Uniklé soubory ukazují tajný svět čínských nájemných hackerů

Čína se v kampaních zaměřených na hackerské útoky na zahraniční vlády a kontrolu domácího obyvatelstva stále častěji obrací na soukromé společnosti. Hackeři nabízeli nabídku služeb za různé ceny.

Místní vláda v jihozápadní Číně zaplatila necelých 15 000 dolarů za přístup k soukromým webovým stránkám dopravní policie ve Vietnamu. Software, který pomáhal vést dezinformační kampaně a nabourávat se do účtů na X, stál 100 000 dolarů. Za 278 000 dolarů mohli čínští zákazníci získat trojici osobních informací za účty na sociálních sítích na platformách, jako jsou Telegram a Facebook.

Tyto nabídky, podrobně popsané v uniklých dokumentech, představovaly část hackerských nástrojů a datových úložišť, které prodávala čínská bezpečnostní firma I-Soon, jedna ze stovek podnikavých společností, které podporují agresivní čínské státem podporované hackerské úsilí. Tato práce je součástí kampaně, jejímž cílem je proniknout na webové stránky zahraničních vlád a telekomunikačních firem.

Materiály, které byly minulý týden zveřejněny na veřejné internetové stránce, odhalily osmileté úsilí zaměřené na databáze a odposlouchávání komunikace v Jižní Koreji, na Tchaj-wanu, v Hongkongu, Malajsii, Indii a dalších asijských zemích. Ze spisů rovněž vyplynulo, že probíhala kampaň zaměřená na důkladné sledování aktivit etnických menšin v Číně a společností provozujících hazardní hry na internetu.

Údaje obsahovaly záznamy o zjevné korespondenci mezi zaměstnanci, seznamy cílů a materiály, které ukazují nástroje pro kybernetické útoky. Tři odborníci na kybernetickou bezpečnost, které oslovil deník The New York Times, uvedli, že dokumenty se zdají být autentické.

Dohromady tyto soubory poskytly vzácný pohled do tajného světa čínských nájemných hackerů podporovaných státem. Ukazují, jak čínské orgány činné v trestním řízení a hlavní špionážní agentura, ministerstvo státní bezpečnosti, sáhly mimo své vlastní řady, aby využily talenty ze soukromého sektoru v hackerské kampani, která se podle představitelů Spojených států zaměřila na americké společnosti a vládní agentury.

„Máme všechny důvody se domnívat, že se jedná o autentické údaje dodavatele podporujícího globální a domácí kyberšpionážní operace z Číny,“ řekl John Hultquist, hlavní analytik společnosti Mandiant Intelligence společnosti Google.

Pan Hultquist uvedl, že únik informací odhalil, že společnost I-Soon pracuje pro řadu čínských vládních subjektů, které sponzorují hackerské útoky, včetně ministerstva státní bezpečnosti, Lidové osvobozenecké armády a čínské národní policie. Někdy se zaměstnanci firmy zaměřovali na zahraniční cíle. V jiných případech pomáhali obávanému čínskému ministerstvu veřejné bezpečnosti sledovat čínské občany v tuzemsku i v zahraničí.

„Jsou součástí ekosystému dodavatelů, který má vazby na čínskou vlasteneckou hackerskou scénu, jež se rozvinula před dvaceti lety a od té doby se stala legální,“ dodal s odkazem na vznik nacionalistických hackerů, kteří se stali jakýmsi domácím průmyslem.

Tato odhalení zdůrazňují, do jaké míry Čína již více než deset let ignoruje nebo obchází americké a jiné snahy o omezení svých rozsáhlých hackerských operací. A přichází v době, kdy američtí představitelé varují, že země nejen zdvojnásobila své úsilí, ale také přešla od pouhé špionáže k implantování škodlivého kódu do americké kritické infrastruktury, možná proto, aby se připravila na den, kdy vypukne konflikt o Tchaj-wan.

