Vuoden 2024 tärkein kyberturvavuoto tähän asti - I-Soon vuoto valottaa Kiinan valtion tukemaa hakkerointitoimintaa

2024-02-22 IT ja Kyberturvallisuus Petteri Nakamura

I-Soon (上海安洵) on Kiinalainen, Shanghaissa päämajaansa pitävä, kyberturvayritys, joka työskentelee monille Kiinan valtion organisaatioille, kuten julkisen turvallisuuden ministeriölle, valtion turvallisuusministeriölle ja Kansan vapautusarmeijalle. Suuri joukko asiakirjoja ja työntekijöiden välisiä chat-viestejä vuodettiin GitHubiin 16. helmikuuta, paljastaen yrityksen sisäisiä toimintaa, kohteiksi valittuja organisaatioita ja hakkeroinnista saatuja palkkioita (ilmeisesti tietojen varastamisesta Vietnamin talousministeriöstä maksettiin 55 000 dollaria ja pääsy Vietnamin liikennepoliisin sisäiselle verkkosivustolle oli 15 000 dollarin arvoinen), vakoilulaitteita kuvailevia teknisiä asiakirjoja, työntekijöiden valituksia matalista palkoista ja keskustelua nollapäivähaavoittuvuuksien vastaanottamisesta Kiinan valtiolta.

Juttu julkaistiin kansainvälisessä mediassa alkuviikosta, ja myös Yle kirjoitti siitä. www.i-soon.net -verkkosivusto oli alhaalla torstaina ja uutisten mukaan Kiinan poliisi etsii “vuotajaa”. Tämä ainutlaatuinen tietovuoto tulee pitämään tietoturvatutkijat kiireisinä jonkin aikaa. Aineistoa tarkastellessa oman huomioni kiinnitti keskustelu nollapäivähaavoittuvuuksista. Nollapäivähaavoittuvuudet ovat ohjelmistotuotteissa olevia haavoittuvuuksia, joista valmistajat eivät tiedä, joten niitä vastaan ei ole puolustautumiskeinoa, koska korjauksia ei ole saatavilla eikä kukaan tiedä niistä. Nollapäivähaavoittuvuudet ovat siksi erityisen hyödyllisiä hyökkääjllle, mutta ne menettävät hyödyllisyytensä heti kun ne löydetään ja korjataan. Tai kun muita puolustautumiskeinoja kehitetään. Vuonna 2021 Kiina määräsi, että kaikkien maassa toimivien yritysten on ilmoitettava kaikki löydetyt haavoittuvuudet Teollisuus- ja informaatioteknologiaministeriölle (MIIT) kahden päivän kuluessa. Määräyksen motiiviksi epäiltiin laajasti nollapäivähaavoittuvuuksien keräämistä hakkerointioperaatioita varten ja esimerkiksi Qihoo360:n, kiinalaisen kyberturvallisuusyrityksen, toimitusjohtajan raportoitiin tuolloin kutsuneen nollapäivähaavoittuvuuksia “tärkeiksi strategisiksi resursseiksi”, jotka tulee pitää Kiinassa.

Seuraavana vuonna Microsoft raportoi Kiinaan yhdistettyjen hakkeriryhmien hyödyntämien nollapäivähaavoittuvuuksien määrän kasvusta. Myöhemmin uudet kiinan kyberturvallisuus- ja vastavakoilulait myös kielsivät Kiinan kansallisen edun mukaisten tietojen (hyvin laaja määritelmä) paljastamisen muiden valtioiden viranomaisille minkä tahansa Kiinassa toimivan yrityksen toimesta ilman nimenomaista Kiinan viranomaisten lupaa. Säädökset osoittavat ilmeisen pyrkimyksen kerätä nollapäivähaavoittuvuuksia heti niiden löytyessä ja estää niiden raportointi muualle.

I-Soon-vuoto sisältää työntekijöiden keskusteluja kiinalaisessa Tianfu-cup -kilpailussa löydettyjen nollapäivähaavoittuvuuksien ja niihin kehitettyjen esimerkkikoodien vastaanottamisesta Kiinan viranomaisilta, sekä näiden kehittämisestä hyökkäyskoodiksi yrityksen hyökkäysoperaatioita varten. Keskustelusta käy ilmi priorisointijärjestelmän olemassaolo, jossa haavoittuvuuksia jaetaan eri maakunnille ja edelleen eri operaattoreille jonkinlaisen strategisen harkinnan perusteella. Aineistossa mainitut hyökkäyskohteet sisältävät NATO:n ja eri maiden viranomaisorganisaatioita sekä teleyrityksiä useista eri maissa, mukaan lukien Iso-Britannia, Etelä-Korea, Thaimaa ja Intia.

Vuoto vaikuttaa tehdyn yrityksen nolaamiseksi, mutta se tarjoaa myös ainutlaatuisen ikkunan näiden hakkeriyritysten toimintaan ja Kiinan valtion tukemaan hakkerointiin, jota toteuttavat kiinalaiset yksityiset yritykset. Tämä on myös herätys kaikille yrityksille ja organisaatioille maailmassa ja näyttää, millaisia työkaluja ja resursseja näillä yrityksillä on käytettävissään. Dakota Cary ja Aleksandar Milenkoski Sentinel Labsista sanovat viestin yritysjohtajille olevan että näiden “organisaatioiden uhkamalli todennäköisesti sisältää alipalkattuja teknisiä asiantuntijoita, jotka ansaitsevat murto-osan siitä arvosta, jonka he varastavat organisaatiolta”.

Ei tule unohtaa, että näillä alipalkatuilla hakkereilla on työssään käytettävissään valtion keräämät nollapäivähaavoittuvuudet ja kehittämät proof of conseptit.