A kiberkémek is szeretik a pénzt. A kínai államhoz köthető egyik hekkercsoport a hivatalos munkaidő után a videojáték-cégeket és a játékosokat nyúlja le a kémeszközei segítségével.

Pénzszerzésre irányuló bűncselekményeket is végrehajtanak az állami támogatást élvező kínai kiberkém csapatok – állítja a FireEye jelentése, amely az APT41 (Advanced Persistent Threat 41) néven azonosított kínai kiberkém csoport működését elemezi.

A kínai csapat azonban nem úgy működik, mint Észak-Korea állami kiberhadserege, melynek az az egyik feladata, hogy pénzt szerezzen például a rakétafejlesztések finanszírozására. Mint a kutatók írják, a csapat a kémkedés mellett dolgozik saját zsebre. Azonosították például az APT41 két hekkerét, akik kínai fórumokon még azt is megadták, hogy mikor tudnak – munkaidőn kívül – rendelkezésre állni, ha valaki igénybe szeretné venni a szolgáltatásaikat.

A csapat egyébként jellemzően ugyanazokat a módszereket és eszközöket használja pénzszerzésre, mint a "hivatalos" kémkedési akcióiban.

Ők is a kínai gazdaságfejlesztési terven dolgoznak

A jelentés szerint a csoport legfontosabb feladata a stratégiai hírszerzés mellett az ipari kémkedés. Olyan információkat – terveket, technológiákat, szabadalmakat – próbál szerezni külföldi vállalatoktól, amelyek segítik a kínai gazdaságfejlesztési tervek megvalósítását. Három szektorban különösen aktívnak mutatkozott: az egészségiparban, a csúcstechnológiai ágazatokban és a telekommunikációs szektorban. Emellett azonban személyek nyomon követésével is foglalkozik például felsőoktatási intézményeknél vagy a médiacégeknél. Állítólag nem csak külföldieket figyeltek meg, hanem olyan kínai tisztviselőket is, akik külföldi partnerekkel folytattak tárgyalásokat.

A maszek munkáknál viszont az első számú célpont a videojáték-ipar, ahol például virtuális valuták manipulálásával vagy például ransomware-ek telepítésével is próbálkoztak már (lásd a lenti grafikont). De a játékfejlesztő cégek más szempontból is fontosak: megpróbáltak bejutni fejlesztőcégek hálózatába, hogy onnan forráskódokat lopjanak, vagy megszerezzenek olyan digitális tanúsítványokat, amelyeket később a rosszindulatú programok aláírására használhatnak. A hozzáférést gyakran használják arra is, hogy az eredeti programba rosszindulatú kódot fecskendezzenek, amelyeket így könnyedén tudnak terjeszteni. Az a taktika, hogy az ellátási láncba épülnek be.

A csapat azonban nagyon körültekintő volt, mivel nem támadott meg boldog-boldogtalant, hanem csak a kiszemelt áldozatok rendszerein vetette be a rosszindulatú kódjait. Emiatt sokkal nehezebb is felderíteni a támadásait. A megtámadott rendszerekhez gyakran adathalászattal szereztek jogosultságokat, de ebben is nagyon körültekintőek voltak: az ún. szigonyozás (spear-phishing) módszerét alkalmazták, azaz csak egy jól definiált szűkebb csoportot támadtak adathalász levelekkel. Emellett olyan rootkiteket telepítettek, melyekkel nehezen detektálható módon lehet megszerezni a felügyeletet a megtámadott rendszerek fölött. A FireEye legalább 150 olyan egyedi rootkitet azonosított, ami az APT41-hez köthető.

Az APT41 aktivitásának alakulása a gaming (kék) és a nem gaming (piros) szektorban


A csapat munkamódszerét jól mutatja egy tavalyi incidens, amit a Kaspersky idén publikált. Az Asus egy automatikus frissítését fertőzték meg, ami elvileg akár egymillió gépet is fenyegethetett. De a szakértők rájöttek arra, hogy a valódi célpont mindössze 600 konkrét gép lehetett. A frissítésbe injektált kártékony kód figyelte a rendszerek egyedi MAC-azonosítóját, és csak akkor riasztotta a gazdáit, ha az előre megadott listán szereplő címmel találkozott. Ezekre a gépekre érkezett egy második csomag is, amely megnyitotta a rendszert a hekkerek előtt. A FireEye szóvivője most azt mondta a Reutersnek, hogy egy konkrét távközlési cég volt a támadás célpontja.

Állami engedéllyel lopnak?

A kutatók szerint nem lehet eldönteni, hogy az APT41 tagjai olyan védelmet élveznek, hogy bármit megtehetnek, így az állami szervek egyszerűen szemet hunynak afölött, hogy saját zsebre dolgoznak. De az is elképzelhető, hogy a kínai hatóságok még nem fedezték fel, hogy a csapat időnként maszekol is. Bármelyik magyarázat is igaz, az APT41 példája jól mutatja: Kínában és a hozzá hasonló államokban nincs éles határvonal az államhatalom és a bűnözés között.

Biztonság

Oximoron helyett: újabb próbálkozás az olcsó iPhone-ra

A jóslataival általában betaláló híres Apple-elemző több részletét, például az árát is megszellőztette a várhatóan jövő év elején érkező alsóbb kategóriás iPhone-nak.
 
Hirdetés

A gyártóipar digitális ébredése

Hogyan teremtenek új generációs ügyfélélményt a digitális platformok?

Elméletben korlátlanok a lehetőségek a virtuális és a kiterjesztett valóság előtt, de a gyakorlatban még mindig nem találta meg a helyét a két technika. A közeljövő azonban formabontó szolgáltatásokat ígér.

a melléklet támogatója az Aruba Cloud

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.