Китайские хакеры атаковали критическую IT-инфраструктуру Казахстана, сообщает Центр анализа и расследования кибер атак (ЦАРКА).

«Объем и характер данных указывает на системные ошибки в системе защиты информации в нашей стране. Доступные материалы утечки свидетельствуют о том, что как минимум одна хакерская группировка более двух лет имела полный доступ к критической инфраструктуре казахстанских операторов связи. Ясно, что в нашем распоряжении неполный объем информации, который Казахстан позволил украсть у себя», - говорится в сообщении.

По данным ЦАРКА, утечки допущены в системах «Казахтелекома», Beeline («Билайн»), Kcell и Tele2, причем, относительно последних двух речь идет о полном контроле интрасетью.

«Хакеры контролировали журналы событий операторов, продолжительность звонков, IMEI устройств и биллинг звонков. В утечке имеются файлы с информацией об абонентах операторов связи. Также опубликованы данные пользователей IDNET и IDTV c персональными данными абонентов, их логинами и паролями.  В утечке также упоминается ЕНПФ (Единый национальный пенсионный фонд РК) за 2019 год», - сказано в сообщении.

В одном из скринов фигурирует предположительно информация по почтовому серверу министерства обороны Казахстана.

«Некоторые скрины включают в себя данные об авиаперевозчике Air Astana. Также найдены файлы, содержащие переписку хакерской группировки между собой, в которой они обсуждают прослушиваемых абонентов и их информацию», - добавили в ЦАРКА.

Эксперты проверили, кто является жертвами данной хакерской группировки и кем они больше всего интересовались.

«Результаты проверки номеров через различные утечки и GetContact выявили, что целенаправленные атаки совершались, в том числе и на сотрудников силовых структур. Помимо Казахстана в утечке имеются много данных других стран. Уже сейчас можно сказать, что разведки всего мира и хакеры начали активно изучать эту информацию», - отметили эксперты.

В числе пострадавших – научно-технический исследовательский совет Турции.

«Среди материалов имеется документация и описание самих шпионских программ для мониторинга и сбора информации в реальном режиме времени с возможностью получения полного доступа к устройствам: получение удаленного доступа и управления Windows; получение удаленного доступа и управления Mac; получение удаленного доступа и управления iOS; получение удаленного доступа и управления Android; получение удаленного доступа и управления Linux; имплантируемое устройство Wi-Fi; система бесконтактной атаки на Wi-Fi; система управления сетевым трафиком», - говорится в информации.

Для понимания масштабов ЦАРКА приводит описание данных шпионских программ и устройств, в том числе получение удаленного доступа и управления Windows. Так, троян удаленного доступа (Remote Access Trojan) для Windows x64/x86, который может:

-                       доставать всю информацию о хосте;

-                       управлять процессами;

-                       управлять файлами (просмотр, удаление, исполнения, изменения);

-                       исполнять команды (CMD operations);

-                       делать скриншоты;

-                       KEYLOGGER (запись каждой нажатой кнопки на клавиатуре);

-                       и многое другое.

«Авторы утверждают, что 95% антивирусных программ не смогут обнаружить данный троян, включая Kaspersky, Symantec и другие популярные решения. Троян умеет самостоятельно удаляться и стартовать. Китайская APT-группировка сидела в казахстанской инфраструктуре около двух лет и это только верхушка айсберга. Сколько еще невыявленных хакеров и утечек наших данных, неизвестно никому. Все это результат бессистемных действий и приоритет ведомственного интереса над интересами государства. Структура государства, в которой комитет информационной безопасности подчинен министерству цифровизации, всегда будет уязвима. Казахстан нуждается в отдельном независимом органе вне правительства, ответственном за кибербезопасность – агентство по кибербезопасности», - считают казахстанские IT-шники.

Согласно информации, 16 февраля на ресурсе GitHub неизвестными был опубликован слив секретных данных китайской компании iSoon (ака Anxun) – одного из подрядчиков Министерства общественной безопасности Китая (MPS). Сообщается, что она связана с Chengdu 404 – структура контролируемая киберразведкой КНР известная как APT41.

«Утечка проливает свет на формы и методы китайской разведки. ПО, трояны для Windows, Mac, iOS и Android, сервисы для DDoS, системы деанонимизации пользователей соцсетей, оборудование для взлома Wi-Fi и многое другое. Много информации о методике проникновения и получения информации. Целью атакующих были как общая информация, такие как базы данных, так и точечная информация конкретных лиц: контроль переписки, звонков и передвижения. Анализ данных показал, что объем украденной информации измеряется терабайтами.  Источник данных – критические объекты инфраструктуры Казахстана, Кыргызстана, Монголии, Пакистана, Малайзии, Непала, Турции, Индии, Египта, Франции, Камбоджи, Руанды, Нигерии, Гонконга, Индонезии, Вьетнама, Мьянмы, Филиппин и Афганистана», - уточнили в ЦАРКА.