Departamentul de Justiție al SUA a făcut acuzații împotriva a patru cetățeni chinezi, pentru actiuni de hacking, în numele guvernului chinez. Datele au fost adesea folosite pentru a sprijini eforturile Chinei de a asigura contracte pentru întreprinderile de stat din țările vizate, permițând companiilor chineze să aibă oferte mai bune. Colaborare a mers atât de departe încât „personalul unei universități identificate din Hainan a contribuit și la susținerea și gestionarea companiei de hacking”. Într-o acțiune comună de amploare, Statele Unite, Marea Britanie și UE acuză Ministerul Securității de Stat din China de o campanie de hacking la nivel global.
SUA au declarat că cei patru suspecți, despre care se crede că fac parte dintr-un grup mult mai mare, au înființat o companie numită Hainan Xiandun Technology Development Co., Ltd. (海南 仙 盾) (Hainan Xiandun), pe care au folosit-o ca front pentru hacking-ul lor de campanii.
Anchetatorii americani au declarat că respectiva companie a funcționat sub supravegherea directă a Departamentului de Securitate de Stat Hainan (HSSD), brațul provincial al Ministerului de Securitate de Stat (MSS) din China.
Folosind agenți plantați în interiorul companiei, SUA susține că MSS a dirijat campaniile de hacking ale grupului din cel puțin 2011, selectând ținte care să încalce și apoi să fure informații comerciale confidențiale pe care le vor difuza ulterior în China.
Informații vizate erau legate de procese de cercetare și dezvoltare, potrivit actului de acuzare citat de Departamentul de Justiție al SUA într-un comunicat remis luni.
Oficialii americani au declarat că Hainan Xiandun este responsabil pentru hacking pe care comunitatea de securitate cibernetică a atribuit-o grupurilor sub diferite nume, precum ATP40, BRONZE, MOHAWK, FEVERDREAM, G0065, Gadolinium, GreenCrash, Hellsing, Kryptonite Panda, Leviathan, Mudcarp, Periscope, Temp. Periscop și Temp.Jumper.
Dintre cei patru cetățeni chinezi acuzați astăzi, trei erau ofițeri MSS care lucrau pentru departamentul provincial Hainan, au declarat oficialii DOJ:
Un al patrulea suspect, numit Wu Shurong (吴淑荣), a lucrat ca hacker angajat pentru compania frontală Hainan Xiandun, pentru care a creat malware și apoi l-a folosit pentru a pirata sisteme informatice aparținând guvernelor străine, companiilor și universităților, la cererea dintre cei trei supraveghetori MSS. El ar fi operat sub porecle de hacker precum „goodperson” și „ha0r3n”.
Oficialii DOJ au spus că grupul a folosit atât tulpini de malware publice, cât și personalizate pentru a-și realiza intruziunile.
Grupul a fost cel mai activ între 2011 și 2018. În acest timp, DOJ a declarat că APT40 a încălcat ținte în Statele Unite, Austria, Cambodgia, Canada, Germania, Indonezia, Malaezia, Norvegia, Arabia Saudită, Africa de Sud, Elveția și Statele Unite Regatul.
Sectoarele industriale vizate includ aviația, apărarea, educația, guvernul, îngrijirea sănătății, biofarmaceutice și transportul maritim.
Secretele comerciale furate și informațiile comerciale confidențiale includeau tehnologii sensibile folosite pentru vehiculele submersibile și autonome, formule chimice de specialitate, întreținerea aeronavelor comerciale, tehnologie proprietară de secvențiere genetică.
DOJ a declarat că datele au fost adesea folosite pentru a sprijini eforturile Chinei de a asigura contracte pentru întreprinderile de stat din țările vizate, permițând companiilor chineze să aibă oferte mai bune și să obțină un avantaj asupra concurenților în obținerea unor contracte mari.
„Aceste acuzații evidențiază încă o dată că China continuă să folosească atacuri cibernetice pentru a fura ceea ce realizează alte țări, în totală desconsiderare a angajamentelor sale bilaterale și multilaterale”, a declarat procurorul general adjunct al SUA, Lisa Monaco.
