DOJ Busts предполагаемая глобальная сеть хакерства для «кибер-наемников»

Министерство юстиции обвинило 12 граждан Китая за их предполагаемое участие в глобальной хакерской деятельности. Согласно судебным документам, целевые показатели включали Министерство казначейства США, журналисты и религиозные организации. Атаки были направлены на кражу данных и подавить свободу слова.

В обвинительном заключении называет двух должностных лиц Министерства общественной безопасности Китая, восемь сотрудников частной компании, известной как информационные технологии, и I-SOON, а также два члена взломкой группы Advanced Persistent Wehting 27. Все остаются в целом.

«Министерство юстиции будет неуклонно преследовать тех, кто угрожает нашей кибербезопасности, крадя у нашего правительства и нашего народа», - сказала Сью Дж. Бай, глава отделения департамента по национальной безопасности, в пресс -релизе.

«Сегодня мы разоблачиваем агентов правительства Китая, направляя и способствуя неизбирательным и безрассудным атакам на компьютеры и сети по всему миру, а также способные компании и отдельные хакеры, которые они развязали. Мы будем продолжать бороться, чтобы демонтировать эту экосистему кибер -наемников и защитить нашу национальную безопасность ».

I-Soon была нанята правительственными чиновниками для совершения нападений в США и за рубежом

Два правительственных офицера якобы наняли сотрудников I-Soon в качестве внештатных хакеров в период с 2016 по 2023 год, чтобы украсть данные, задерживая их участие. Они ворвались в учетные записи электронной почты, мобильные телефоны, серверы и веб -сайты как конкретных, так и специфических жертв.

Цели I-SOON в США включали религиозную группу, критикующую китайскую правительство, ориентированную на Китаем правозащитную группу, новостные организации, выступающие против Коммунистической партии Китая, или предоставление новостей без цензуры в Азию, государственный исследовательский университет, представитель штата Нью-Йорк, связанный с религиозной группой, запрещенной в Китае и многочисленных правительственных департаментах.

Помимо нацеливания на политических противников, I-Soon действовал как фирму кибер-наемника, ориентированную на прибыль.

Не в США. Цель включала религиозного лидера и их офис, гонконгская газета, выступающая против китайского правительства и министерства иностранных дел Тайваня, Индии, Южной Кореи и Индонезии. Канцелярия адвоката Южного округа Нью -Йорка говорит, что эти цели были либо интересными из -за их критики китайского правительства или из -за их общения с США.

I-Soon якобы проводил хакерские операции как по просьбе китайских разведывательных агентств, так и независимо, продавая им украденные данные. Он обучил сотрудников Министерства общественной безопасности самостоятельно взломать и продавал различные кибер-инструменты, в том числе фишинговые, сбивающие пароль и программное обеспечение для проникновения в систему.

Его платформы нацелены на электронные письма, социальные сети и операционные системы, с одним инструментом, специально предназначенным для захвата учетных записей Twitter (теперь X). Используя этот инструмент, хакеры могли отправлять жертвам фишинговые ссылки, которые после открытия предоставили им доступ к учетной записи, обходя меры безопасности. Затем они могли манипулировать общественным мнением, отправляя, удаляя, любив и пересылав твиты.

Считается, что I-Soon, в которой было более 100 сотрудников, приносила десятки миллионов долларов для правительства Китая, взимая от около 10 000 до 75 000 долларов США за каждый почтовый ящик, который он успешно использовал.

В дополнение к обвинениям, DesticeedicePartment захватил несколько основных интернет-доменов, используемых I-Soon для рекламы своего бизнеса, включая Ecoatmosphere.org, Newyorker.cloud, Heidrickjobs.com и Maddmail.site.

Два члена APT27 продали похищенные данные правительству через I-SOON и другие организации

Члены APT27, Инь «YKC» Кечэн, 38 лет, и Чжоу «Coldface» Shuai, 45 лет, также продали похищенные данные организациям со связями с правительством Китая, включая I-Soon, в течение нескольких лет. Они якобы нацелились на оборонных подрядчиков США, технологических фирм, государственных учреждений, включая казначейство, местные органы власти, юридические фирмы, системы здравоохранения и министерства иностранных дел в Азии, что привело к миллионам долларов.

В период с августа 2013 года по декабрь 2024 года они использовали передовые методы взлома, в том числе сканирование уязвимостей нулевого дня и установка вредоносных программ, таких как веб-оболочки, для поддержания постоянного доступа к сетям жертв. Они украли учетные данные и использовали серверы точков хмеля для эксфильтрата данных, используя зашифрованные учетные записи VPN и VPS для скрытия своей деятельности.

Инь якобы открыто обсуждал свое желание нацелиться на американских жертв, сказав партнеру, что он хочет «связываться с американскими военными» и «разорвать большую цель», чтобы он мог заработать достаточно денег, чтобы купить машину. Он также был ранее санкционирован за роль в взломе министерства финансов в конце 2024 года.

Наряду с обвинениями отдельных лиц, прокуратура США округа Колумбия захватила виртуальную учетную запись частного сервера и интернет -домены, которые способствовали их преступной деятельности.

Награды в размере до 2 миллионов долларов теперь доступны для информации, ведущей к арестам и осуждению Инь и Чжоу. Отдельно, Министерство юстиции предлагает до 10 миллионов долларов для информации, ведущей к идентификации или местонахождению любого человека, который занимается злонамеренной кибер -деятельностью против критической инфраструктуры США, действуя под руководством иностранного правительства.