En massiv samling av lekkede dokumenter fra en kinesisk hacking-kontraktør, understreker de globale truslene i cyberspace fra Kinas kommunistregime, sier eksperter.
Dokumentene, som ble lagt ut på
GitHub av ukjente personer den 16. februar, inkluderer manualer, markedsføringsmateriale, lister over ansatte, dokumentasjon av chatter, finansiell informasjon og detaljer rundt utenlandsk infiltrasjon.
The Associated Press
bekreftet i en rapport fra 21. februar at dokumentene stammet fra den Kina-baserte selgeren innen cyberspace, kalt I-Soon, kjent som Anxun på mandarin, etter å ha snakket med to av selskapets ansatte.
Basert på dokumentene skryter I-Soon av å ha en produktlinje som inkluderer offensive cyberverktøy og spionvaresystemer. Også inkludert i dokumentene er en liste over kontrakter selskapet underskrev fra
juli 2016 til
juni 2022, som viser at de fleste av deres klienter er Kinas regionale sikkerhetsbyråer. Avsløringen føyer seg til hva som er kjent fra selskapets
webside, som skryter av å ha KKP's "Ministry of Public Security" som en av sine partnere.
"I-Soon hendelsen burde nok en gang minne alle på at nettsikkerhet er nasjonal sikkerhet. Der er en krig uten krutt, og den skjer i cyberspace", fortalte den teknologiske eksperten Chiang Ya-chi til The Epoch Times 21. februar.
Chiang er president i "Taiwan Law and Technology Association" og professor med spesialisering innen internett teknologi og lov og rett i forhold til intellektuell eiendom ved National Taiwan Ocean University.
De lekkede dokumentene viser at I-Soon blir finansiert av Det kinesiske kommunistpartiet (KKP), sa Chiang og bemerket at Beijing bruker redskaper utviklet av lignende firmaer som I-Soon for å infiltrere myndigheter og andre virksomheter.
En
liste over ofre er
inkludert i de lekkede dokumentene og viser at I-Soon har angrepet telekommunikasjons selskaper, sykehus, universiteter, organisasjoner og myndighetsstyrte selskaper i mange land. Disse nasjonene inkluderer Frankrike, Egypt, India, Indonesia, Kazakhstan, Malaysia, Mongolia, Nepal, Syd Korea, Taiwan, Thailand, Filippinene og Vietnam.
Ett
dokument avslører at I-Soon tok mer penger for å hacke seg inn på Vietnams økonomidepartement enn for å hacke seg inn i to andre vietnamesiske regjeringsdepartementer.
Spionvare
Etter online dumpingen sist uke, har mange etterforskere og eksperter publisert sine analyser av dokumentene, skrevet på forenklet kinesisk.
Malwarebytes, et selskap i California som tilbyr cyberbeskyttelse i sanntid, offentliggjorde en analyse av de lekkede dataene den 21. februar og sa at dokumentene "gir et innblikk i operasjonene som foregår hos en leder innen salg av spionvare og APT-til-leie". APT er forkortelse for avansert vedvarende trussel.
Analysen belyser noen av I-Soons produkter som er avslørte i dokumentene, inkludert det som kalles "Twitter tyv".
"Funksjoner [til Tvitter-tyven] inkluderer å få tak i brukerens Twitter mailadresse og mobilnummer, overvåkning i sanntid, å lese personlige meldinger og publisere tweet'er på vegne av brukeren", kan man lese i analysen.
På en side i dokumentet, skryter I-Soon av at de har studert Twitters sikkerhetsmekanisme i årevis. Derfor påstår de at deres produkt kan forbigå sikkerhetsfunksjonene for å ramme brukerkontoer på Twitter.
De lekkede dokumentene
avslører også kostnaden til et "Twitter tyv"-produkt. Ett års forbruk av produktet koster 700.000 yuan (omtrent en million norske kroner), og tre års forbruk koster 1.5 million yuan (omtrent 2millioner norske kroner).
