Sul piano interno si tratta sicuramente del più grande tradimento della Cina: un dipendente della società I-Soon ha rivelato dati e servizi che venivano utilizzati per attaccare aziende e governi stranieri. La Cina nega la questione degli hacker stranieri, ma i dati trapelati sono enormi e la divulgazione delle capacità degli strumenti ricorda il giorno delle fughe di notizie di Snoden. Ora la Cina ha il suo Snowden.
Secondo una ricerca condotta dagli specialisti di Malwarebytes e SentinelOne, ecco cosa è successo: i dati di un fornitore cinese di sicurezza informatica che lavora per il governo cinese hanno rivelato una serie di strumenti e servizi di hacking. Sebbene la fonte non sia del tutto chiara, sembra che un dipendente scontento del gruppo abbia fatto trapelare intenzionalmente l'informazione.
Hacker nei servizi governativi cinesi
Si ritiene che il provider i-Soon (alias Anxun) sia un appaltatore privato che opera come Advanced Persistent Threat (APT) per il Ministero cinese della Pubblica Sicurezza (MPS). I dati trapelati sono divisi in alcuni gruppi come: B. Reclami sull'azienda, registrazioni di chat, informazioni finanziarie, prodotti, informazioni sui dipendenti e dettagli su infiltrazioni straniere. Secondo i dati trapelati, i-Soon si è infiltrato in diverse agenzie governative, comprese quelle di India, Tailandia, Vietnam, Corea del Sud e NATO.
Alcuni degli strumenti utilizzati da i-Soon sono abbastanza impressionanti. Alcuni punti salienti:
- Twitter (ora
- RAT personalizzati (Trojan di accesso remoto) per Windows x64/x86: le funzionalità includono gestione di processi/servizi/registro, shell remota, keylogging, registrazione dell'accesso ai file, recupero delle informazioni di sistema, disconnessione remota e disinstallazione.
- La versione iOS del RAT afferma inoltre di autorizzare e supportare tutte le versioni di dispositivi iOS senza jailbreak, con funzionalità come informazioni hardware, dati GPS, contatti, file multimediali e registrazione audio in tempo reale come estensione. (Nota: questa parte è del 2020)
- La versione Android può eseguire il backup dei messaggi di tutte le più diffuse app di chat cinesi QQ, WeChat, Telegram e MoMo ed è in grado di potenziare l'app di sistema per la persistenza contro il ripristino interno.
- Dispositivi portatili per attaccare le reti dall'interno.
- Attrezzature speciali per i dipendenti che lavorano all'estero per stabilire una comunicazione sicura.
- Database di ricerca utenti che elenca i dati utente inclusi numero di telefono, nome ed e-mail e può essere correlato con gli account dei social media.
- Quadro di scenari mirati per test di penetrazione automatizzati.
Gli obiettivi erano i governi e la NATO
Sebbene alcune informazioni siano obsolete, i dati trapelati forniscono uno sguardo sulle operazioni di un fornitore leader di spyware e di APT-for-Hire. Nelle prossime settimane e mesi, la scoperta scatenerà sicuramente alcune discussioni nella diplomazia internazionale. Molti paesi utilizzeranno le prove per scoprire le lacune nella loro sicurezza nazionale. Secondo le società Malwarebytes e SentinelOne è stata scoperta solo la punta dell'iceberg. Probabilmente c’è ancora molto materiale da tradurre. Anche se ciò richiederà diversi mesi, fornirà molte informazioni importanti sugli hacker statali cinesi.
Altro su Malwarebytes.com Altro su SentinelOne.com
A proposito di Malwarebytes Malwarebytes protegge gli utenti domestici e le aziende da minacce pericolose, ransomware ed exploit che i programmi antivirus non rilevano. Malwarebytes sostituisce completamente altre soluzioni antivirus per scongiurare le moderne minacce alla sicurezza informatica per utenti privati e aziende. Più di 60.000 aziende e milioni di utenti si affidano alle innovative soluzioni di machine learning di Malwarebyte e ai suoi ricercatori di sicurezza per prevenire le minacce emergenti ed eliminare il malware che le soluzioni di sicurezza antiquate non riescono a cogliere. Visita www.malwarebytes.com per ulteriori informazioni.
Informazioni su SentinelOne SentinelOne è un leader globale nella sicurezza dell'intelligenza artificiale. La piattaforma Singularity rileva, previene e risponde agli attacchi informatici alla velocità della macchina, consentendo alle organizzazioni di proteggere endpoint, carichi di lavoro cloud, contenitori, identità digitali e dispositivi mobili e connessi alla rete in modo rapido, accurato e semplice.