Táticas e acessos chineses do APT descobertos após a análise do repositório I-SOON

Sumário executivo

• Em 16 de fevereiro de 2024, um indivíduo com o ID de e-mail - [email protected] carregou uma coleção de vários arquivos no Github intitulada EM BREVE.
• Esses arquivos são supostamente de uma empresa chinesa de segurança cibernética que fornece inteligência cibernética e ferramentas com recursos de spyware para seus clientes. O repositório contém reclamações e informações de funcionários, informações sobre os problemas financeiros enfrentados pela empresa, conversas entre os seniores da organização, detalhes do produto da empresa, informações sobre as operações de espionagem da empresa e as organizações alvo dessa empresa.
• Os clientes desta empresa são grandes instituições governamentais da República Popular da China, o que implica o apoio do estado-nação para obter recursos.
• Os arquivos contêm conversas entre os funcionários e as afiliadas da empresa. Essas conversas revelam o tipo e a escala de espionagem em que essa empresa estava envolvida. A empresa não apenas coleta informações dos estados vizinhos, mas também de indivíduos da China.
• Esses dados foram coletados de organizações como a OTAN, vários órgãos governamentais e empresas de telecomunicações de vários países vizinhos da República Popular da China.
• Organizações indianas como BSNL, Air India, EPFO, hospitais Apollo e o Departamento de Imigração foram mencionados nos arquivos. No entanto, nenhum dado do usuário conectado a eles foi vazado.
• Em uma imagem vazada, a empresa pode ser vista anunciando que os principais alvos de seu Serviço de Inteligência na Índia são o Ministério das Relações Exteriores, Ministério da Defesa, Ministério da Administração Interna e Ministério das Finanças.
• A empresa também ofereceu programas educacionais e de treinamento baseados em segurança cibernética ofensiva para estudantes de várias instituições educacionais com sede na China.
• Um conjunto de arquivos mostrou os vários recursos das ferramentas e do software criados por essa empresa. Essas ferramentas incluem ferramentas de acesso remoto (RATs) especialmente criadas para cada sistema operacional, incluindo todas as versões ativas do Windows, Mac OS, Android, IOS e Linux. Kits de ferramentas de vigilância para todos os principais sites de mídia social globais e chineses. Ferramentas de teste de penetração totalmente automatizadas e muito mais.

‍

Capacidades das ferramentas oferecidas -

Como grupo APT, a empresa tinha acesso a uma variedade de ferramentas em seu arsenal. Descobrimos que suas ofertas de produtos eram muito interessantes. Listamos suas funções e como elas foram usadas pelo APT chinês abaixo.

Principais categorias de produtos

Nome do produto: Sistema de controle do Twitter

Propósito: Vigilância, controle e manipulação de conversas no Twitter, provavelmente com foco em alvos fora do país de origem.

Características principais

• Sequestro de contas: Emprega táticas de engenharia social (links de “phishing” para enganar os usuários) e explorações potencialmente técnicas para assumir o controle das contas do Twitter.
• Exfiltração de dados: Coleta não apenas tweets públicos, mas também mensagens privadas para coleta de informações.
• Manipulação de emoções: Capacidade de comentar, curtir ou retuitar postagens de contas comprometidas, o que pode influenciar o sentimento nas discussões.
• Monitoramento de alvos: Rastreia usuários específicos do Twitter com alertas de palavras-chave, provavelmente empregados para identificar vozes de oposição ou rastrear a disseminação de ideias específicas.
• Foco furtivo: Projetado para evitar a detecção, usando o mínimo de atividade de rede e provavelmente código ofuscado.

Aplicações potenciais

• Operações de influência estrangeira: Projetado para semear discórdia, espalhar desinformação ou silenciar críticos em outros países.
• Opressão doméstica: Pode ser usado por um governo repressivo para monitorar dissidentes e controlar a narrativa on-line.
• Coleta de inteligência: Fornece informações sobre a opinião pública e possíveis ameaças (do ponto de vista da entidade que usa essa ferramenta).

