Китайские эксперты по кибербезопасности разоблачили группу хакеров, основные члены которой являются выходцами из Европы и Северной Америки, которая проводила непрерывные кибератаки против Китая в качестве своей основной цели, представляя серьезную угрозу кибербезопасности страны и безопасности данных, сообщает Global Times. Пекинская лаборатория кибербезопасности в воскресенье.
В отчете Global Times, полученном из лаборатории Qi An Pangu, говорится, что хакерская группа под названием Against The West (ATW) заявила о раскрытии конфиденциальной информации, включая исходный код и базу данных важных информационных систем, связанных с Китаем, о более чем 70 раз с 2021 года с участием около 300 информационных систем более 100 важных государственных учреждений, а также ведомств авиации и инфраструктуры.
В частности, с 2022 года ATW активизировала свою деятельность и продолжала проводить крупномасштабное сканирование, обнаружение и атаки «цепочек поставок» на китайские сети, говорится в отчете.
Благодаря долгосрочному отслеживанию эксперты по кибербезопасности из лаборатории Qi An Pangu обнаружили, что активные члены ATW в основном занимаются программированием и профессиями, связанными с сетевыми инженерами, и в основном они находятся в Швейцарии, Франции, Польше, Канаде и других странах.
Это уже второй раз, когда лаборатория раскрывает истинное лицо хакерской организации, занимающейся кражей данных и сетевыми атаками на Китай, после раскрытия полных технических деталей Equation, элитной хакерской группы, связанной с АНБ, в Февраль 2022 г. Было обнаружено, что Equation создает продвинутый и скрытый бэкдор, который уже более десяти лет используется для мониторинга 45 стран и регионов.
Согласно отчету, группа ATW была создана в июне 2021 года и начала активно участвовать в онлайн-форумах в октябре того же года. С момента своего основания ATW демонстрировала явную антикитайскую предвзятость. Он публично заявил, что «будет публиковать посты об утечке данных в Китае, Северной Корее и других странах». Он также опубликовал специальный пост под названием «ATW-война против Китая», в котором явно поддерживалась «независимость Тайваня», отстаивалась «независимость Гонконга» и раздувались «проблемы прав человека» в китайском регионе Синьцзян.
С октября 2021 года организация активна в зарубежных социальных сетях, демонстрируя четкую проамериканскую и прозападную направленность. ATW опубликовала несколько заявлений, в которых утверждалось, что целями организации являются Россия, Беларусь, Китай, Иран и Северная Корея, и она готова делиться файлами с США и ЕС или нанята их соответствующими агентствами.
Согласно неполным статистическим данным, с 2021 года ATW более 70 раз раскрывала исходный код важной информационной системы, базу данных и другую конфиденциальную информацию. Организация утверждала, что данные поступили от более чем 100 китайских ведомств, в том числе от государственных органов и государственных предприятий.
Например, 7 января 2022 года ATW заявила о продаже «большого объема правительственных, неправительственных, институциональных и корпоративных данных в Китае с участием 102 китайских организаций».
Однако специалисты лаборатории обнаружили, что так называемый исходный код представляет собой файлы тестовых данных или кода проекта, разработанные малыми и средними предприятиями по разработке программного обеспечения. Эксперты также обнаружили, что для того, чтобы привлечь внимание, ATW имеет тенденцию искажать и преувеличивать свои атаки.
Лабораторная группа определила шесть активных членов ATW, трое из которых из Франции и один из Канады. Одной из участниц Тилли Коттманн, родившейся в Швейцарии, в марте 2021 года Министерство юстиции США предъявило обвинение, но в конце марта дело было внезапно приостановлено. С тех пор, согласно отчету лаборатории, Китай стал одной из главных целей Коттманна.
Организация в основном проводила масштабное сканирование и атаки на технические уязвимости в SonarQube, Gogs, Gitblit и других сетевых системах с открытым исходным кодом. Затем они украдут соответствующий исходный код и данные, которые можно использовать для дальнейшего использования и проникновения в сетевую информационную систему.
«Это типичная атака на цепочку поставок», — заявил в воскресенье Global Times старший эксперт по кибербезопасности из лаборатории.
Он предложил, чтобы предприятия-разработчики программного обеспечения немедленно устраняли уязвимости в программном обеспечении, строго контролировали разрешения на доступ к общедоступным сетям и своевременно вносили изменения в пароли доступа по умолчанию, а также улучшали возможности управления безопасностью исходного кода.
Что касается утечки исходного кода системы, развернутой в пользовательском блоке, эксперт предложил предприятиям-разработчикам ПО усилить аудит безопасности исходного кода системы, а также шифровать и хранить исходный код и данные важных информационных систем.
«Государственные ведомства и технические группы, связанные с кибербезопасностью, должны усилить мониторинг незаконных кибератак организации ATW, предупредить тенденцию атаки и провести отслеживание фона и другие контрмеры», — сказал эксперт.
