Pénzszerzésre irányuló bűncselekményeket is végrehajtanak az állami támogatást élvező kínai kiberkém csapatok – állítja a FireEye jelentése, amely az APT41 (Advanced Persistent Threat 41) néven azonosított kínai kiberkém csoport működését elemezi.
A kínai csapat azonban nem úgy működik, mint Észak-Korea állami kiberhadserege, melynek az az egyik feladata, hogy pénzt szerezzen például a rakétafejlesztések finanszírozására. Mint a kutatók írják, a csapat a kémkedés mellett dolgozik saját zsebre. Azonosították például az APT41 két hekkerét, akik kínai fórumokon még azt is megadták, hogy mikor tudnak – munkaidőn kívül – rendelkezésre állni, ha valaki igénybe szeretné venni a szolgáltatásaikat.
A csapat egyébként jellemzően ugyanazokat a módszereket és eszközöket használja pénzszerzésre, mint a "hivatalos" kémkedési akcióiban.
Ők is a kínai gazdaságfejlesztési terven dolgoznak
A jelentés szerint a csoport legfontosabb feladata a stratégiai hírszerzés mellett az ipari kémkedés. Olyan információkat – terveket, technológiákat, szabadalmakat – próbál szerezni külföldi vállalatoktól, amelyek segítik a kínai gazdaságfejlesztési tervek megvalósítását. Három szektorban különösen aktívnak mutatkozott: az egészségiparban, a csúcstechnológiai ágazatokban és a telekommunikációs szektorban. Emellett azonban személyek nyomon követésével is foglalkozik például felsőoktatási intézményeknél vagy a médiacégeknél. Állítólag nem csak külföldieket figyeltek meg, hanem olyan kínai tisztviselőket is, akik külföldi partnerekkel folytattak tárgyalásokat.
A maszek munkáknál viszont az első számú célpont a videojáték-ipar, ahol például virtuális valuták manipulálásával vagy például ransomware-ek telepítésével is próbálkoztak már (lásd a lenti grafikont). De a játékfejlesztő cégek más szempontból is fontosak: megpróbáltak bejutni fejlesztőcégek hálózatába, hogy onnan forráskódokat lopjanak, vagy megszerezzenek olyan digitális tanúsítványokat, amelyeket később a rosszindulatú programok aláírására használhatnak. A hozzáférést gyakran használják arra is, hogy az eredeti programba rosszindulatú kódot fecskendezzenek, amelyeket így könnyedén tudnak terjeszteni. Az a taktika, hogy az ellátási láncba épülnek be.
A csapat azonban nagyon körültekintő volt, mivel nem támadott meg boldog-boldogtalant, hanem csak a kiszemelt áldozatok rendszerein vetette be a rosszindulatú kódjait. Emiatt sokkal nehezebb is felderíteni a támadásait. A megtámadott rendszerekhez gyakran adathalászattal szereztek jogosultságokat, de ebben is nagyon körültekintőek voltak: az ún. szigonyozás (spear-phishing) módszerét alkalmazták, azaz csak egy jól definiált szűkebb csoportot támadtak adathalász levelekkel. Emellett olyan rootkiteket telepítettek, melyekkel nehezen detektálható módon lehet megszerezni a felügyeletet a megtámadott rendszerek fölött. A FireEye legalább 150 olyan egyedi rootkitet azonosított, ami az APT41-hez köthető.
Az APT41 aktivitásának alakulása a gaming (kék) és a nem gaming (piros) szektorban
A csapat munkamódszerét jól mutatja egy tavalyi incidens, amit a Kaspersky idén publikált. Az Asus egy automatikus frissítését fertőzték meg, ami elvileg akár egymillió gépet is fenyegethetett. De a szakértők rájöttek arra, hogy a valódi célpont mindössze 600 konkrét gép lehetett. A frissítésbe injektált kártékony kód figyelte a rendszerek egyedi MAC-azonosítóját, és csak akkor riasztotta a gazdáit, ha az előre megadott listán szereplő címmel találkozott. Ezekre a gépekre érkezett egy második csomag is, amely megnyitotta a rendszert a hekkerek előtt. A FireEye szóvivője most azt mondta a Reutersnek, hogy egy konkrét távközlési cég volt a támadás célpontja.
Állami engedéllyel lopnak?
A kutatók szerint nem lehet eldönteni, hogy az APT41 tagjai olyan védelmet élveznek, hogy bármit megtehetnek, így az állami szervek egyszerűen szemet hunynak afölött, hogy saját zsebre dolgoznak. De az is elképzelhető, hogy a kínai hatóságok még nem fedezték fel, hogy a csapat időnként maszekol is. Bármelyik magyarázat is igaz, az APT41 példája jól mutatja: Kínában és a hozzá hasonló államokban nincs éles határvonal az államhatalom és a bűnözés között.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak