Cyberszpiegostwo: 10 największych afer naszych czasów

Dlaczego warto zaufać Techopedii

Od ataku na łańcuch dostaw SolarWinds w roku 2020 po zabezpieczenia wdrażane przed Igrzyskami w Paryżu w roku 2024, zagrożenie ze strony cyberszpiegostwa wspomaganego sztuczną inteligencją wciąż się rozwija.

Odkąd pojawiły się tzw. zaawansowane stałe zagrożenia (Advanced Persistent Threat, APT), wiemy już, że organy państwowe mogą z łatwością inwigilować najlepiej zabezpieczane sieci, skutecznie zakłócając ich działanie.

Rządy zdały sobie sprawę z realnego ryzyka cyfrowej zimnej wojny. Teraz w krajobrazie cyfrowym karty rozdają cyberszpiedzy, a w tle toczy się niejedna walka. Pojawiają się też obawy w związku z coraz bardziej wyrafinowanymi i precyzyjnymi metodami, które biorą sobie na cel bezpieczeństwo państwowe, handel międzynarodowy, krytyczną infrastrukturę i prywatność.

Aby przybliżyć wam temat, zebraliśmy dla was najlepiej zaplanowane kampanie cyberszpiegowskie od roku 2023. Przy okazji próbujemy przewidzieć, czego jeszcze można się spodziewać w tym obszarze.

Najważniejsze punkty

  • Cyberszpiegostwo ewoluowało do tego stopnia, że zaczyna zagrażać krytycznej infrastrukturze i strategicznym sektorom na całym świecie.
  • Organy państw jakich jak Chiny, Rosja, Iran czy Korea Północna, udowodniły już, że dysponują zaplecze, które umożliwia skuteczną infiltrację i zakłócanie funkcjonowania sieci.
  • Najnowsze incydenty pokazały, że coraz trudniej jest zabezpieczyć infrastrukturę chmurową przed działaniami szpiegowskimi.
  • Obawy wzbudzają też zaawansowane stałe zagrożenia (APT), oparte na innowacyjnych taktykach, takich jak bombardowanie MFA czy fałszowanie tokenów uwierzytelniających w celu uzyskania nieuprawnionego dostępu.
  • Strategiczne targetowanie sektorów, o którym mowa w strategiach państwowych, takich jak „Made in China 2025”, dowodzi, że kampanie cyberszpiegowskie są uwarunkowane ekonomicznie.

Cyberszpiegostwo: 10 największych kampanii sezonu 2023-2024

1. Zabezpieczenie Igrzysk Olimpijskich w Paryżu: cyberszpiegowskie wyzwanie

Przygotowując się do Igrzysk Olimpijskich w Paryżu w 2024 r. Francja stanęła w obliczu eskalacji cyberzagrożeń. Podkreślano ten fakt w raporcie ANSSI na temat znacznego wzrostu szpiegostwa wymierzonego w strategiczne sektory, takie jak administracja publiczna czy podmioty obronne.

Wzrost cyberszpiegostwa i wyrafinowanych ataków na urządzenia mobilne i sieci przypomina, że po takie taktyki sięgają organy państw takich jak Rosja i Chiny.

Atakujący lubią wykorzystywać okazję w postaci ważnych wydarzeń, by zostawić swój ślad cyfrowy i posłużyć się uwagą mediów. Śledzą wydarzenie, dopuszczają się wyłudzeń, niszczą wizerunek gospodarza zdarzenia lub po prostu zakłócają jego przebieg.

Przed Igrzyskami Olimpijskimi ANSSI skupiło się na działaniach związanych ze wstępnym pozycjonowaniem i destabilizacją.

Podkreślano konieczność zaawansowanej obrony cyberbezpieczeństwa w kontekście nasilonej wojny cyfrowej i zachowania najwyższego stopnia gotowości.

2. Operacja indyjskiej grupy Patchwork: VajraSpy przenika do Google Play

Indyjska grupa hakerska Patchwork wykorzystywała Google Play do rozpowszechniania aplikacji szpiegowskich. Głównym celem ataku byli mieszkańcy Pakistanu. Hakerzy ukryli trojana typu RAT pod nazwą VajraSpy w pozornie niewinnych komunikatach i aplikacjach newsowych. Malware ten umożliwiał zdalny dostęp do urządzeń.

Według doniesień kampania cyberszpiegowska zaowocowała tysiącami pobrań złośliwych aplikacji. Oprogramowanie przechwytywało wiadomości, wydobywało komunikaty z WhatsAppa i Signala, nagrywało rozmowy telefoniczne i potajemnie robiło zdjęcia za pomocą kamer zainfekowanych urządzeń.

Choć VajraSpy usunięto z Google Play, spyware nadal pozostaje zagrożeniem dla zewnętrznych sklepów z aplikacjami. To kolejny dowód na wyrafinowany charakter cyberzagrożeń ze strony organów powiązanych z władzami państwowymi.

3. Atak w chmurze: Jak APT29 wykorzystuje słabe punkty

Taktyki cyberszpiegowskie ewoluują w zaskakującym tempie. Udowodniła to elitarna rosyjska grupa APT29, znana też pod nieco bardziej obrazowymi nazwami, takimi jak Cozy Bear, Midnight Blizzard, czy Nobelium. Hakerzy umiejętnie wykorzystali słabe punkty środowiska chmurowego. Jak się okazało, zabezpieczenie infrastruktury chmurowej przez zaawansowanymi atakami stanowi coraz większe wyzwanie.

Agencje wywiadowcze państw zachodnich uznają grupę APT29 za jednostkę rosyjskiego wywiadu zagranicznego. APT29 wciąż udoskonala swoje metody, by skutecznie infiltrować usługi chmurowe rządów i korporacji.

Na swoim koncie ugrupowanie ma kilka niesławnych epizodów, takich jak atak na Demokratyczny Komitet Narodowy w roku 2016 czy atak na łańcuch dostaw SolarWinds w roku 2020. Najnowszym z niechlubnych osiągnięć grupy są włamania na konta mailowe pracowników Microsoftu i wyłudzenie danych wrażliwych od Hewlett Packard Enterprise.

Strategiczne skupienie się na usługach i nieaktywnych kontach, wraz z innowacyjnymi taktykami, takimi jak bombardowanie MFA, podkreśla trwały i adaptacyjny charakter cyberzagrożeń w środowiskach chmurowych.

Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) we współpracy ze światowymi agencjami cyberbezpieczeństwa, takimi jak NSA czy FBI, wystosowało ostrzeżenie na temat zaawansowanych technik wykorzystywanych przez grupę APT29.

Metody te obejmują ataki brute force i password spraying, dzięki czemu udaje się uzyskać dostęp do kont służbowych, często niewystarczająco zabezpieczanych wieloskładnikowym uwierzytelnieniem. To częsty problem w firmach, gdzie konta są współdzielone.

4. Przeciek I-Soon demaskuje chińską machinę szpiegowską

Wyciek danych I-Soon ujawnił niedawno kompleksowy obraz chińskich operacji cyberszpiegowskich. Ujawnił on szeroko zakrojoną kampanię wymierzoną w szereg globalnych podmiotów, od platform mediów społecznościowych po organizacje rządowe.

Wyciek ten, krążący w serwisie GitHub, wydobywa na światło dzienne szeroką gamę wyrafinowanych narzędzi hakerskich. Wśród nich można wymienić złośliwe oprogramowanie zdolne do włamywania się do urządzeń z systemem Android i iOS, niestandardowe trojany zdalnego dostępu (RAT) i urządzenia do penetracji sieci.

Dalsza analiza wskazuje, że I-Soon, firma zajmująca się cyberbezpieczeństwem, działa pod auspicjami chińskiego rządu. W szczególności obsługuje ona agencje takie jak Ministerstwo Bezpieczeństwa Publicznego, podkreślając w ten sposób sponsorowany przez państwo wymiar takich działań.

5. Irańska kampania cyberszpiegowska targetuje lotnictwo i przemysł kosmiczny na Bliskim Wschodzie

Badacze zajmujący się bezpieczeństwem w firmie Mandiant, będącej częścią struktury Google Cloud w zakresie cyberbezpieczeństwa, ujawnili skomplikowaną kampanię cyberszpiegowską, którą powiązano z Iranem. Celem tej strategii był przemyusł kosmiczny, lotnictwo i sektory obrony na Bliskim Wschodzie.