Considerações técnicas

• Exploração de vulnerabilidade de dia zero: A natureza “não rastreável” sugere a capacidade de aproveitar falhas de software não reveladas para acesso inicial.
• Validação secundária: Usado para contornar as verificações de segurança do próprio Twitter, provavelmente fingindo ser um fluxo de login legítimo.
• Modelo SaaS: A implantação baseada em nuvem indica facilidade de uso e escalabilidade para os operadores.

Preocupações éticas

• Violações de privacidade: Esse sistema permite a vigilância em grande escala sem o consentimento do usuário.
• Controle de informações: Cria o poder de manipular discussões on-line e suprimir opiniões divergentes.
• Segmentação de indivíduos: O componente de monitoramento emocional sugere o potencial de assédio ou chantagem.

Também encontramos alguns outros conjuntos de ferramentas interessantes.

Soluções de informações digitais:

• Plataforma de apreensão: Adquire permissões e conteúdo da caixa de correio de destino por meio de técnicas não invasivas.
• Plataforma de vigilância do Twitter: Monitore, registre e autentique contas do Twitter.
• Sistemas de gerenciamento de controle remoto (Windows, Mac, iOS, Android, Linux): Controle e monitore sistemas operacionais remotos, incluindo processos, serviços, capturas de tela e acesso a arquivos.
• Dispositivo sem fio WiFi: Insere insensivelmente nas redes para extrair dados (localização, contatos, mensagens etc.)
• Sistemas de ataque de resistência WiFi: Descriptografe senhas de WiFi, detecte usuários da rede, configure Socks Agents e descriptografe logins de dispositivos de roteamento.
• Sistema DDoS: Cliente botnet para sites, servidores e redes de DDoS com uma taxa de transferência de 10 a 100 Gbps.
• Plataforma automatizada de teste de penetração: Escaneia, explora e obtém acesso a redes e dispositivos. Suporta vários métodos de ataque.
• Dispositivo de restauração de posicionamento do terminal WiFi: localiza dispositivos WiFi com alta precisão usando a força e a direção do sinal, que podem ser controladas com um smartphone dedicado.
• Plataforma de tomada de decisão de inteligência de análise de e-mail: Análise massiva de dados de e-mail, mineração de informações pessoais, análise de rede de e-mail, IPs de cabeçalhos de e-mail e extração de anexos de e-mail. Análise e recuperação rápidas de dados de e-mail em nível de terabyte, pesquisas por palavras-chave e tradução automática

• Cobertura de segurança:

• Parede anônima anti-Zhang: Torna a presença on-line anônima ao ocultar endereços IP, localizações físicas, etc. Semelhante à rede TOR.

Outros produtos:

• Sistema Nacional de Investigação Criminal: Consulta informações de registro em tempo real de usuários da Internet em plataformas como Baidu, Weibo, WeChat.
• Plataforma anti-jogos de azar: Investiga a atividade de jogos de azar online.
• Plataforma de treinamento prático: Simula ambientes de penetração de rede para treinamento em segurança cibernética.

Características e capacidades

• Aquisição de dados: Muitos produtos se concentram na extração de dados de dispositivos, contas e redes, geralmente sem o conhecimento do alvo.
• Controle: Os produtos permitem o controle remoto sobre sistemas operacionais, contas de mídia social e fluxos de tráfego de rede.
• Exploração de vulnerabilidades: as ferramentas são projetadas para encontrar e explorar pontos fracos de segurança em vários dispositivos, sistemas operacionais e redes.
• Anonimato: Os produtos mascaram a identidade real e a localização on-line do usuário.
• Apoio à investigação: Os produtos auxiliam em investigações envolvendo atividades criminosas on-line.

‍

Atribuição com APT 41

Um blog da Natto Thoughts revelou a conexão entre o APT 41, um grupo de hackers patrocinado pelo estado chinês e o I-SOON.

