Grupę APT41 od dawna podziwialiśmy za ataki na CCleanera czy Asusa, w których infekowane były miliony komputerów tylko po to, by dopaść kilka stacji. Najnowszy akt oskarżenia pokazuje jednak, że widzieliśmy tylko wąski wycinek ich działalności.
Amerykański Departament Sprawiedliwości opublikował dzisiaj akt oskarżenia przeciwko chińskim hakerom, stanowiącym część grupy znanej jako APT41 lub Winnti/Barium. Polecamy lekturę całości, ponieważ my skupimy się tylko na wątkach najciekawszych z naszego punktu widzenia. Opuścimy na przykład całą sekcję o hakowaniu producentów gier – a jest naprawdę obszerna. Co zatem jest ciekawego? Wyróżniliśmy dwa wątki.
Zhakowali TeamViewera, by hakować innych
To, że APT41 dysponowało loginami i hasłami użytkowników TeamViewera wiadomo było od około roku dzięki świetnemu raportowi firmy FireEye. Dopiero akt oskarżenia pokazuje jednak, jaka była skala inwazji w infrastrukturze TeamViewera. Firma, określona w dokumencie jako Electronic Service Provider #1 (ECS #1), dała się zhakować co najmniej już w czerwcu 2015 a przestępcy utrzymywali swój dostęp co najmniej do lutego 2017. Do tego z wykradzionych danych dostępowych korzystali dużo dłużej. Włamywacze zainfekowali dziesiątki komputerów w firmie oferującej TeamViewera, ukradli kod źródłowy i certyfikaty służące do podpisywania aplikacji oraz dane logowania klientów firmy.
Włamanie do TeamViewera było dla hakerów niewyczerpanym źródłem dalszych inspiracji. Przechwycone czaty przestępców pokazują, jak przeszukiwali bazy firm giełdowych, następnie ustalali ich adresy domenowe i przeszukiwali bazę TeamViewera pod kątem loginów w tych domenach, by uzyskać dostęp do interesujących ich celów.
Popularny szyfrowany komunikator używany w 200 krajach
Innym, niesamowicie ciekawym sukcesem włamywaczy jest podmiot nazwany ECS #11, opisywany jako „dostawca usług telekomunikacyjnych, działający w USA, Europie, Azji oraz w innych miejscach”, a także „twórca i dystrybutor popularnej platformy szyfrowanej komunikacji”. Zanim spróbujemy ustalić, o jaki produkt chodzi, warto wskazać, że przestępcy posiadali dostęp do jego infrastruktury od marca 2015 do co najmniej stycznia 2020. W trakcie tych ataków nie tylko uzyskali dostęp do kodu źródłowego, ale także do danych milionów użytkowników tego komunikatora. Według aktu oskarżenia przeprowadzili 4 miliony wyszukiwań danych osobowych w infrastrukturze ofiary.
Co wiemy o zaatakowanej firmie? Podsumujmy:
- w marcu 2015 był to już globalny, popularny komunikator,
- konta użytkowników były powiązane z numerami telefonów,
- w Rosji miał więcej niż 700 000 użytkowników (bo dane osobowe tylu wykradziono),
- w Birmie miał co najmniej 268 000 użytkowników,
- ponad 100 000 użytkowników miał w Egipcie, Wietnamie, Algierii, Filipinach i na Ukrainie,
- miał użytkowników w 200 krajach.
Trudno ustalić, o jaką aplikację może chodzić. Od czasu likwidacji telegramów liczba potencjalnych kandydatów jest zbyt duża.
To oczywiście nie koniec
Lista celów APT41 jest imponująca, a jej operatorzy, choć zidentyfikowani, nie zostali zatrzymani. Historię ich niektórych poczynań znajdziecie w poniższych artykułach (wspominaliśmy już, że ich lubimy, prawda?):
- Tajemniczy incydent z CCleanerem
- Kto był celem ataku na użytkowników CCLeanera
- Cel ataku także w Polsce
- Atak na komputery ASUS-a
Akt oskarżenia ukrywa także wiele innych smaczków (np. kim może być globalna szwedzka sieć detaliczna, w której włamywacze borykali się ze zdobyciem uprawnień administratora domenowego lub w których grach nabijali salda kont wybranych graczy). Coś czujemy, że to jeszcze nie koniec „chińskich rewelacji”.
Komentarze
Bardzo ciekawy temat. Napiszecie coś więcej? Poczytałbym jakąś dłużyznę opracowaną przez Was, bo zajawka wyszła intrygująca.
https://content.fireeye.com/apt-41/rpt-apt41/ :)
Ale panie, panie… dej pan spokój… co mi pan tu… Po jakiemu tu godają? Godejmy po noszymu :).