Mandiant powiązał kampanię z irańską grupą UNC1549, która ma coś wspólnego z operacją hakerską Tortoiseshell.

Operacja ta jest znana z atakowania izraelskich firm transportowych oraz amerykańskich firm lotniczych i obronnych. Łączy się ją z irańskim Korpusem Strażników Rewolucji Islamskiej (IRGC).

Powiązanie to nabiera szczególnego znaczenia w kontekście trwających napięć regionalnych i wsparcia Iranu dla Hamasu.

Kampania obejmowała szerokie wykorzystanie infrastruktury chmury Microsoft Azure i inżynierii społecznej w celu wdrożenia dwóch nowatorskich backdoorów, MINIBIKE i MINIBUS. Te backdoory umożliwiają eksfiltrację plików, wykonywanie poleceń i zaawansowane możliwości zwiadowcze.

Zidentyfikowano również niestandardowy tunel pod nazwą LIGHTRAIL, który dodatkowo kamufluje cyberszpiegostwo pod nieszkodliwym ruchem internetowym. Ewoluujący krajobraz zagrożeń wskazuje na krytyczną potrzebę zwiększonej czujności w zakresie cyberbezpieczeństwa w sektorach związanych z obronnością.

6. Cyberszpiegostwo transgraniczne: atak Korei Północnej na południowokoreańską produkcję półprzewodników

Północnokoreańscy hakerzy przypuścili atak na południowokoreańskich producentów półprzewodników. Wywiad Korei Południowej podał, że w wyniku tej kampanii doszło do kradzieży krytycznych rysunków projektowych i zdjęć zakładów produkcyjnych.

To cyberszpiegostwo dowodzi, że Korea Północna nosi się z zamiarem opracowania półprzewodników do swoich programów zbrojeniowych w obliczu międzynarodowych sankcji, które komplikują wysiłki związane z zakupami.

Naruszenia, które miały miejsce w grudniu i lutym, podkreślają strategiczne posunięcie Korei Północnej mające na celu wzmocnienie jej zdolności w zakresie technologii satelitarnych i rakietowych.

Południowokoreańska agencja wywiadowcza podkreśla taktykę hakerów, polegającą na wykorzystywaniu legalnych narzędzi na serwerach w celu uniknięcia wykrycia. Z tego powodu cyberataki te są szczególnie trudne do odparcia.

Korea Północna ma za sobą dobrze udokumentowaną historię operacji w sferze wirtualnej, w szczególności jeśli chodzi o kradzież kryptowalut w celu sfinansowania obecnego reżimu i ambicji w zakresie wyścigu zbrojeń. Najnowsze incydenty dowodzą, że strategia dynamicznie ewoluuje, by coraz lepiej targetować kluczowe technologie i tajemnice państwowe, aby skutecznie obchodzić międzynarodowe sankcje.

7. Chińska operacja szpiegowska wycelowana w mechanizmy obronne Niderlandów

Kolejny incydent miał miejsce w zeszłym roku, gdy niderlandzkie Ministerstwo Obrony padło ofiarą chińskich hakerów. Ministerstwo Wywiadu Wojskowego i Służb Bezpieczeństwa (MIVD) ujawniło atak malware przy użyciu zaawansowanego złośliwego oprogramowania, znanego jako Coathanger.

Trojan zdalnego dostępu (RAT), wymierzony w sieciowe urządzenia zabezpieczające Fortigate, wykazał się alarmującą odpornością. Przetrwał ponowne uruchomienie systemu, a nawet aktualizacje oprogramowania układowego, co komplikuje wysiłki mające na celu złagodzenie jego skutków.

Na szczęście skuteczna segmentacja sieci złagodziła skutki naruszenia. Ten środek bezpieczeństwa ograniczył ekspozycję do sieci badawczo-rozwojowej z mniej niż 50 użytkownikami.

Pomimo ograniczonych szkód, incydent ten podkreśla wyrafinowany i trwały charakter globalnych cyberzagrożeń sponsorowanych przez państwo, szczególnie ze strony chińskich szpiegów.

