так и точечная информация конкретных лиц: контроль переписки, звонков и передвижения. Анализ данных показал, что объем украденной информации измеряется терабайтами.  Источник данных — критические объекты инфраструктуры Казахстана, Кыргызстана, Монголии, Пакистана, Малайзии, Непала, Турции, Индии, Египта, Франции, Камбоджи, Руанды, Нигерии, Гонконга, Индонезии, Вьетнама, Мьянмы, Филиппин и Афганистана.

Сотрудники TSARKA сделали анализ утечки, разобрав следующие вопросы:

- Какие казахстанские организации были скомпрометированы и какие данные могли утечь хакерской группировке?

- Внутренняя переписка группировки и кем больше всего интересовались в Казахстане?

- Технические подробности шпионских программ и устройств?

- Что нужно делать Казахстану после данного кейса?

Доступные материалы утечки свидетельствуют о том, что как минимум одна хакерская группировка более двух лет имела полный доступ к критической инфраструктуре казахстанских операторов связи.
В дампе можно обнаружить сведения о следующих компаниях:

telecom.kz — 2021.05 — Этот оператор является оператором фиксированной связи, а также предоставляет такие услуги, как виртуальный хостинг и видеонаблюдение. Основные поля образца: имя, адрес электронной почты, почтовый адрес, номер мобильного телефона, регистрационные данные и т. д.

beeline.kz — 2019-2020 — Интрасеть находится под контролем, и данные списка вызовов могут быть проверены. Поскольку существует слишком много оборудования для мониторинга интрасети, невозможно запросить большой объем данных. Данные о местоположении все еще находятся в процессе поиска.

kcell.kz — 2019-2021 — Полный контроль над интрасетью, файловым сервером, антивирусным сервером и т. д. может обеспечить запрос списков вызовов в режиме реального времени и запрос информации о пользователях

tele2.kz — 2019-2020 — Полный контроль над интрасетью, файловым сервером, антивирусным сервером и т. д. обеспечивает запрос списков вызовов в режиме реального времени, позиционирование и запрос информации о пользователе.

Хакеры контролировали журналы событий операторов, продолжительность звонков, IMEI устройств и биллинг звонков.


В утечке имеются файлы с информацией об абонентах операторов связи:

Также опубликованы данные пользователей IDNET и IDTV c персональными данными абонентов, их логинами и паролями:



Присутствуют там и данные из внутренних систем мобильных операторов:



Подробные логи отдельных абонентов с детализацией всех звонков и активностей:



В утечке также упоминается ЕНПФ (Единый национальный пенсионный фонд РК) за 2019 год.

enpf.kz — 1.92gb — 2019.12 — Интрасеть полностью контролируется, и пользовательские данные могут быть проверены на наличие имени, идентификатора, адреса и номера телефона. Основные поля образца: имя, номер телефона, адрес и т. д.

В одном из скриншотоов фигурирует предположительно информация по почтовому серверу Министерства обороны РК.

Некоторые скрины включают в себя данные об авиаперевозчике Air Astana.

Также найдены файлы, содержащие переписку хакерской группировки между собой, в которой они обсуждают прослушиваемых абонентов и их информацию. Вот оригинал одной их них:




«Мы проверили кто является жертвами данной хакерской группировки и кем они больше всего интересовались. Результаты проверки номеров через различные утечки и GetContact выявили, что целенаправленные атаки совершались, в том числе и на сотрудников силовых структур», – отмечает ЦАРКА.


Технические подробности утечки

Среди материалов имеется документация и описание самих шпионских программ для мониторинга и сбора информации в реальном режиме времени с возможностью получения полного доступа к устройствам:

  • Получение удаленного доступа и управления Windows

  • Получение удаленного доступа и управления Mac

  • Получение удаленного доступа и управления iOS

  • Получение удаленного доступа и управления Android

  • Получение удаленного доступа и управления Linux

  • Имплантируемое устройство Wi-Fi

  • Система бесконтактной атаки на Wi-Fi

  • Система управления сетевым трафиком


Для понимания масштабов приводится описание данных шпионских программ и устройств:

Получение удаленного доступа и управления Windows:

Троян удаленного доступа (Remote Access Trojan) для Windows x64/x86, который может:

  • Доставать всю информацию о хосте
  • Управлять процессами

  • Управлять файлами (просмотр, удаление, исполнения, изменения)

  • Исполнять команды (CMD operations)

  • Делать скриншоты

  • KEYLOGGER (запись каждой нажатой кнопки на клавиатуре)

  • И многое другое

Авторы утверждают, что 95% антивирусных программ не смогут обнаружить данный троян, включая Kaspersky, Symantec и другие популярные решения. Троян умеет самостоятельно удаляться и стартовать.

Получение удаленного доступа и управления Mac:

Для Mac тоже существует версия трояна для кейлоггинга, скрина записи, управления файлами, выполнение shell команд и т. д.

Диаграмма работы системы:



Авторы заявляют, что троян поддерживает все версии ОС Apple, имея функционал self-recovery.


