Cert by TSARKA: Китайская хакерская группировка контролировала критические объекты IT-инфраструктуры Казахстана



Подробности о массовом сливе данных казахстанцев рассказали в TSARKA.

Специалисты заявили, что как минимум одна группировка хакеров более двух лет «имела полный доступ к критической инфраструктуре казахстанских операторов связи».

Что произошло?

16 февраля в сеть "слили секретные данные" одной IT-компании, сотрудничающей с Министерством общественной безопасности КНР и связанной с "контролируемой киберразведкой Китая" хакерской группировкой.

На ресурсе GitHub неизвестными был опубликован слив секретных данных китайской компании iSoon (ака Anxun) — одного из подрядчиков Министерства общественной безопасности Китая (MPS). Сообщается, что она связана с Chengdu 404 — структура контролируемая киберразведкой КНР известная как APT41.

Утечка проливает свет на формы и методы китайской разведки. ПО, трояны для Windows, Mac, iOS и Android, сервисы для DDoS, системы деанонимизации пользователей соцсетей, оборудование для взлома Wi-Fi и многое другое. Много информации о методике проникновения и получения информации.

Целью атакующих были как общая информация, такие как базы данных, так и точечная информация конкретных лиц: контроль переписки, звонков и передвижения. Анализ данных показал, что объем украденной информации измеряется терабайтами.  Источник данных — критические объекты инфраструктуры Казахстана, Кыргызстана, Монголии, Пакистана, Малайзии, Непала, Турции, Индии, Египта, Франции, Камбоджи, Руанды, Нигерии, Гонконга, Индонезии, Вьетнама, Мьянмы, Филиппин и Афганистана.

Что известно о Казахстане?

В TSARKA считают, что объем и характер данных указывает на системные ошибки в системе защиты информации в нашей стране.

Например, хакеры контролировали журналы событий операторов, продолжительность звонков, IMEI устройств и биллинг звонков. В утечке имеются файлы с информацией об абонентах операторов связи. Также опубликованы данные пользователей IDNET и IDTV c персональными данными абонентов, их логинами и паролями. 

В утечке также упоминается ЕНПФ (Единый национальный пенсионный фонд РК) за 2019 год. А в одном из скринов фигурирует предположительно информация по почтовому серверу Министерства обороны РК. Некоторые скрины включают в себя данные об авиаперевозчике Air Astana.

В TSARKA проверили, кто является жертвами данной хакерской группировки и кем они больше всего интересовались. Результаты проверки номеров через различные утечки и GetContact выявили, что целенаправленные атаки совершались, в том числе и на сотрудников силовых структур.

«Китайская APT-группировка сидела в казахстанской инфраструктуре около 2 лет и это только верхушка айсберга. Сколько еще невыявленных хакеров и утечек наших данных неизвестно никому. Все это результат бессистемных действий и приоритет ведомственного интереса над интересами государства. Структура государства, в которой Комитет информационной безопасности подчинен Министерству цифровизации всегда будет уязвима. Казахстан нуждается в отдельном независимом органе вне Правительства, ответственным за кибербезопасность — Агентство по кибербезопасности», – заявили специалисты.

Технические подробности инцидента со скринами можно изучить на их сайте.