‍

• Imagens dos dados revelam que i-Soon documentou a relação comercial com a Chengdu 404, a empresa de fachada das operadoras de APT41.
• Ao nos aprofundarmos, descobrimos que o i-Soon opera de maneira surpreendentemente semelhante à Chengdu 404, cultivando laços com agências de segurança do governo e universidades.
• Além disso, o CEO da I-soon, Wu Haibo, tem experiência como um proeminente “hacker vermelho” nos primeiros círculos de hackers chineses. Os bate-papos vazados revelam que Wu Haibo usa o apelido de “desligamento” para sua presença on-line, com base na qual várias atribuições de sua identidade na vida real e pegada digital foram reveladas.
• I-soon está qualificada para realizar trabalhos confidenciais para o aparato de segurança estatal da China, um privilégio frequentemente associado a grupos APT. Isso é reforçado pelas imagens vazadas em que a I-SOON assinou contratos com vários departamentos de polícia e agências governamentais para fornecer informações privilegiadas de vigilância de cidadãos desconhecidos.
• O foco da empresa na tecnologia de vigilância, incluindo possíveis vínculos com malware móvel, reflete as táticas empregadas pelos APTs chineses. Ferramentas como sistema de controle do Twitter, cavalos de Tróia para todos os principais sistemas operacionais, plataforma automatizada de testes de penetração e coleta de bancos de dados de várias outras agências e organizações estaduais reforçam ainda mais esse ponto.
• A reputação estabelecida de Chengdu como um centro de atividades de hackers chinesas amplifica ainda mais a conexão potencial entre os grupos i-Soon e APT.

Atribuição de “I-SOON” na vida real

• Com base nas informações disponíveis em Livro de apresentação, a I-SOON recebeu investimentos da CASH Capital e da Qihoo 360 Technology.

• De acordo com as informações sobre Qi Cha, I-SOON tem 15 processos legais contra ela. Isso também está de acordo com os bate-papos vazados, em que funcionários e fornecedores entraram com processos de arbitragem contra a I-SOON por suas dívidas.

‍

Atribuição de “Shutdown” na vida real

• O nome verdadeiro de Shutdown é Wu Haibo.
• Wu Haibo (), também conhecido como shutdown, é um conhecido hacker vermelho de primeira geração ou Honker () e membro inicial do Exército Verde (), que foi o primeiro grupo hacktivista chinês fundado em 1997.
• Ele usou seu endereço de e-mail pessoal, [email protected] para registrar o domínio i-soon [.] net em 2010.
• Na mesma conta de e-mail, ele registrou dois outros domínios RUN-YEAH [.] COM e vulscan [.] online
• Os registros WHOIS também revelam o número de telefone usado durante o registro - +86-13761671735
• Sua conta no Twitter é encerrado 0wn1895
• O nome de usuário do Skype dele é shutdown_24
• Ele também tem uma conta na plataforma de leitura de livros goodreads, com o nome de usuário como 83718223-wu-haibo. Ele acessou esta conta pela última vez em 1º de julho de 2018

Atribuição de “Lengmo” na vida real

• O nome verdadeiro de Lengmo é Jesse Chen
• Ele também costumava ter um blog no lengmo [.] net, que agora está fora do ar. Ainda era possível encontrar os arquivos na Wayback Machine.
• A maior parte da atividade em seu blog foi no ano de 2013.
• No mesmo blog, ele revelou seu endereço de e-mail - [email protected] e [email protected]
• Através do e-mail, conseguimos encontrar seu perfil no LinkedIn - https://www.linkedin.com/in/jesse-chen-344153110/
• Lengmo usa o nome de usuário! 4p47hy no WeChat com sua localização definida como Islândia.
• Embora em seu twitter - https://twitter.com/l3n6m0, ele afirma estar em Świętajno, Polônia
• Examinando os registros históricos do lengmo [.] net, encontramos outro ID de e-mail associado ao lengmo - lengmo @vip [.] qq [.] com. usando esse ID de e-mail, o lengmo registrou vários domínios.

• Isso também dá outra confirmação de que o nome verdadeiro do lengmo é Jesse Chen.
• “C.Rufus Security Team” é um grupo chinês famoso por lançar o Gh0st RAT na Web aberta em março de 2008.
• Lengmo não parou por aqui, ele tinha outro endereço de e-mail no Yahoo como lengmo @yahoo [.] cn, usando o qual ele registrou mais 3 domínios.

