A Cybereason nevű informatikai biztonsági cég hétfő este közölte, hogy az év elején legalább tíz globális távközlési szolgáltató rendszereit törték fel a kínai államhoz köthető hekkerek. Az amerikai-izraeli társaság saját blogján közzétett jelentése szerint a Cybereason egy olyan folyamatos és szofisztikált támadást azonosított, amely már évek óta zajlott a meg nem nevezett operátorok ellen, és amelynek elhárításában az elmúlt hónapokban együttműködtek az egyik érintett vállalattal.

A bejegyzés alapján annyira összetett és magas szintű akcióról van szó, amely mögött semmiképpen sem bűnözői csoportokat kell keresni, ilyen képességekhez ugyanis már állami háttérre van szükség. A Cybereason ennek kapcsán olyan eszközök hazsnálatáról ír, amelyeket korábban már összekapcsoltak Kínából eredeztetett, amerikai és nyugat-európai célpontok elleni támadásokkal. Maga a kínai állam minden esetben cáfolta, hogy köze lenne az incidensekhez.

Tökéletes környezet a kémkedéshez

A mostani esetben az összesen 30 országban működő, egyelőre meg nem nevezett telekommunikációs szolgáltatóktól lophattak adatokat, állítólag politikusokat, kormányzati és állami tisztségviselőket célozva. A Cybereason szerint azokban az esetekben, amikor a kampány sikeres volt, a hekkerek komprommittálták a társaságok belső informatikai hálózatát: ez lehetőséget adott nekik az infrastruktúra átalakítására és elképesztő mennyiségű adat lenyűlására.

Esetenként teljes egészében hozzáfértek a címtárszolgáltatásokhoz, ami a szervezeteken belüli felhasználónevek és jelszavak megszerzését is jelenti; ezen keresztül személyes adatokat, számlázási információkat vagy híváslistákat is megszerezhettek. A Cybereason korábban az izraeli katonai hírszerzésnél dolgozó vezetője szerint tökéletes környezetet alakítottak ki a kiberkémkedéshez, gyakorlatilag tetszés szerint bármilyen információt lekérhettek a kiválasztott célpontokról.

A biztonsági cég szerint a támadók által használt eszközök egy része ugyanaz, amit az APT10 néven hivatkozott, ugyancsak a kínai kormányzathoz köthető hekkercsoport is több ízben használt. Az APT10 két feltételezett tagját decemberben tartóztatták le az Egyesült Államokban, és az ellenük felhozott vádakban konkrétan meg is fogalmazták a kínai állam megrendelésére elkövetett, nemzetközi technológiai szolgáltatók ellen elkövetett kibertámadásokat.

Ilyesmire korábban nem volt példa

A Cybereason azt is közölte, hogy korábban már azonosított hasonló incidenseket, azonban nem voltak meggyőző bizonyítékai, hogy Kínához vagy Iránhoz kösse az akciókat, ezért nem is nevezte meg egyik kormányzatot sem a támadások forrásaként. Ezúttal viszont biztosak benne, hogy a támadások Kínából erednek: nem csak egy erre utaló kódrészletet, de öt különböző eszközt is meghatároztak, amely egyértelműen a fenti csoport tevékenységére utal.

A bejegyzés alapján a támadások macska-egér játékhoz hasonlítottak: amikor felfedezték az adatbázis- vagy számlázó szerverek és címtárszolgáltatások komprommittálódását, a hekkerek azonnal felhagytak a tevékenységükkel, csak hogy nem sokkal később folytassák a támadásokat. Ezek során a szolgáltatók rendszereinek legmélyebb szegmenseibe, esetenként a hálózatok a publikus internettől teljesen izolált részeibe is bejutottak, a kiválasztott személyek gyakorlatilag bármilyen kommunikációs adatához hozzáférve az említett 30 országban – a bejegyzés szerint jellemzően Nyugat-Európában.

A Cybereason azt is megjegyzi, hogy az akciók célja az egyes célpontok utáni kémkedés volt, a rendszerek ilyen szintű megfertőzése azonben lehetőséget ad teljes mobil hálózatok megzavarására vagy lebénítására is, ami az újkori kiberháború egyik leghatásosabb fegyvere. A WSJ eközben arról ír, hogy a Cybereason vezetője a hétvégén több mint két tucat globális operátor képviselőit tájékoztatta személyesen is a felfedezésekről. Az első reakciókat a lap szerint a düh és a hitetlenkedés jellemezte, mivel ilyen szintű, tömeges és ennyi helyszínen végrehajtott kampányra (illetve az ehhez szükséges képességekre) korábban még soha nem láttak példát.