یک فرد یا نهاد ناشناس، یسری فایل رو افشاء کرده که نشون میده یک شرکت امنیت سایبری چینی در حال توسعه بدافزار و انجام جاسوسی سایبری برای دولت چین هستش. اگرچه منبع نشت مشخص نشده اما احتمالا توسط یک کارمند ناراضی افشاء شده.
داده های افشاء شده مرتبط با شرکت i-SOON هستش که در Chengdu مستقر هستش و با عنوان Sichuan Anxun (四川安洵信息技术有限公司) فعالیت میکنه. بیشتر برای دوره های آموزش امنیت سایبری که میزاره ، در چین معروفه.
به گفته ی Mei Danowski از Natto Thoughts، این شرکت به بالاترین طبقه محرمانه ای دست یافته که یه شرکت خصوصی در چین میتونه داشته باشه. ایشون گفتن که مدیرعامل i-SOON ، آقای Wu Haibo که در چت های افشا شده به Shutdown معروف هستن، یکی از هکرهای قرمز شناخته شده نسل اول یا Honker و یکی از اعضای اولیه Green Army ، اولین گروه هکریست های چینی که در سال 1997 تاسیس شد، هستن.
براساس گزارشی از Natto Thoughts که اکتبر سال گذشته منتشر شد، i-SOON یکی از چندین شرکت امنیت سایبری مستقر در Chengdu هستش که بعنوان یک پیمانکار برای دولت چین کار میکنه و دانش فنی و نیروی انسانی خودش رو در اختیار عملیات جاسوسی سایبری و نظارت داخلی میزاره. براساس گزارش ها، Chengdu یک مرکز استعدادیابی و استخدام در حوزه امنیت سایبری و مرتبط با وزارت امنیت دولت چین (MSS) هستش.
به گفته ی این نشریه ، شرکت i-SOON بعد از تحت تعقیب قرار گرفتن یک شرکت بنام Chengdu 404 که در همون شهر فعالیت میکنه، در رادار برخی محققین امنیتی قرار گرفت. Chengdu 404 شکایتی رو برای قرارداد توسعه ی یک نرم افزار علیه i-SOON ، ثبت کرد و اینجوری شد که پای i-SOON به دادگاه کشیده شد. در سپتامبر 2021 ، وزارت دادگستری آمریکا کیفرخواستی رو علیه چندین کارمند Chengdu 404 منتشر و اعلام کرد که این شرکت پشت هکرهای APT 41 بوده و سالها فعالیتهای اونارو مخفی میکرده. این اختلاف حقوقی نشون میده که این دو شرکت با هم رابطه تجاری دارن یا زمانی داشتن. همچنین نشون دهنده اینه که این فضا چقدر رقابتی هستش که شرکتها دائما ابزارها و کارمندان هم دیگه رو شکار میکنن.
مشخص نیست که i-SOON هم پشت یک APT باشه، اما طبق تحقیقات Will Thomas از Equinix ، در داده های افشاء شده یک آدرس اینترنتی پیدا کردن که مرتبط به دامنه ای در گزارش Citizen Lab در سال 2019 هستش که در عملیاتی علیه گروههای تبتی استفاده شده بود و از طریق اکسپلویت one-click تلفن های همراه اونارو هدف قرار داده بودن. در اون گزارش، بازیگر تهدید رو Poison Carp معرفی کرده بود. بنابراین احتمال میدن که i-SOON هم پشت Poison Carp باشه.
نحوه ی شناسایی این فایلها :
در 15 ژانویه ، ساعت 22:19 یه فرد ناشناسی با ایمیل I-SOON@proton.me اکانتی در گیتهاب ثبت کرده و یک ماه بعد در 16 فوریه ، اولین روزکاری پس از سال نو چینی، اکانتی که توسط این ایمیل رجیستر شده بود، شروع به آپلود محتوا به گیتهاب میکنه.
در بین فایلهای آپلود شده، ده ها سند بازاریابی، تصاویر، اسکرین شات، هزاران پیام WeChat بین کارمندان و مشتریان I-SOON وجود داشته. یک تحلیلگر تایوانی این اسناد رو در گیتهاب پیدا کرده و یافته های خودش رو در شبکه های اجتماعی منتشر کرده.
