Связанные с китайскими спецслужбами хакеры шпионят за китайцами, взламывают аккаунты и атакуют иностранные организации

На Github появились документы, которые, как заявляется, относятся к деятельности китайской компании 安洵 (иногда называют iSoon или Anxun), которая сотрудничает с китайским правительством. В AP News и The Washington Post проанализировали утечку. 

Утечка появилась на Github в середине февраля, однако её источник остаётся неизвестным. До инцидента на сайте I-Soon была страница со списком клиентов, среди которых было китайское Министерством общественной безопасности. Также в него вошли 11 разных органов безопасности нескольких провинций и примерно 40 муниципальных «отделов общественной безопасности». Известно, что компания также сотрудничала с полицией. 

Более того, фирма хвасталась использованием APT-технологий, помогающих хакерам незаметно попадать в системы и воровать данные на протяжении некоторого времени. Сейчас страницы с этим содержимым оказались недоступны. Источники AP News говорят, что китайские силовики уже начали проверку в поисках источника утечки. Сотрудникам iSoon при этом сказали «работать как обычно».

В опубликованном архиве находится несколько файлов на китайском языке, включая графики, презентации и таблицы. Судя по всему, они были предназначены для внутреннего использования. 

«ISoon подписала сотни соглашений с китайской полицией, которые варьируются от небольших рабочих мест стоимостью 1,4 тысячи долларов США до многолетних контрактов стоимостью до 800 тысяч долларов США. В просочившихся руководствах к продуктам компания описывает услуги и их стоимость, а также хвастается возможностью незаметно украсть данные. В описаниях продуктов, ориентированных на клиентов из государственного силового сектора, хакерские миссии иногда описываются терминами военного времени», — сообщают журналисты.

Как отмечают в Malwarebytes, из утечки следует, что в распоряжении сотрудничающей с китайскими силовиками фирмы находится несколько мощных хакерских инструментов. Один из описанных инструментов позволял перехватывать адреса электронной почты и номера телефона пользователей в Twitter, проводить мониторинг в реальном времени, читать личные сообщения и публиковать твиты от имени взломанных пользователей. В компании вели свою собственную базу данных граждан с их номерами и адресами имейлов, которые можно использовать для взлома в будущем.

За 55,6 тысячи долларов клиенты могли заказать рассылку фишинговых имейлов для получения доступа и захвата учётных записей в Твиттере. Можно предположить, что «услугой» пользовались силовики, так как в документах подчёркивается возможность использовать этот вид взлома для пресечения деятельности «незаконных» и «реакционных настроений» и противодействию «манипулированию дискуссией».

iSoon также разработала RAT-троян для дистанционного доступа к компьютерам на Windows. Программа позволяет хакерам управлять процессами, службами и реестром ПК, воровать вводимые пароли, а также удалять заданные файлы на чужих компьютерах и отключать их. Более того, в распоряжении этого подрядчика была похожая программа для доступа к устройствам Apple на iOS. Из утечки следует, что вирус позволял получать информацию об оборудовании, данные GPS, контакты, медиафайлы и аудиозаписи «в реальном времени». Существует и версия для Android, которая может пересылать хакерам сообщения из всех популярных китайских мессенджеров (QQ, WeChat, MoMo) и Telegram.

Судя по всему, в iSoon занимались разработкой не только приложений, но и оборудования для взлома. В документах упоминаются устройства, замаскированные под удлинители и аккумуляторы, которые можно использовать для взлома сетей Wi-Fi. Более того, эта же фирма позволяла силовикам закупать оборудование для работающих за границей шпионов для установления безопасной связи.

Исходя из утечки можно предположить, что проправительственные китайские хакеры взламывали не только жителей КНР, но и цели за рубежом. В одном из файлов перечислены 80 зарубежных целей, которые подверглись атаке iSoon. Среди полученных данных оказались гигабайты иммиграционных данных из Индии и несколько терабайтов биллингов крупного южнокорейского оператора LG U Plus. Компания атаковала другие телекоммуникационные компании в Гонконге, Казахстане, Малайзии, Монголии, Непале и Тайване. Некоторые цели на момент взлома находились в Пакистане и Камбодже.

Предполагается, что iSoon также собирала данные об инфраструктуре, в том числе на территории Тайваня. Вероятно, эти данные были интересны китайским военным. Хакеры также взломали не менее десяти правительственных учреждений Таиланда, включая МИД, разведывательное управление и парламент. 

«Большинство целей находились в Азии, хотя iSoon получала запросы на взломы и в других регионах. В журналах чата, включённых в утечку, описывается продажа неуказанных данных, связанных с НАТО, в 2022 году. Неясно, были ли эти данные собраны из общедоступных источников или извлечены в результате взлома. В другом файле говорится о списке целей для взлома в Великобритании, включая министерства внутренних дел, Минфина и Форин-офиса, а также аналитического центра Chatham House и “Международного института стратегических исследований”», — пишут в WP.

В одном из случаев в конце 2021 года iSoon, не скрывая своих действий, сообщила потенциальным клиентам о получении доступа к внутренней сети тибетского «правительства в изгнании». Покупатели данных нашлись в течение 37 минут; скорее всего, они были связаны с властями. 

В другом документе говорится, что i-Soon предлагала «антитеррористическую техническую поддержку» полиции Синьцзяна для отслеживания мусульманского уйгурского населения в Центральной и Юго-Восточной Азии. Помимо прочего, для этого предлагалось использовать полученные хакерами данные авиакомпаний, операторов сотовой связи и информации из официальных правительственных без данных из Монголии, Малайзии, Афганистана и Таиланда. Был ли осуществлён этот проект, неизвестно.

Китайское правительство шпионит за уйгурским населением и перемещает его в специальные «лагеря перевоспитания». Официальной информации о них нет. Пекин отрицает существование таких учреждений, несмотря на тот факт, что их расположение подтверждено снимками со спутников. Люди, которые побывали в этих лагерях, говорят, что их сотрудникам разрешено стрелять в заключённых на поражение.