logo_opentech2

AktuALNOŚCI

cyberaktywiści
Facebook
Twitter
LinkedIn

Chińska Republika Ludowa – Sponsorowani przez państwo cyberaktywiści wykorzystują dostawców i urządzenia sieciowe

Niniejsze wspólne doradztwo w zakresie bezpieczeństwa cybernetycznego opisuje sposoby, w jakie sponsorowane przez państwo podmioty cybernetyczne z Chińskiej Republiki Ludowej (ChRL) nadal wykorzystują publicznie znane luki w zabezpieczeniach w celu stworzenia rozległej sieci zagrożonej infrastruktury. Podmioty te wykorzystują tę sieć do atakowania wielu różnych celów na całym świecie, w tym organizacji sektora publicznego i prywatnego. W raporcie szczegółowo opisano ataki na główne firmy telekomunikacyjne i dostawców usług sieciowych oraz najważniejsze podatności – głównie wspólne podatności i zagrożenia (Common Vulnerabilities and Exposures – CVE) – związane z urządzeniami sieciowymi, które są rutynowo wykorzystywane przez cyberaktywistów od 2020 roku.

Bezpieczeństwa Cybernetycznego (NSA), Agencję Bezpieczeństwa Cybernetycznego i Bezpieczeństwa Infrastruktury (CISA) oraz Federalne Biuro Śledcze (FBI). Opiera się on na wcześniejszych raportach NSA, CISA i FBI i ma na celu poinformowanie rządów federalnych, stanowych, lokalnych, plemiennych i terytorialnych (SLTT), infrastruktury krytycznej (CI), w tym Bazy Przemysłu Obronnego (DIB) oraz organizacji sektora prywatnego o zauważalnych trendach i utrzymujących się taktykach, technikach i procedurach (TTP).

Podmioty mogą ograniczyć luki wymienione w tym raporcie poprzez zastosowanie w swoich systemach dostępnych poprawek, wymianę infrastruktury wycofanej z eksploatacji oraz wdrożenie scentralizowanego programu zarządzania poprawkami.

NSA, CISA oraz FBI zachęcają rządy Stanów Zjednoczonych i krajów sojuszniczych, instytucje informacyjne oraz prywatne organizacje przemysłowe do stosowania zaleceń wymienionych w sekcji Łagodzenie luk oraz w Dodatku A: Podatności, aby zwiększyć swoją pozycję obronną i zmniejszyć ryzyko wpływu sponsorowanych przez państwo ChRL złośliwych podmiotów cybernetycznych na ich krytyczne sieci.

Więcej informacji na temat sponsorowanej przez państwo ChRL złośliwej działalności cybernetycznej można znaleźć na stronie internetowej CISA China Cyber Threat Overview and Advisories.

Pobierz plik PDF

Typowe luki w zabezpieczeniach wykorzystywane przez sponsorowanych przez państwo cyberprzestępców z Chińskiej Republiki Ludowej
Sponsorowane przez państwo podmioty cybernetyczne z ChRL z łatwością wykorzystują luki w zabezpieczeniach w celu przejęcia kontroli nad niezałatanymi urządzeniami sieciowymi. Urządzenia sieciowe, takie jak routery SOHO (Small Office/Home Office) i urządzenia NAS (Network Attached Storage), służą jako dodatkowe punkty dostępu do kierowania ruchu dowodzenia i kontroli (C2) oraz jako punkty pośrednie do przeprowadzania włamań do sieci innych podmiotów. W ciągu ostatnich kilku lat seria poważnych luk w zabezpieczeniach urządzeń sieciowych umożliwiła cyberprzestępcom regularne wykorzystywanie i uzyskiwanie dostępu do podatnych na ataki urządzeń infrastruktury. Co więcej, urządzenia te są często pomijane przez obrońców cyberprzestrzeni, którzy mają trudności z utrzymaniem i dotrzymaniem kroku rutynowemu łataniu oprogramowania usług internetowych i urządzeń punktów końcowych.

Od 2020 r. podmioty cybernetyczne sponsorowane przez państwo ChRL prowadziły szeroko zakrojone kampanie mające na celu szybkie wykorzystanie publicznie zidentyfikowanych luk w zabezpieczeniach, znanych również jako wspólne luki i zagrożenia (CVE). Technika ta umożliwiła tym podmiotom uzyskanie dostępu do kont ofiar przy użyciu publicznie dostępnych kodów exploitów przeciwko usługom wirtualnej sieci prywatnej (VPN) [T1133] lub aplikacjom publicznym [T1190] – bez użycia własnego charakterystycznego lub identyfikującego złośliwego oprogramowania – tak długo, jak podmioty te działały zanim organizacje ofiar zaktualizowały swoje systemy.

Sponsorowani przez państwo ChRL cyberaktywiści zazwyczaj przeprowadzają włamania, uzyskując dostęp do skompromitowanych serwerów zwanych hoppointami z wielu chińskich adresów IP, które odpowiadają różnym chińskim dostawcom usług internetowych (ISP). Cyberaktywiści zazwyczaj uzyskują dostęp do serwerów poprzez dzierżawę zdalnego dostępu bezpośrednio lub pośrednio od dostawców usług hostingowych. Wykorzystują te serwery do rejestrowania operacyjnych kont e-mail i uzyskiwania do nich dostępu, hostowania domen C2 oraz interakcji z sieciami ofiar. Cyberaktywiści wykorzystują te punkty dostępu jako technikę maskowania podczas interakcji z sieciami ofiar.

Cyberprzestępcy nieustannie ewoluują i dostosowują taktykę, aby ominąć zabezpieczenia. NSA, CISA i FBI zaobserwowały, jak sponsorowani przez państwo cyberaktywiści monitorują konta i działania obrońców sieci, a następnie modyfikują prowadzoną przez siebie kampanię, aby pozostać niewykrytymi. Podmioty cybernetyczne modyfikowały swoją infrastrukturę i zestawy narzędzi natychmiast po ujawnieniu informacji związanych z prowadzonymi przez nie kampaniami. Sponsorowani przez państwo ChRL cyberaktywiści często łączą swój dostosowany zestaw narzędzi z narzędziami publicznie dostępnymi, zwłaszcza wykorzystując narzędzia, które są natywne dla środowiska sieciowego, aby ukryć swoją działalność poprzez wtopienie się w szum lub normalną aktywność sieci.

NSA, CISA i FBI uważają, że wspólne luki i zagrożenia (CVE) wymienione w Tabeli 1 są najczęściej wykorzystywanymi przez cyberaktywistów sponsorowanych przez państwo ChRL lukami w zabezpieczeniach urządzeń sieciowych od 2020 roku.

więcej można przeczytać tutaj (wersja angielska) ….

Źródło: People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices | CISA

Mariusz Piskorczyk

Specjalista ds. bezpieczeństwa informacji, ochrony danych i cyberbezpieczeństwa. Audytor wiodący ISO 27001, 9001. Od 10 lat zajmujący się praktycznie bezpieczeństwem informacji i cyberbezpieczeństwem. Administrator systemów IT.