8. Cyberszpiegowskie operacje wymierzone w polityków państw zachodnich

W grudniu 2023 r. Wielka Brytania i Stany Zjednoczone oskarżyły rosyjskie służby bezpieczeństwa o prowadzenie szeroko zakrojonej kampanii cyberszpiegowskiej. Ofiarą ataku miały paść postaci ze świata polityki, dziennikarze i organizacje pozarządowe.

Oskarżenie to pokrywa się z wcześniejszymi podejrzeniami o rosyjską ingerencję w ważne wydarzenia polityczne, takie jak referendum w sprawie Brexitu w 2016 roku.

Jednocześnie Stany Zjednoczone przedstawiły zarzuty dwóm Rosjanom powiązanym z inicjatywą hakerską wymierzoną w kraje NATO, i nałożyły na nich sankcje.

Wielka Brytania podkreśliła, że rosyjskie służby próbowały złamać cyfrową obronę brytyjskich parlamentarzystów z różnych partii, co doprowadziło do wycieków dokumentów w latach 2015-2023. W wyniku kampanii przed wyborami powszechnymi w Wielkiej Brytanii w 2019 roku wyszły na jaw poufne dokumenty handlowe między Wielką Brytanią a USA.

To wspólne wezwanie ze strony Wielkiej Brytanii i Stanów Zjednoczonych podkreśliło utrzymujące się i ewoluujące zagrożenie cybernetyczne ze strony Rosji. Przypomina to zarazem o potrzebie czujności i solidnych mechanizmów obronnych przed takimi działaniami szpiegowskimi sponsorowanymi przez państwo.

9. Made in China 2025: droga do dominacji ekonomicznej

W swoim dobrze uargumentowanym zeznaniu przed Podkomisją Sądownictwa Izby Reprezentantów Benjamin Jensen wskazał na rozpowszechnione taktyki cyberszpiegowskie, stosowane przez Komunistyczną Partię Chin w celu osłabienia amerykańskiej gospodarki. Głównym celem kampanii była własność intelektualna w sektorach takich jak technologia, energetyka czy lotnictwo.

Jensen zwrócił uwagę, że Chiny są powiązane z wieloma kampaniami cyberszpiegowskimi, które zostawiają w tyle strategie innych krajów, nawet takich jak Rosja.

Operacje te, skrupulatnie udokumentowane w Dyadic Cyber Incident and Campaign Dataset, mają na celu kradzież cennej własności intelektualnej. Wiemy, że są ściśle powiązane z chińskim planem strategicznym „Made in China 2025”.

10. Storm-0558: Microsoft ujawnia chińską operację szpiegowską

W zeszłym roku Microsoft wydobył na światło dzienne zaawansowaną chińską kampanię pod nazwą Storm-0558. Doprowadziła ona do naruszenia poufności kont mailowych co najmniej 25 organizacji, w tym amerykańskiegom rządu.

Dochodzenie Microsoftu, wszczęte na podstawie alertu klienta z 16 czerwca, ujawniło nieautoryzowany dostęp datowany na 15 maja. Atak był wymierzony głównie w podmioty w Europie Zachodniej. Chodziło o szpiegostwo, kradzież danych i zbieranie danych uwierzytelniających.

Atakujący uzyskali dostęp za pośrednictwem Outlook Web Access i Outlook.com. Sfałszowali tokeny uwierzytelniające i wykorzystali błąd walidacji tokenów do podszywania się pod użytkowników usługi Azure AD.

Microsoft błyskawicznie zareagował na zagrożenie, blokując fałszywe tokeny, zastępując przechwycony klucz i wzmacniając zabezpieczenie usług chmurowych.

Incydent ten, którego skutki dotknęły nawet amerykańskie Departamenty Stanu i Handlu, pokazuje, że chińskie zabiegi cyberszpiegowskie osiągają coraz wyższy poziom wyrafinowania. Hakerzy wykorzystują zaawansowane sieci proxy, by skutecznie przemykać się pod radarami.

