Google разби хакери, свързани с ККП, атакували 53 цели по целия свят
Google успешно демонтира спонсорирана от държава хакерска мрежа, свързана с Китайската комунистическа партия, известна в средите на киберсигурността като UNC2814 или „Gallium". Групата безшумно е проникнала в поне 53 организации в 42 държави, изсмуквайки чувствителни лични данни, включително пълни имена, телефонни номера, дати на раждане, места на раждане, номера на избирателни карти и национални идентификационни номера. Операцията е продължила повече от десетилетие, преди Google и нейните партньори да се намесят.
Това не е история за отдалечен корпоративен пробив. Това е история за вида лична информация, която определя вашата самоличност и която е събирана в глобален мащаб от добре финансирана операция, свързана с държавен субект.
Кои са Gallium и какво са търсели?
Gallium е това, което общността по сигурността нарича група за усъвършенствана устойчива заплаха (APT). Това не са опортюнистични киберпрестъпници, провеждащи фишинг измами за бърза печалба. APT групите обикновено се подкрепят от национални държави, действат с дългосрочни стратегически цели и разполагат с търпението и ресурсите да останат скрити в компрометирани системи в продължение на месеци или години.
В конкретния случай Gallium е прекарала повече от десетилетие в извършване на проникванияв множество индустрии, с особен акцент върху правителствени агенции и телекомуникационни оператори. Телекомуникационните мрежи са основна мишена, тъй като пренасят огромни обеми комуникационни данни. Компрометирането на телекомуникационен оператор може да даде на нападателите достъп до записи на обаждания, метаданни за съобщения и абонатна информация в мащаб — без никога да е необходимо да се хакват директно отделни потребители.
Данните, до които са получили достъп, включват всичко, което измамник, чуждестранна разузнавателна агенция или крадец на самоличност би поискал: имена, дати на раждане, места на раждане, телефонни номера, данни за регистрация на избиратели и национални идентификационни номера.
Защо правителствата и телекомите са само входната точка
Изкушаващо е да прочетете подобна история и да си помислите, че тя засяга само държавни служители или хора, за нещастие използвали компрометиран телеком. Това предположение си заслужава да бъде поставено под въпрос.
Когато група, свързана с държавен субект, се насочи към телекомуникационна инфраструктура, вълновите ефекти достигат до обикновените абонати. Когато правителствените бази данни бъдат пробити, личните записи, съхранявани в тях, принадлежат на частни граждани. 53-те засегнати организации в 42 държави са били точките за достъп, а не крайната дестинация.
Спонсорираните от държавата кибероперации като тази на Gallium се използват и за изграждане на досиета на лица с цел наблюдение, изнудване или бъдещо преследване. Обединяването на привидно незначителни данни — дата на раждане тук, номер на избирателна карта там — създава профил, много по-опасен от всеки отделен фрагмент информация сам по себе си.
Намесата на Google е значима, но тя не отменя десетилетие на достъп. Данните, до които е бил получен достъп през този период, не изчезват, след като мрежата бъде демонтирана.
Какво означава това за вас
Ако живеете в една от 42-те засегнати държави или ако използвате услуги, предоставяни от някоя от 53-те засегнати организации, личните ви данни може вече да са били разкрити. В момента няма потвърден публичен списък на тези организации, което затруднява категоричното установяване дали сте засегнати.
Ето какво можете да направите веднага:
- Следете самоличността си. Внимавайте за непознати акаунти, неочаквани запитвания за кредит или официална кореспонденция, подсказваща, че някой използва вашите данни.
- Бъдете предпазливи при нежелани контакти. Фишинг атаките и атаките чрез социално инженерство често следват мащабни пробиви на данни, тъй като нападателите използват открадната информация, за да направят подходите си по-убедителни.
- Ограничете излагането на личните си данни онлайн. Колкото по-малко лични данни предавате по незащитени връзки, толкова по-малка е уязвимата ви повърхност.
- Използвайте VPN в публични и ненадеждни мрежи. Въпреки че VPN не може да защити данни, вече откраднати от организация трета страна, той криптира интернет трафика ви, така че дейността ви при сърфиране, местоположението ви и комуникациите ви да не могат да бъдат прихванати при предаване от никой, наблюдаващ мрежата — било то престъпник, брокер на данни или актьор на държавно ниво.
Случаят с Gallium е напомняне, че ориентираните към наблюдение кибероперации не са хипотетични заплахи. Те се провеждат с години, насочват се към инфраструктурата, на която разчитате всеки ден, и събират същите категории лични данни, които редовно споделяте с услуги и институции.
Криптираните връзки са част от по-широка защита
Нито един инструмент не елиминира целия риск и би било нечестно да се твърди друго. Но наслояването на защитите има значение. [Разбирането как работи VPN криптирането](internal-link: encryption explainer) и последователното му прилагане — особено при свързване чрез обществен Wi-Fi или мрежи извън вашия контрол — намалява количеството данни, които могат да бъдат събрани за вас при предаване.
hide.me VPN криптира интернет връзката ви с помощта на силни, одитирани протоколи, маскира IP адреса ви и предотвратява прихващането на трафика ви от трети страни. Той няма да отмени пробив, вече настъпил в правителствена агенция или телеком. Това, което прави, е да гарантира, че вашата собствена връзка не е лесна мишена за вида пасивно наблюдение и събиране на данни, захранващи операции като тази на Gallium.
Неутрализирането на тази мрежа от Google е истинска победа за глобалната киберсигурност. По-широкият урок обаче е, че спонсорираното от държавата хакерство е устойчив, търпелив и добре финансиран проблем. Предприемането на стъпки за защита на собствените ви данни, включително [изборът на инструменти за поверителност, на които можете да се доверите](internal-link: privacy tools guide), не е параноя. Това е разумна реакция на документирана заплаха.
