O mare scurgere de date de la o firma chineza de securitate cibernetica a dezvaluit ca agentii de securitate de stat platesc zeci de mii de lire sterline pentru a colecta date despre tinte, inclusiv guverne straine, in timp ce hackerii cauta cantitati uriase de informatii despre orice persoana sau institutie care ar putea fi de interes pentru potentialii lor clienti.
Cache-ul a peste 500 de fisiere scurse de la firma chineza I-Soon a fost postat pe site-ul web al dezvoltatorului Github si este considerat de expertii in securitate cibernetica a fi autentic. Unele dintre tintele discutate includ NATO si Ministerul de Externe al Regatului Unit.
Scurgerea ofera o perspectiva fara precedent asupra lumii hackerilor angajati din China, pe care seful serviciilor de securitate din Marea Britanie a numit-o o provocare „masiva” pentru tara.
Fisierele, care sunt un amestec de jurnale de chat, prospecte ale companiei si mostre de date, dezvaluie amploarea operatiunilor de colectare de informatii ale Chinei, subliniind in acelasi timp presiunile pietei resimtite de hackerii comerciali ai tarii in timp ce concureaza pentru afaceri intr-o economie aflata in dificultate.
I-Soon pare sa fi lucrat cu – si mai tarziu implicat intr-o disputa comerciala cu – o alta tinuta chinezeasca de hackeri, Chengdu 404, ai carei hackeri au fost acuzati de Departamentul de Justitie al SUA pentru atacuri cibernetice asupra companiilor din SUA, precum si pentru activisti pro-democratie din Hong Kong, printre alte tinte.
Alte tinte discutate in scurgerile I-Soon includ thinktank-ul britanic Chatham House si birourile de sanatate publica si ministerele de externe ale tarilor ASEAN. Unele dintre aceste date par sa fi fost adunate conform specificatiilor, in timp ce in alte cazuri exista contracte specifice cu un birou de securitate publica chinez pentru a colecta un anumit tip de date.
Un purtator de cuvant al Chatham House a declarat: „Suntem constienti de faptul ca aceste date ies la lumina si suntem in mod natural ingrijorati. Chatham House ia foarte in serios securitatea datelor si informatiilor. In climatul actual, noi, impreuna cu multe alte organizatii, suntem tinta unor tentative regulate de atac din partea actorilor statali si nestatali.
„Avem masuri de protectie in vigoare, inclusiv garantii bazate pe tehnologie, care sunt revizuite si actualizate in mod regulat.”
Un oficial al NATO a spus: „Alianta se confrunta cu amenintari cibernetice persistente si s-a pregatit pentru aceasta investind in aparare cibernetica extinsa. NATO analizeaza fiecare reclamatie privind amenintarile cibernetice.”
Ministerul de Externe al Marii Britanii a refuzat sa comenteze.
Serviciile oferite de I-Soon sunt variate. Intr-un exemplu, biroul de securitate publica al unui oras din Shandong a platit aproape 44.000 de lire sterline pentru a obtine acces la casutele de e-mail a 10 tinte timp de un an.
Compania a sustinut ca poate sa pirateze conturi pe X, sa obtina informatii personale de la Facebook, sa obtina date din baze de date interne si sa compromita diverse sisteme de operare, inclusiv Mac si Android.
Intr-unul dintre fisiere exista o captura de ecran a unui folder intitulat „Note de la secretariatul pentru afaceri europene din Macedonia de Nord”. O alta captura de ecran arata fisiere care par sa aiba legatura cu UE, inclusiv unul intitulat „Proiect de pozitie a UE cu privire la COP 15 partea 2”. Numele fisierelor fac referire la un sistem de criptare utilizat de entitatile UE pentru a securiza datele oficiale.
In unele cazuri, nu este clar care a fost scopul colectarii datelor. „Statul chinez acumuleaza cat mai multe date”, a spus Alan Woodward, expert in securitate informatica la Universitatea din Surrey. „Ei vor doar cat de multe informatii pot in cazul in care se dovedeste util.”
Woodward a remarcat ca, spre deosebire de hackerii rusi legati de stat care efectueaza atacuri ransomware sau alte actiuni perturbatoare, incercarile chineze tind sa se concentreze pe colectarea de date in masa. „Unele dintre ele ar putea fi interpretate ca punand bazele pentru a fi perturbatoare intr-o etapa ulterioara”, a spus Woodward.
Anul trecut, raportul comisiei de informatii si securitate a parlamentului despre China spunea: „Experienta cibernetica a Chinei ii permite sa vizeze o gama variata de organizatii si seturi de date – si pe cele din ce in ce mai neobisnuite”. Expertii considera ca scopul culegerii de date poate fi identificarea tintelor potentiale pentru operatiunile de inteligenta umana.
I-Soon a vizat si victimele domestice. Intr-un acord de cooperare nedatat cu o autoritate locala din Xinjiang, I-Soon a declarat ca ar putea oferi sprijin „antiterorism” politiei locale in monitorizarea uigurilor. I-Soon a spus ca are mai mult de un deceniu de experienta in accesarea „diverselor permisiuni de server si permisiuni de intranet in mai multe tari”.
Compania a sustinut ca a obtinut date de la autoritatile anti-terorism din Pakistan si serviciul postal din Pakistan. Ambasada Pakistanului la Londra nu a raspuns unei solicitari de comentarii.
Unele dintre promisiunile facute clientilor s-ar putea sa fi fost vanzari. Intr-o discutie, un angajat a intrebat: „Clientii ne insala sau noi inselam clientii?” Lucratorul continua ca a insela clientii cu privire la abilitatile companiei este „normal, dar nu este bine ca compania sa-si insele angajatii”.
Mei Danowski, un expert in securitate cibernetica din China si autor al buletinului informativ Natto Thoughts, a spus: „Ne gandim la [hackerii chinezi] ca „Oh, statul le ofera bani ca sa faca lucruri”. In realitate, daca aceste documente scurse sunt adevarate, nu este asa. Trebuie sa mearga sa caute afaceri. Trebuie sa-si construiasca o reputatie.”
Alte jurnalele de chat erau izbitor de banale. Angajatii au discutat despre Covid-19 si despre presiunile financiare la I-Soon. „Initial, toata lumea stia ca compania a avut un moment dificil si toti au inteles. La urma urmei, epidemia este atat de grava”, a scris un muncitor in martie 2021. Dar, s-au plans ei, I-Soon „nu am spus ca nu ne vor plati salarii”.
Pana in anul urmator, presiunile la nivelul companiei pareau sa se fi intensificat. Directorul executiv, Wu Haibo, care foloseste pseudonimul Shutd0wn, a spus ca pierderea personalului de baza a afectat increderea clientilor, ceea ce a dus la o pierdere de afaceri. Wu nu a raspuns la o solicitare de comentariu.
„Seful este foarte ingrijorat”, a scris un angajat in septembrie 2022. „Nu stiu daca compania poate supravietui pana la sfarsitul anului”. Intr-un alt jurnal de chat, lucratorii au vorbit despre vanzarile slabe ale companiei si despre starea de spirit acrisa la birou. Un angajat a apelat la o mangaiere universala: „Probabil voi tipa daca nu pot bea ceva”.