Social media
Cyberprzestępcy zaatakowali największego afgańskiego operatora telekomunikacyjnego
Zorganizowane grupy cyberprzestępców dokonały ataków na infrastrukturę Roshan, największego operatora telekomunikacyjnego w Afganistanie. Według ekspertów z Insikt Group, gangi hakerów stojące za atakami są kontrolowane przez Chiny, które interesują się Afganistanem w związku ze zmianą sytuacji w tym kraju.
O atakach poinformował serwis The Record, powołując się na dane zespołu Insikt Group, należącego do firmy Recorded Future.
Według nowych badań, przeprowadzonych przez Insikt Group cztery różne ataki dokonane przez cyberprzestęców spowodowały kradzież danych z korporacyjnego serwera pocztowego głównego afgańskiego dostawcy usług telekomunikacyjnych Roshan w ciągu ostatniego roku, przy czym aktywność hakerów nasiliła się podczas przejmowania kraju przez talibów.
Roshan na celowniku
Roshan jest operatorem telefonii komórkowej, który działa w całym Afganistanie, obejmując wszystkie 34 prowincje i posiada obecnie 6,5 mln aktywnych abonentów.
„Jest to jeden z największych dostawców dostępu do internetu dla mieszkańców Afganistanu i główne źródło ruchu internetowego w kraju i poza nim” – zaznacza w rozmowie z The Record Doug Madory, dyrektor ds. analiz internetowych w firmie Kentik i wieloletni obserwator globalnych trendów w ruchu internetowym.
Z kolei według organizacji Access Now, zajmującej się prawami człowieka Roshan był w ostatnich tygodniach ważnym kołem ratunkowym dla wielu osób w Afganistanie prześladowanych lub poszukiwanych przez talibów.
Badacze zidentyfikowali zaatakowanie wewnętrznego serwera pocztowego Roshan poprzez analizę jego struktury i globalnego ruchu sieciowego.
Recorded Future zaobserwowało wyciek co najmniej 4 GB danych podczas czterech cyberataków, chociaż prawdziwa liczba może być znacznie wyższa. Dokładna zawartość skradzionych danych nie jest jasna. Jednak według analityków, dostęp do wewnętrznych maili firmy Roshan może dać atakującym wgląd w kwestie techniczne i geopolityczne w Afganistanie.
Na przykład, e-maile korporacyjne dostawcy usług telekomunikacyjnych mogą zawierać informacje na temat wniosków o przechwycenie od władz lokalnych, które mogą zapewnić wgląd w śledztwa lub szczegóły dotyczące fizycznych i cyfrowych środków bezpieczeństwa chroniących infrastrukturę telekomunikacyjną.
Chiński trop
Według ekspertów, najwcześniejsza zidentyfikowana aktywność wymierzona w Roshan, była powiązana z podejrzaną chińską grupą Calypso Advanced Persistent Threat (APT) kontrolowaną przez władze w Pekinie. To włamanie wydaje się pochodzić co najmniej z lipca 2020 roku i trwało do września 2021 roku, ze znacznym wzrostem aktywności w sierpniu i wrześniu tego roku.
Badacze stwierdzili także, że ten sam serwer pocztowy Roshan komunikował się z infrastrukturą innej podejrzanej chińskiej grupy APT - RedFoxtrot, co najmniej od marca do maja br. Według ekspertów, prowadzi to do wniosku, że ataki na afgańskiego operatora były jeśli nie inspirowane, to z pewnością kontrolowane przez chińskie służby.
Zdaniem analityków, incydenty podkreślają zainteresowanie wywiadu chińskiego regionem w momencie, gdy Afgańczycy stoją w obliczu radykalnych zmian w ich fizycznym i cyfrowym życiu po tym, jak wojska amerykańskie wycofały się po trwającej dwie dekady interwencji, a talibowie przejęli kontrolę nad krajem.
W oświadczeniu przesłanym do The Record, rzecznik chińskiej ambasady opisał śledzenie pochodzenia cyberataków jako „złożony problem techniczny".
„Powiązanie cyberataków bezpośrednio z jednym określonym rządem jest wysoce wrażliwą kwestią polityczną. Chiny mają nadzieję, że odpowiednie strony przyjmą profesjonalną i odpowiedzialną postawę - napisano w oświadczeniu. Kwalifikowanie incydentów cybernetycznych musi być oparte na wystarczających dowodach zamiast bezpodstawnych spekulacji" - napisał rzecznik.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.