فایلهای منتشر شده چی بودن؟
مخزن اصلی فایلهای i-SOON رو میتونید از این لینک دسترسی داشته باشید و مخزن ترجمه ماشینی رو هم میتونید از اینجا بهش دسترسی داشته باشید.
سازماندهی فایلها بد بوده اما طبق بررسی محققین Threat Intelligence ، فایلها شامل چت های داخلی، طرحهای کاری، اسنادی که محصولات شرکت رو توصیف میکنه، اطلاعاتی سرقت شده از قربانیان مانند اعتبارنامه ها و جزییات تماس ها (CDR) از شرکت های مخابراتی هک شده هستش. داده ها حاوی سورس کد نیستن.
اسناد تجاری شامل توضیحاتی در خصوص خدمات شرکت از جمله تست نفوذ، عملیات های نظارتی و همچنین توضیح ابزارها هستش.
طرح های کاری افشاء شده در این فایلها نشون دهنده علاقه i-SOON به قراردادهای جاسوسی و نظارتی در استان سین کیانگ چین ،محل زندگی اقلیت مسلمان اویغور این کشور هستش که اخیرا اعلام شده که اونجا داره نسل کشی اتفاق می افته.
همچنین داده های افشاء شده شامل اسناد و موارد فنی در خصوص محصولاتی هستش که قابلیت های بالایی دارن از جمله :
- بدافزارهای توسعه داده شده برای اجرای در ویندوز، لینوکس، macOS ، iOS و اندروید.
- تروجان برای ویندوز، 32 بیت و 64 بیت رو هدف قرار میده، امکان مدیریت پروسس ها/سرویس ها/ رجیستری رو میده، قابلیت کیلاگر و remote shell داره، دسترسی به فایلهای لاگ داره، اطلاعات سیستم رو جمع آوری میکنه، قطع ارتباط از راه دور و حذف خودش رو هم داره.
- تروجان iOS میتونه همه ی نسخه های دستگاههای iOS ، بدون جیلبریک رو هدف قرار بده و اطلاعات سخت افزاری، داده های GPS ، مخاطبین، فایلهای مدیا و ضبط صدا رو داره ( این قسمت مربوط به سال 2020 هستش)
- تروجان اندرویدی میتونه همه ی پیامهای مربوط به پیامرسانهای محبوب چینی مانند QQ ، WeChat ، تلگرام و MoMo رو جمع آوری کنه و طوری خودش رو پرسیست میکنه که از طریق ریکاوری داخلی هم پاک نمیشه.
- پلتفرمی برای جمع آوری و آنالیز داده های ایمیل
- پلتفرمی برای هک کردن اکانت های Outlook (شکل زیر)
- پلتفرمی برای نظارت بر توییتر : ویژگی هاش مانند جمع آوری ایمیل و شماره تلفن کاربر، نظارت بصورت real-time، خوندن پیامهای شخصی، ارسال توییت از طرف کاربر
- پلتفرمی برای شناسایی براساس داده های OSINT . امکان جستجوی کاربران براساس نام، شماره تلفن و ایمیل رو میده. همچنین میتونه اونارو به اکانتهای شبکه های اجتماعی مرتبط کنه.
- دستگاههای قابل حمل برای حمله از داخل به شبکه ها، معمولا برای هدف قرار دادن شبکه های Wifi بکار میرن. مثلا پاوربانک های آلوده که داده های قربانیان رو آپلود میکنن.
- تجهیزات ارتباطی که از یه شبکه Torمانند استفاده میکنن که امکان ایجاد ارتباط امن رو برای عوامل خارج از کشور فراهم میکنن.
- فریمورک سناریوهای تست نفوذ خودکار
در یکی از اسلایدها، توضیحاتی در خصوص خدمات APT Team ارائه داده شده. محققا از اینکه این شرکت، از اصطلاحی که وزارت دفاع آمریکا برای توصیف فعالیت هکرهای چینی ابداع کرده، بعنوان بازاریابی استفاده میکنن، متعجب شدن.