Čínská vláda využívá soukromé dodavatele k hackerským útokům svým jménem, což si vypůjčuje z taktiky Íránu a Ruska, které se již léta obracejí na nevládní subjekty, aby útočily na komerční a oficiální cíle. Ačkoli rozptýlený přístup ke státní špionáži může být účinnější, ukázalo se, že je také obtížnější jej kontrolovat. Někteří čínští dodavatelé používali malware k vymáhání výkupného od soukromých společností, a to i v době, kdy pracovali pro čínskou špionážní agenturu.

Částečně má tato změna kořeny v rozhodnutí nejvyššího čínského představitele Si Ťin-pchinga povýšit roli ministerstva státní bezpečnosti, aby se mohlo více angažovat v hackerských aktivitách, které dříve spadaly především do kompetence Lidové osvobozenecké armády. Ačkoli ministerstvo bezpečnosti zdůrazňuje absolutní loajalitu vůči Siovi a vládě komunistické strany, jeho hackerské a špionážní operace často iniciují a řídí úřady státní bezpečnosti na úrovni provincií.

Tyto úřady zase někdy zadávají hackerské operace komerčně zaměřeným skupinám, což je recept na občasné nešetrné a dokonce nedbalé špionážní aktivity, které nedbají na diplomatické priority Pekingu a mohou svou taktikou rozrušit zahraniční vlády.

Části čínské vlády se stále podílejí na sofistikovaných hackerských akcích shora dolů, jako je snaha o umístění kódu do klíčové infrastruktury USA. Celkový počet hackerských útoků pocházejících z Číny však prudce vzrostl a jejich cíle se rozšířily, včetně informací o vakcínách proti ebole a technologii automobilů bez řidiče.

To podnítilo vznik nového odvětví dodavatelů, jako je I-Soon. Ačkoli je tato šanghajská společnost, která má kanceláře také v Čcheng-tu, součástí světa čínské kyberšpionáže, která se skrývá pod rouškou tajemství, ztělesňuje amatérismus, který do hackerství vnáší mnoho relativně nových čínských dodavatelů. Dokumenty ukázaly, že společnost si občas nebyla jistá, zda jsou služby a data, které prodává, stále dostupné. Například interně poznamenala, že software pro šíření dezinformací na X je „v údržbě“ – navzdory ceně 100 000 dolarů.

Únik také nastínil pracovní shon a boj čínských podnikatelských hackerských dodavatelů. Stejně jako mnoho jejích konkurentů pořádala společnost I-Soon soutěže v oblasti kybernetické bezpečnosti, aby získala nové zaměstnance. Jedna tabulka ukázala, že namísto prodeje centralizované vládní agentuře se I-Soon musel ucházet o přízeň čínské policie a dalších agentur po jednotlivých městech. To znamenalo inzerovat a prodávat své zboží. V jednom dopise místním úředníkům v západní Číně se společnost chlubila, že může pomoci s prosazováním protiteroristických opatření, protože pronikla do pákistánské protiteroristické jednotky.

Materiály obsažené v úniku, které propagovaly hackerské techniky společnosti I-Soon, popisovaly technologie vytvořené k pronikání do e-mailových účtů aplikace Outlook a získávání informací, jako jsou seznamy kontaktů a údaje o poloze z telefonů Apple iPhone. Jeden dokument podle všeho obsahoval rozsáhlé záznamy o letech vietnamské letecké společnosti, včetně identifikačních čísel cestujících, jejich povolání a destinací.

Společnost I-Soon zároveň uvedla, že vytvořila technologii, která by mohla splnit domácí požadavky čínské policie, včetně softwaru, který by mohl monitorovat nálady veřejnosti na sociálních sítích v Číně. Jiný nástroj, vytvořený za účelem zaměření se na účty na X, by mohl získávat e-mailové adresy, telefonní čísla a další identifikovatelné informace související s uživatelskými účty a v některých případech pomoci tyto účty hacknout.

