16.09.2020 | 22:55

Adam Haertle

Chińscy hakerzy latami kontrolowali systemy TeamViewera – i nie tylko

Grupę APT41 od dawna podziwialiśmy za ataki na CCleanera czy Asusa, w których infekowane były miliony komputerów tylko po to, by dopaść kilka stacji. Najnowszy akt oskarżenia pokazuje jednak, że widzieliśmy tylko wąski wycinek ich działalności.

Amerykański Departament Sprawiedliwości opublikował dzisiaj akt oskarżenia przeciwko chińskim hakerom, stanowiącym część grupy znanej jako APT41 lub Winnti/Barium. Polecamy lekturę całości, ponieważ my skupimy się tylko na wątkach najciekawszych z naszego punktu widzenia. Opuścimy na przykład całą sekcję o hakowaniu producentów gier – a jest naprawdę obszerna. Co zatem jest ciekawego? Wyróżniliśmy dwa wątki.

Zhakowali TeamViewera, by hakować innych

To, że APT41 dysponowało loginami i hasłami użytkowników TeamViewera wiadomo było od około roku dzięki świetnemu raportowi firmy FireEye. Dopiero akt oskarżenia pokazuje jednak, jaka była skala inwazji w infrastrukturze TeamViewera. Firma, określona w dokumencie jako Electronic Service Provider #1 (ECS #1), dała się zhakować co najmniej już w czerwcu 2015 a przestępcy utrzymywali swój dostęp co najmniej do lutego 2017. Do tego z wykradzionych danych dostępowych korzystali dużo dłużej. Włamywacze zainfekowali dziesiątki komputerów w firmie oferującej TeamViewera, ukradli kod źródłowy i certyfikaty służące do podpisywania aplikacji oraz dane logowania klientów firmy.

Włamanie do TeamViewera było dla hakerów niewyczerpanym źródłem dalszych inspiracji. Przechwycone czaty przestępców pokazują, jak przeszukiwali bazy firm giełdowych, następnie ustalali ich adresy domenowe i przeszukiwali bazę TeamViewera pod kątem loginów w tych domenach, by uzyskać dostęp do interesujących ich celów.

Popularny szyfrowany komunikator używany w 200 krajach

Innym, niesamowicie ciekawym sukcesem włamywaczy jest podmiot nazwany ECS #11, opisywany jako „dostawca usług telekomunikacyjnych, działający w USA, Europie, Azji oraz w innych miejscach”, a także „twórca i dystrybutor popularnej platformy szyfrowanej komunikacji”. Zanim spróbujemy ustalić, o jaki produkt chodzi, warto wskazać, że przestępcy posiadali dostęp do jego infrastruktury od marca 2015 do co najmniej stycznia 2020. W trakcie tych ataków nie tylko uzyskali dostęp do kodu źródłowego, ale także do danych milionów użytkowników tego komunikatora. Według aktu oskarżenia przeprowadzili 4 miliony wyszukiwań danych osobowych w infrastrukturze ofiary.

Co wiemy o zaatakowanej firmie? Podsumujmy:

  • w marcu 2015 był to już globalny, popularny komunikator,
  • konta użytkowników były powiązane z numerami telefonów,
  • w Rosji miał więcej niż 700 000 użytkowników (bo dane osobowe tylu wykradziono),
  • w Birmie miał co najmniej 268 000 użytkowników,
  • ponad 100 000 użytkowników miał w Egipcie, Wietnamie, Algierii, Filipinach i na Ukrainie,
  • miał użytkowników w 200 krajach.

Trudno ustalić, o jaką aplikację może chodzić. Od czasu likwidacji telegramów liczba potencjalnych kandydatów jest zbyt duża.

To oczywiście nie koniec

Lista celów APT41 jest imponująca, a jej operatorzy, choć zidentyfikowani, nie zostali zatrzymani. Historię ich niektórych poczynań znajdziecie w poniższych artykułach (wspominaliśmy już, że ich lubimy, prawda?):

Akt oskarżenia ukrywa także wiele innych smaczków (np. kim może być globalna szwedzka sieć detaliczna, w której włamywacze borykali się ze zdobyciem uprawnień administratora domenowego lub w których grach nabijali salda kont wybranych graczy). Coś czujemy, że to jeszcze nie koniec „chińskich rewelacji”.

