Tot ce știm despre APT31. Gruparea de hackeri care a vizat și parlamentari români a fost înființată de serviciile secrete chineze

Hackerii care au atacat în ultimii ani guvernele și demnitarii mai multor state occidentale provin dintr-un grup înființat de statul chinez, potrivit Statelor Unite.

Grupul de hackeri care ar fi țintit guverne, instituții globale, companii sau personalități critice la adresa regimului de la Beijing – inclusiv din România – ar fi fost înființat, printr-o companie-paravan, de Ministerul Securității de Stat din China.

Grupul de hacking APT31, cunoscut și sub numele Violet Typhoon sau Zirconium, este activ de cel puțin 14 ani.

În tot acest timp, a orchestrat campanii de hacking la nivel mondial care au vizat demnitari, politicieni, funcționari, oameni de afaceri sau civili din țările occidentale.

Marți, după acuzațiile din SUA și Marea Britanie, poliția din Finlanda a transmis într-un comunicat de presă că o serie de atacuri cibernetice din perioada 2020 - 2021 asupra Parlamentului finlandez au legătură cu gruparea APT31.

Acronimul APT vine de la Advanced Persistent Threat (amenințare persistentă avansată) și este atribuit hackerilor sau grupurilor cibernetice, adesea susținute de stat, care se angajează în activități cibernetice rău intenționate.

Îți mai recomandăm Parlamentari români vizați de o grupare globală de spionaj a Chinei. Cum au ajuns trei deputați țintele APT31

Printre organizațiile vizate în trecut de APT31 se numără și Alianța Interparlamentară pentru China (IPAC), un grup internațional de parlamentari care se preocupă de modul în care țările democratice ar trebui să se raporteze la China.

Trei parlamentari români, printre care și fostul președinte al Comisiei pentru apărare, ordine publică şi siguranţă, Pavel Popescu, ar fi fost vizați, în 2021, de acțiunile acestor hackeri.

Atunci, APT31 a trimis mii de e-mailuri malițioase tuturor membrilor IPAC, pentru a începe să obțină orice fel de date despre aceștia.

Cine se află în spatele APT31

Lista de ținte a IPAC a fost însă mult mai extinsă, reiese din acuzațiile publice aduse de oficialii din Statele Unite și Marea Britanie.

În Regatul Unit, de pildă, hackerii ar fi obținut informații despre 40 de milioane de alegători în urma unor atacuri asupra Comisiei electorale.

În SUA, un rechizitoriu prin care au fost puși sub acuzare șapte dintre hackeri – toți căutați acum de FBI – arată cine era în vizorul chinezilor:

„Țintele au inclus oficiali de rang înalt de la Casa Albă; departamentele Justiției, Comerțului, Trezoreriei de Stat; membri ai Congresului, inclusiv senatori americani democrați și republicani din peste zece state; oficiali guvernamentali din Districtul de Est din New York; precum și soția unui oficial de rang înalt al Departamentului de Justiție.”

Cine se află, așadar, în spatele APT31?

Potrivit rechizitoriului Departamentului de Justiție american, depus pe 25 martie la un tribunal din New York, APT31 funcționează de cel puțin 14 ani prin intermediul unei companii-paravan pe nume Wuhan Xiaoruizhi Science and Technology Company (Wuhan XRZ).

Firma ar fi fost înființată cel mai probabil în 2010 de către Departamentul de Securitate de Stat Hubei („HSSD”), adică structura teritorială din provincia cu același nume a Ministerului Securității de Stat (MSS) din Republica Populară China, a cărei capitală este Wuhan.

Logo-ul Ministerului Securității de Stat din China.

Ministerului Securității de Stat (MSS) este cel mai important serviciu de informații și securitate al Republicii Populare Chineze.

Oficial, Wuhan XRZ este o companie specializată în „cercetare și dezvoltare experimentală, dezvoltarea tehnologiei, consultarea tehnologiei și transfer de tehnologie.”

MSS și departamentele sale de securitate de stat s-au concentrat pe identificarea și influențarea în mod secret a străinilor.
sursa: rechizitoriul Departamentului de Justiție al SUA

Rechizitoriul întocmit de Departamentul de Justiție explică motivul pentru care MSS ar fi pus bazele APT31:

„MSS și departamentele sale de securitate de stat au căutat să obțină informații privind politicile publice, economice și de securitate care ar putea afecta Republica Populară Chineză (RPC), împreună cu cele militare, informații științifice și tehnice de valoare pentru RPC.

Printre altele, au căutat să obțină informații despre politica altor țări, inclusiv a Statelor Unite.

În multe cazuri, MSS s-a concentrat pe colectarea și eforturile ulterioare de influență malignă asupra politicienilor pe care le-a perceput RPC ca fiind critic la adresa politicilor guvernamentale din RPC”.

În privința persoanelor implicate, Departamentul de Justiție a dezvăluit numele și fotografiile celor șapte suspecți și a oferit o recompensă de 10 milioane de dolari (46 de milioane de lei) pentru cei care pot furniza informații care vor duce la prinderea lor.