Получение удаленного доступа и управления iOS устройствами:

Авторы утверждают и об iOS, причем со всеми версиями. Функционал включает в себя следующее:

  1. Сбор IP адреса

  2. Сбор GPS локации

  3. Сбор всего контактного листа пользователя

  4. Сбор мультимедиа

  5. Запись экрана пользователя

Диаграмма работы системы:



Получение удаленного доступа и управления Android устройств:

Авторы утверждают, что существует версия и для Android (от Android 6.0 и выше).


Функционал:

  1. Сбор всей информации о телефоне (device name, номер телефона, IMEI, CPU информация и др.)

  2. Сбор всего контакт листа

  3. Сбор всех звонков (с кем, длительность, анализ и т. д.)

  4. Сбор всех файлов (музыка, видео, фото, документы и т. д.)

  5. Мониторинг клавиатуры

  6. Скриншоты

  7. Wi-Fi информация (SSID, MAC адрес, уровень сигнала и т. д.)

  8. Выгрузка сообщений из QQ, WeChat и MoMo (требуется root права)

  9. Кейлог специально для QQ, WeChat, Momo и Telegram (требуется root права)

Получение удаленного доступа и управления Linux:

Существует версия для Linux. Она так же поддерживает CentOS 5/6/7 и Ubuntu 12/14.

Функционал трояна:

  1. Запуск shell команд у пользователя

  2. Управление файлами (просмотр, удаление, скачивание и др.)

  3. Поддержка прокси сервера socks5 proxy

  4. Поддержка TCP port multiplexing

Имплантируемое устройство Wi-Fi:

Авторы утверждают, что есть устройство, которое может работать с Android устройствами, подключенных к Wi-Fi.

Функционал:

  1. Сбор информации об устройстве

  2. Сбор GPS информации

  3. Сбор сообщений

  4. Сбор контактов, истории звонков

  5. А также файл-менеджмент

Система бесконтактной атаки Wi-Fi:





Устройство “мини” может имитировать себя под удлинитель, адаптер питания и др. Может быть настроена для подключения к целевому Wi-Fi и создания туннеля SOCKS с внутренней сетью.

Обычная версия работает с ARM процессором, а “мини” версия идет под MIPS.

Обычная версия выглядит как популярная беспроводная батарея Xiaomi:


А вот “мини” версия выглядит совсем иначе, это обычная плата, которая может быть внутри чего угодно:


Также в следующих главах автор перечисляет другие системы:

  1. Системы DDOS атак

  2. Система по пентесту (поддерживает Windows, Linux и др)

  3. Устройство для отслеживания устройств, подключенных к Wi-Fi

  4. Устройство для переключения между точками (наподобие Tor)

  5. Сбор по китайским мессенджерам с обратным поиском номера телефона

  6. И даже разработка собственной CTF платформы для обучения сотрудников.



В качестве заключения ЦАРКА пишет:

«Китайская APT-группировка сидела в казахстанской инфраструктуре около 2 лет и это только верхушка айсберга. Сколько еще невыявленных хакеров и утечек наших данных неизвестно никому.

Все это результат бессистемных действий и приоритет ведомственного интереса над интересами государства.

Структура государства, в которой Комитет информационной безопасности подчинен Министерству цифровизации всегда будет уязвима.

Казахстан нуждается в отдельном независимом органе, ответственным за кибербезопасность — Агентство по кибербезопасности».


Госорганы уже отреагировали на инцидент


В Министерстве цифрового развития, инноваций и аэрокосмической промышленности Казахстана (МЦРИАП) заявили:

«В связи с распространяющейся информацией в сети Интернет по утечке персональных данных сообщаем, что на сегодняшний день министерством совместно с Комитетом национальной безопасности Республики Казахстан проводится анализ полученных материалов».


ЕНПФ, в свою очередь, уже утверждает, что информация об утечке данных не соответствует действительности:

«Службы безопасности ЕНПФ провели детальный анализ данных, размещенных на сайте GitHub. В результате установлено, что в опубликованном каталоге приведено лишь описание сайта enpf.kz. При этом сайт является открытым источником информации и не содержит персональных данных вкладчиков и получателей».


Депутат Мажилиса парламента РК Екатерина Смышляева на пленарном заседании 21 февраля прокомментировала все недавние скандалы с утечкой персональных данных казахстанцев в Сеть. В своём запросе на имя первого заместителя премьер-министра Романа Скляра она озвучила суть инцидента:

«Утечку обнаружили на иностранных ресурсах. Это очередное следствие прямого игнорирования требований законов крупными, далеко не бедными компаниями. Мы ежедневно доверяем им чувствительную информацию с надеждой, что она будет в безопасности».

Однако, заметила Смышляева, новости об утечках личной информации казахстанцев можно встретить в лентах почти ежедневно.