Não apenas monitorando outros países, mas também cidadãos da China

Várias imagens do vazamento revelam que a empresa tem ou estava tentando firmar contratos com agências estaduais para fornecer informações de vigilância.

‍

Imagens relacionadas às tentativas de cotação da I-SOON revelam que eles estavam tentando fornecer instrumentos de vigilância para uma agência governamental em LHASA (a capital administrativa da Região Autônoma do Tibete), para a qual há menções nas conversas entre “shutdown” e “lengmo”, os superiores do ISOON.

‍

‍

‍

‍

Alguns compradores notáveis que compraram ferramentas de vigilância ou acesso remoto, o Departamento de Segurança Pública de Yuxi, o Instituto de Questões Sociais de Chongqing, a UNIT 938 Hubei, a Changting (Xiamen) Network Technology.

‍

Dados dos arquivos - e182d867-dc18-43fd-a418-26dcf784242f_*_*.png

‍

Acesso aos dados -

De acordo com os dados encontrados nos dados vazados, a empresa teve acesso a várias organizações de vários países, a saber abaixo -

‍

Hong Kong:

1. 89,4 MB/s de tabela de usuários e e-mails dos dados de estudantes do exame de admissão à faculdade da Democratic People's Livelihood Association
2. 82,3 MB de dados da tabela de usuários de 2020.06 a 2021.11 da CSL Communication Company

‍

Índia:

1. Dados dos hospitais Apollo
2. Capacidade de consultar 95,2 GB de informações de entrada e saída da Índia do Bureau of Immigration até 2020
3. Arquivo para PC de 5,49 GB do Ministério da Administração Interna, PMO datado de 2021.04 - 2021.10

‍

Cazaquistão:

‍

Provedores de telecomunicações

1. Kcell Telecom (kcell.kz): 820 GB de dados, incluindo registros de detalhes de chamadas (CDRs) e informações da tabela do usuário, abrangendo de 2019 a 2021.
2. Beeline Telecom (beeline.kz): 637 GB de dados, incluindo CDRs e informações da tabela do usuário, abrangendo de 2019 a 2020.
3. Tele2 Telecom (tele2.kz): 1,09 TB de dados. Mais detalhes sobre os tipos de dados específicos são necessários.
4. Operador de linha fixa de telecomunicações (telecom.kz): 257GB de dados. Mais detalhes sobre os tipos de dados específicos são necessários.

‍

Outras fontes

1. Fundo de pensão (tenpf.kz): 1,92 GB de dados, incluindo CDRs e informações da tabela do usuário, abrangendo de 2019 a 2020.
2. Informações do usuário: tabela de dados de 14,8 GB. É necessário um contexto adicional para determinar a natureza dessas informações.

‍

Malásia

‍

Ministérios do governo

1. Ministério das Obras (kkr.gov.my): 288 MB de dados de e-mail. As permissões de acesso incluem somente permissões de e-mail.
2. Ministério do Interior (moha.gov.my): 6,85 GB de dados de e-mail, coletados de abril de 2021 a dezembro de 2021. As permissões de acesso incluem e-mail e intranet.
3. Ministério das Relações Exteriores (kin.gov.my): dois conjuntos de dados, cada um com 6,59 GB, consistindo em arquivos de PC e dados de e-mail. Os dados foram coletados de janeiro de 2021 a dezembro de 2021, com a data de encerramento em 20 de dezembro de 2021.

‍

Telecomunicações

1. DIGI Telecom: conjunto de dados de 89,5 GB contendo informações da tabela CDR (Call Detail Records) e BTS (Base Transceiver Station). Os dados foram coletados em maio de 2021 e acessados por meio do controle total da intranet.

‍

Mongólia

1. 539 MB de arquivos de PC do Departamento de Polícia.
2. 2,37 GB de dados de e-mail do Ministério das Relações Exteriores (mfa.gov.mn) coletados por volta de abril de 2021

‍

Mianmar

1. MPT Communication Company: 11 GB de dados de registro de chamadas cobrindo junho de 2020 a setembro de 2021.
2. e-mofa.gov.mm (Provável Ministério das Relações Exteriores): 1,06 GB de dados de e-mail coletados em 26 de maio de 2021.

