Cinci membri ai unui presupus grup de hacking chinez au fost acuzați pentru rolul lor într-un plan de piratare a peste 100 de companii din SUA, a anunțat miercuri Departamentul de Justiție american. Doi oameni de afaceri din Malaezia au fost arestați într-un rechizitoriu separat și acuzați că i-au ajutat pe acei hackeri să profite de intruziunile în industria jocurilor video, a declarat Departamentul de Justiție.
FBI spune că hackerilor, care fac parte dintr-un grup cunoscut sub numele de „APT41”, li sa permis să opereze de către guvernul chinez, despre care SUA spune că nu a făcut niciun efort pentru a reduce activitățile de hacking ale propriilor lor cetățeni.
“În mod ideal, aș fi mulțumit autorităților chineze de aplicare a legii pentru cooperarea lor în această chestiune, iar cei cinci hackeri chinezi ar fi acum în custodie în așteptarea procesului”, a declarat procurorul general adjunct Jeffrey Rosen într-un briefing de presă în care a anunțat acuzațiile.
Cei cinci cetățeni chinezi care se confruntă cu acuzații au fost identificați ca fiind Zhang Haoran, Tan Dailin, Qian Chuan, Fu Qiang și Jiang Lizhi. Rosen a spus că unul dintre ei i-a spus unui coleg că este „foarte aproape” de Ministerul Securității de Stat din China. Companiile victimă erau situate în SUA, Australia, Brazilia, Germania, India, Japonia și Suedia. Suspecții ar fi vizat și furnizorii de telecomunicații din SUA, Australia, Tibet, Chile, India, Indonezia, Malaezia, Pakistan, Singapore, Coreea de Sud, Taiwan și Thailanda.
Acest anunț vine la numai două zile distanță după cel făcut luni de Agenția americană de securitate cibernetică și securitate a infrastructurii (US Cybersecurity and Infrastructure Security Agency – CISA) cu privire la un val de atacuri cibernetice purtate de actori ai statului național chinez care vizează agențiile guvernamentale americane și entitățile private.
“CISA a observat că actorii de amenințare cibernetică afiliați [Ministerului Securității Statului] din China, care operează din Republica Populară Chineză, utilizează surse de informații disponibile comercial și instrumente de exploatare open-source pentru a viza rețelele de agenții ale guvernului SUA”, a spus agenția de securitate cibernetică.
În ultimele 12 luni, victimele au fost identificate prin surse precum Shodan, baza de date Common Vulnerabilities and Exposure (CVE) și baza de date națională a vulnerabilităților National Vulnerabilities Database (NVD), exploatând vulnerabilități pentru a alege țintele expuse .
Prin compromiterea site-urilor web legitime și prin folosirea e-mailurilor de tip spear-phishing cu link-uri rău intenționate care direcționează victima către site-urile deținute de atacatori pentru a obține accesul inițial, atacatorii chinezi au implementat instrumente open-source precum Cobalt Strike, China Chopper Web Shell și Mimikatz pentru a extrage informații sensibile din sistemele infectate.
Profitând de faptul că organizațiile nu atenuează rapid vulnerabilitățile cunoscute ale software-ului, atacatorii sponsorizați de stat „vizează, scanează și testează” rețelele guvernamentale americane pentru defecte neperfectate în interfața de utilizare a rețelelor F5 Big-IP Traffic Management User Interface (CVE-2020 -5902), Citrix VPN (CVE-2019-19781), Pulse Secure VPN (CVE-2019-11510) și Microsoft Exchange Servers (CVE-2020-0688) pentru a compromite țintele.