APT40 ar fi fost, de asemenea, implicat în furtul de date de la institute de cercetare și universități, grupul vizând adesea cercetarea bolilor infecțioase legate de Ebola, MERS, HIV / SIDA, Marburg și tularemia.
Mai mult, anchetatorii americani au declarat că APT40 a lucrat îndeaproape cu diverse universități din Hainan și din toată China. Folosind compania frontală Hainan Xiandun, grupul a colaborat cu personalul universității pentru a recruta hackeri și lingviști din rândurile universităților pentru a ajuta la viitoarele intruziuni.
Această colaborare a mers atât de departe încât „personalul unei universități identificate din Hainan a contribuit și la susținerea și gestionarea Hainan Xiandun ca o companie frontală, inclusiv prin salarizare, beneficii și o adresă poștală”, a declarat astăzi DOJ.
Potrivit documentelor instanței, Ding, ofițerul principal despre care se crede că este responsabil cu operațiunile APT40, a primit chiar și un premiu de la MSS în mai 2018 pentru operațiunile de succes ale grupului.
Știrea despre acuzațiile de luni împotriva APT40, a ofițerului MSS Ding Xiaoyang și a departamentului provincial Hainan al MSS nu este o surpriză.
Conexiunile dintre compania frontală Hainan Xiandun, activitatea APT40, Ding și biroul MSS Hainan au fost detaliate anterior în două rapoarte ale grupului de cercetare anonim IntrusionTruth în ianuarie 2020.
Aceasta marchează acum a patra oară când un raport IntrusionTruth se traduce prin acuzații DOJ. Grupul a expus anterior detalii despre implicarea MSS în APT3 (despre care se crede că funcționează în afara provinciei Guangdong), APT10 (provincia Tianjin) și APT17 (provincia Jinan).
După anunțul de luni de la Casa Albă și acuzațiile DOJ, NSA, CISA și FBI au emis, de asemenea, îndrumări tehnice cu privire la detectarea intruziunilor și activității APT40.
Marea Britanie și Uniunea Europeană au acuzat China de un atac cibernetic major în cursul acestui an, scrie BBC. Atacul ar fi vizat peste 250.000 de servere Microsoft Exchange din întreaga lume.
„Atacul cibernetic asupra serverelor Microsoft Exchange de către grupări sprijinite de statul chinez a fost un comportament nesăbuit, dar urmând un model cunoscut, în același timp. Guvernul chinez trebuie să înceteze acest sabotaj cibernetic sistematic, în caz contrar trebuie să se aștepte că vom lua măsuri”, a declrat ministrul britanic de Externe, Dominic Raab, potrivit BBC.
Ministerul Afacerilor Externe (MAE) se alătură demersurilor internaţionale de condamnare a operaţiunilor cibernetice maligne asupra Microsoft Exchange Server şi a campaniei cibernetice a grupării APT40.
Potrivit unui comunicat transmis, luni, în contextul declaraţiilor publicate de către UE şi NATO privind o serie de acţiuni cibernetice maligne, MAE reiterează mesajele emise de către aceste organizaţii.
„Ministerul Afacerilor Externe îşi exprimă solidaritatea cu Statele Unite ale Americii, Regatul Unit al Marii Britanii şi Irlandei de Nord şi ceilalţi parteneri în contextul îngrijorărilor exprimate public cu privire la derularea operaţiunilor cibernetice maligne asupra Microsoft Exchange Server, precum şi cu privire la campania cibernetică a grupării APT40, acţiuni evaluate ca fiind asociate cu RP China şi care au vizat instituţii guvernamentale şi industrii cheie la nivel european şi internaţional. Aceste activităţi cibernetice maligne au fost derulate cu ignorarea cadrului normativ internaţional privind comportamentul responsabil statal în spaţiul cibernetic aşa cum este definit în rapoartele consecutive ale Grupului ONU de Experţi Guvernamentali/UNGGE, reafirmate de către Grupul de Lucru ONU cu Participare Deschisă/OEWG şi aprobate de către Adunarea Generală a ONU”, se arată în comunicat.