Подробности о массовом сливе данных казахстанцев рассказали в Центре анализа и расследования кибератак (ЦАРКА).
Специалисты заявили, что как минимум одна группировка хакеров более двух лет «имела полный доступ к критической инфраструктуре казахстанских операторов связи».
Что произошло?
16 февраля в сеть "слили секретные данные" одной IT-компании, сотрудничающей с Министерством общественной безопасности КНР и связанной с "контролируемой киберразведкой Китая" хакерской группировкой.
На ресурсе GitHub неизвестными был опубликован слив секретных данных китайской компании iSoon (ака Anxun) - одного из подрядчиков Министерства общественной безопасности Китая (MPS). Сообщается, что она связана с Chengdu 404 - структура контролируемая киберразведкой КНР известная как APT41.
Утечка проливает свет на формы и методы китайской разведки. ПО, трояны для Windows, Mac, iOS и Android, сервисы для DDoS, системы деанонимизации пользователей соцсетей, оборудование для взлома Wi-Fi и многое другое. Много информации о методике проникновения и получения информации.
Целью атакующих были как общая информация, такие как базы данных, так и точечная информация конкретных лиц: контроль переписки, звонков и передвижения. Анализ данных показал, что объем украденной информации измеряется терабайтами. Источник данных — критические объекты инфраструктуры Казахстана, Кыргызстана, Монголии, Пакистана, Малайзии, Непала, Турции, Индии, Египта, Франции, Камбоджи, Руанды, Нигерии, Гонконга, Индонезии, Вьетнама, Мьянмы, Филиппин и Афганистана.
Что известно о Казахстане?
В ЦАРКА считают, что объем и характер данных указывает на системные ошибки в системе защиты информации в нашей стране.
Например, хакеры контролировали журналы событий операторов, продолжительность звонков, IMEI устройств и биллинг звонков. В утечке имеются файлы с информацией об абонентах операторов связи. Также опубликованы данные пользователей IDNET и IDTV c персональными данными абонентов, их логинами и паролями.
В утечке также упоминается ЕНПФ (Единый национальный пенсионный фонд РК) за 2019 год. А в одном из скринов фигурирует предположительно информация по почтовому серверу Министерства обороны РК. Некоторые скрины включают в себя данные об авиаперевозчике Air Astana.
В ЦАРКА проверили, кто является жертвами данной хакерской группировки и кем они больше всего интересовались. Результаты проверки номеров через различные утечки и GetContact выявили, что целенаправленные атаки совершались, в том числе и на сотрудников силовых структур.
«Китайская APT-группировка сидела в казахстанской инфраструктуре около 2 лет и это только верхушка айсберга. Сколько еще невыявленных хакеров и утечек наших данных неизвестно никому. Все это результат бессистемных действий и приоритет ведомственного интереса над интересами государства. Структура государства, в которой Комитет информационной безопасности подчинен Министерству цифровизации всегда будет уязвима. Казахстан нуждается в отдельном независимом органе вне Правительства, ответственным за кибербезопасность - Агентство по кибербезопасности», – заявили специалисты.