Google викрив хакерів, пов'язаних із КПК, які атакували 53 цілі по всьому світу

Google викрив хакерів, пов'язаних із КПК, які атакували 53 цілі по всьому світу

Google успішно ліквідував спонсоровану державою хакерську мережу, пов'язану з Комуністичною партією Китаю, яку у колах кібербезпеки знають як UNC2814 або «Gallium». Угруповання непомітно проникло щонайменше до 53 організацій у 42 країнах, викрадаючи конфіденційні персональні дані, зокрема повні імена, номери телефонів, дати народження, місця народження, номери посвідчень виборців та національні ідентифікаційні номери. Операція тривала понад десятиліття, перш ніж Google та його партнери втрутилися.

Це не історія про витік корпоративних даних десь далеко. Це історія про те, як особиста інформація, що визначає вашу ідентичність, збирається у глобальному масштабі добре забезпеченою операцією, пов'язаною з державою.

Хто такий Gallium і що їм було потрібно?

Gallium — це те, що спільнота безпеки називає групою Advanced Persistent Threat (APT). Це не випадкові кіберзлочинці, що запускають фішингові схеми заради швидкого заробітку. APT-групи зазвичай підтримуються державами, діють із довгостроковими стратегічними цілями і мають терпіння та ресурси, щоб роками залишатися непоміченими всередині скомпрометованих систем.

У цьому випадку Gallium понад десятиліття здійснював вторгнення в різні галузі, зосереджуючись насамперед на державних органах та операторах телекомунікацій. Телекомунікаційні мережі є першочерговою ціллю, оскільки через них проходять величезні обсяги даних зв'язку. Компрометація оператора телекомунікацій може надати зловмисникам масовий доступ до записів дзвінків, метаданих повідомлень та інформації про абонентів — без необхідності безпосередньо зламувати окремих користувачів.

Дані, до яких вони отримали доступ, являють собою саме те, чого бажає шахрай, іноземна розвідка або викрадач особистості: імена, дати народження, місця народження, номери телефонів, дані реєстрації виборців та національні ідентифікаційні номери.

Чому уряди та телекоми — лише точка входу

Спокусливо прочитати таку історію і вирішити, що вона стосується лише державних службовців або людей, яким не пощастило користуватися скомпрометованим телекомом. Це припущення варто поставити під сумнів.

Коли пов'язана з державою група атакує телекомунікаційну інфраструктуру, наслідки відчувають звичайні абоненти. Коли зламуються державні бази даних, персональні записи в них належать приватним громадянам. 53 організації, атаковані в 42 країнах, були точками доступу, а не кінцевою метою.

Державні кібероперації, подібні до операції Gallium, також часто використовуються для створення досьє на осіб з метою стеження, шантажу або подальшого цільового переслідування. Агрегація, здавалося б, буденних елементів даних — дата народження тут, номер посвідчення виборця там — формує профіль, набагато небезпечніший, ніж будь-який окремий фрагмент інформації сам по собі.

Втручання Google є значущим, але воно не скасовує десятиліття доступу. Дані, до яких було отримано доступ упродовж цього періоду, не зникають після ліквідації мережі.

Що це означає для вас

Якщо ви живете в одній із 42 країн, що зазнали атаки, або користуєтеся послугами будь-якої з 53 постраждалих організацій, ваші персональні дані вже могли бути розкриті. Підтвердженого публічного переліку цих організацій наразі немає, тому важко з упевненістю встановити, чи стосується це вас.

Ось що ви можете зробити просто зараз:

• Відстежуйте стан своєї ідентичності. Звертайте увагу на незнайомі акаунти, неочікувані запити кредитної історії або будь-яке офіційне листування, що свідчить про використання ваших даних кимось іншим.
• Будьте обережні з небажаними контактами. Фішингові спроби та атаки соціальної інженерії часто слідують за масштабними витоками даних, оскільки зловмисники використовують викрадену інформацію, щоб зробити свої підходи переконливішими.
• Обмежте розкриття своїх даних в інтернеті. Що менше персональних даних ви передаєте через незахищені з'єднання, то менша ваша поверхня атаки.
• Використовуйте VPN у публічних та ненадійних мережах. Хоча VPN не може захистити дані, які вже були викрадені зі сторонньої організації, він шифрує ваш інтернет-трафік, щоб ваша активність в мережі, місцезнаходження та комунікації не могли бути перехоплені під час передачі ким завгодно, хто моніторить мережу, — будь то злочинець, брокер даних або суб'єкт державного рівня.

Справа Gallium нагадує, що кібероперації, орієнтовані на стеження, — це не гіпотетичні загрози. Вони тривають роками, атакують інфраструктуру, якою ви користуєтеся щодня, і збирають ті самі категорії персональних даних, якими ви регулярно ділитеся з сервісами та установами.

Зашифровані з'єднання як частина комплексного захисту

Жоден окремий інструмент не усуває всіх ризиків, і стверджувати інше було б нечесно. Але рівні захисту мають значення. [Розуміння принципів шифрування VPN](internal-link: encryption explainer) та послідовне його застосування, особливо під час підключення через публічний Wi-Fi або мережі поза вашим контролем, зменшує обсяг даних, що можуть бути перехоплені про вас під час передачі.

VPN hide.me шифрує ваше інтернет-з'єднання за допомогою надійних, перевірених протоколів, маскуючи вашу IP-адресу та унеможливлюючи перехоплення вашого трафіку третіми сторонами. Він не скасує витік, що вже стався в державному органі або телекомунікаційній компанії. Але він гарантує, що ваше власне з'єднання не стане легкою мішенню для пасивного стеження та збору даних, що живлять такі операції, як Gallium.

Знешкодження цієї мережі компанією Google є справжньою перемогою для глобальної кібербезпеки. Однак ширший урок полягає в тому, що державне хакерство — це постійна, терпляча та добре фінансована проблема. Вжиття заходів для захисту власних даних, зокрема [вибір інструментів конфіденційності, яким можна довіряти](internal-link: privacy tools guide), — це не параноя. Це розумна відповідь на задокументовану загрозу.