Pozele celor șapte hackeri chinezi căutați de FBI

Suspecții au vârste cuprinse între 34 și 38 de ani. Ei se numesc Cheng Feng, Sun Xiaohui, Weng Ming, Xiong Wang, Zhao Guangzong, Cheng și Ni Gaobin.

Dincolo de acuzațiile penale din SUA, doi dintre suspecți, Ni Gaobin și Zhao Guangzong - la fel ca și compania Wuhan XRZ - au fost incluși de americani și britanici pe lista sancțiunilor economice.

Ce spun politicienii europeni din IPAC

Din informațiile de până acum, singurii oficiali din România sau din alte state din Europa de Est care ar fi putut fi vizați de APT31 sunt cei care fac parte din IPAC.

Organizația a devenit o țintă datorită mesajelor sale în care critică acțiunile represive ale regimului comunist de la Beijing.

Din 2021, peste 1.000 de emailuri controlate de APT31 au fost trimise către mai mult de 400 de conturi unice de persoane asociate cu IPAC. Investigatorii americani spun că toți membrii Alianței Interparlamentare pentru China din Uniunea Europeană și Marea Britanie au fost vizați.

Îți mai recomandăm Explainer | Ce înseamnă și de ce Bucureștiul a decis abia acum interzicerea Huawei în rețelele 5G din România

„Prin țintirea noastră, acești hackeri au contribuit la consolidarea unității noastre, subliniind că ceea ce este în joc este mai mare decât interesele de partid sau naționale”, a transmis IPAC, într-un comunicat de presă.

Separat, într-un document confidențial transmis pe 26 martie de IPAC tuturor membrilor săi, văzut de RFE/RL, aceștia sunt îndrumați ce să facă pentru a nu deveni victime ale hackerilor chinezi.

„Credem că aceia [dintre voi] care au deschis emailurile au dezvăluit locația (adresa IP), posibil browserul și datele dispozitivului (modelul computerului sau al telefonului). Este posibil ca urmările atacurilor să fi fost și mai grave. Sperăm, însă, că asta este improbabil. Fără o confirmare însă din partea serviciilor de securitate, pur și simplu nu știm”, se arată în acel document, pe care – având în vedere informațiile sensibile – am decis să nu îl publicăm integral.

Jurnaliști de la Europa Liberă din mai multe țări care au membri în IPAC au obținut miercuri, 27 martie, confirmări că aceștia ar fi fost ținte ale atacurilor APT31.

Deputatul macedonean Antonio Milososki a declarat pentru RFE/RL că, în ultima lună, a primit mai multe e-mailuri cu titlul de „știri importante”, cele mai multe cu conținut politic.

Mailurile păreau să provină de la jurnaliști care doreau să își promoveze articolele. E o metodă, de altfel, descrisă și în rechizitoriul Departamentului de Justiție al SUA.

„Până acum am fost precaut, informațiile de la IPAC mi-au fost utile și i-am ignorat pe expeditorii acestor e-mailuri rău intenționate și astfel nu m-am pus în pericol legat de recoltarea datelor”, a declarat Milososki.

Îți mai recomandăm China crește bugetul pentru apărare și adoptă oficial un limbaj mai dur față de Taiwan

Din Bosnia Herțegovina, parlamentarul Sanela Klaric, reprezentant al partidului „Nasa stranka”, la rândul ei membru IPAC, a declarat că nu știe să fi fost victima unor încercări de hacking.

„Zilele acestea am primit un avertisment în grupul în care noi, cei de la IPAC, comunicăm, să nu deschidem e-mailuri și link-uri suspecte. Am obținut numele și subiectele acelor e-mailuri, care pot fi periculoase. Știu că Departamentul de Stat a confirmat că a existat hacking în trecut comis de către hackeri din China și că victimele erau colegi din grup”, a declarat ea.

Ce spun parlamentarii români

În România, potrivit unor surse, unii dintre politicienii din IPAC au fost contactați de serviciile secrete din România, care voiau să verifice dacă au primit email-uri de la hackerii chinezi.

De la stânga la dreapta: Cătălin Teniță, Pavel Popescu și Alexandru Muraru.

Fostul deputat Pavel Popescu - în 2022 a fost președinte al Comisiei pentru apărare, ordine publică şi siguranţă naţională din Camera Deputaților - spune pentru Europa Liberă că a început să primească „sute, chiar mii de mailuri malițioase” încă din 2009, când în România se dezbătea o lege privind interzicerea companiilor chinezești la infrastructura 5G a țării, lege pe care a susținut-o.

Popescu declară că a fost și ținta unor tentative de spargere/resetare a conturilor de social media sau de compromitere a unor dispozitive pe care le folosea.

„Am fost mereu perfect conștient de aceste lucruri, am comunicat instituțional în toată această perioadă cu toți cei abilitați pe domeniile de securitate natională și securitate cibernetică, care au reacționat prompt atât în cazul meu, cât și în cazul altor colegi”, spune Popescu.

Fostul deputat crede că a fost o țintă pentru grupări de hackeri datorită „poziționărilor asumate pro Parteneriatul Strategic cu SUA/NATO”.

