Chiny, Rosja i Korea Północna coraz śmielej prowadzą na całym świecie akcje cyberszpiegowskie, atakują infrastrukturę krytyczną i stosują dezinformację. Pomagają im w tym opłaceni cyberprzestępcy. Unit 42, jednostka badawcza Palo Alto Networks ujawnia kolejną grupę potencjalnie powiązana z chińską władzą. Phantom Taurus atakuje organizacje rządowe w Afryce, na Bliskim Wschodzie i w Azji. Działalność grupy może być potencjalnie niebezpieczna dla polskich placówek rządowych nie tylko w tych regionach świata.
Niedawno polska Agencja Wywiadu opublikowała raport na temat działalności chińskich grup cyberprzestępczych. Opracowanie wskazuje, że hakerzy obierają za cel firmy telekomunikacyjne, a nawet podmioty z sektora hotelarskiego czy transportowego. Dlaczego? Dane z tych źródeł pozwalają chińskiemu wywiadowi śledzić aktywność określonych osób[1]. Kogo mogą dotyczyć takie operacje? Na przykład polityków, dyplomatów czy przedsiębiorców zasiadających w zarządach strategicznych spółek.
Najnowszy raport CSIRT GOV także potwierdza rosnącą aktywność i niebezpieczeństwo chińskich grup APT, których działania koncentrują się na atakowaniu infrastruktury krytycznej, telekomunikacyjnej czy transportowej[2].
Unit 42 zaobserwowało, że Phantom Taurus działa według podobnych schematów. Grupa atakuje organizacje rządowe i telekomunikacyjne, zwłaszcza te, które świadczą usługi i zapewniają infrastrukturę.
Kluczowymi celami są ministerstwa spraw zagranicznych, ambasady, wydarzenia geopolityczne i operacje wojskowe. Grupa działa dyskretnie, wytrwale poszukuje dostępu do informacji i potrafi szybko dostosować taktykę, techniki i procedury (TTP) do bieżących potrzeb.
„Śledztwo, które przeprowadziła nasza jednostka badawcza Unit 42, ujawnia, że Phantom Taurus atakuje głównie podmioty rządowe i dostawców usług rządowych na Bliskim Wschodzie, w Afryce i Azji. Działają metodycznie, bardzo długo i skrupulatnie gromadzą informacje wywiadowcze na temat wartościowych celów. Uzyskują dzięki temu poufne, niepubliczne informacje. Wzory ataków są spójne z interesami gospodarczymi i geopolitycznymi Chińskiej Republiki Ludowej. Zaobserwowaliśmy, że grupa interesuje się komunikacją dyplomatyczną, wywiadem związanym z obronnością oraz działaniami kluczowych ministerstw rządowych. Czas i zakres działań grupy często pokrywają się z ważnymi wydarzeniami globalnymi i regionalnymi sprawami bezpieczeństwa” – tłumaczy Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający Palo Alto Networks w Europie Środkowo-Wschodniej.
Regularnie publikowane raporty różnych instytucji dostarczają kluczowych informacji na temat wytrwałości, zdolności adaptacyjnych, ewolucji i intencji strategicznych coraz lepiej zorganizowanych grup APT sponsorowanych przez światowe mocarstwa. Badacze z Unit 42 podkreślają, że działalność grup cyberprzestępczych należy stale monitorować, ponieważ ich modus operandi nie zawsze da się uchwycić wyłącznie w analizie krótkoterminowej.
Przypadek Phantom Taurus pokazuje, w jaki sposób długoterminowe monitorowanie umożliwia kompleksowe zrozumienie ewolucji podmiotów stanowiących zagrożenie i ich możliwości operacyjnych.
[1] CSA_COUNTERING_CHINA_STATE_ACTORS_COMPROMISE_OF_NETWORKS.PDF, s. 5
[2] Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2024 roku – Raporty o stanie bezpieczeństwa cyberprzestrzeni RP CSIRT GOV, s. 72
