Следите за новостями

Цифра дня

17,9 млн абонентов сотовой связи имеют доступ к интернету

О хакерах в критической инфраструктуре РК было известно еще два года назад

Если бы данные не утекли в GitHub, широкая общественность об этом не узнала.

22 февраля 2024 17:30, Profit.kz

16 февраля на GitHub были опубликованы данные китайской компании iSoon (Anxun), которая является официальным подрядчиком Министерства общественной безопасности Китая (MPS). Известно, что эта компания связана с Chengdu 404 — структурой, которую контролирует киберразведка КНР. Информацию об утечке опубликовали специалисты Центра анализа и расследования кибератак (ЦАРКА).

«На самом деле про то, что хакерская группировка „сидела“ в Казахстане у телеком-операторов, внутри сферы, мы знали. Это обсуждалось, проводились расследования, в основном — в 2021–2022 годах. Да, если бы не произошла утечка, то, возможно, публика бы долгое время и не узнала об этом кейсе. Но, насколько нам известно, орган, отвечающий за информбезопасность, тоже был в курсе. Так же, как и телеком-операторы — были внутренние расследования. Китайская APT-группировка сидела в казахстанской инфраструктуре около двух лет, и это только верхушка айсберга. Сколько еще невыявленных хакеров и утечек наших данных — неизвестно никому», — рассказал Profit.kz Олжас Сатиев, глава ЦАРКА.

Интересен вопрос о том, кому нужна была эта утечка. Ведь если бы «слива» не было, деятельность хакеров по-прежнему оставалась бы в «тени».

«Обнародовал всю эту информацию неизвестный, но ходят слухи, что это могло быть сделано западными спецслужбами — США, Европа, либо Тайвань. В мире сейчас происходит противоборство, это вопрос пиара страны и репутации. Как вы помните, более пяти лет назад была утечка на WikiLeaks о кибероружии АНБ и ЦРУ. И неизвестные, кто выложил это, заявляли, что спецслужбы (ЦРУ, ФБР) проводят кибератаки по всему миру, у них есть инструментарий, они атакуют страны. Здесь, возможно, как раз была „ответочка“, чтобы показать: „вот, компании, работающие тесно с правительством Китая, так же имеют в своем арсенале кибероружие“», — пояснил Олжас Сатиев.

Утечка проливает свет на методы китайской разведки — это ПО, трояны для Windows, Mac, iOS и Android, сервисы для DDoS, системы деанонимизации пользователей соцсетей, оборудование для взлома Wi-Fi и многое другое. Целью атакующих были как общая информация, например базы данных, так и точечная — о конкретных лицах (контроль переписки, звонков и передвижения). Ообъем украденной информации измеряется терабайтами. А источники данных — критические объекты инфраструктуры Казахстана, Кыргызстана, Монголии, Пакистана, Малайзии, Непала, Турции, Индии, Египта, Франции, Камбоджи, Руанды, Нигерии, Гонконга, Индонезии, Вьетнама, Мьянмы, Филиппин и Афганистана. Специалисты говорят, что разведки всего мира и хакеры уже начали активно изучать эту информацию.

Как отметили в ЦАРКА, объем и характер данных указывает на системные ошибки в системе защиты информации в Казахстане. Доступные материалы утечки свидетельствуют о том, что как минимум одна хакерская группировка более двух лет имела полный доступ к критической инфраструктуре отечественных операторов связи. Более того, специалисты подчеркивают, что это еще неполный объем информации, который Казахстан позволил украсть у себя.

Один из файлов, обнаруженных в утечке, содержит информацию об абонентах операторов связи telecom.kz, beeline.kz, kcell.kz, tele2.kz. Хакеры контролировали журналы событий операторов, продолжительность звонков, IMEI устройств и биллинг звонков. Также были опубликованы персональные данные абонентов IDNET и IDTV, с логинами и паролями.