V posledních letech se čínským orgánům činným v trestním řízení podařilo identifikovat aktivisty a kritiky vlády, kteří publikovali na X pomocí anonymních účtů z Číny i mimo ni. Často pak pomocí výhrůžek donutili uživatele X odstranit příspěvky, které úřady považovaly za příliš kritické nebo nevhodné.

Mluvčí čínského ministerstva zahraničních věcí Mao Ning na čtvrtečním brífinku uvedla, že o úniku dat z I-Soon neví. „Čína zásadně vystupuje proti všem formám kybernetických útoků a v souladu se zákonem je potírá,“ uvedla paní Mao. Přestože se únik týkal pouze jednoho z mnoha čínských hackerských dodavatelů, podle odborníků by obrovské množství dat mohlo pomoci agenturám a společnostem, které se snaží bránit proti čínským útokům.

„Jedná se o nejvýznamnější únik dat spojený se společností podezřelou z poskytování služeb kybernetické špionáže a cílených průniků pro čínské bezpečnostní služby,“ uvedl Jonathan Condra, ředitel pro strategické a trvalé hrozby ve společnosti Recorded Future, která se zabývá kybernetickou bezpečností.

Mezi napadenými informacemi byla i rozsáhlá databáze silniční sítě na Tchaj-wanu, ostrovní demokracii, kterou si Čína dlouhodobě nárokuje a hrozí jí invazí. Mapy o velikosti 459 gigabajtů pocházely z roku 2021 a ukázaly, jak firmy jako I-Soon shromažďují informace, které mohou být vojensky užitečné, uvedli odborníci. Samotná čínská vláda dlouhodobě považuje údaje o čínské navigaci za citlivé a stanovila přísná omezení pro to, kdo je může shromažďovat.

„Zjištění terénu silnic je klíčové pro plánování přesunů obrněných vozidel a pěchoty po ostrově na cestě k obsazení populačních center a vojenských základen,“ řekl Dmitrij Alperovič, odborník na kybernetickou bezpečnost.

Další informace zahrnovaly interní e-mailové služby nebo intranetové přístupy několika ministerstev jihovýchodní Asie, včetně malajsijských ministerstev zahraničí a obrany a thajské národní zpravodajské agentury. Podle spisů byly k mání také imigrační údaje z Indie, které zahrnovaly údaje o letech a vízech domácích i zahraničních cestujících.

V dalších případech společnost I-Soon tvrdila, že má přístup k údajům soukromých společností, jako jsou telekomunikační firmy v Kazachstánu, Mongolsku, Myanmaru, Vietnamu a Hongkongu.

Získaná odhalení o čínských útocích pravděpodobně potvrdí obavy tvůrců politiky ve Washingtonu, kde úředníci opakovaně vydávají hrozivá varování před takovými hackerskými útoky. Minulý týden v Mnichově ředitel Federálního úřadu pro vyšetřování Christopher A. Wray prohlásil, že hackerské operace z Číny jsou nyní namířeny proti Spojeným státům v „rozsahu větším, než jaký jsme dosud viděli“, a zařadil je mezi hlavní hrozby pro americkou národní bezpečnost.

Stal se jedním z prvních vysokých představitelů, kteří otevřeně hovořili o Volt Typhoon, což je název čínské sítě hackerů, kteří umístili kód do kritické infrastruktury, což vyvolalo poplach v celé vládě. Představitelé zpravodajských služeb se domnívají, že kód měl vyslat zprávu: že Čína může kdykoli narušit dodávky elektřiny, vody nebo komunikace.

Některé z kódů byly nalezeny v blízkosti amerických vojenských základen, jejichž provoz závisí na civilní infrastruktuře, zejména základen, které by se podílely na případné rychlé reakci na útok na Tchaj-wan.

„Je to špička ledovce,“ uzavřel Christopher A. Wray.

Autor: Lukáš Drahozal

Zdroj: business-standard.com, theguardian.com