Przez lata w branży cyberbezpieczeństwa była niewygodna prawda, że urządzenia zabezpieczające sieć sprzedawane w celu ochrony klientów przed szpiegami i cyberprzestępcami same w sobie często są maszynami, które intruzi włamują się, aby uzyskać dostęp do swoich celów. Luki w zabezpieczeniach urządzeń peryferyjnych, takich jak zapory sieciowe i urządzenia VPN, raz po raz stają się przyczółkiem dla wyrafinowanych hakerów próbujących włamać się do systemów, które te urządzenia miały chronić.
Teraz jeden z dostawców rozwiązań cyberbezpieczeństwa ujawnia, jak intensywnie i jak długo walczył z jedną grupą hakerów, którzy próbowali wykorzystać jego produkty na własną korzyść. Przez ponad pięć lat brytyjska firma Sophos zajmująca się bezpieczeństwem cybernetycznym prowadziła grę w kotka i myszkę z luźno powiązanym zespołem przeciwników, którzy atakowali jej zapory ogniowe. Firma posunęła się tak daleko, że wyśledziła i monitorowała konkretne urządzenia, na których hakerzy testowali swoje techniki włamań, monitorowała hakerów w pracy i ostatecznie prześledziła, że skupione, trwające lata wysiłki związane z eksploatacją miały miejsce w jednej sieci badaczy podatności w Chengdu , Chiny.
W czwartek Sophos opisał trwającą pół dekady wojnę z chińskimi hakerami w raporcie szczegółowo opisującym eskalację „wet za wet”. Firma posunęła się nawet do dyskretnego zainstalowania własnych „implantów” na urządzeniach Sophos chińskich hakerów, aby monitorować i zapobiegać próbom wykorzystania jej zapór sieciowych. Badacze Sophos w końcu uzyskali nawet z maszyn testowych hakerów próbkę szkodliwego oprogramowania typu „bootkit”, którego zadaniem było niewykrywalne ukrywanie się w kodzie niskiego poziomu zapór sieciowych używanym do uruchamiania urządzeń, co jest sztuczką, której nigdy wcześniej nie widziano na wolności.
W trakcie tego procesu analitycy Sophos zidentyfikowali serię kampanii hakerskich, które rozpoczęły się od masowego wykorzystania produktów firmy Sophos, ale ostatecznie stały się bardziej ukryte i ukierunkowane, atakując dostawców energii jądrowej i organy regulacyjne, cele wojskowe, w tym szpital wojskowy, firmy telekomunikacyjne, rząd i agencje wywiadowcze i port lotniczy jednej ze stolic kraju. Chociaż większość celów – których Sophos odmówił bardziej szczegółowego zidentyfikowania – znajdowała się w Azji Południowej i Południowo-Wschodniej, mniejsza ich liczba znajdowała się w Europie, na Bliskim Wschodzie i w Stanach Zjednoczonych.
Raport Sophos łączy te liczne kampanie hakerskie – z różnym stopniem pewności – z chińskimi grupami hakerskimi sponsorowanymi przez państwo, w tym z grupami znanymi jako APT41, APT31 i Volt Typhoon, z których ta ostatnia jest szczególnie agresywnym zespołem, który szukał możliwości zakłócania infrastruktury krytycznej w USA, w tym sieci energetycznych. Jednak zdaniem firmy wspólnym wątkiem wszystkich wysiłków mających na celu zhakowanie urządzeń Sophos nie jest jedna z wcześniej zidentyfikowanych grup hakerów, ale szersza sieć badaczy, która najwyraźniej opracowała techniki hakerskie i dostarczyła je chińskiemu rządowi. Analitycy Sophos wiążą wykorzystanie rozwoju z instytutem akademickim i wykonawcą w całym Chengdu: Sichuan Silence Information Technology – firma wcześniej powiązany przez Meta z chińskimi państwowymi wysiłkami dezinformacyjnymi—oraz Uniwersytet Nauki i Technologii Elektronicznej w Chinach.
Sophos twierdzi, że opowiada tę historię teraz, nie tylko po to, aby podzielić się wglądem w chińskie badania i rozwój w zakresie hakowania, ale także aby przerwać niezręczne milczenie branży cyberbezpieczeństwa wokół szerszej kwestii luk w zabezpieczeniach urządzeń zabezpieczających stanowiących punkty wejścia dla hakerów. Na przykład tylko w zeszłym roku luki w produktach zabezpieczających innych dostawców, w tym Avanti, Fortinet, Cisco i Palo Alto, zostały wykorzystane w masowych atakach hakerskich lub kampaniach ukierunkowanych włamań. „To staje się tajemnicą poliszynela. Ludzie rozumieją, że to się dzieje, ale niestety wszyscy tak myślą zamek błyskawiczny,” – mówi dyrektor ds. bezpieczeństwa informacji Sophos, Ross McKerchar, udając, że zasuwa zamek błyskawiczny na ustach. „Przyjmujemy inne podejście, starając się zachować dużą przejrzystość, stawić czoła temu problemowi i spotkać się z naszym przeciwnikiem na polu bitwy”.
Od jednego zhakowanego wyświetlacza po fale masowych włamań
Jak podaje Sophos, długotrwała walka firmy z chińskimi hakerami rozpoczęła się w 2018 roku od włamania do samego Sophos. Firma odkryła infekcję złośliwym oprogramowaniem na komputerze z ekranem w biurze swojej indyjskiej spółki zależnej Cyberoam w Ahmadabadzie. Szkodnik przykuł uwagę firmy Sophos ze względu na hałaśliwe skanowanie sieci. Kiedy jednak analitycy firmy przyjrzeli się bliżej, odkryli, że stojący za nią hakerzy zhakowali już inne maszyny w sieci Cyberoam za pomocą bardziej wyrafinowanego rootkita, który stworzyli. zidentyfikowany jako CloudSnooper. Z perspektywy czasu firma uważa, że celem początkowej ingerencji było zdobycie informacji wywiadowczych na temat produktów Sophos, które umożliwiłyby późniejsze ataki na jej klientów.
Następnie wiosną 2020 r. firma Sophos zaczęła dowiadywać się o szerokiej kampanii masowych infekcji dziesiątek tysięcy zapór sieciowych na całym świecie w pozornej próbie zainstalowania trojana zwany Asnarökiem i utwórz tak zwane „operacyjne skrzynki przekaźnikowe”, w skrócie ORB — zasadniczo botnet złożony z zaatakowanych maszyn, które hakerzy mogliby wykorzystać jako punkty uruchamiania innych operacji. W kampanii wykorzystano zaskakująco duże zasoby, wykorzystując wiele luk dnia zerowego, które hakerzy najwyraźniej odkryli w urządzeniach Sophos. Jedynie błąd w próbach oczyszczenia szkodliwego oprogramowania na niewielkiej części zainfekowanych maszyn pozwolił firmie Sophos przeanalizować włamania i rozpocząć badanie hakerów atakujących jej produkty.