Powrót

Komentarze

  • 2020.09.16 23:02 michu

    Bardzo ciekawy temat. Napiszecie coś więcej? Poczytałbym jakąś dłużyznę opracowaną przez Was, bo zajawka wyszła intrygująca.

    Odpowiedz
  • 2020.09.16 23:11 Włóczykij

    Adam, taki drobiazg: certyfikaty nie służą do podpisywania, lecz do weryfikowania podpisu.
    A tekst fajny.
    pozdrawiam

    Odpowiedz
    • 2020.09.17 07:45 Adam

      Nie ucz ojca dzieci robić.

      Odpowiedz
    • 2020.09.17 13:26 Luskertoip

      Certyfikat do storng name nie służy do weryfikowani podpisu, lecz do tworzenia podpisu.

      Odpowiedz
      • 2020.09.18 10:13 chesteroni

        Certyfikat klucza publicznego zawiera w sobie klucz publiczny oraz poświadczenie „zaufanej trzeciej strony” (nie mylić z tą stroną, na której piszemy) o tym, do kogo on należy.
        Do podpisywania wykorzystuje się klucz prywatny, a nie publiczny. Strona weryfikująca podpis używa klucza publicznego do odszyfrowania podpisu.
        Do szyfrowania treści skierowanej do kogoś korzystamy z klucza publicznego odbiorcy aby tylko odbiorca mógł to odszyfrować.
        Zwykle klucz publiczny odczytuje się z pliku z certyfikatem (choć nie jest to formalnie konieczne, ale taka jest praktyka).
        Proszę więc o niewprowadzanie ludzi w błąd co do tego, że certyfikat służy do generowania podpisu. PKI jest już wystarczająco niezrozumiane przez społeczeństwo ;-)

        Odpowiedz
        • 2020.09.18 17:45 Filip

          Przytomna uwaga. @Adam: serio chłop dobrze mówi.

          Odpowiedz
  • 2020.09.17 09:39 anon

    no to teraz rozwiewa się trochę dylemat, czy RDP czy TeamViewer..

    Odpowiedz
    • 2020.09.17 13:25 Tom

      Ani to ani to?

      Odpowiedz
    • 2020.09.17 13:34 d

      AnyDesk

      Odpowiedz
    • 2020.09.17 14:45 Piotr

      No ale co to za porównanie ? Wystawiasz RDP na świat!? Gratuluję.

      Odpowiedz
    • 2020.09.17 15:22 wk

      @anon

      Tak, ani jedno ani drugie.

      Odpowiedz
    • 2020.09.17 15:28 anth

      A miał być taki bezpieczny, w przeciwieństwie do RDP

      Odpowiedz
    • 2020.09.17 17:05 mikolaj

      Rozeslac Dane Prywatne czy oddac chinczykom o to jest pytanie.

      Odpowiedz
    • 2020.09.17 18:24 MIT Komputer Michał M.

      Od zawsze tylko RDP dostępne przez VPN. Jak ktoś miał tu dylemat to powinien zmienić zainteresowania.

      Odpowiedz
  • 2020.09.17 10:45 Mark

    „Od czasu likwidacji telegramów” … telegramów powiadacie :-)

    Odpowiedz
  • 2020.09.17 11:08 Stary poczciwy Janek

    Prawie jak nasze pułkowniki, nasza grupa APT powinna zostać nazwana żelazny dyrektor i boysband inżynieruf

    Odpowiedz
  • 2020.09.17 12:37 Marcin

    Czasem amatorsko stosuję TeamViewera czy polecicie jakąś alternatywę, czy może teraz już jest bezpieczny?

    Odpowiedz
  • 2020.09.17 12:40 Patryk z XesPL

    Signal, Telegram czy WhatsApp? ;d

    Odpowiedz
  • 2020.09.17 13:00 olek

    Adamo to było a teraz co oferują na giełdzie

    1.Do sprzedania dostęp do Stoczni w Korei południowej
    2.Kanada dostęp do służby zdrowia.
    3.Uniwersytet w USA bez nazwy.
    ——–
    1.Sprzedaż Kont w Australijskim Banku
    2.Sprzedaż 100 tys Meksykańskich rekordów z Banku Santander

    Masz racje nie wiedziałem że to wschodni Słowianie są tacy biegli.

