O armă "ascunsă și adaptabilă", folosită de Agenția Națională de Securitate (NSA) - centrul de informații al SUA pentru atacuri cibernetice asupra sistemului de mesagerie electronică a Universității Politehnice de Nord-Vest din provincia chineză Shaanxi, a fost descoperită de experții chinezi în securitate cibernetică, anunță Global Times. Universitatea chineză este specializată în studiile avansate în domeniul aviatic, aerospațial și de navigație. 

La data de 5 Septembrie, o echipă tehnică a anunțat că, prin analiza mai multor eșantioane de virusuri troieni de pe terminalele de Internet ale universității, având sprijinul unir parteneri europeni și sud-asiatici, a identificat că atacul cibernetic a fost efectuat de Tailored Access Operations (TAO) (Cod S32) al Biroul de Recunoaștere a Datelor (Cod S3) care aparține Departamentului de Informații (Cod S) al NSA. 

Având ca țintă Universitatea Politehnică de Nord-Vest, TAO a folosit 41 de tipuri de instrumente pentru a fura date tehnologice de bază, inclusiv configurația cheie a echipamentelor de rețea, datele de gestionare a rețelei și datele operaționale de bază. Echipa tehnică a descoperit peste 1.100 de conexiuni de atac au fost infiltrate în interiorul rețelei universității, dar și peste 90 de secvențe de instrucțiuni de operare, prin care au fost sustrase mai multe fișiere de configurare a dispozitivelor de rețea, diverse tipuri de jurnale și fișiere cheie. 

O analiză mai profundă condusă de Centrul Național de Răspuns de Urgență la Virusuri Informatice din China și de laboratorul Qi An Pangu din Beijing a arătat că arma cibernetică, cunoscută sub denumirea "ceai de băut", este unul dintre cei direct responsabili pentru furtul unor mari cantități de date sensibile. 

Un expert în securitate cibernetică a declarat pentru Global Times că TAO a folosit "ceai de băut" ca instrument pentru a detecta secrete, l-a implantat în serverul de rețea internă al Universității Politehnice de Nord-Vest, a furat parola de conectare a gestionării de la distanță și pentru transferul de fișiere la distanță. De asemenea, au fost accesate servicii cum ar fi SSH, pentru a obține acces la servere Intranet, dar și la alte servere de mare valoare, ceea ce face ca furtul de date sensibile persistente să fie de mari dimensiuni.

Virusul "ceai de băut" nu doar că poate fura conturi și parole pentru transferul de date de la distanță a fișierelor, dar este capabil să se ascundă și să se adapteze la noul mediu. Potrivit unui expert anonim, după ce a fost implantat în serverul și echipamentul țintă, "ceai de băut" se poate deghiza sub forma unui proces normal de fundal și va emite semnale adverse, succesiv, făcându-l foarte dificil de identificat.

De asemenea, "ceai de băut" poate rula neobservat pe server, poate monitoriza intrarea utilizatorului în programul terminal al consolei sistemului de operare în timp real și poate intercepta diverse nume de utilizator și parole, la fel ca un "observator" aflat în spatele utilizatorului.

"Odată ce aceste nume de utilizatori și parole sunt obținute de TAO, pot fi folosite pentru a trece la următoarea etapă a atacului, pentru a ajuta la furtul de fișiere de pe servere sau la livrarea de noi arme cibernetice", a declarat expertul în securitate cibernetică. 

În luna Februarie, experții laboratorului Qi An Pangu au declarat pentru Global Times că au descoperit un grup de hackeri de top ai NSA (SUA), care folosesc de mai bine de un deceniu o armă cibernetică denumită "Telescreen", care s-au infiltrat în 45 de țări și regiuni, inclusiv China, Rusia, Japonia, Germania, Spania și Italia, vizând 287 de ținte instituționale importante.

Astfel, a fost descoperit că "Telescreen" a fost folosită împreună cu "ceai de băut" pentru a lansa atacul asupra sistemului de e-mail al Universității Politehnice de Nord-Vest. 

Potrivit sursei, experții chinezi au găsit și urme ale atacului și în rețelele altor instituții, ceea ce arată că este posibil ca TAO să folosească virusul pentru a lansa un atac cibernetic pe scară largă asupra Chinei. 

Dincolo de acestea, un raport de cercetare intitulat "American Dragnet: Data-driven Deportation in the 21st Century", lansat de Centrul pentru Dreptul Confidențial și Tehnologic al Universității Georgetown (SUA), arată că, după doi ani de investigații, centrul a constatat că, în numele combaterii terorismului, Serviciul de Imigrare și Aplicare a Vămilor (ICE) din SUA a extins granițele etice și legale pentru a construi o rețea de supraveghere care să acopere majoritatea americanilor, ocolind supravegherea Congresului și legile privind confidențialitatea.

Aceasta înseamnă că accesul nelimitat al guvernului SUA la supravegherea datelor s-a extins de la departamentele "obișnuite" de aplicare a legii, cum ar fi NSA, Agenția Centrală de Informații, Biroul Federal de Investigații sau departamentul de poliție, la agenții administrative precum ICE. 

Purtătorul de cuvânt al Ministerului chinez de Externe, Mao Ning, a cerut SUA să înceteze acțiunile frauduloase, arătând că securitatea spațiului cibernetic este o problemă comună care afectează toate țările din întreaga lume.

Deși autoritățile chineze au cerut SUA să explice atacul cibernetic și să oprească imediat comportamentul ilegal, până acum nu s-a primit niciun răspuns substanțial. 

"Vreau să subliniez că ceea ce au făcut SUA a încălcat grav secretele tehnice ale instituțiilor chineze vizate și a pus în pericol securitatea infrastructurii critice a Chinei și a informațiilor instituționale și personale. SUA trebuie să se oprească imediat și să ofere o explicație responsabilă", a mai arătat Mao Ning. 

Sursa: Global Times