Chińscy hakerzy na usługach reżimu czerpią zyski ze sprzedaży zorganizowanym grupom przestępczym dostępów do zinfiltrowanych banków
Chińska policja paramilitarna w Pekinie. 9 grudnia 2015 r. Chińscy hakerzy na usługach rządu stoją za ostatnimi cyberatakami na globalny system bankowy (Kevin Frayer / Getty Images)
Grupa cyberprzestępców włamała się do globalnego systemu bankowego i w serii ataków dokonała grabieży sięgającej 81 mln dolarów z centralnego banku Bangladeszu. Eksperci twierdzą, że ataki były dokonywane z wykorzystaniem fałszywych wiadomości w sieci przelewów połączonej z systemem bankowym.
Śledztwo w sprawie tych ataków jeszcze w czerwu było w toku, odkrywanych jest także wiele podobnych naruszeń. Niektórzy eksperci przypisują je hakerom z Korei Północnej, gdyż narzędzia, jakich użyto w tym wypadku, są podobne do wykorzystanych w ataku na Sony Pictures Entertainment w listopadzie 2014 r.
Zgodnie z tym, co twierdzi informator znający szczegóły ostatnich ataków, sprawca stojący za cyfrowymi włamaniami jest znacznie potężniejszy. Ta osoba prosiła o zachowanie anonimowości ze względów bezpieczeństwa, lecz była w stanie zaprezentować dowody uzasadniające jej stwierdzenia.
Zrzut ekranu udostępniony przez informatora. Pokazuje on, że hakerzy uzyskali dostęp na poziomie root (administratora systemu) „UniTeller”. Informator zaznaczył na czerwono daty uzyskania dostępu. Tekst na ekranie: „Daty wskazują na wejście do systemu w roku 2016”
Chińscy hakerzy zatrudniani przez państwo rozpoznali pewną słabość systemu i użyli jej do zinflitrowania i włamania się do globalnego systemu finansowego, tak twierdzi informator. Kiedy w zeszłym roku ich kontrakt z reżimem komunistycznym się skończył, to sprzedali tę wiedzę cyberprzestępcom na czarnym rynku w sieci darknet, aby uniknąć namierzenia. Darknet jest alternatywnym internetem, dostępnym jedynie przy użyciu specjalnego oprogramowania. Choć ma też legalne zastosowania, grupy przestępcze często wykorzystują jego liczne fora do zakupów, sprzedaży i konspirowania.
Reżim utrzymuje wielką sieć hakerów w ramach Trzeciego Departamentu Generalnego Departamentu Sztabu chińskiej armii. Ci hakerzy wykonują rozkazy komunistycznego reżimu, prowadzą też inne działania, m.in. sprzedają dane dla osobistego zysku. „Epoch Times” zdemaskował ten system w cyklu artykułów śledczych.
Cyberprzestępcze grupy, które kupiły informacje dotyczące luk w systemach informatycznych, najprawdopodobniej stoją za obecnymi atakami i nielegalnymi transferami pieniędzy.
„Chińczycy zdobyli permanentny dostęp do sieci finansowych, które obrali jako cel, i wyciągnęli z nich wszystkie informacje, jakich wymagał kontrakt ze sponsorem tego przedsięwzięcia” – powiedział informator. „Teraz, kiedy znają już luki w systemie, mogą na tym zarobić i dlatego sprzedają te informacje grupom przestępczym.
Proces infiltracji
Kod użyty przy tych atakach pochodzi z wielu źródeł, co najprawdopodobniej miało zmylić śledczych i doprowadzić ich do fałszywych wniosków. Informator stwierdził, że część kodu została napisana przez chińskich hakerów, a część kupiona na rosyjskich uniwersytetach.
Informator powiedział, że chińscy hakerzy nie sprzedają informacji na temat luk systemu żadnej konkretnej grupie cyberprzestępczej. „Sprzedają informacje o słabościach systemu jednego banku jednej grupie” – podkreślił. Stwierdził również, że większość hakerów stojących za tymi atakami raczej niewiele umie. „Nie są programistami” – zaznaczył. „Po prostu wiedzą, jak wypuścić pakiety i jak je rozlokować”.
Był w stanie udostępnić dane kryminalistyczne oraz zrzuty ekranu, które potwierdzają jego słowa. Przekazał też listę namierzonych banków, która – jak stwierdził – stale się powiększa. Na ten spis składa się m.in. długa lista banków i systemów finansowych będących częścią większej struktury bankowej – znajdują się tam banki ze Stanów Zjednoczonych, Ameryki Łacińskiej i Azji.
Chińcy hakerzy na usługach rządu atakują sieci bankowe od 2006 r. – jak podaje informator. A w 2013 r. zaczęli umieszczać złośliwe oprogramowanie w systemach informatycznych banków.
Stwierdził też, że chińscy hakerzy włamali się do sieci obsługującej transfery pieniężne UniTeller, która jest częścią Banorte, trzeciego co do wielkości banku w Meksyku.
„W skrócie: najważniejsza infrastruktura Meksyku jest w posiadaniu tej samej grupy APT” – powiedział informator. Termin APT użyty przez niego w kontekście chińskiej grupy hakerów oznacza Advanced Persistent Threats, czyli zaawansowane i stałe zagrożenie. „Są tam wszędzie” – podkreślił, odwołując się do stopnia, w jakim chińscy hakerzy opanowali najważniejsze sieci w Meksyku.
Post na forum cyberprzestępczym w darknecie oferuje dostęp do meksykańskich sieci rządowych. Zaznacza się w nim, że to dostęp „idealny dla cyberszpiegów” (zrzut ekranu udostępniony The Epoch Times przez poufne źródło)
Post na cyberprzestępczym forum w sieci darknet, w którym sprzedaje się dostęp do „wszystkich informacji” odnośnie Meksyku. Sprzedający oferuje nową metodę włamywania się do sieci oraz informacje o „wielkich przedsiębiorstwach” sektora finansowego (zrzut ekranu udostępniony The Epoch Times przez poufne źródło)
Post na cyberprzestępczym forum w sieci darknet, w którym sprzedaje się dostęp do meksykańskiej Federalnej Komisji ds. Elektryczności (zrzut ekranu udostępniony The Epoch Times przez poufne źródło)
Około czerwca 2015 r. chińscy hakerzy finansowani przez państwo sprzedali informacje o lukach systemów informatycznych grupom cyberprzestępczym, a te organizacje od razu rozpoczęły rozpoznawanie, badanie oraz infekowanie banków i systemów finansowych.
Informator stwierdził, że hakerzy wykorzystali lukę w kodzie, którego używano do tworzenia aplikacji webowych Apache Struts v2. Ta część kodu była słabością systemu w roku 2006, a została naprawiona w 2013. Dodał także, że od czasu gdy hakerzy włamali się do sieci, w ten sam sposób obierają sobie za cel wiele innych systemów finansowych.
Mimo że chińscy hakerzy na usługach rządu sprzedali dostęp do sieci bankowych niedawno, to nasz informator podkreśla, że badali oni i infekowali globalny system bankowy przez ostatnie 8 lat.
Kiedy zdecydowali się sprzedać informacje na temat luk w systemach informatycznych, to nie utracili przy tym do nich dostępu. Sprzedawali te informacje w momencie, kiedy już je wykorzystali do własnych celów. Innymi słowy, chińscy hakerzy wciąż mają dostęp do tych sieci – i to nie tylko do kilku banków, ale do prawie całego globalnego systemu bankowego.
Informator podejrzewa, że chińscy hakerzy sprzedają informacje o lukach systemów zarówno dla zysku, jak i w celu wykorzystania grupy cyberprzestępczej jako wabika, który odciągnie uwagę od ich wielkich włamań do systemów informatycznych. Zaryzykował nawet stwierdzenie, że to mogą być wczesne stadia globalnego kryzysu bankowego.
Korekta: W poprzedniej wersji tego artykułu na dwóch zrzutach ekranu pokazujących kod stwierdzono, że to były exploity [programy wykorzystujące błędy w oprogramowaniu – przyp. tłumacza]. Tak naprawdę ten kod to certyfikaty bezpieczeństwa meksykańskiego banku będącego ofiarą ataku cyberprzestępczego. Jego system transferu pieniędzy został złamany, a kluczowe dane wykradzione. Hakerzy mogą używać tego certyfikatu do wysyłania wiadomości poprzez sieci banku, dzięki czemu automatycznie otrzymują autoryzację.
Tekst oryginalny ukazał się w anglojęzycznej edycji „The Epoch Times” dnia 2016-06-07, link do artykułu: http://www.theepochtimes.com/n3/2085775-exclusive-chinese-state-hackers-started-cyber-bank-robberies/
