Polityka i prawo

„Odkryte karty” chińskich hakerów. Tajna kampania trwała od lat

Fot. Joe Hunt/Flickr
Fot. Joe Hunt/Flickr

Chińska grupa państwowych hakerów, którą działalność uznano za wygaszoną, nadal prowadzi tajne operacje wymierzone w firmy oraz agencje rządowe z różnych stron świata. Złośliwa kampania trwa od co najmniej dwóch lat, a jej celem jest gromadzenie wrażliwych danych.

Fox-IT, specjalistyczna firma z siedzibą w Holandii, wskazuje, że cyberataki objęły 10 krajów, w tym Stany Zjednoczone, Wielką Brytanię, Francję, Niemcy, Meksyk, Brazylię oraz Włochy. Według ekspertów chińscy hakerzy przeprowadzili globalną kampanię, której celem były podmioty z branży lotniczej, budownictwa, finansów, opieki zdrowotnej oraz energetycznej.

Jak informuje Bloomberg, cyberprzestępcy należą do grupy znanej jako APT20. Specjaliści są pewni, że za złośliwą operację odpowiadają chińscy hakerzy pracujący na zlecenie rządu. W przeszłości cyberprzestępcy omawianej grupy przeprowadzili ukierunkowane cyberataki, ingerując w sieci i systemy instytucji państwowych, wojska oraz firm telekomunikacyjnych z różnych państw. Według specjalistów Fox-IT, APT20 uznano za grupę nieaktywną, jednak najnowsze odkrycie jednoznacznie wskazuje, że jej hakerzy regularnie prowadzali złośliwe operacje po kryjomu.

Cyfrowy szlak

„Wiele osób uważało, że ta grupa zniknęła lub już nie istnieje” – zaznaczył ekspert Frank Groenewegen, cytowany przez Boolmberga. – „Odkryliśmy jednak, że jej hakerzy cały czas działają i włamują się do wielu firm i instytucji”. Dodał, że jego firma wykryła aktywność grupy APT20 latem 2018 roku. Od tego momentu eksperci śledzili „cyfrową ścieżkę” działalności hakerów, która pomogła im zidentyfikować dziesiątki podobnych kampanii.

W ramach operacji cyberprzestępcy zwykle uzyskują dostęp do systemów organizacji, wykorzystując lukę w serwerach sieciowych obsługiwanych przez daną firmę. Następnie przenikają dalej, aby zidentyfikować konkretne cele, które posiadają „uprzywilejowany dostęp do najbardziej wrażliwych części sieci komputerowej”.

Odkrycie kart

Hakerzy po włamaniu się do konkretnych sieci umieszczali w nich oprogramowanie keylogger, które rejestruje ślady wykonywane przez użytkownika na klawiaturze. W ten sposób cyberprzestępcy odkrywali hasła i loginy do kluczowych witryn.

Działalność hakerów była bardzo trudna do wykrycia, ponieważ grupa przywiązywała bardzo dużą wagę do zacierania śladów. Rutynowo usuwali narzędzia wykorzystywane do kradzieży danych z zainfekowanych komputerów – informuje Bloomberg.

Eksperci Fox-IT, prowadząc wnikliwe śledztwo zauważyli, że cyberprzestępcy używali przeglądarki internetowej, której głównym językiem był chiński. To skłoniło ekspertów do głębszej analizy środowiska cyberprzestępczego powiązanego z Państwem Środka.

Komentarze