    Odpowiedz
  • 2020.09.17 13:11 Ondrasz

    Od dawna przerażało mnie masowe korzystanie z TeamViewera przez małe polskie firemki.

    Zwracałem znajomym przedsiębiorcom uwagę że to nie jest bezpieczne narzędzie, że nie jest otwartoźródłowe, że nie zapewnia szyfrowania end-to-end, że nie przeszło audytu, itd.

    Oczywiście wszystko jak grochem o ścianę.

    Wygoda. Wszystko inne ich nie obchodziło, a już najmniej dane osobowe klientów czy kontrahentów.

    Odpowiedz
    • 2020.09.17 22:18 C. Bolek

      Ja przestałem korzystać z TeamViewver’a jak kiedyś po reboocie zdalnego komputera zalogował mi się na użytkownika – znaczy się przechwycił i zachował login/hasło – takie ułatwienie, kto ich nie lubi? :-\
      Nie wiem czy jest jakaś opcja ktróra to blokuje, ale nawet jeżeli jest, to domyślnie przechwytywał hasło – a to BARDZO ŻLE!!
      No i powiedziałem mu „Do (nie)zobaczenia” …

      Odpowiedz
    • 2020.09.18 10:34 K6T

      Bo nie istnieje narzędzie spełniające w/w kryteria i jednocześnie oferujące chociażby zbliżoną funkcjonalność do TV (Szczególnie jeśli chodzi o quicksupport)

      Odpowiedz
      • 2020.09.18 12:07 Resq

        oczywiście że istnieje, AnyDesk

        Odpowiedz
        • 2020.09.19 13:28 Tra

          Uzywalem TV, a teraz anydeska, pierwsza rzecz na niekorzysc anydeska: beznadziejne ze ktos musi zaakceptowac Twoje polaczenie, jest to malo widoczne i musze tlumaczyc ludziom co i jak, beznadziejne okienko czatu, trzeba na niego kliknac zeby wyskoczylo.
          Reszta OK.
          Poza tym, skoro zostala zinfiltrowana infarastruktura TV to niby anydesk bylby bezpieczniejszy gdyby im to sie przytrafilo? No na pewno :)

          Odpowiedz
          • 2020.09.23 13:14 Krzysiek

            W anyDesk mozesz skonfigurowac dostep bez potwierdzania

        • 2020.09.23 14:23 K6T

          Anydesk jest open source? No nie za bardzo

          Odpowiedz
      • 2024.02.04 10:48 Przemek

        Ja od kilku miesięcy testuję Dwservice jako alternatywę dla TeamViewer i AnyDesk

        Odpowiedz
    • 2020.09.19 13:30 Tra

      Rozumiem, ze z MS windows Twoi klienci nie korzystaja? Ani zadnych aplikacji typu optima, subiekt itp? To tez nie jest otwartozrodlowe :)

      Odpowiedz
      • 2020.09.19 23:03 Pol

        Zamknięte oprogramowanie które nie ma żadnych interakcji z Internetem jest wiele mniej groźne niż zamknięte oprogramowanie które nie wiadomo co wysyła w sieć.
        Między innimi dlatego MS Windows to zło w najczystszej postaci.

        Odpowiedz
  • 2020.09.17 14:36 Vegeta_Ssj

    Jak ktos ma ochote zapoznac sie z technikami stosowanymi przez jegomosci:

    https://attack.mitre.org/groups/G0096/

    Odpowiedz
  • 2020.09.17 15:20 wk

    Ale mówisz że Telegram? A nie jednak Viber? Chodzi o dopasowanie do definicji „dostawca usług telekomunikacyjnych, działający w USA, Europie, Azji oraz w innych miejscach”. W przypadku Telegrama byłoby to naciągane.

    Co do TeamViewera, nabieram podejrzenia że pewne kłopoty, które zmusiły moją organizację do przejścia na konkurencyjne rozwiązanie, mogły mieć powiązanie z opisaną sytuacją. Poczytam sobie o tym jeszcze.