این نشت چه اطلاعاتی به ما میده :
از یک جهت این افشاء چیزی رو تغییر نمیده ، چون همه میدونیم که چین یکی از بازیگران اصلی و پرکار سایبری در دنیا هستش، بنابراین تغییری در دیدگاه مردم ایجاد نمیکنه. اما برخی اطلاعات در این نشت اطلاعات مهمی از پشت پرده ی فعالیت های سایبری چین رو نشون میدن که میتونن خیلی جالب باشن.
یکی از داده های افشاء شده، مرتبط با چت ها، به Tianfu Cup اشاره میکنه. این رویداد فرمت چینی مسابقات Pow2Own از شرکت ZDI هستش.
در این چت ها، Shutd0wn ، نام مستعار مدیرعامل i-SOON آقای Wu Haibo ، درخواست PoC برای اکسپلویت استفاده شده در Tianfu Cup 2021 رو داره.
Shutd0wn به lengmo : در خصوص آسیب پذیری های 0Day در مسابقات Tianfu Cup ، گفته شده که PoCها در اختیار شعبه امنیت عمومی قرار گرفته. میشه اونارو بدست بیاریم؟
lengmo به Shutd0wn : ما نمیتونیم اونارو بگیریم. من اون روز ازشون درخواست کردم اما اداره اونارو به Jiangsu داد. ( به نظر میرسه این گفتگو به وزارت امنیت عمومی (MPS) اشاره داره، اگرچه دفتر Jiangsu وزارت امنیت عمومی منطقی تره)
قوانین افشای آسیب پذیری ها در چین در سالهای اخیر تغییر کرده تا آسیب پذیری ها از طریق آژانس های اطلاعاتی جمع آوری بشه. همچنین شواهدی وجود داره که از این آسیب پذیری ها در عملیات سایبری استفاده شده.
در مه 2021 ، MIT Technology Review ادعا کرده بود که یک اکسپلویت نمایش داده شده در مسابقات Tianfu Cup 2018 ، بعد از مدت کوتاهی از نمایش و قبل از اصلاح کردن آسیب پذیری، علیه مسلمانان اویغور چین استفاده شده.
همچنین طبق بررسی Recorded Future در خصوص زمان انتشار آسیب پذیری ها در دیتابیس ملی آسیب پذیری چین ، در مقایسه با آمریکا هم سلیقه ای رفتار میشه. مثلا برای آسیب پذیری های با شدت بالا یا مواردی که در بدافزارهای گروه های هکری چینی استفاده میشه در مقایسه با سایر آسیب پذیری ها یک تاخیر وجود داره. این نشون میده که MSS بررسی میکنه که آیا میتونه از اونا قبل از افشاشون سوء استفاده کنه یا نه.
اگه این گفتگوها صحت داشته باشن، این نشون میده که خود پیمانکاران چینی هم تایید میکنن که دولت به تحقیقات محققان آسیب پذیری بومی دسترسی داره و از اونا در اهدافش استفاده میکنه.
همچنین براساس یکی از چت ها، i-SOON قراردادهایی با MSS و MPS داشته.
بقیه چت ها یه دیدی به اکوسیستم پیمانکاران و پیمکانکاران فرعی ارائه دهنده خدمات فنی سایبری ارائه میدن. در یه مورد نشون میده که این شرکت، همراه با چندین پیمانکار دیگه در یه بازار بسیار رقابتی ، از جمله دریافت کنندگان اهداف از سازمانهای دولتی بودن. سازمانها اهدافشون رو میذاشتن و اینا هک رو انجام میدادن و پول رو میگرفتن.
یه مدرک جالبی هم پیدا کردن از رویکرد جاسوسی “قبل از خرید تست کن”. در یک گفتگویی بین دو نفر، نفر اول قصد داره داده های مرتبط با Jens Stoltenberg ، دبیر کل ناتو رو بفروشه. نفر دوم اعلام کرده که داده ها رو مشاهده کرده اما علاقه ای به خرید نداره. نفر اولی گفته که اگه مشکل مالی هست میتونه قیمت رو کاهش بده. اما نفر دوم در پاسخ گفته ، چیزی که برای شما ارزشمنده، ممکنه برای یکی دیگه ارزشمند نباشه. ارزون بودن یا نبودن مهم نیست، دلیلش اینه که ارزش پول خرج کردن رو نداره.
