Kínai offenzív kiberképzésekkel kapcsolatos adatszivárgás (part 2)
A kínai offenzív kiberképzési rendszerekkel kapcsolatos új adatszivárgás több részletet is feltárt a kínai kiberműveleti ökoszisztéma belső szerkezetével kapcsolatban. A dokumentumok részletes tervezési fájlokat, belső kommunikációt, hálózati diagramokat és architektúrális tervrajzokat tartalmaznak egy kifinomult képzési platformról, amelyet a kínai Közbiztonsági Minisztérium használ. A kódnevén Expedition Cloud névre keresztelt platformon letükrözik a külföldi nemzetek digitális infrastruktúráját, ami lehetővé teszi a kínai operátorok számára, hogy szimulált villamosenergia-hálózatok, közlekedési hálózatok, energiarendszerek, repülőtéri irányító rendszerek, közúti forgalomirányítás és más kritikus szektorok elleni támadásokat gyakoroljanak.
A szivárgásról szóló újabb blogbejegyzés részletesen bemutatja az Expedition Cloud technikai felépítését. A blogger a rendelkezésre álló telepítési kézikönyvre, UML-diagramokra és kódrészletekre támaszkodva ismerteti a rendszer működését, amely négy fő komponensből áll: a belső hálózatból (I-N), a külső hálózati infrastruktúrát futtató munkacsomópontokból (W-N), a köztes „Relay” szerverből és a külső célpontokat szimuláló infrastruktúrából. A különböző elemek között szigorúan szegmentált adatáramlás működik, a belső és külső hálózat pedig soha nem kapcsolódik közvetlenül: az adatok egy „holttárolóként” működő Relay szerveren keresztül jutnak el egyik oldalról a másikra.
A rendszer egyik legfontosabb része a munkacsomópontok felülete, ahol a tényleges támadási és hírszerzési műveleteket végrehajtó virtuális gépek futnak. Ezeket Openstack alapú megoldás kezeli, több operációs rendszerrel és akár Androidos környezettel is. A W-N-ek egy nyilvános IP mögött rejtőznek, és egy különleges „Rednet” hálózati logika révén a belső hálózat számára belső IP-ként jelennek meg. A hozzáférés egy rejtett, tokenalapú vue-alapú adminisztrációs felületen vagy egy dedikált mobilalkalmazáson keresztül történik, amely VPN-kapcsolaton át kommunikál. A rendszert kiegészítik az úgynevezett „MiZong” (迷踪) — azaz stealth/proxy — csomópontok, amelyek további anonimitást biztosítanak a gyakorló operátoroknak.
A belső hálózat irányítja és felügyeli a teljes rendszert: itt tárolják a felhasználói adatbázisokat, engedélyeket, forgatókönyveket és naplókat, valamint innen indítják és hagyják jóvá a küldetéseket. Ezen felül itt jelennek meg a W-N-eken futó virtuális gépek valós idejű állapotai, valamint ide töltik le a műveletek után a videókat, hálózati naplókat és egyéb nyers adatokat. A rendszer részét képezi egy belső kommunikációs felület és tudástár is, amely a felhasználók közötti információcserét és a képzés támogatását szolgálja.
A blogger szerint az Expedition Cloud kiemelkedően átgondolt infrastruktúrát képvisel. Bár a kiszivárgott anyagok nem tartalmazzák a konkrét támadó eszközöket vagy éles műveletek részleteit, a rendszer adatgyűjtési képességei különösen értékesek lehetnek jövőbeli mesterséges intelligencián alapuló támadó- vagy elemzőrendszerek tanításához.
