16 февраля 2024 года на ресурсе GitHub (сейчас доступ к репозиторию закрыт) неизвестными был опубликован слив секретных данных китайской компании iSoon (известная как Anxun) — одного из подрядчиков Министерства общественной безопасности Китая (MPS), продающая сторонние услуги по взлому и сбору данных. Сообщается, что она связана с Chengdu 404 — структура, контролируемая киберразведкой КНР, известная как APT41.

Документы, содержащие более 570 файлов и связанные с правительствами государств, показывают, что разведывательные и военные группы Пекина предпринимают крупномасштабные, систематические кибер вторжения против иностранных правительств, компаний и инфраструктуры. При этом хакеры утверждают, что могут атаковать пользователей Microsoft, Apple и Google.

Целью атакующих были как общая информация, такие как базы данных, так и точечная информация конкретных лиц: контроль переписки, звонков и передвижения. Анализ данных показал, что объем украденной информации измеряется терабайтами. Источник данных — критические объекты инфраструктуры Казахстана, Кыргызстана, Монголии, Пакистана, Малайзии, Непала, Турции, Индии, Египта, Франции, Камбоджи, Руанды, Нигерии, Гонконга, Индонезии, Вьетнама, Мьянмы, Филиппин и Афганистана.

Ниже приведен список клиентов из самой утечки до июня 2022 г., использовавших услуги хакерской компании. Большинство из них проданы Министерствам общественной безопасности различных штатов. Это дает нам подтверждение того, что данные пользователей продаются зачастую правительству.

Утечка не включает в себя все данные, полученные в результате хакерских операций, но перечисляет цели и во многих случаях сводку выборочных объемов извлеченных данных, а также подробную информацию о том, получили ли хакеры полный или частичный контроль над зарубежными системами.

В одной таблице перечислены 80 зарубежных целей, которые хакеры iSoon, судя по всему, успешно взломали. Улов включал 95,2 гигабайта иммиграционных данных из Индии и коллекцию журналов вызовов объемом 3 терабайта от южнокорейского телекоммуникационного провайдера LG U Plus. Группа также атаковала другие телекоммуникационные компании в Гонконге, Казахстане, Малайзии, Монголии, Непале и Тайване.

Согласно просочившимся документам, клиенты ISoon также запрашивали и/или получали данные об инфраструктуре. Таблица показала, что у фирмы имеется выборка из 459 ГБ данных дорожного картирования Тайваня, острова с населением 23 миллиона человек, который Китай называет своей территорией.

Среди других целей были 10 правительственных учреждений Таиланда, включая Министерство иностранных дел страны, разведывательное агентство и Сенат. В таблице отмечается, что iSoon хранит выборочные данные, полученные от этих агентств за период с 2020 по 2022 год.

Среди материалов имеется документация и описание самих шпионских программ для мониторинга и сбора информации в реальном режиме времени с возможностью получения полного доступа к устройствам:

Для понимания масштабов, приводим описание данных шпионских программ и устройств.

Троян удаленного доступа (Remote Access Trojan) для Windows x64/x86, который может:

Авторы утверждают, что 95% антивирусных программ не смогут обнаружить данный троян, включая Kaspersky, Symantec и другие популярные решения. Троян умеет самостоятельно удаляться и стартовать.

Для Mac тоже существует версия трояна для кейлоггинга, скрина записи, управления файлами, выполнение shell команд и т. д.

Диаграмма работы системы:

Авторы заявляют, что троян поддерживает все версии ОС Apple, имея функционал self-recovery.

Авторы утверждают и об iOS, причем со всеми версиями. Функционал включает в себя следующее:

Авторы утверждают, что существует версия и для Android (от Android 6.0 и выше).

Функционал:

Существует версия для Linux. Она так же поддерживает CentOS 5/6/7 и Ubuntu 12/14.