Более того, в утечке упоминается ЕНПФ за 2019 год. Согласно опубликованной информации ЦАРКА «интрасеть полностью контролируется, и пользовательские данные могут быть проверены на наличие имени, идентификатора, адреса и номера телефона. Основные поля образца: имя, номер телефона, адрес и т. д.». В одном из скринов фигурирует предположительно информация по почтовому серверу Министерства обороны РК, а некоторые скрины включают в себя данные об авиаперевозчике Air Astana. Также найдены файлы, содержащие переписку хакерской группировки между собой, в которой они обсуждают прослушиваемых абонентов и их информацию.

«Мы проверили кто является жертвами данной хакерской группировки и кем они больше всего интересовались. Результаты проверки номеров через различные утечки и GetContact выявили, что целенаправленные атаки совершались, в том числе и на сотрудников силовых структур», — сообщает ЦАРКА.

Среди материалов утечки также имеется документация и описание шпионских программ для мониторинга и сбора информации. Более всего настораживает тот факт, что среди программ фигурирует троян удаленного доступа для Windows x64/x86, который не смогут 95% антивирусных программ, включая Kaspersky, Symantec и другие популярные решения. Троян умеет самостоятельно удаляться и стартовать.

«Вопрос противостояния зарубежным, да и вообще хакерам — это вопрос бюджетов и кадров, — комментирует глава ЦАРКА. — И, к сожалению, в Казахстане с этим есть проблемы. Недостаточно выделяется денег на информбезопасность. Зачастую руководители думают — „кому мы нужны“. Как раз вот этот кейс показывает, что мы нужны, за нами охотятся, нас взламывают, проводят кибершпионаж. Поэтому я считаю, что и деньги должны выделяться больше на ИБ, и нужно делать упор на кадры, а также создание отечественных решений в части информбезопасности».

Между тем, в ЕНПФ уже опровергли утечку персональных данных казахстанцев из базы, отметив, что в опубликованных материалах «приведено лишь описание сайта enpf.kz, сайт является открытым источником информации и не содержит персональных данных вкладчиков и получателей».

Министерство цифрового развития, инноваций и аэрокосмической промышленности РК совместно с Комитетом национальной безопасности проводит анализ полученных материалов.

«По итогу анализа будут проведены внеплановые проверки в соответствующих организациях на предмет соблюдения требований законодательства Республики Казахстан о персональных данных и их защите, а также информационной безопасности», — сообщили в МЦРИАП.

На инцидент отреагировали и депутаты. Так, Екатерина Смышляева потребовала усилить защиту персональных данных казахстанцев. С соответствующим депутатским запросом она выступила на пленарном заседании мажилиса.

«Управление по защите персональных данных со штатной численностью всего четыре единицы осуществляет защиту прав всех граждан РК, а также иностранных граждан, которые прибывают на территорию нашей страны. Это более 20 миллионов субъектов персональных данных. Учитывая внедрение государственного контроля, объем работы вырастет в разы. При этом участие отраслевых государственных органов в вопросах защиты своих же данных, и даже тайн, нельзя назвать полноценным. Это серьезная проблема, поскольку правильные законы при слабом администрировании еще не гарантируют защиту, а их наличие создает опасную иллюзию порядка», — заявила депутат. Она сказала о необходимости увеличить штатную численность уполномоченного органа по вопросам защиты персональных данных или рассмотреть перераспределение функций с возможной их передачей в конкурентную среду.

В KZ-CERT (Национальная служба реагирования на компьютерные инциденты) подтвердили, что в 2022 году АО «ГТС» во взаимодействии с КНБ в инфраструктуре операторов сотовой связи Казахстана выявлена деятельность иностранной хакерской группировки.

«Проверка показала, что злоумышленники получили неправомерный доступ к базам данных еще в 2021 году. Причиной проникновения явилось грубое нарушение мер по обеспечению информационной безопасности со стороны самих операторов связи. Принятыми мерами угрозы и риски нейтрализованы. Организаторы и члены хакерской группировки находятся в международном розыске по инициативе сразу нескольких стран», — сообщили в АО «ГТС».

Подписывайтесь на каналы Profit.kz в Facebook и Telegram.