Druga strona medalu, jak CIA działa w Chinach?

W poniedziałek chińska firma zajmująca się cyberbezpieczeństwem – Qihoo 360 opublikowała raport. Chińczycy twierdzą w nim, że amerykańska Centralna Agencja Wywiadowcza (CIA) przeprowadzi od 11-lat cyberszpiegowską operację skierowaną przeciwko najważniejszym gałęziom przemysłowym Chin. Badania Qihoo dotyczą plików Vault 7 opublikowanych w 2017 r. przez WikiLeaks. Pliki Vault 7 zawierają exploity i narzędzia wykorzystywane przez CIA do atakowania komputerów, routerów, urządzeń mobilnych i systemów IoT.

Inne firmy zajmujące się cyberbezpieczeństwem wcześniej łączyły te narzędzia i exploity z atakami przeprowadzanymi przez grupę określaną jako „Longhorn” i „Lamberts”. Grupa działała w Europie, Azji i Afryce. Qihoo powiedział, że własna analiza ujawniła, że wiele narzędzi Vault 7 zostało wykorzystanych do atakowania chińskich organizacji. Ślady takich działań wykrywane są podobno nawet przed 2017 rokiem, czyli zanim pliki zostały upublicznione przez WikiLeaks.

Według cińskich badaczy, celami są agencje rządowe, instytucje badań naukowych, firmy internetowe, sektor naftowy i organizacje związane z lotnictwem, szczególnie w Pekinie czy Guangdong. Chińska firma twierdzi, że wie o atakach przeprowadzonych przez CIA między wrześniem 2008 r., a czerwcem 2019 r.
„W ataku CIA na chińskie organizacje lotnicze i instytucje badawcze odkryliśmy, że osoby atakujące koncentrowały się głównie na twórcach systemów w tych sektorach, aby przeprowadzić kampanie”, napisało Qihoo w anglojęzycznym blogu. „Ci programiści zajmują się głównie takimi technologiami jak lotnictwo cywilne, takimi jak system kontroli lotów, usługi informacji o frachcie, usługi rozliczeniowe i dystrybucyjne, system informacji pasażerskiej itp.”

Firma dodaje: „Spekulujemy, że w ciągu jedenastu lat ataków infiltracyjnych CIA mogła zdobyć najbardziej tajne informacje biznesowe w Chinach, a także w wielu innych krajach na świecie. Nie wykluczamy nawet możliwości, że teraz CIA jest w stanie śledzić globalny status lotu, informacje dla pasażerów, fracht handlowy i inne powiązane informacje w czasie rzeczywistym. Jeśli domniemanie jest prawdziwe, jakie nieoczekiwane akcje może wykonać CIA, mając takie poufne i ważne informacje?”

Qihoo przedstawia dowody: śledzi firmę powiązaną z CIA- APT-C-39 – podobno używała wielu narzędzi zawartych w wyciekach Vault 7, nawet zanim zostały one upublicznione. Niektóre z „broni atakujących” używanych przez APT-C-39 są powiązane z Narodową Agencją Bezpieczeństwa USA (NSA), która podobno pomogła CIA w opracowaniu broni cybernetycznej. Kolejny dowód sugerujący, że ataki zostały przeprowadzone przez hakerów w Stanach Zjednoczonych, jest związany z faktem, że narzędzia hakerskie zostały skompilowane w godzinach pracy w Ameryce Północnej.

Qihoo powiedział, że jego badania wykazały, że były pracownik CIA Joshua Adam Schulte stworzył wiele „ważnych narzędzi hakerskich agencji”. Schulte pracował dla grupy CIA, która opracowuje narzędzia szpiegowskie, ale opuścił agencję, skonfliktowany ze swoimi pracodawcami, na kilka miesięcy przed wydaniem plików Vault 7. Został oskarżony przez władze USA o rzekome udostępnienie wielu narzędzi hakerskich na portalu WikiLeaks. Pod koniec procesu prokuratorzy przedstawili Schulte jako mściwego, ale obrona zaprzeczyła oskarżeniom i powiedziała, że mężczyzna został kozłem ofiarnym.

Chiny są często oskarżane o prowadzenie operacji cybernetycznych, ale Qihoo twierdzi, że odkryła ponad 40 wyrafinowanych grup hakerskich, w tym sponsorowanych przez państwa narodowe, atakujących Chiny. Firma twierdzi, że jej badania faktycznie pokazują, że „Chiny są jedną z głównych ofiar ataków APT”.

Autor: Kapitan Hack Data dodania: 4 mar 2020 13:19 4 min czytania

Popularne

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Pojawiła się groźna luka, oznaczona jako CVE-2025-59287, pozwalająca atakującym na zdalne wykonanie kodu w systemach z rolą Windows Server Update Services („WSUS”). Co gorsza, został już udostępniony publiczny ex...