Analysen fra Malwarebytes viser følgende produktbeskrivelse: “Tilpassede trojanere med fjerntilgang (RATs) for Windows x64/x86: Funksjoner inkluderer prosess/service/register styring, eksternt skall, tastelogg, logg av filtilgang, innhente systeminformasjon, fjernstyrt frakobling og avinstallering".
Der er både iOS og Android versjoner av RATs. iOS modellen påstås å støtte alle iOS versjoner for alt utstyr uten å bryte brannmurer, med funksjoner som rangerer fra hardware informasjon til GPS data, kontakter, media filer og lydopptak i sanntid som en utvidelse, i følge analysen.
I-Soon har også mobile enheter for å "angripe nettverk fra innsiden", slår de fast.
I følge de
lekkede dokumentene kommer det bærbare utstyret i to ulike størrelser - en standard versjon som kan forkles som et mobilbatteri, en strømskinne eller en strømadapter, og en mini versjon som ser ut som et kretskort.
Brukerne kan anvende oppslagsdatabasene, noe som inkluderer brukernes mobilnumre, navn og mailadresser, og kan korreleres med kontoer på sosiale medier, i følge analysen til Malwarebytes.
KKP kan potensielt bruke oppslagsdatabasene til å spore og lokalisere dissidenter i Kina. I følge de
lekkede dokumentene, har databaser blitt bygget for ulike kinesiske plattformer, inkludert Weibo, Baidu og WeChat.
Trusler
Su Tzu-yun, direktør ved det Taiwan-baserte Institute for National Defense and Security Research, fortalte den 21. februar til The Epoch Times at I-Soon dokumentene er de siste bevisene som støtter påstander fra USA og NATO om at det kinesiske regimet er en trussel mot deres cybersikkerhet.
I sitt
strategiske konsept de kom til enighet om i 2022,
slo NATO fast at regimets "ondsinnede hybrid og cyberoperasjoner og deres konfronterende retorikk og desinformasjon angriper allierte og skader alliert sikkerhet".
Tidligere denne måneden sendte Cybersecurity and Infrastructure Security Agency ut en advarsel om at KKP
pre-posisjonerer skadevare i USAs systemer som forberedelse for en konflikt. Advarselen kom bare noen få dager etter at FBI Director Christopher Wray fortalte lovgiverne om at en operasjon fra flere agenturer hadde
avvæpnet “Volt Typhoon,” en større statlig sponset hackinggruppe basert i Kina, som begynte å angripe mange ulike nettverk i alle
USAs kritiske infrastruktur i 2021.
I fjor
advarte Wray om at kinesiske hackere
overstiger USAs cyberspesialister med minst 50 til en.
Noen etterforskere har
foreslått at I-Soon kan
ha bånd til APT41, en kinesisk statlig hacking gruppe, basert på deres analyser av de lekkede dokumentene.
I 2020 ble fem kinesiske borgere fra APT41
tiltalt for siktelser relaterte til hackingkampanjer for å stjele forretningshemmeligheter og sensitiv informasjon fra mer enn 100 selskaper og enheter over hele verden. De fem individene er på
FBIs ettersøktliste.
Cybersikkerhets firmaet Mandiant fastslo i en rapport fra 2022 at APT41 hadde
utnyttet sårbarheter i online systemer til minst seks statlige myndigheter i USA, for å få tilgang til deres nettverk.
"Lekkasjen gir oss noen av de mest konkrete detaljene vi har sett offentlig til dags dato, og avslører den forfalne naturen til økosystemet i Kinas spionasje", sa det California baserte cyber sikkerhets selskapet SentinelLabs i deres
analyse av I-Soon’s lekkede data publisert den 21. februar.
"Den viser eksplisitt hvordan myndighetenes målrettingskrav driver en konkurransedyktig markedsplass av uavhengige kontraktør hackere til leie."
Chung Yuan bidro til denne rapporten.