Adam, taki drobiazg: certyfikaty nie służą do podpisywania, lecz do weryfikowania podpisu.
A tekst fajny.
pozdrawiam
Nie ucz ojca dzieci robić.
Certyfikat do storng name nie służy do weryfikowani podpisu, lecz do tworzenia podpisu.
Certyfikat klucza publicznego zawiera w sobie klucz publiczny oraz poświadczenie „zaufanej trzeciej strony” (nie mylić z tą stroną, na której piszemy) o tym, do kogo on należy.
Do podpisywania wykorzystuje się klucz prywatny, a nie publiczny. Strona weryfikująca podpis używa klucza publicznego do odszyfrowania podpisu.
Do szyfrowania treści skierowanej do kogoś korzystamy z klucza publicznego odbiorcy aby tylko odbiorca mógł to odszyfrować.
Zwykle klucz publiczny odczytuje się z pliku z certyfikatem (choć nie jest to formalnie konieczne, ale taka jest praktyka).
Proszę więc o niewprowadzanie ludzi w błąd co do tego, że certyfikat służy do generowania podpisu. PKI jest już wystarczająco niezrozumiane przez społeczeństwo ;-)
Przytomna uwaga. @Adam: serio chłop dobrze mówi.
no to teraz rozwiewa się trochę dylemat, czy RDP czy TeamViewer..
Ani to ani to?
AnyDesk
No ale co to za porównanie ? Wystawiasz RDP na świat!? Gratuluję.
@anon
Tak, ani jedno ani drugie.
A miał być taki bezpieczny, w przeciwieństwie do RDP
Rozeslac Dane Prywatne czy oddac chinczykom o to jest pytanie.
Od zawsze tylko RDP dostępne przez VPN. Jak ktoś miał tu dylemat to powinien zmienić zainteresowania.
„Od czasu likwidacji telegramów” … telegramów powiadacie :-)
Prawie jak nasze pułkowniki, nasza grupa APT powinna zostać nazwana żelazny dyrektor i boysband inżynieruf
Czasem amatorsko stosuję TeamViewera czy polecicie jakąś alternatywę, czy może teraz już jest bezpieczny?
Signal, Telegram czy WhatsApp? ;d
Adamo to było a teraz co oferują na giełdzie
1.Do sprzedania dostęp do Stoczni w Korei południowej
2.Kanada dostęp do służby zdrowia.
3.Uniwersytet w USA bez nazwy.
——–
1.Sprzedaż Kont w Australijskim Banku
2.Sprzedaż 100 tys Meksykańskich rekordów z Banku Santander
Masz racje nie wiedziałem że to wschodni Słowianie są tacy biegli.
Od dawna przerażało mnie masowe korzystanie z TeamViewera przez małe polskie firemki.
Zwracałem znajomym przedsiębiorcom uwagę że to nie jest bezpieczne narzędzie, że nie jest otwartoźródłowe, że nie zapewnia szyfrowania end-to-end, że nie przeszło audytu, itd.
Oczywiście wszystko jak grochem o ścianę.
Wygoda. Wszystko inne ich nie obchodziło, a już najmniej dane osobowe klientów czy kontrahentów.
Ja przestałem korzystać z TeamViewver’a jak kiedyś po reboocie zdalnego komputera zalogował mi się na użytkownika – znaczy się przechwycił i zachował login/hasło – takie ułatwienie, kto ich nie lubi? :-\
Nie wiem czy jest jakaś opcja ktróra to blokuje, ale nawet jeżeli jest, to domyślnie przechwytywał hasło – a to BARDZO ŻLE!!
No i powiedziałem mu „Do (nie)zobaczenia” …
Bo nie istnieje narzędzie spełniające w/w kryteria i jednocześnie oferujące chociażby zbliżoną funkcjonalność do TV (Szczególnie jeśli chodzi o quicksupport)
oczywiście że istnieje, AnyDesk
Uzywalem TV, a teraz anydeska, pierwsza rzecz na niekorzysc anydeska: beznadziejne ze ktos musi zaakceptowac Twoje polaczenie, jest to malo widoczne i musze tlumaczyc ludziom co i jak, beznadziejne okienko czatu, trzeba na niego kliknac zeby wyskoczylo.
Reszta OK.