Znane grupy cyberszpiegowskie na świecie

Nazwa grupy Pochodzenie/ Powiązania Przeprowadzone ataki  Cele Inne nazwy
CozyBear Rosyjska

(wspierana przez Służbę Bezpieczeństwa Federacji Rosyjskiej)

SolarWinds, atak na Demokratyczny Komitet Narodowy Organizacje rządowe w Wielkiej Brytanii, Stanach Zjednoczonych, w krajach Unii Europejskiej, Korei Południowej i Uzbekistanie APT29, YTTRIUM, The Dukes, Office Monkeys
Gorgon Group Pakistańska Atak MasterMana Botnet, kradzież danych uwierzytelniających USA, Niemcy, Korea Południowa, Indie, Zjednoczone Emiraty Arabskie i sektor służb publicznych
Deep Panda Chińska Ataki na Anthem i OPM Amerykańskie organizacja rządowe, sektor obrony, finansów i telekomunikacji KungFu Kittens, Shell Crew, WebMasters
Bouning Golf Nieznane

(Bliski Wschód)

Infekcja malware GolfSpy Dane wojskowe państw Bliskiego Wschodu, organizacje wspierające Turków, Kurdów i ISIS na całym świecie
CopyKittens  Irańska Operacja Wilted Tulip, ataki na niemiecki Bundestag Niemcy, Izrael, Arabia Saudyjska, Turcja, USA, Jordania, pracownicy ONZ
Apt33 Irańska (wspierana przez państwo) Ataki w przemyśle lotniczym i energetycznym USA, Korea Południowa, Arabia Saudyjska. Organizacje z sektora lotnictwa i produkcji petrochemicznej HOLMIUM, Elfin
Charming Kitten Irańska Ataki phishingowe, kradzież danych uwierzytelniających Think tanki, ośrodki badań politycznych, dziennikarze i aktywiści środowiskowi. APT35, Phosphorus, Newscaster, Ajax
Magic Hound Irańska Spear phishing, dystrybucja malware Sektor rządowy, technologiczny i energetyczny w Arabii Saudyjskiej i USA Rocket Kitten, Cobalt Gypsy
Muddy Water  Irańska Spear phishing, złośliwe oprogramowanie na urządzenia z Androidem Bliski Wschód, Azja, Europa, USA, organizacje rządowe, telekomunikacja
Windshift Nieznane Ataki na użytkowników OSX Konkretne osoby w rządzie i członkowie krytycznej infrastruktury w rejonie Rady Współpracy Państw Zatoki Perskiej Bahamut

Podsumowanie

Przytoczone powyżej przypadki kampanii cyberszpiegowskich, od SolarWinds po infiltrację Google Play przez VajraSpy, podkreślają strategiczne zamiary poszczególnych państw. Dostrzegamy tu ataki wymierzone w polityczne czy ekonomiczne interesy innych krajów, a przede wszystkim w ich bezpieczeństwo. W XXI wieku działania te rozgrywają się głównie w domenie cyfrowej.

Stopień zaawansowania tych kampanii, a także ich precyzja i zdolność do potajemnego działania pod przykrywką pozornie niewinnych aplikacji wskazuje na konieczność wzmocnienia zabezpieczeń. W miarę jak cyberszpiegostwo staje się integralną częścią strategii agencji wywiadowczych, zrozumienie takich incydentów jest kluczowe dla opracowania skutecznych przeciwdziałań i ochrony granic zarówno w świecie wirtualnym, jak i realnym.

Edward Snowden i Julian Assange swego czasu naświetlili złożoną naturę ochrony prywatności w krajobrazie cyfrowym. Zwrócili też uwagę na przejrzystość działań rządowych, ujawniając, że rządy USA i Wielkiej Brytanii też angażują się w cyberszpiegostwo.

Opublikowane informacje na temat CIA wydobyły na światło dzienne niespotykane dotąd praktyki w zakresie inwigilacji i taktyki prokuratorskich, wymierzone w WikiLeaks i podobne grupy aktywistów. Pozostaje pytanie, gdzie w tej chwili przebiega granica wolności i prywatności.

FAQ – największe afery cyberszpiegowskie

Jaki jest przykład poważnego incydentu cyberszpiegowskiego?

Czy cyberszpiegostwo jest aktem wojny?

Czy cyberszpiegostwo jest nielegalne?

Jakie jest pięć rodzajów szpiegostwa?

