Kanadyjska firma antywirusowa własnością chińskiego hakera

[KopalniaWiedzy.pl 357]

Brian Krebs, znany dziennikarz śledczy, który specjalizuje się w kwestiach bezpieczeństwa komputerowego i działalności zorganizowanych grup cyberprzestępczych, twierdzi, że niedawno założona kanadyjska firma antywirusowa jest własnością jednego z najlepszych chińskich hakerów. Krebs ma na swoim koncie wiele znaczących osiągnięć jako dziennikarz śledczy. Doprowadził do zamknięcia kilku firm hostingowych współpracujących z przestępcami. To jemu zawdzięczamy zlikwidowanie firmy McColo, która udostępniała swoje serwery jednym z największych botnetów. To on jako pierwszy dziennikarz poinformował o istnieniu Stuxneta.

Teraz na podstawie wpisów w rejestrach sądowych, numerów IP serwerów i bazie danych WHOIS powiązał firmę Anvisoft, która ma podobno biura w Kanadzie z jej siedzibą w Kalifornii, gdzie jest zarejestrowana. Dalsze śledztwo wykazało, że adres IP firmowej domeny jest taki sam jak adres trzech innych domen. Dane jednej z nich były utajnione, ale dwie inne prowadziły do tego samego podmiotu rejestrującego, którym był użytkownik "tandailin" z Gaoxingu w Chinach. Użytkownik ten posługuje się adresem tandailin@163.com.

Krebs przypomniał sobie raport autorstwa iDefense z 2007 roku. Raport ten dotyczył chińskiego hakera używającego pseudonimów Wicked Rose i Withered Rose. Autorzy raportu informowali, że stoi on na czele czteroosobowej grupy NCPH (Network Crack Program Hacker), która na zlecenie chińskiego rządu stworzyła rootkit atakujący dziurę zero-day w Microsoft Wordzie i za jego pomocą zaatakowała firmy współpracujące z Pentagonem. W raporcie ujawniono, że prawdziwe nazwisko Wicked Rose brzmi Tan Dailin. Zamieszczono tam jego zdjęcie wraz z informacją, że ukończył Syczuański Uniwersytet Nauki i Inżynierii.

Z raportu Krebs dowiedział się również, że haker prowadził bloga pod adresem mghacker.com, który został zarejestrowany przez osobę posługującą się emailem tandailin@163.com. Co więcej, iDefense informowało, że jeden z członków NCPH, haker o pseudonimie Rodag, prowadził własny blog. Krebs zajrzał tam i okazało się, że blog jest aktywny. Za pomocą Google Translate dowiedział się, że w ciągu ostatnich miesięcy Rodag zachęcał czytelników swojego bloga do zainstalowania oprogramowania Anvisoft Smart Defender.

Krebs nie przesądza ostatecznie, że Anvisoft należy do chińskiego hakera. Jednak podane przez niego informacje postanowili zweryfikować dziennikarze serwisu The Register. Zapytali oni przedstawicieli Anvisoftu, czy Tan Dailin jest zaangażowy w działania firmy. Odpowiedź brzmiała: tak, to prawda.

Pomimo związków z Dailinem samej firmie Anvisoft nie można zarzucić żadnych nielegalnych działań.