Îți mai recomandăm De ce folosesc SRI, Poliția, Armata, Jandarmeria sau Frontiera camere video de supraveghere chinezești interzise în SUA și UK?

„Această investigație a serviciilor de informații americane nu este, astfel, o surpriză pentru mine, ci doar o simplă confirmare ca tot ce am făcut în acești ani ca deputat pe aceste domenii de expertiză, am făcut bine”.

La rândul său, deputatul Cătălin Teniță a declarat pentru Europa Liberă că, în trecut, a primit mai multe avertismente de la platformele online pe care le folosește că îi sunt atacate conturile.

„Pentru că am o experiență de peste 20 de ani în domeniul online, fiind antreprenor în acest domeniu pentru cea mai mare parte a vieții mele profesionale, cred că am reușit să evit penetrarea conturilor mele”, a spus Teniță.

Deputatul liberal Alexandru Muraru spune că nu își amintește să fi primit sau să fi deschis un astfel de email, dar că nu e surprins că membri IPAC au fost ținte ale hackerilor susținuți de guvernul de la Beijing.

„În întâlnirile noastre, care au loc de câteva ori pe an, în diferite formule, am fost avertizați în repetate rânduri despre ceea ce încearcă oficialii statului chinez să facă. Începând cu trimiterea de mesaje, e-mailuri, sub destinatari falși, care seamănă aparent cu IPAC, ceea ce reprezintă, de fapt, o targetare iminentă, directă și constantă noastră”, a declarat Alexandru Muraru.

Beijingul neagă acuzațiile

China a respins acuzațiile conform cărora ea sau organizațiile afiliate statului chinez ar fi responsabile pentru atacuri, numindu-le „calomnii complet fabricate și rău intenționate”.

Cu toate acestea, analiştii spun că hackerii chinezi devin din ce în ce mai activi în a supraveghea criticii din străinătate sau în a sustrage informații de la companii străine de top.

Jakub Janda, directorul European Values for Security Policy din Praga, a declarat pentru RFE/RL că decizia guvernului Regatului Unit de a atribui public campania de hacking Chinei este un pas înainte pentru un răspuns european mai solid la spionajul cibernetic chinez.

El crede însă că sancțiunile sunt în mare parte „pedepse simbolice” și este puțin probabil să aibă un „efect descurajant”.

Jamie MacColl, cercetător în domeniul securității cibernetice la Royal United Services Institute din Londra, spune că, în timp ce companiile chineze de hacking susținute de stat au crescut în ultimii ani, dezvăluirea recentă se remarcă prin amploarea sa masivă.

El adaugă că, deși puterea de hacking a Chinei e mult mai mare decât acum un deceniu, grupurile chineze sunt vulnerabile și că rechizitoriul nu ar fi fost posibil fără „infiltrarea semnificativă a Ministerului Securității de Stat” de către agențiile de informații occidentale.

„China încă își face griji că rețelele sale sunt pătrunse și [agențiile occidentale] colectează informații despre cele mai importante grupuri ale lor, ceea ce pare să se fi întâmplat aici”, a spus MacColl pentru RFE/RL.

„Este jenant pentru ei.”

Atacuri cibernetice în România

Atacurile cibernetice asupra unor instituții publice s-au înmulțit în ultimele luni și în România.

În ianuarie, un astfel de atac a avut loc asupra Parlamentului României. Au fost sustrase atunci 316 documente, inclusiv copii ale actelor de identitate ale parlamentarilor și premierului Ciolacu, a anunțat ministrul Digitalizării.

„Au fost extrase date de 250 GB, o parte documente personale, o parte date despre dispozitivele electronice ale Parlamentului. Se va emite un raport tehnic în baza căruia președintele Camerei Deputaților se va îndrepta împotriva răufăcătorilor”, declara atunci Bogdan Ivan, ministrul Cercetării, Inovării şi Digitalizării.

Îți mai recomandăm Atacul informatic de la Camera Deputaților, raportat cu întârziere. Este neclar cine trebuia să prevină „breșa de securitate”

„Conţinutul lor este unul public, şi anume contracte de servicii, adrese instituţionale, date din buget şi date care nu sunt destinate publicului – copii după actele de identitate ale parlamentarilor”, a precizat atunci ministrul.

Nu e clar până la acest moment cine s-a aflat în spatele atacului de atunci. O investigație în acest sens este instrumentată de DIICOT.

În februarie, serverele locale de la 27 de spitale din România au fost virusate în urma unui atac cibernetic asupra platformei informatice Hippocrate, pe care o folosesc pentru activitatea curentă.

Scopul acelui atac a fost de a cripta unele fișiere ale spitalelor. Pentru decriptarea lor, hackerii – neidentificați încă – au cerut o recompensă în Bitcoin de peste 150.000 de dolari.

Îți mai recomandăm Peste 100 de spitale, afectate câteva zile de un atac cibernetic. Rețeaua e acum funcțională aproape în totalitate. Învățămintele unui atac
Europa Liberă România e pe Google News. Abonați-vă AICI.