Šiandien „Sophos“ paskelbė keletą ataskaitų, pavadintų „Ramiojo vandenyno pakrante“, kuriose išsamiai aprašoma, kaip kibernetinio saugumo įmonė daugiau nei 5 metus kovojo su Kinijos grėsmės veikėjais, kai jie vis dažniau taikėsi visame pasaulyje tinklo įrenginiams, įskaitant „Sophos“ įrenginius.
Daugelį metų kibernetinio saugumo įmonės perspėjo įmones, kad Kinijos grėsmių subjektai naudojasi kraštinių tinklo įrenginių trūkumais, kad įdiegtų tinkintą kenkėjišką programą, leidžiančią stebėti tinklo ryšį, pavogti kredencialus arba veikti kaip tarpiniai serveriai perduodamiems atakoms.
Šios atakos buvo nukreiptos į gerai žinomus gamintojus, įskaitant „Fortinet“, „Barracuda“, „SonicWall“, „Check Point“, „D-Link“, „Cisco“, „Juniper“, „NetGear“, „Sophos“ ir daugelį kitų.
„Sophos“ šią veiklą priskyrė daugeliui Kinijos grėsmių subjektų, žinomų kaip „Volt Typhoon“, „APT31“ ir „APT41/Winnti“, kurie visi anksčiau buvo taikomi tinklo įrenginiams.
„Daugiau nei penkerius metus „Sophos“ tiria kelias Kinijoje įsikūrusias grupes, nukreiptas į „Sophos“ ugniasienes, su botnetais, naujais išnaudojimais ir specialiai pritaikytomis kenkėjiškomis programomis“, – aiškina Sophos ataskaitoje, kurioje aprašoma veikla.
„Padedami kitiems kibernetinio saugumo pardavėjams, vyriausybių ir teisėsaugos agentūrų, galėjome su skirtingu pasitikėjimo lygiu priskirti konkrečias stebimos veiklos grupes Volt Typhoon, APT31 ir APT41/Winnti.
„Sophos“ teigia, kad jie pradėjo kovoti su grėsmės veikėjais 2018 m., kai nusitaikė į Indijoje įsikūrusios „Sophos“ dukterinės įmonės „Cyberoam“ būstinę. Tyrėjai mano, kad būtent tada grėsmės veikėjai pradėjo tirti atakas prieš tinklo įrenginius.
Nuo to laiko grėsmės veikėjai vis dažniau naudojo nulinės dienos ir žinomus pažeidžiamumus, kad nukreiptų į krašto tinklo įrenginius.
„Sophos“ mano, kad daugelį nulinės dienos pažeidžiamumų sukūrė Kinijos mokslininkai, kurie ne tik dalijasi jomis su pardavėjais, bet ir su Kinijos vyriausybe bei asocijuotais valstybės remiamais grėsmių veikėjais.
„Per dvi atakas (Asnarök ir vėlesnė ataka, pavadinta „Asmenine Panda“), „X-Ops“ atskleidė ryšius tarp klaidų tyrėjų, atsakingai atskleidžiančių pažeidžiamumą, ir šioje ataskaitoje stebimų priešų grupių. X-Ops su vidutiniu pasitikėjimu įvertino, Mokslininkų bendruomenė, susitelkusi į Čengdu švietimo įstaigas, manoma, kad ji bendradarbiauja tiriant pažeidžiamumą ir dalijasi savo išvadomis su Kinijos vyriausybe susijusiais pardavėjais, įskaitant rangovus, vykdančius įžeidžiančias operacijas valstybės vardu , visa šios veiklos apimtis ir pobūdis nebuvo galutinai patikrintas.
❖ Sophos X-Ops, Ross McKerchar.
Bėgant metams Kinijos grėsmės veikėjai tobulino savo taktiką, kad būtų išvengta aptikimo naudojant tik atmintį turinčias kenkėjiškas programas, pažangias išlikimo technologijas ir pažeistų tinklo įrenginių naudojimą kaip didžiulius operatyvinės perdavimo dėžutės (ORB) tarpinius tinklus.
Nors daugelis šių atakų nukreipia kibernetinio saugumo tyrėjus į gynybą, Sophos taip pat turėjo galimybę pradėti puolimą, sodindamas specialius implantus įrenginiuose, kurie, kaip žinoma, buvo pažeisti.
„Medžiodami per telemetriją, X-Ops analitikai nustatė įrenginį, kurį X-Ops labai patikimai padarė išvadą, kad jis priklauso Double Helix subjektui“, – paaiškino Sophosas.
„Pasikonsultavusi su teisininku, „X-Ops“ įdiegė tikslinį implantą ir stebėjo, kaip užpuolikas naudoja „vim“ rašydamas ir paleisdamas paprastą „Perl“ scenarijų.
„Nors diegimas buvo mažos vertės, jis buvo vertingas žvalgybos duomenų rinkimo galimybių įrodymas, nes užpuoliko valdomuose įrenginiuose buvo galima stebėti beveik realiu laiku.
Šie implantai leido „Sophos“ rinkti vertingus duomenis apie grėsmės veikėjus, įskaitant UEFI įkrovos rinkinį, kuris buvo pastebėtas kaip įdiegtas tinklo įrenginyje.
Šį įrenginį įsigijo įmonė, įsikūrusi Čengdu, siunčianti telemetriją į IP adresą tame regione. „Sophos“ teigia, kad šis regionas buvo kenkėjiškos veiklos, nukreiptos į tinklo įrenginius, epicentras.
Kelios „Sophos“ ataskaitos yra labai išsamios, jose dalijamasi įvykių laiko juosta ir informacija apie tai, kaip gynėjai gali apsisaugoti nuo atakų.
Tiems, kurie domisi „Ramiojo vandenyno krašto“ tyrimais, turėtumėte pradėti čia.