در این افشاگری، یسری لیست اهداف از دولتها از جمله : پاکستان، هند، مالزی ، ترکیه، مصر، فرانسه، کامبوج، اندونزی، ویتنام، میانمار، فیلیپین، افغانستان، کره جنوبی و همچنین ناتو، دانشگاهها و جنبش دموکراسی هنگ کنگ هستن.
Dakota Cary که در SentinelOne بعنوان مشاور متمرکز بر چین فعالیت داره، گفته که برخی از اسناد و چت های افشاء شده، ممکنه منجر به بی آبرویی این شرکت هم بشه. مثلا در یه سندی سازمانهای هدف و هزینه هایی که شرکت از طریق هک اونا بدست آورده رو لیست کرده. مثلا جمع آوری اطلاعات از وزارت اقتصاد ویتنام 55 هزار دلار بوده ، این هزینه برای سایر وزارتخونه ها کمتر بوده، که نشون دهنده ی فعالیت این شرکت با قیمتهای پایین بوده. در یسری چت دیگه ، کارمندان از دستمزد پایین شکایت داشتن و امیدوار بودن به شرکتهایی مثله Qi An Xin برن و محیط شرکت سمی بوده و کارکنان روحیه بالایی نداشتن. برهمین اساس Danowski احتمال میده که این نشت از طریق کارمندان ناراضی انجام شده.
اگرچه از نظر امنیت سایبری، برخی اسناد میتونن جالب باشن اما در حالت کلی خیلی مهم و تکان دهنده نیستن و صرفا برای دولت هایی که متضرر شدن میتونه پیامدهای دیپلماتیک داشته باشه.
دکتر Huong Le Thu کارشناس آسیای جنوب شرقی در مرکز مطالعات استراتژیک و بین المللی هم اعلام کرده که کشورهای هند-آرام در گذشته نسبت به نفوذهای سایبری چین خیلی محتاط بودن، اما این نشت میتونه برای فیلیپین و هند مورد توجه قرار بگیره. چین مخالف حضور فیلیپین در دریای جنوبی چین هستش و ممکنه رئیس جمهور فیلیپین ، Marcos Jr ، اقداماتی انجام بده. همچنین در هند هم این اطلاعات در انتخابات آتی ، اگه با روحیات ملی گرایانه سازگار باشه ، میتونه استفاده بشه.
ایشون همچنین این نشت رو یک فرصت طلایی برای دیپلماتهای آمریکایی توصیف کردن که ممکنه ازش برای توجیه کشورهای منطقه برای جاسوسی چین استفاده کنن. مثلا در پی شکست بالون جاسوسی در سال گذشته، آمریکا به 40 سفارت خارجی در خصوص برنامه جاسوسی چین اطلاع داده بود.
این اطلاعات برای ما که در حوزه امنیت سایبری فعالیت میکنیم، سرگرم کننده هستش و یک بینش حداقلی از نحوه ی کار پیمانکاران چینی رو در اختیاز ما قرار میده اما مثله تاثیری که افشاگری های اسنودن روی Five Eyes گذاشت، نیست.
از طرفی فایروال چین، نه تنها دسترسی شهروندان رو کنترل و محدود میکنه، میتونه از خروج داده های کاربران و شرکتها به خارج از چین هم جلوگیری کنه. این نشت از دید محققین غربی، یک کشف نادر هستش.
استراتژی امنیت سایبری ملی آمریکا که سال پیش منتشر شد، چین رو بزرگترین عامل تهدید سایبری برای آمریکا معرفی کرده بود.
تنها سندی که اسم ایران (Iran,伊朗) توش بوده ، این سند هستش : (d410e4aa-fb52-4ed4-9078-4483267a02b3_1) (اشاره شده که یسری تیم رو راه اندازی کردن تا از شبکه یسری سازمان هدف اطلاعات جمع آوری کنن (ریکان احتمالا) و برای نفوذ آماده بشن. عنوان سند در خصوص توافقنامه ی همکاری امکان سنجی استان خودمختار بایاننوور هستش )
منابع: