Światowi cyberdetektywi badają, kto stoi za armią chińskich hakerów

9 października 2018, 14:00 Alert

Anonimowa grupa nazywająca siebie Intrusion Truth, opublikowała w sierpniu na swoim istniejącym od maja 2017 roku blogu, informacje o jednej z budzących największe podejrzenia chińskich grupy hakerskich śledzonych przez badaczy cyberbezpieczeństwa. Przy okazji opisania dwóch rzekomych chińskich kampanii hakerskich podano nazwiska podejrzanych o uczestniczenie w nich hakerów. Wobec dwóch osób wymienionych na blogu władze USA wysunęły zarzuty.

W ciągu ostatnich 16 miesięcy Intrusion Truth (IT) opublikowało dziesiątki wiadomości na Twitterze i kilkanaście wpisów na swoim blogu. Zamieszczono w nich opisy dowodów łączących chińskie firmy z grupą hakerską znaną jako APT 3 i inną, znaną jako APT 10 lub Stone Panda. Organizacje te, są podejrzewane o współpracę z chińskimi władzami, co pokazuje ogromne i ciągłe zagrożenie ze strony chińskich hakerów. „APT 10 jest jedną z najbardziej aktywnych grup, które śledzimy. Grupa włamała się do firm w Japonii i Europie, jej celem były również podmioty w USA” – powiedział Ben Read, który odpowiada za śledztwa dotyczące cyberprzestępczości w FireEye, Inc.

IT wskazał również kilka chińskich firm twierdząc, że są one powiązane z hakerskimi kampaniami wspieranymi przez tamtejszy rząd. „Skupiamy nasze wysiłki na ustaleniu, czy są to tylko ,,spółki, które hakują”, czy lepiej byłoby je opisać jako przykrywki umożliwiające chińskiemu państwu zatrudnienie hakerów, którzy mogą później stać się kozłami ofiarnymi [uznanymi – przyp.red.] za przestępców”? – ,,tweets” takiej treści pojawił się na koncie IT w sierpniu.

Na początku zeszłego roku grupa wskazała dwóch pracowników Guangdong Bo Yu Information Technology Co., znanego jako Boyusec, którzy współpracowali z chińskimi hakerami z APT 3. Sześć miesięcy później, władze USA oskarżyły Wu Yingzhuo i Dong Hao o udział we włamaniach do komputerów w Moody’s Analitycs i w niemieckiej firmie inżynieryjnej Siemens AG przypisywanych właśnie APT 3. W sierpniu grupa stwierdziła, że jej celem jest sprawienie, by chińscy hakerzy nim zaczną działać „pomyśleli dwa razy o swoich nielegalnych działaniach online”.

Zazwyczaj IT informując o popełnionym cyberprzestępstwie wysyła dane, które mogą zostać zweryfikowane online lub dzięki narzędziom badawczym wykorzystywanym przez profesjonalnych analityków zagrożeń. Dowody na APT 10 zawierają jednak materiał, który byłby trudniejszy uzyskać – kopie rzekomych paragonów Uber, należących do pracownika, który jeździł do budynku obsługiwanego przez chińską agencję wywiadowczą. Agencja ta nie odpowiada na zapytania mediów.

Duże korporacje i firmy ochroniarskie, które zatrudniają reasercherów śledzących działania hakerów w Chinach, a obawiając się represji ze strony chińskiego rządu mogą być niezbyt chętne do ujawniania wyników swoich prac – uważa Read. Stąd być może, tak duża anonimowa aktywność Intrusion Truth. Nikt bowiem nie wie kim są jej członkowie, tak więc ich zachowanie może samo w sobie być kluczem do ich tożsamości. Tak wysoki – wręcz ekspercki poziom wiedzy, umiejętność śledzenia i znajomość języka programowania jaki prezentują aktywiści IT, zdaniem Thomasa Rida, profesora na Johns Hopkins University, posiada bardzo niewielkie grono ludzi na świecie. „To ktoś, kto jest zawodowcem, kto wie co oni robią” – powiedział Rid.

W społeczności cyberśledczych trwa debata na temat tego, kto stoi za IT. Jedna z teorii mówi, że grupa może pracować dla ofiar chińskich hakerów. „Jest cała masa ludzi wskazujących jedni na drugich” – powiedział anonimowo jeden z badaczy, po czym dodał, że już kilkukrotnie był pytany, czy jest część grupy. IT nie odpowiada na prośby o komentarz.

The Wall Street Journal/Roma Bojanowicz