    Odpowiedz
    • 2020.09.17 19:26 ciekawe

      w Birmie miał co najmniej 268 000 użytkowników,
      .
      In February this year, Viber had 2 million users in Myanmar. By July, it had grown to 5 million. This growth is incredible in a market of 50 million people, where mobile penetration is below 10%. The data suggests that mobile users have multiple accounts, which almost all users confirm is the case.
      http://trade-worthy.com/how-viber-is-winning-the-battle-for-thumbs-in-myanmar/
      .
      “Viber is a popular application in Myanmar. Almost all local smart phone users are on Viber. We’ve already initiated e-commerce tie-ups in the US and Europe and can now start providing e-commerce services anywhere in the world,” he said.
      https://www.mmtimes.com/news/viber-eyes-more-growth-myanmar.html

      Odpowiedz
      • 2020.09.18 11:40 wk

        @ciekawe

        Fajne linki. Viber jest też bardzo popularny na Ukrainie, całkiem popularny w Rosji, powiązany z numerem telefonu, umożliwia dzwonienie na numery komórkowe i stacjonarne, umożliwia wykupienie „numeru – aliasu” w wybranym kraju. Ma bogatszą funkcjonalność od Telegrama, np połączenia video dostępne od dawna. Trochę a la Skype.
        U nas nie jest popularny, chyba że wśród przybyszy ze wschodu, u których za to wydaje się być najpopularniejszy.

        Odpowiedz
  • 2020.09.17 15:29 Cobytu

    Kurcze szkoda ze tak malo po po polsku, bo bardzo ciekawie sie czyta.

    Odpowiedz
  • 2020.09.17 18:07 Ewelina

    Ciekawe czy mają tatuaże

    Odpowiedz
  • 2020.09.17 18:09 Aha

    Świetny artykuł, całe 30 sekund czytania.

    Odpowiedz
  • 2020.09.17 19:49 Jerry

    Czy ktoś używa Szybkiej Pomocy wbudowanej w Windows 10 (prof)?
    Może nie wygodny jak Teamviewer ale dostępny od ręki udostępnia pulpit.
    Czy bezpieczny? Pewnie nie mniej….

    Odpowiedz
  • 2020.09.17 20:08 Czarnawołga

    Muszę powiedzieć że to było inteligentne Adam

    Odpowiedz
  • 2020.09.17 21:20 K&K

    Nie uważam że TV jest najlepszym rozwiązaniem, ale pomocnym w szybkiej, doraznej, jednorazowej pomocy. Ale o co mi chodzi… TV to największy program tego typu, jeśli teraz masowo będziemy korzystać z AnyDeska to on za chwilę stanie się głównym celem i może się okazać że za kilka lat będziemy pisać to samo tylko ze zmieniona kolejnością nazw firm.

    Odpowiedz
    • 2020.09.17 21:22 K&K

      Nie ma bezpiecznych w 100% aplikacji i każdy z nas musi mieć to gdzieś z tyłu głowy. Czy Windows, czy linux, czy procesor w urządzeniu… Takie czasy.

      Jedynym bezpiecznym urządzeniem to te bez dostępu do sieci.

      Odpowiedz
      • 2020.09.18 18:12 Blob

        To też nieprawda, choc ich hakowanie wymaga wiewięcejcej wiedzy i sprzętu, a czasem inwencji.

        Odpowiedz
    • 2020.09.18 11:26 wk

      @K&K

      Zgadzam się z tym. Zdalne dostępy dają tyle możliwości, że zawsze będą chętni na ich przejmowanie, a jak motywacja jest, to i sposób się znajdzie.

      To ciągły wyścig…

      Odpowiedz
  • 2020.09.18 21:01 Jacek

    Poetam że paręiesiecy temu miałem próbę włamania na konto TeamViewera
    Przychodziły meile z weryfikacja nowego komputera właśnie z Chin. Zasadniczo zmieniłem hasło i zignorowałem sprawę.

    Odpowiedz
  • 2020.09.20 08:52 Przemysław

    Tak się składa, że Viber jest produktem izraelskim, syn znajomego w pewnym zachodnim względem nas kraju jest wysoko umocowany w systemach bezpieczeństwa i zakazał ojcu, a on mi – używania go. Choć ogromnie mi się Viber podobał, i dobrze działał.

    Odpowiedz
  • 2020.09.27 16:01 Misiek

    Pytanie odnośnie podatności TV.

    Czy zabezpieczanie konta klienta wpisując moje ID na białą listę coś dawało ? Czy jednak posiadanie certyfikatów dawało pełną władzę ?

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Chińscy hakerzy latami kontrolowali systemy TeamViewera – i nie tylko

Komentarze