Firmy technologiczne jako „przykrywka” dla hakerów? Taktyka prosto z Chin

Firmy technologiczne stają się coraz częściej centrum operacji hakerskich realizowanych na zlecenie państw lub wynikających z interesów samych cyberprzestępców. Zakładanie przedsiębiorstw rzekomo zajmujących się cyberbezpieczeństwem daje wrogim podmiotom ogromne możliwości na przeprowadzenie skutecznych cyberataków, w tym gwarantuje bezpośredni dostęp do sieci i systemów ofiar. 

We wrześniu bieżącego roku Stany Zjednoczone oskarżyły hakerów pochodzących z Chin i Iranu o przeprowadzenie zaawansowanych operacji cyberszpiegowskich w globalnej skali. Cyberprzestępcy ukrywali swoje działania pod zasłoną prowadzenia firm z branży technologicznej. Przypadek ten podkreśla popularyzację w ostatnim czasie taktyki hakerskiej, polegającej na tworzeniu fikcyjnych przedsiębiorstw, na przykład zajmujących się cyberbezpieczeństwem, aby pod ich „przykrywką” realizować złośliwe operacje – informuje serwis CyberScoop.

John Demers, zastępca prokuratora generalnego ds. bezpieczeństwa narodowego Stanów Zjednoczonych, wskazał, że tego typu działanie ze strony hakerów znacząco utrudnia skuteczną reakcję na zagrożenie i jego neutralizację. „To tylko utrudnia ustalenie, kto co robi i jakie są jego motywacje” – podkreślił w rozmowie dla CyberScoop.

Przykładem może być incydent z udziałem chińskich hakerów zaangażowanych w szerszą kampanię cyberszpiegowską, którzy realizowali operacje pod przykrywką firmy „Chengdu 404”. Z założenia było to przedsiębiorstwo zajmujące się testowaniem wirtualnych zabezpieczeń oraz wykrywaniem luk i podatności w sieciach klientów – donosi amerykański tygodnik Barron's.

W rzeczywistości hakerzy zajmowali się kradzieżą danych. Ich celem padło ponad 100 organizacji w Stanach Zjednoczonych, Korei Południowej, Japonii oraz innych krajach. Funkcjonowanie w ramach firmy Chengdu 404 pozwoliło cyberprzestępcom wykorzystać dostęp do określonych urządzeń na rzecz realizacji zadań zlecanych przez Państwo Środka oraz generowania korzyści finansowych.

Zdaniem specjalistów chiński rząd zaczął zlecać operacje cyberszpiegowskie prywatnym firmom po zawarciu w 2014 roku umowy z Waszyngtonem, w ramach której oba państwa zgodziły się nie sponsorować żadnej wrogiej działalności hakerskiej umotywowanej względami ekonomicznymi.

„W Chinach nie wszystkie firmy są typowo >firmami przykrywkami< w ścisłym znaczeniu tego słowa” – podkreślił Timo Steffens, autor „Attribution of Advanced Persistent Threats”, którego stanowisko przytacza CyberScoop. Jak dodał, krajobraz APT w Państwie Środka odzwierciedla podejście całego kraju do kwestii cyberoperacji. W działania te są angażowane między innymi uniwersytety, podmioty sektora prywatnego i publicznego oraz sami użytkownicy. „Dlatego też mniejsze firmy mogą być dla indywidualnych hakerów miejscem nawiązania współpracy z podmiotami rządowymi” – wyjaśnił Timo Steffens.

W tym miejscu warto podkreślić, że tego typu „taktyka” jest stosowana nie tylko w Chinach. Potwierdzeniem takiego może być działalność irańskiej grupy hakerskiej, która realizowała swoje operacje pod pretekstem prowadzenia firmy „Rana Intelligence Computing Company”. Jak wskazał Departament Skarbu USA, przedsiębiorstwo było jedynie „przykrywką” dla realizacji kampanii obejmującej cyberataki wymierzone w irańskich decydentów, dziennikarzy oraz podmioty branży turystycznej z całego świata.

Wspomniane wyżej przykłady nawiązują do „wzorca”, którym była działalność firmy „Combi Security”. Posłużyła ona gangowi cyberprzestępców do przeprowadzenia ponad 100 cyberataków w Stanach Zjednoczonych, dzięki czemu hakerom udało się ukraść łącznie co najmniej miliard dolarów – przypomina CyberScoop.

W 2018 roku amerykańskim służbom udało się aresztować trzech Ukraińców zaangażowanych w działalność „Combi Security”. Składając zeznania podkreślali, że firma jest legalnym przedsiębiorstwem zajmującym się testowaniem zabezpieczeń sieci oraz wykrywaniem podatności. W rzeczywistości zamiast „testować”, mężczyźni włamywali się do głównych sieci restauracji oraz sklepów w USA.

Co warte podkreślenia, firma oferowała również atrakcyjne miejsca pracy, przyciągając tym samym wybitnych specjalistów branży technologicznej, którzy nie zawsze byli świadomi, że podjęli pracę dla gangu cyberprzestepców.

Kimberly Goody, specjalistka FireEye, zaznaczyła w rozmowie dla CyberScoop, że hakerzy potrzebują większej liczby ludzi, aby realizować szersze operacje z udziałem wielu ofiar. „Mogą korzystać ze studentów lub portali typu LinkedIn, gdzie użytkownicy publikują CV. Dzięki temu mogą ich przekonać, że będą pracować dla legalnej firmy, gwarantującej im dobre wynagrodzenie” – wyjaśniła ekspert FireEye.

Wskazane powyżej przykłady uwidaczniają rosnący problem związany ze złożonością środowiska cyberprzestępczego. Prowadzenie operacji pod „przykrywką” z pozoru legalnej firmy z branży technologicznej daje hakerom wiele możliwości. Naśladując przedsiębiorstwo specjalizujące się w cyberbezpieczeństwie w łatwy sposób mogą uzyskać dostęp do sieci i systemów klientów, wykradając – jak w przypadku chińskich hakerów – dane na zlecenie rządu.

Warto mieć na uwadze, że „firmy przykrywki” mogą być tworzone z inicjatywy władz danego kraju, ale również stanowić centrum działalności niezależnego gangu cyberprzestępczego. W zależności od charakteru ugrupowania motyw funkcjonowania „przedsiębiorstwa” może być odmienny – ekonomiczny i/lub wywiadowczy. Pomimo występujących różnic, tego typu działalność należy uznać za poważny problem, który wymaga wzmożonych wysiłków na rzecz wyeliminowania wspomnianego procederu ze stale rozszerzającego się katalogu zagrożeń.