«Это вызывает справедливые нарекания граждан. Настораживает то, как меняется качество и степень конфиденциальности. Если раньше речь шла об адресах и телефонах, то сегодня по тем же схемам утекают медицинские данные, банковская информация, то есть сведения, являющиеся тайнами», – заявила депутат.

При этом, по её словам, даже принятые поправки в законе не всегда реализуются на практике. Так, 13 февраля вступил в силу законодательный запрет на сбор бумажных копий удостоверений.

«Пересмотрены ли правила и регламенты работы организаций, например, вокзалов или гостиниц? Нет, бумажные копии по прежнему собираются повсеместно», – заявила Екатерина Смышляева.

Затронув в своём обращении ещё один недавний скандал — утечку чувствительных данных студенток КазНУ, депутат задалась вопросом сбора избыточной информации граждан:

«Когда в последний раз уполномоченный орган в сфере медицины оценивал и пересматривал перечень медицинской информации, который подлежит сбору и хранению? Получая аккредитацию, регистрируясь на сайтах, оформляя дисконтные карты, граждане заполняют формы на несколько листов по принципу «всегда так было». Такое игнорирование требований безопасности сходит с рук, поскольку информированность граждан о своих цифровых правах всё ещё остаётся низкой».

В этой связи она предложила либо увеличить штатную численность уполномоченного органа по вопросам защиты персональных данных, либо рассмотреть перераспределение функций, возможно, с передачей их в конкурентную среду, то есть аккредитованным организациям в сфере информационной безопасности.

Она также указала на необходимость усилить администрирование требований, принятых в части оборота персональных данных и истребования информации, и обеспечить информирование граждан о правилах обращения с данными через государственную информационную политику.


АО «ГТС» дало комментарий о компрометации инфраструктуры операторов связи Казахстана.

В 2022 году АО «ГТС» во взаимодействии с КНБ выявили деятельность иностранной хакерской группировки в инфраструктуре операторов сотовой связи, говорится в сообщении ведомства. Проверка показала, что злоумышленники получили неправомерный доступ к базам данных еще в 2021 году.

«Причиной проникновения явилось грубое нарушение мер по обеспечению информационной безопасности со стороны самих операторов связи. Принятыми мерами угрозы и риски нейтрализованы», – заверяют в ГТС.

Организаторы и члены хакерской группировки находятся в международном розыске по инициативе сразу нескольких стран.

По фактам доступа к инфраструктуре ЕНПФ и компании «Air Astana» уполномоченным органом в сфере информационной безопасности РК (МЦРИАП) проводится проверка.


Председатель Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности РК Руслан Абдикаликов на основании анализа предоставленных ЦАРКА материалов заявил, что:

«Мы не можем обвинять какую-либо страну или какую-либо спецслужбу в том, что она нарушала наше законодательство. То есть прямых доказательств нет, поэтому мы хотим сказать, что Китай – стратегический партнёр нашей страны. Соответственно, в нашем понимании ситуация выглядит достаточно просто: есть хакерская группировка, которая несомненно работала на какую-то спецслужбу иностранного государства».

По его словам, факт того, что хакерская группировка работает по критической инфраструктуре РК, не было новостью для Комитета. Еще в 2022 году оперативный центр информационной безопасности обнаружил первые следы незаконного присутствия хакерской группировки у оператора Kcell. Далее эта информация была передана в Национальный координационный центр информационной безопасности. По итогам проверки в инфраструктуре других операторов сотовой связи были обнаружены такие же следы присутствия.

«Около года было потрачено на то, чтобы этот доступ прекратить. И если вы видите по утечке, самая свежая информация — как раз 2022 год. В 2019, 2020, 2021 годы они имели еще какой-то доступ или делали попытки по получению доступа к этой инфраструктуре, а в 2022 году нам удалось полностью их от доступа отлучить», – пояснил глава комитета по инфобезопасности МЦРИАП. Он отметил, что это явно разведывательная акция какой-то спецслужбы с применением хакерских методов. И арсенал, который использовался хакерской группировкой, поражает. Но напрямую обвинить кого-то очень сложно.

Казахстанцы должны быть готовы к тому, что их персональные данные либо уже скомпрометированы, либо могут попасть в руки хакеров. Об этом на брифинге по вопросам информационной безопасности в МЦРИАП РК заявил президент ОЮЛ «ЦАРКА» (Центр анализа и расследования кибератак) Олжас Сатиев.

Комментируя информацию о недавней утечке персональных данных казахстанцев, эксперт отметил, что обострение проблем с информационной безопасностью в Казахстане — обратная сторона быстрой цифровизации страны. Внедрение электронных сервисов, по скорости которого Казахстан зачастую опережает консервативную Европу, идёт быстрее, чем граждане страны осваивают основы защиты персональных данных.

«Цифровизация — палка о двух концах. Либо это удобно, либо это защищено, но ограничивает тебя в каких-то действиях. К сожалению, у нас в Казахстане есть такой уклон — мы такая страна-стартап: стремимся вырваться вперёд и всё быстро-быстро делаем, быстро запускаем», – сказал Олжас Сатиев.