Масштабный киберинцидент произошел, когда группа хакеров из Китая получила контроль над важными элементами информационных систем в Казахстане. Об этом объявил киберспасательный центр ЦАРКА, передает Bizmedia.kz.
Отчеты ЦАРКА утверждают, что 16 февраля 2024 года на платформе GitHub был размещен массивный дамп секретных данных, принадлежащих китайскому IT-гиганту iSoon (также известным как Anxun) — компании, имеющей связи с Министерством общественной безопасности Китая (MPS). Данная компания ассоциируется с группировкой Chengdu 404, которая, как считается, действует под эгидой китайской киберразведки и известна в кругах специалистов под кодовым названием APT41.
В рамках утечки были раскрыты различные тактики и инструменты разведывательной деятельности: разработанные программы-вымогатели, трояны для разных операционных систем включая Windows, Mac, iOS и Android, инструменты для осуществления DDoS-атак, системы определения личности в социальных сетях, оборудование для взлома Wi-Fi и множество других средств ведения кибервоенных действий. В заявлении подчеркивается, что теперь стала известна вся методология действий по взлому и экстракции данных.
Злоумышленники стремились получить разноплановую информацию: от общедоступных баз данных до чувствительных данных конкретных индивидов, включая мониторинг переписок, звонков и местонахождения. Анализ украденного показал, что объем похищенных данных исчисляется в терабайтах. Происхождение данных указывает на взлом критически важных элементов инфраструктуры стран: Казахстана, Кыргызстана, Монголии, Пакистана, Малайзии, Непала, Турции, Индии, Египта, Франции, Камбоджи, Руанды, Нигерии, Гонконга, Индонезии, Вьетнама, Мьянмы, Филиппин и Афганистана.
Экспертный анализ показывает, что в сфере информационной безопасности в Республике Казахстан имеются серьезные недочеты. Специалисты отмечают, что группа злоумышленников на протяжении двух лет беспрепятственно осуществляла доступ к важнейшим системам местных телеком-операторов. В собранных данных Центральным Агентством Реагирования на Киберинциденты содержатся упоминания о том, что объем утраченной информации, к сожалению, является лишь частью утекшей информации.
Злоумышленники поддерживали контроль над логами обработки данных связи, в том числе над периодичностью звонков, идентификаторами мобильных устройств и системами биллинга. Протекшая информация включает в себя персональные данные пользователей, идентифицирующие данные абонентов казахстанских операторов связи, а также данные о доступе к сервисам IDNET и IDTV с личной информацией, логинами, и паролями.
Обнаружены утечки касаемо Единого накопительного пенсионного фонда, утверждающие, что интранет фонда широко доступен, позволяя проверять личные данные вкладчиков, включая фамилию, имя, адрес и телефон. В описаниях утечек присутствуют упоминания о сетевом обмене Минобороны, а также данные компании Air Astana. Служба реагирования на киберинциденты сообщает, что эти утечки включают важные персональные данные.
Тем временем в уже ЕНПФ опровергли факт утечки персональных данных казахстанцев.
Специалисты также провели изучение потенциальных жертв указанной хакерской группы и выявили интерес преступников к сотрудникам органов государственной безопасности. Анализ номеров телефонов через базы данных утечек и сервис GetContact показал целенаправленные атаки против этой категории лиц, подчеркнули в агентстве.