Źródła

  1. Cert.ssi.gouv (Cert.ssi.gouv)
  2. Jak wykorzystano Google Play do rozpowszechniania aplikacji szpiegowskich (Darkreading)
  3. Rosyjska grupa cyberszpiegowska APT29 wykorzystuje słabe punkty chmury (Scmagazine)
  4. Inline XBRL Viewer (Sec)
  5. Wielka Brytania wraz z sojusznikami wskazuje na ewolucję taktyk rosyjskich cyberszpiegów (Ncsc.gov)
  6. Przeciek I-Soon ujawnia chińskie techniki cyberszpiegowskie . (Thecyberwire)
  7. Gdy koty latają: podejrzane zagrożenie ze strony irańskiej grupy UNC1549  – na celowniku izrealski i bliskowschodni przemysł lotniczy i obronny (Mandiant)
  8. Seul donosi: Korea Północna hakuje producenta chipów w Korei Południowej (Bbc.co)
  9. Korea Północna: program balistyczny sfinansowany przez skradzione kryptowaluty – raport ONZ(Bbc)
  10. Hakerzy z Korei Północnej  ukradli kryptowaluty o wartości 400 mln USD w roku 2021 – raport (Bbc)
  11. Chińscy hakerzy zainfekowali holenderską sieć wojskową (Bleepingcomputer)
  12. TLP:CLEAR MIVD AIVD Advisory Coathanger (Ncsc)
  13. Wielka Brytania i USA oskarżają Rosję o działania cyberszpiegowskie przeciwko znanym politykom (France24)
  14. Jak Komunistyczna Partia Chin wykorzystuje cyberszpiegostwo do niszczenia amerykańskiej gospodarki (Csis)
  15. Made in China 2025  – co to jest i dllaczego świat tak się boi? (China-briefing)
  16. Microsoft reaguje na atak chińskich hakerów Storm-0558 (Msrc.microsoft)
  17. Chińscy hakerzy włamują się do Departamentu Stanu i Departamentu Handlu – donoszą Microsoft i USA (Reuters)
  18. Dokumenty Snowdena ujawniają inwigilację sądową i taktyki wywierania presji wymierzone przeciwko WikiLeaks i zwolenników (Theintercept)
  19. Porwanie, zabójstwo i strzelanina w Londynie: tajne plany wojny CIA z WikiLeaks (News.yahoo)

Powiazane hasła

Tim Keary
Technology Specialist
Tim Keary
specjalista ds. technologii

Tim Keary pracuje jako freelancer. Jest autorem publikacji z dziedziny nowych technologii oraz reporterem. W swojej pracy dziennikarskiej zajmuje się takimi tematami jak sztuczna inteligencja, cyberbezpieczeństwo, czy najnowsze technologie biznesowe. W 2023 toku dołączył w pełnym wymiarze czasowym do zespołu Techopedii, przedtem zaś publikował swoje teksty w serwisach takich jak VentureBeat, Forbes Advisor i kilka innych renomowanych platform technologicznych. Tim najczęściej publikował teksty, w których analizowal najnowsze trendy i badał innowacje w świecie technologii. Tim ma dyplom magistra historii, który uzyskał na Uniwersytecie w Kent. Podczas studiów zdobył umiejętność rozbijania trudnych tematów na proste koncepty. Kiedy nie jest zajęty pisaniem…

thumbnail
thumbnail
Black Friday

Kupujemy gry na Black Friday

Tim Keary2 tygodniespecjalista ds. technologii
thumbnail
Uncategorized

Konfiguracja VPN krok po kroku

Tim Keary2 tygodniespecjalista ds. technologii
thumbnail
Blockchain

Top 7 trendów i technologii na rynku kryptowalut w 2024

Mensholong Lepcha2 tygodnieAutor tekstów z dziedziny blockchain i krypto
thumbnail
Blockchain

Hossa Bitcoina 2024: Kiedy BTC osiągnie 100 000 USD?

Mensholong Lepcha2 tygodnieAutor tekstów z dziedziny blockchain i krypto
thumbnail
Blockchain

Czy zdecentralizowana nauka (DeSci) to kolejny trend Web3?

Mensholong Lepcha2 tygodnieAutor tekstów z dziedziny blockchain i krypto
thumbnail
thumbnail
Sztuczna Inteligencja

Metoda sokratejska w procesie trenowania AI

Assad Abbas3 tygodnieProfesor Nadzwyczajny na Uniwersytecie COMSATS w Islamabadzie (CUI)