‍

Paquistão

1. Zong: CDR e dados da tabela do usuário abrangendo de 2019 a 2021.
2. Centro Antiterrorista de Punjab: 1,43 GB de dados de e-mail coletados de maio de 2021 a janeiro de 2022.

‍

Coréia do Sul

1. População da Coreia_99: tabela de dados de 10,5 MB.
2. Dados populacionais: tabela de dados de 14,7 GB.
3. LG U+ Operator: 3 TB de dados de registro de chamadas de 2019 a 2021.

‍

Tailândia

1. CAT Telecom.
2. AIS Telecom (www.ais.co.th): 17,7 GB de dados, incluindo informações da tabela do usuário e da tabela de dados. Também é mencionado que eles tinham controle total da Intranet da empresa.
3. Ministério das Relações Exteriores (mfa.go.th): 3,33 GB de dados.
4. Operador TOT (tot.co.th): tabela de dados de 38,9 MB.
5. Ministério da Defesa Sede do Exército Real Tailandês, Departamento de Comunicação do Ministério da Defesa Nacional.

‍

Outros países afetados 

‍

1. Megacom de Quirguistão, CDR e dados da tabela do usuário abrangendo de 2019 a 2021.
2. Dados do operador Bayan do Filipinas, tabela de dados de 3,31 GB.
3. 2,8 milhões de linhas da Vietnam Airlines, 87.918 linhas de dados de operadoras de telecomunicações e dados do Departamento de Assuntos Sociais da Vietnã.
4. Conselho de Pesquisa Científica e Tecnológica de Turquia
5. Dados governamentais de Nepal
6. 2 TB de dados de registro de chamadas de 2016-2018 da Roshan Operator da Afeganistão
7. Registros do Serviço Fiscal Público e dados da secretaria de assuntos europeus da Macedônia do Norte

‍

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• https://github.com/I-S00N/I-S00N (Dados originais)
• https://github.com/soufianetahiri/Anxun-isoon (Dados traduzidos)
• https://nattothoughts.substack.com/p/i-soon-another-company-in-the-apt41 (Dicas sobre conexão com o APT 41)

‍

Apêndice

O conteúdo das imagens foi traduzido para o inglês para melhor compreensão usando ferramentas públicas. Algumas informações podem estar traduzidas incorretamente. A CloudSEK não se responsabiliza por disputas decorrentes de erros de tradução.

‍

Imagens do repositório que mencionam a Índia e empresas indianas.

‍

Imagem revelando informações sobre os dados da EPFO India, o texto na imagem revela que um projeto foi lançado para coletar essas informações e foi compartilhado como um grande sucesso. 320 milhões de linhas contendo nomes, números PF, data de nascimento, sexo, nome do pai ou marido, UAN, etc. vazaram. Os dados totalizaram 13,3 GB e foram os mais recentes até 8 de julho de 2021.

Outro banco de dados intitulado UAN_REPOSITORY também foi exfiltrado pela empresa. Essa violação teve 180 milhões de registros e foi de 20,8 GB. Isso também vazou em 8 de julho de 2021.

‍

Uma imagem revelou as várias pastas às quais o funcionário tinha acesso. Essas pastas provavelmente são nomeadas com base nos dados que elas contêm. Menções ao Perú, Omã, Etiópia, Austrália, Papua Nova Guiné, Palentnie, Macedônia do Norte, Bósnia e Herzegovina, Timor Leste, Congo, Cazaquistão, Djibuti, Guiné, Camboja, Romênia, África do Sul, Nauru, Índia e África do Sul são encontradas na imagem.

Uma imagem semelhante revelando as organizações-alvo também é encontrada no vazamento.

‍

A I-SOON afirmou em seu folheto de marca sobre sua capacidade e proficiência em atingir agências governamentais indianas.

I-SOON afirma em seu folheto de marca sobre sua capacidade e proficiência em servir como um grupo de APT com foco na Índia e no Tibete

‍