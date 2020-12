Gang cyberprzestępczy OceanLotus znany również jako APT32 szpiegujący na rzecz rządu w Wietnamie jest powiązany z wietnamską firmą z branży bezpieczeństwa - poinformowali w piątek eksperci Facebooka zajmujący się analizą cyberzagrożeń.

Agencja Reutera zauważa, że to pierwszy raz, kiedy Facebook publicznie nazwał sprawcę stojącego za ofensywnymi cyberoperacjami. Jeśli informacje koncernu potwierdzą się, będzie to jeden z rzadkich przypadków, w których sprawcy operacji cyberszpiegowskich zostaną przypisani do konkretnej organizacji - podkreśla Reuters.

Hakerzy, którzy działają w ramach grupy OceanLotus, od wielu lat oskarżani są o działalność szpiegowską, której ofiarami są przede wszystkim dysydenci polityczni, firmy oraz przedstawiciele innych państw. Reuters informował w tym roku o próbie włamania, jakiego dokonała ta grupa, do struktur chińskiego ministerstwa zarządzania kryzysowego oraz władz lokalnych w Wuhan na początku epidemii COVID-19.

Eksperci Facebooka twierdzą, że udało im się znaleźć powiązania pomiędzy cyberatakami wcześniej przypisywanymi hakerom z OceanLotus i firmą CyberOne Group, która ma swoją siedzibę w mieście Ho Chi Minh.

Firma zaprzecza oskarżeniom Facebooka: "OceanLotus to NIE MY" - powiedział Reutersowi operator firmowej strony na Facebooku należącej do firmy, obecnie zawieszonej i niewidocznej dla użytkowników serwisu. "To nieporozumienie" - dodał.

Facebook twierdzi, że hakerzy wykorzystywali jego platformę w swoich działaniach ofensywnych. Niektóre cyberataki obejmowały wykorzystanie fałszywych kont na Facebooku do oszukiwania ofiar i udawania aktywistów zaangażowanych w działalność polityczną, a także partnerów biznesowych i osób zainteresowanych nawiązaniem bliższych relacji towarzyskich.

Według dyrektora polityki ds. cyberbezpieczeństwa Facebooka Nathaniela Gleichera zespół koncernu znalazł dowody poświadczające, że strona firmy CyberOne na Facebooku była wykorzystywana w cyberatakach OceanLotus. Reuters zaznacza, że Gleicher nie podał, o jakie dowody dokładnie chodzi, argumentując to obawą przed wykorzystaniem ujawnienia tych informacji przez grupę przestępczą w przyszłości do lepszego maskowania swoich działań. Przedstawiciel koncernu podał jedynie, że wśród dowodów znajdują się ślady infrastruktury sieciowej, złośliwy kod oraz użycie kilku innych narzędzi i technik hakerskich.

Grupa OceanLotus była przede wszystkim aktywna w regionie Azji Południowo-Wschodniej.

Twierdzenia Facebooka o przypisaniu aktywności hakerskiej APT32 do wietnamskiej firmy wspierają cytowane przez Reutera opinie przedstawicieli firm z branży takich jak FireEye czy ESET, którzy uważają, że aktywność cyberprzestępcza tego gangu zmapowana przez Facebooka zgadza się z ich analizą działań przypisywanych OceanLotus.

Grupa jest aktywna co najmniej od 2013 roku.

Firma CyberOne z kolei na swoich stronach internetowych nie podaje wielu informacji na swój temat poza danymi o zatrudnieniu około 200 osób i świadczeniu "szeregu najważniejszych usług z zakresu technologii cyberbezpieczeństwa".