Američki Federalni istražni biro (FBI) zatražio je pomoć od javnosti u vezi sa istragom koja uključuje proboj rubnih uređaja i kompjuterskih mreža koje pripadaju kompanijama i vladinim subjektima.
“Grupa za napredne trajne prijetnje navodno je kreirala i implementirala maliciozni softver (CVE-2020-12271) kao dio široko rasprostranjenog niza neselektivnih kompjuterskih upada dizajniranih da eksfiltriraju osjetljive podatke iz zaštitnih zidova širom svijeta”, navodi agencija .
“FBI traži informacije o identitetima osoba odgovornih za ove sajber upade.”
Razvoj dolazi nakon niza izvještaja koje je objavio dobavljač cyber sigurnosti Sophos, a koji bilježe niz kampanja između 2018. i 2023. koje su iskorištavale svoje rubne infrastrukturne uređaje za implementaciju prilagođenog zlonamjernog softvera ili ih prenamijenili kao proksije za letenje ispod radara.
Maliciozna aktivnost, kodnog naziva Pacific Rim i osmišljena za vršenje nadzora, sabotaže i cyber špijunaže, pripisana je više grupa koje sponzorira kineska država, uključujući APT31 , APT41 i Volt Typhoon . Najraniji napad datira od kraja 2018. godine, kada je cyber napad bio usmjeren na Sophosovu indijsku podružnicu Cyberoam.
“Protivnici su gađali i malu i veliku kritičnu infrastrukturu i vladine objekte, prvenstveno u južnoj i jugoistočnoj Aziji, uključujući dobavljače nuklearne energije, aerodrom u glavnom gradu, vojnu bolnicu, državni sigurnosni aparat i ministarstva centralne vlade”, rekao je Sophos.
Neki od kasnijih masovnih napada identifikovani su kao iskorištavanje višestrukih ranjivosti nultog dana u zaštitnim zidovima Sophos – CVE-2020-12271 , CVE-2020-15069 , CVE-2020-29574 , CVE-2022-1040 i CVE -2022-1040 i CVE 3236 – da se kompromituju uređaji i isporučuju korisni podaci i na firmver uređaja i na one koji se nalaze unutar LAN mreže organizacije.
„Od 2021. osim toga, činilo se da su protivnici preusmjerili fokus sa široko rasprostranjenih neselektivnih napada na visoko ciljane, usko fokusirane napade ‘na tastaturi’ na određene subjekte: vladine agencije, kritičnu infrastrukturu, istraživačke i razvojne organizacije, pružaoce zdravstvenih usluga, maloprodaju, finansije , vojnih i organizacija javnog sektora prvenstveno u azijsko-pacifičkoj regiji“, navodi se.
Počevši od sredine 2022. godine, navodi se da su napadači usredotočili svoje napore na dobijanje dubljeg pristupa određenim organizacijama, izbjegavanje otkrivanja i prikupljanje više informacija ručnim izvršavanjem naredbi i primjenom maliciozni softvera kao što su Asnarök , Gh0st RAT i Pygmy Goat, sofisticirani backdoor kabel. pružanja trajnog udaljenog pristupa Sophos XG zaštitnim zidovima i vjerovatno drugim Linux uređajima.
“Iako ne sadrži nikakve nove tehnike, Pygmy Goat je prilično sofisticiran u načinu na koji omogućava glumcu interakciju s njim na zahtjev, dok se stapa s normalnim mrežnim prometom”, rekao je britanski Nacionalni centar za sajber sigurnost (NCSC) .
“Sam kod je čist, sa kratkim, dobro strukturiranim funkcijama koje pomažu u budućoj proširivosti, a greške se provjeravaju u cijelom, što sugerira da ga je napisao kompetentan programer ili programeri.”
Utvrđeno je da je backdoor, novi rootkit koji ima oblik zajedničkog objekta (“libsophos.so”), isporučen nakon eksploatacije CVE-2022-1040. Upotreba rootkita primećena je između marta i aprila 2022. na državnom uređaju i tehnološkom partneru, i ponovo u maju 2022. na mašini u vojnoj bolnici sa sedištem u Aziji.
Dolazi sa “mogućnošću slušanja i odgovora na posebno kreirane ICMP pakete, koji bi, ako ih primi zaraženi uređaj, otvorili SOCKS proxy ili povratnu vezu obrnute ljuske na IP adresu koju odabere napadač.”
Raspoređivanje Pygmy Goat-a se pripisuje kineskom hakeru kojeg Sophos interno prati kao Tstark, a koji dijeli veze sa Univerzitetom elektronske nauke i tehnologije Kine (UESTC) u Čengduu.
Sophos je rekao da se suprotstavio kampanjama u ranoj fazi tako što je implementirao vlastiti implantat kernela na uređajima u vlasništvu kineskih aktera prijetnji kako bi izvršio istraživanje malicioznog iskorištavanja, uključujući mašine u vlasništvu Istraživačkog instituta Double Helix Information Technology Sichuan Silence, čime je stekao vidljivost u “prethodno nepoznat i skriveni eksploat za daljinsko izvršavanje koda” u julu 2020.
Naknadna analiza u avgustu 2020. dovela je do otkrića ranjivosti u daljinskom izvršavanju koda manjeg stepena ozbiljnosti u komponenti operativnog sistema, dodala je kompanija.
Nadalje, kompanija u vlasništvu Thoma Bravoa rekla je da je primijetila obrazac primanja “istovremeno vrlo korisnih, ali sumnjivih” izvještaja o nagrađivanju grešaka najmanje dva puta (CVE-2020-12271 i CVE-2022-1040) od osoba za koje sumnja da su povezane istraživačkim institucijama sa sjedištem u Chengduu prije nego što su malicioznog korištene.
Nalazi su značajni, ne samo zato što pokazuju da se aktivna istraživanja i razvoj ranjivosti provode u regiji Sichuan, a zatim se prenose na različite grupe fronta koje sponzoriše kineska država s različitim ciljevima, sposobnostima i tehnikama nakon eksploatacije.
“Sa Pacific Rimom smo uočili […] montažnu liniju razvoja eksploatacije nultog dana povezanog sa obrazovnim institucijama u Sečuanu, Kina,” rekao je Chester Wisniewski. “Čini se da su ovi podvici podijeljeni s napadačima koje sponzoriše država, što ima smisla za nacionalnu državu koja nalaže takvo dijeljenje kroz svoje zakone o otkrivanju ranjivosti .”
Povećano ciljanje rubnih mrežnih uređaja takođe se poklapa s procjenom prijetnje Kanadskog centra za cyber sigurnost (Cyber Centre) koja je otkrila da je najmanje 20 mreža kanadske vlade kompromitovano od strane hakerskih ekipa koje sponzorira kineska država u posljednje četiri godine kako bi unaprijedili svoje strateških, ekonomskih i diplomatskih interesa.
Također je optužio kineske pretnje da ciljaju njegov privatni sektor kako bi stekli konkurentsku prednost prikupljanjem povjerljivih i zaštićenih informacija, uz podršku misijama “transnacionalne represije” koje ciljaju na Ujgure , Tibetance , prodemokratske aktiviste i pristalice tajvanske nezavisnosti .
Kineski hakeri cyber prijetnji “ugrozili su i zadržali pristup višestrukim vladinim mrežama u proteklih pet godina, prikupljajući komunikacije i druge vrijedne informacije”, navodi se . Hakeri su primateljima slali poruke e-pošte sa slikama za praćenje kako bi izvršili izviđanje mreže.
Izvor:The Hacker News