Poza tym, skoro zostala zinfiltrowana infarastruktura TV to niby anydesk bylby bezpieczniejszy gdyby im to sie przytrafilo? No na pewno :)
W anyDesk mozesz skonfigurowac dostep bez potwierdzania
Anydesk jest open source? No nie za bardzo
Ja od kilku miesięcy testuję Dwservice jako alternatywę dla TeamViewer i AnyDesk
Rozumiem, ze z MS windows Twoi klienci nie korzystaja? Ani zadnych aplikacji typu optima, subiekt itp? To tez nie jest otwartozrodlowe :)
Zamknięte oprogramowanie które nie ma żadnych interakcji z Internetem jest wiele mniej groźne niż zamknięte oprogramowanie które nie wiadomo co wysyła w sieć.
Między innimi dlatego MS Windows to zło w najczystszej postaci.
Jak ktos ma ochote zapoznac sie z technikami stosowanymi przez jegomosci:
https://attack.mitre.org/groups/G0096/
Ale mówisz że Telegram? A nie jednak Viber? Chodzi o dopasowanie do definicji „dostawca usług telekomunikacyjnych, działający w USA, Europie, Azji oraz w innych miejscach”. W przypadku Telegrama byłoby to naciągane.
Co do TeamViewera, nabieram podejrzenia że pewne kłopoty, które zmusiły moją organizację do przejścia na konkurencyjne rozwiązanie, mogły mieć powiązanie z opisaną sytuacją. Poczytam sobie o tym jeszcze.
w Birmie miał co najmniej 268 000 użytkowników,
.
In February this year, Viber had 2 million users in Myanmar. By July, it had grown to 5 million. This growth is incredible in a market of 50 million people, where mobile penetration is below 10%. The data suggests that mobile users have multiple accounts, which almost all users confirm is the case.
http://trade-worthy.com/how-viber-is-winning-the-battle-for-thumbs-in-myanmar/
.
“Viber is a popular application in Myanmar. Almost all local smart phone users are on Viber. We’ve already initiated e-commerce tie-ups in the US and Europe and can now start providing e-commerce services anywhere in the world,” he said.
https://www.mmtimes.com/news/viber-eyes-more-growth-myanmar.html
@ciekawe
Fajne linki. Viber jest też bardzo popularny na Ukrainie, całkiem popularny w Rosji, powiązany z numerem telefonu, umożliwia dzwonienie na numery komórkowe i stacjonarne, umożliwia wykupienie „numeru – aliasu” w wybranym kraju. Ma bogatszą funkcjonalność od Telegrama, np połączenia video dostępne od dawna. Trochę a la Skype.
U nas nie jest popularny, chyba że wśród przybyszy ze wschodu, u których za to wydaje się być najpopularniejszy.
Kurcze szkoda ze tak malo po po polsku, bo bardzo ciekawie sie czyta.
Ciekawe czy mają tatuaże
Świetny artykuł, całe 30 sekund czytania.
Czy ktoś używa Szybkiej Pomocy wbudowanej w Windows 10 (prof)?
Może nie wygodny jak Teamviewer ale dostępny od ręki udostępnia pulpit.
Czy bezpieczny? Pewnie nie mniej….
Muszę powiedzieć że to było inteligentne Adam
Nie uważam że TV jest najlepszym rozwiązaniem, ale pomocnym w szybkiej, doraznej, jednorazowej pomocy. Ale o co mi chodzi… TV to największy program tego typu, jeśli teraz masowo będziemy korzystać z AnyDeska to on za chwilę stanie się głównym celem i może się okazać że za kilka lat będziemy pisać to samo tylko ze zmieniona kolejnością nazw firm.
Nie ma bezpiecznych w 100% aplikacji i każdy z nas musi mieć to gdzieś z tyłu głowy. Czy Windows, czy linux, czy procesor w urządzeniu… Takie czasy.
Jedynym bezpiecznym urządzeniem to te bez dostępu do sieci.
To też nieprawda, choc ich hakowanie wymaga wiewięcejcej wiedzy i sprzętu, a czasem inwencji.
@K&K
Zgadzam się z tym. Zdalne dostępy dają tyle możliwości, że zawsze będą chętni na ich przejmowanie, a jak motywacja jest, to i sposób się znajdzie.
To ciągły wyścig…
Poetam że paręiesiecy temu miałem próbę włamania na konto TeamViewera
Przychodziły meile z weryfikacja nowego komputera właśnie z Chin. Zasadniczo zmieniłem hasło i zignorowałem sprawę.
Tak się składa, że Viber jest produktem izraelskim, syn znajomego w pewnym zachodnim względem nas kraju jest wysoko umocowany w systemach bezpieczeństwa i zakazał ojcu, a on mi – używania go. Choć ogromnie mi się Viber podobał, i dobrze działał.
Pytanie odnośnie podatności TV.
Czy zabezpieczanie konta klienta wpisując moje ID na białą listę coś dawało ? Czy jednak posiadanie certyfikatów dawało pełną władzę ?