Strona główna Polityka Wewnątrz 5-letniej wojny Sophos z chińskimi hakerami przejmującymi urządzenia

Wewnątrz 5-letniej wojny Sophos z chińskimi hakerami przejmującymi urządzenia

11
0


Przez lata w branży cyberbezpieczeństwa była niewygodna prawda, że ​​urządzenia zabezpieczające sieć sprzedawane w celu ochrony klientów przed szpiegami i cyberprzestępcami same w sobie często są maszynami, które intruzi włamują się, aby uzyskać dostęp do swoich celów. Luki w zabezpieczeniach urządzeń peryferyjnych, takich jak zapory sieciowe i urządzenia VPN, raz po raz stają się przyczółkiem dla wyrafinowanych hakerów próbujących włamać się do systemów, które te urządzenia miały chronić.

Teraz jeden z dostawców rozwiązań cyberbezpieczeństwa ujawnia, jak intensywnie i jak długo walczył z jedną grupą hakerów, którzy próbowali wykorzystać jego produkty na własną korzyść. Przez ponad pięć lat brytyjska firma Sophos zajmująca się bezpieczeństwem cybernetycznym prowadziła grę w kotka i myszkę z luźno powiązanym zespołem przeciwników, którzy atakowali jej zapory ogniowe. Firma posunęła się tak daleko, że wyśledziła i monitorowała konkretne urządzenia, na których hakerzy testowali swoje techniki włamań, monitorowała hakerów w pracy i ostatecznie prześledziła, że ​​skupione, trwające lata wysiłki związane z eksploatacją miały miejsce w jednej sieci badaczy podatności w Chengdu , Chiny.

W czwartek Sophos opisał trwającą pół dekady wojnę z chińskimi hakerami w raporcie szczegółowo opisującym eskalację „wet za wet”. Firma posunęła się nawet do dyskretnego zainstalowania własnych „implantów” na urządzeniach Sophos chińskich hakerów, aby monitorować i zapobiegać próbom wykorzystania jej zapór sieciowych. Badacze Sophos w końcu uzyskali nawet z maszyn testowych hakerów próbkę szkodliwego oprogramowania typu „bootkit”, którego zadaniem było niewykrywalne ukrywanie się w kodzie niskiego poziomu zapór sieciowych używanym do uruchamiania urządzeń, co jest sztuczką, której nigdy wcześniej nie widziano na wolności.

W trakcie tego procesu analitycy Sophos zidentyfikowali serię kampanii hakerskich, które rozpoczęły się od masowego wykorzystania produktów firmy Sophos, ale ostatecznie stały się bardziej ukryte i ukierunkowane, atakując dostawców energii jądrowej i organy regulacyjne, cele wojskowe, w tym szpital wojskowy, firmy telekomunikacyjne, rząd i agencje wywiadowcze i port lotniczy jednej ze stolic kraju. Chociaż większość celów – których Sophos odmówił bardziej szczegółowego zidentyfikowania – znajdowała się w Azji Południowej i Południowo-Wschodniej, mniejsza ich liczba znajdowała się w Europie, na Bliskim Wschodzie i w Stanach Zjednoczonych.

Raport Sophos łączy te liczne kampanie hakerskie – z różnym stopniem pewności – z chińskimi grupami hakerskimi sponsorowanymi przez państwo, w tym z grupami znanymi jako APT41, APT31 i Volt Typhoon, z których ta ostatnia jest szczególnie agresywnym zespołem, który szukał możliwości zakłócania infrastruktury krytycznej w USA, w tym sieci energetycznych. Jednak zdaniem firmy wspólnym wątkiem wszystkich wysiłków mających na celu zhakowanie urządzeń Sophos nie jest jedna z wcześniej zidentyfikowanych grup hakerów, ale szersza sieć badaczy, która najwyraźniej opracowała techniki hakerskie i dostarczyła je chińskiemu rządowi. Analitycy Sophos wiążą wykorzystanie rozwoju z instytutem akademickim i wykonawcą w całym Chengdu: Sichuan Silence Information Technology – firma wcześniej powiązany przez Meta z chińskimi państwowymi wysiłkami dezinformacyjnymi—oraz Uniwersytet Nauki i Technologii Elektronicznej w Chinach.

Sophos twierdzi, że opowiada tę historię teraz, nie tylko po to, aby podzielić się wglądem w chińskie badania i rozwój w zakresie hakowania, ale także aby przerwać niezręczne milczenie branży cyberbezpieczeństwa wokół szerszej kwestii luk w zabezpieczeniach urządzeń zabezpieczających stanowiących punkty wejścia dla hakerów. Na przykład tylko w zeszłym roku luki w produktach zabezpieczających innych dostawców, w tym Avanti, Fortinet, Cisco i Palo Alto, zostały wykorzystane w masowych atakach hakerskich lub kampaniach ukierunkowanych włamań. „To staje się tajemnicą poliszynela. Ludzie rozumieją, że to się dzieje, ale niestety wszyscy tak myślą zamek błyskawiczny,” – mówi dyrektor ds. bezpieczeństwa informacji Sophos, Ross McKerchar, udając, że zasuwa zamek błyskawiczny na ustach. „Przyjmujemy inne podejście, starając się zachować dużą przejrzystość, stawić czoła temu problemowi i spotkać się z naszym przeciwnikiem na polu bitwy”.

Od jednego zhakowanego wyświetlacza po fale masowych włamań

Jak podaje Sophos, długotrwała walka firmy z chińskimi hakerami rozpoczęła się w 2018 roku od włamania do samego Sophos. Firma odkryła infekcję złośliwym oprogramowaniem na komputerze z ekranem w biurze swojej indyjskiej spółki zależnej Cyberoam w Ahmadabadzie. Szkodnik przykuł uwagę firmy Sophos ze względu na hałaśliwe skanowanie sieci. Kiedy jednak analitycy firmy przyjrzeli się bliżej, odkryli, że stojący za nią hakerzy zhakowali już inne maszyny w sieci Cyberoam za pomocą bardziej wyrafinowanego rootkita, który stworzyli. zidentyfikowany jako CloudSnooper. Z perspektywy czasu firma uważa, że ​​celem początkowej ingerencji było zdobycie informacji wywiadowczych na temat produktów Sophos, które umożliwiłyby późniejsze ataki na jej klientów.

Następnie wiosną 2020 r. firma Sophos zaczęła dowiadywać się o szerokiej kampanii masowych infekcji dziesiątek tysięcy zapór sieciowych na całym świecie w pozornej próbie zainstalowania trojana zwany Asnarökiem i utwórz tak zwane „operacyjne skrzynki przekaźnikowe”, w skrócie ORB — zasadniczo botnet złożony z zaatakowanych maszyn, które hakerzy mogliby wykorzystać jako punkty uruchamiania innych operacji. W kampanii wykorzystano zaskakująco duże zasoby, wykorzystując wiele luk dnia zerowego, które hakerzy najwyraźniej odkryli w urządzeniach Sophos. Jedynie błąd w próbach oczyszczenia szkodliwego oprogramowania na niewielkiej części zainfekowanych maszyn pozwolił firmie Sophos przeanalizować włamania i rozpocząć badanie hakerów atakujących jej produkty.



Link źródłowy