#ZaufanaTrzeciaStrona - Kiedy ostatnio sprawdzaliście pliki w koszu? Mogli się tam kryć . . .

Data: 26.07.2020 15:36

Autor: ziemianin

zaufanatrzeciastrona.pl

#cyberbezpieczenstwo #Info #Wlamania #Chiny #kradziez #aktualnosci #codziennaprasowka #informacje #wiadomosci

Jedno z miejsc na komputerze, gdzie rzadko zaglądamy z uwagą, to kosz. Jeśli rzucamy tam okiem to głównie po to, by uwolnić miejsce na dysku kasując jego zawartość. Korzystali z tego chińscy włamywacze, panoszący się po firmach na całym świecie.

#ZaufanaTrzeciaStrona – Kiedy ostatnio sprawdzaliście pliki w koszu? Mogli się tam kryć chińscy hakerzy

Rzadko trafiamy na akty oskarżenia, w których punkt po punkcie wypisane są kolejne ataki przestępców, z datami, ścieżkami do plików i rozmiarami wykradzionych danych. Tym razem jednak śledczy musieli mieć bardzo dobre źródła informacji, bo akt oskarżenia przeciwko Li Xiaoyu i Dongowi Jiazhi jest bardzo, ale to bardzo szczegółowy. Zobaczmy, czego możemy się nauczyć na podstawie jego lektury.

Li i Dong to koledzy z technikum elektrycznego w Chengdu, ukończyli także tą samą uczelnię. Bardzo pracowici koledzy, bo według amerykańskich organów ścigania od 2009 włamali się co najmniej do dziesiątek firm w USA, Australii, Belgii, Niemczech, Japonii, Holandii, Korei Południowej, Hiszpanii, Szwecji i Wielkiej Brytanii. U ofiar szukali sekretów handlowych, kodów źródłowych, planów, projektów i wszystkiego, co można ukraść i sprzedać. Czasem szantażowali ofiary, grożąc ujawnieniem wykradzionych danych.

Ofiary wybierali, kierując się publicznie dostępnymi informacjami o tym, jakie firmy mogły posiadać interesujące ich dane. Czasem atakowali te podmioty bezpośrednio, czasem poprzez ich dostawców. Jak przeprowadzali swoje ataki?

A narzędzia i dane schowamy w koszu

W pierwszym etapie wykorzystywali znane już, choć niedawno ujawnione podatności lub błędy konfiguracyjne w aplikacjach WWW. Na serwer wgrywali webshella (najczęściej China Chopper), którego „ukrywali” na przykład pod takim adresem

domena.com/builds/fragments/p.jsp

Następnie wgrywali kolejne narzędzia, umożliwiające im kradzież poświadczeń oraz przejęcie zdalnej kontroli nad komputerami w sieci ofiary. W kolejnym kroku lokalizowali interesujące dane, zbierali je w jednym folderze, kompresowali za pomocą RAR-a z użyciem hasła, w pliku wynikowym zamieniali rozszerzenie na JPG i pobierali go z sieci ofiary.

Do ukrywania plików na komputerze ofiary używali rzadko spotykanej, a bardzo prostej sztuczki. Swój katalog roboczy, w którym trzymali narzędzia oraz wykradane i kompresowane dane tworzyli w systemowym koszu – czyli miejscu, gdzie rzadko można trafić przez przypadek. Dzięki temu łatwiej było im uniknąć sytuacji, w której tworzone pliki wzbudzały zainteresowanie użytkownika.

Gigabajty, setki gigabajtów

Wykradane dane trafiały na serwery w Chinach, gdzie oskarżeni je sprzedawali zainteresowanym podmiotom lub przekazywali służbom specjalnym (o tym wątku w paragrafie poniżej). Ilośc wykradanych danych robi wrażenie. Akt oskarżenia wymienia 25 ofiar i podaje rozmiary strat w gigabajtach – wartości wahają się od 1 GB do 1,2 TB na ofiarę. Kilka przykładów:

szwedzki producent gier – 169 GB danych, w tym kod źródłowy produktów,

litewski producent gier – 38 GB danych,

amerykański producent z sektora zbrojeniowego – 140 GB danych projektów, planów i prezentacji,

amerykańsko – japońska firma z branży przemysłowej – 1,2 TB danych projektowych, w tym projekty wysokowydajnych turbin gazowych,

hiszpańska firma z sektora obronnego – 900 GB dokumentów projektowych.

Najnowsze ataki wymienione w akcie oskarżenia pochodzą z czerwca 2020 – cały dokument obejmuje zatem ok. 11 lat aktywności przestępców. Co ciekawe, akt oskarżenia wymienia nie tylko ataki, ale także prowadzenie rekonesansu czy też zbieranie ogólnie dostępnych informacji na określony temat (np. metody komunikacji osób protestujących w Hongkongu) – lektura takich szczegółów każe się zastanawiać, czy ktoś tu nie podsłuchiwał każdego naciśnięcia klawisza przez sprawców.

Nie tylko komercyjne ataki

Co ciekawe, Li i Dong najwyraźniej pracowali także na rzecz chińskiego rządu. Według aktu oskarżenia działali pod kontrolą oficera chińskiego Ministerstwa Bezpieczeństwa Państwowego i wykradali informacje dotyczące wojskowych systemów satelitarnych, łączności bezprzewodowej, urządzeń laserowych dużej mocy czy systemów współpracy śmigłowców z okrętami. Ponadto w trakcie swoich działań zdobywali także adresy email i hasła do skrzynek chińskich dysydentów, organizatorów protestów w Hongkongu czy korespondencji pastorów nielegalnych kościołów chrześcijańskich w Chinach. Od oficera prowadzącego dostawali wsparcie – akt oskarżenia wspomina, że ten przekazał im exploita typu 0day na jedną z popularnych przeglądarek.

Podsumowanie

Choć nigdy nie wątpiliśmy, że amerykańskie służby wywiadowcze mają sporą wiedzę o działaniach włamywaczy z innych krajów, to rzadko tą wiedzą dzieliły się z organami ścigania. To ciekawy trend, w którym ostatnio coraz częściej pojawiają się akty oskarżenia wobec rosyjskich i chińskich cyberprzestępców, zawierające często bardzo szczegółowe zarzuty. Czy celem jest odstraszenie napastników? Być może tak – bo sprawcy najczęściej i tak pozostają poza amerykańską jurysdykcją.

Brak komentarzy