Функционал вируса:

Данная система разработана на основе идеи проникновения в ближнюю зону для осуществления удаленного управления устройством.

Вся система разделена на две версии: WiFi proximity attack system (базовая версия) и WiFi proximity attack system (мини-версия).

Базовую версию можно использовать для взлома паролей Wi-Fi, прослушивания локальных портов, туннелирования SOCKS, проецирования портов, удаленной оболочки, управления файлами и удаленного подрыва (самоуничтожения).

Базовая версия оснащена поддержкой 4G, 8 ГБ eMMC, двухъядерным процессором ARM с тактовой частотой 1,2 ГГц, аккумулятором емкостью 10 000 мАч, а мини-версия работает на MIPS с 128 МБ памяти DDR2 и не содержит батареи.

Обычная версия выглядит как популярная беспроводная батарея Xiaomi:

А вот “мини” версия выглядит совсем иначе, это обычная плата, которая может быть внутри чего угодно:

Далее более кратко о некоторых других системах взлома:

6. Устройство, похожее на Tor ( — система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение, защищённое от прослушивания), для переключения между конечными точками. Разработано специально для агентов, работающих за рубежом.

Вся эта информация была найдена в руководстве по продукту, датированном 2020 годом.

Доступные материалы утечки свидетельствуют о том, что как минимум одна хакерская группировка более двух лет имела полный доступ к критической инфраструктуре казахстанских операторов связи. Ясно, что в распоряжении далеко неполный объем информации, который Казахстан позволил украсть у себя, так как в открытый доступ были выложена лишь некоторая выборка данных. Частичный список жертв был выше.

Некоторые источники дают следующий перевод одного из файлов:

Также хакеры контролировали журналы событий операторов, продолжительность звонков, IMEI устройств и биллинг звонков.

В утечке имеются файлы с информацией об абонентах операторов связи:

Также опубликованы данные пользователей IDNET (услуги домашнего интернета от КазахТелеком) и IDTV (услуги цифрового телевидения) c персональными данными абонентов, их логинами и паролями.

Ниже приводятся данные из внутренних систем мобильных операторов:

Подробные логи отдельных абонентов с детализацией всех звонков и активностей:

В утечке также упоминается ЕНПФ (Единый национальный пенсионный фонд Республики Казахстан) за 2019 год.

enpf. kz — 1.92gb — 2019.12 — Интрасеть полностью контролируется, и пользовательские данные могут быть проверены на наличие имени, идентификатора, адреса и номера телефона. Основные поля образца: имя, номер телефона, адрес и т. д.

В одном из скриншотов фигурирует предположительно информация по доступу к почтовому серверу Министерства обороны Республики Казахстан (3 ячейка):

Некоторые скриншоты включают в себя данные о том, что компания I-SOON и Баянгол-Монгольский автономный округ КНР установили сотрудничество в части контроля казахстанского авиаперевозчика Air Astana и таких телекоммуникационных провайдеров, как Kcell и Beeline:

Также найдены файлы, содержащие переписку хакерской группировки между собой, в которой они обсуждают прослушиваемых абонентов и их информацию.

Приводим оригинал и перевод одной из переписок:

Была проведена проверка, кто является жертвами данной хакерской группировки и кем они больше всего интересовались. Результаты проверки номеров через различные утечки и программу “GetContact” выявили, что целенаправленные атаки совершались, в том числе и на сотрудников силовых структур, например КНБ — Комитет национальной безопасности Республики Казахстан.

Данная масштабная утечка это лишь верхушка айсберга деятельности только одной хакерской компании. Что происходит в других остается лишь догадываться.

Имейте в виду, что ни одно из программных обеспечений и систем на сегодняшний день не может обеспечить 100%-ую безопасность вашим персональным данным, но стремление и действия к достижению этой цели несомненно есть. Будьте осторожны в интернете, так как любое ваше действие может быть сохранено, доставлено заинтересованным лицам и использовано против вас.