Китайские хакеры шпионили за гражданами стран ЕС, Африки, Центральной и Юго-Восточной Азии

Неизвестные опубликовали на платформе GitHub секретные данные, похищенные у китайской компании iSoon, подрядчика Министерства общественной безопасности КНР.

Согласно опубликованным данным, iSoon связана с хакерской группировкой Chengdu 404, которую контролирует китайская киберразведка.

Опубликованная на GitHub информация, общий объем которой исчисляется терабайтами, содержит как базы данных, так и личные данные о переписках, звонках и передвижении конкретных лиц. Ее источником стала критическая инфраструктура Казахстана, Кыргызстана, Монголии, Пакистана, Малайзии, Непала, Турции, Индии, Египта, Франции, Камбоджи, Руанды, Нигерии, Гонконга, Индонезии, Вьетнама, Мьянмы, Филиппин и Афганистана.

По словам тайваньского исследователя киберугроз Азаки Секая, эти материалы выдали подробности поддерживаемых правительством Китая киберопераций, осуществляемых при помощи шпионского ПО, разработанного компанией I-Soon. Данному событию Секай посвятил целый тред в Twitter:

#threatintel
someone just leaked a bunch of internal Chinese government documents on GitHubhttps://t.co/BO8N64A7kF

— 安坂星海 Azaka 🐼 VTuber (@AzakaSekai_) February 18, 2024

Обнародованные документы предположительно демонстрируют то, как злоумышленники могут атаковать устройства на базе Android и iOS, получая широкий спектр конфиденциальной информации, включая данные GPS, контакты, медиафайлы и даже аудиозаписи в реальном времени.

На инцидент пока отреагировали только в Казахстане, где это событие вызвало широкий резонанс в СМИ и ИБ-сообществе. В частности, служба реагирования на компьютерные инциденты ЦАРКА заявляет, что злоумышленники в течение двух лет имели доступ к критическим объектам IT-инфраструктуры Казахстана.

В Казахстане как минимум одна хакерская группировка имела доступ к системам операторов связи — «Казахтелекома», Beeline, Kcell и Tele2. Злоумышленники могли просматривать журналы событий операторов, продолжительность звонков, IMEI-номера устройств и биллинг вызовов.

В ЦАРКА утверждают, что:

«Это только верхушка айсберга. Сколько ещё невыявленных хакеров и утечек наших данных, неизвестно никому. Всё это результат бессистемных действий и приоритет ведомственного интереса над интересами государства».

Среди «слитых» данных оказались персональные данные пользователей IDNET и IDTV, в том числе логины и пароли. А ещё — скриншоты почтового сервера Минобороны РК и данные об авиаперевозчике Air Astana. Также, по данным Cert (Национальная служба реагирования на компьютерные инциденты), хакерские атаки совершались на казахстанских силовиков.

В утечке также упоминается ЕНПФ (Единый национальный пенсионный фонд РК) за 2019 год.

На ситуацию отреагировали в Министерстве цифрового развития, инноваций и аэрокосмической промышленности Казахстана:

«В связи с распространяющейся информацией в сети Интернет по утечке персональных данных сообщаем, что на сегодняшний день министерством совместно с Комитетом национальной безопасности Республики Казахстан проводится анализ полученных материалов».

Технические подробности инцидента Cert выложила на своём сайте в отдельной публикации.