W zeszłym tygodniu Microsoft ostrzegał, że chińscy cyberprzestępcy wspierani przez swoje państwo naruszyli krytyczną infrastrukturę cybernetyczną USA w różnych branżach, w tym w organizacjach rządowych i komunikacyjnych. W związku z zagrożeniem kraje tworzące sieć wywiadowczą Five Eyes (USA, Australia, Kanada, Nowa Zelandia i Wielka Brytania) poinformowały we wspólnym oświadczeniu, że wydają poradnik dotyczący bezpieczeństwa cybernetycznego. Jego celem jest m.in. zwrócenie uwagi na niedawno odkrytą grupę Volt Typhoon sponsorowaną przez Chiny.
Chiny atakują USA przez routery. Hakerzy zbierają informacje na wypadek wojny
Krytyczna infrastruktura w USA jest atakowana od 2021 roku. Sponsorowani przez Chińską Republikę Ludową hakerzy zbierają informacje, które mogą zostać wykorzystane do "zakłócenia krytycznej komunikacji" między Stanami Zjednoczonymi a regionem Azji i Pacyfiku, na wypadek wojny między USA i Chinami - pisze CNN. Do tego celu wykorzystywane są m.in. routery.
"Wiele urządzeń, w tym te produkowane przez firmy ASUS, Cisco, D-Link, NETGEAR i Zyxel, umożliwia właścicielowi udostępnienie interfejsów zarządzania HTTP lub SSH w Internecie" - wyjaśniają specjaliści ds. cyberbezpieczeństwa z Check Point Research. Volt Typhoon stosuje podejście "living off the land". "Zamiast używać złośliwego oprogramowania, które może zostać wykryte przez wiele nowoczesnych systemów bezpieczeństwa, napastnicy wykorzystują wbudowane narzędzia do administrowania siecią (...). Takie techniki pozwalają również (...) na utrzymanie trwałości w sieci. (...) Narzędzia grupy APT, umożliwiają drugą falę ataków lub kradzież danych, nawet jeśli organizacja uważa, że zagrożenie zostało wyeliminowane" - tłumaczą specjaliści.
Chińscy cyberszpiedzy przeprowadzają serie ataków
Ataki przeprowadzane przez chińskie grupy cyberszpiegowskie nie są nowością dla ekspertów Check Point Research. Chińskie grupy APT ("APT to grupa hakerów, z wysokimi umiejętnościami i dostępem do różnorakich zasobów np. finansowych czy sprzętowych, której zasadniczym celem pracy jest przedostanie się do sieci komputerowej w celu kradzieży, bądź sabotażu danych" - podaje cyberdefense24.pl). Grupy, takie jak Volt Typhoon, mają historię wyrafinowanych kampanii cyberszpiegowskich. Ich główną motywacją jest często strategiczne gromadzenie informacji wywiadowczych, ukierunkowane zakłócenia lub po prostu zdobycie przyczółka w sieciach dla przyszłych operacji.
Firma Check Point Research (CPR) informuje, że w ciągu ostatnich miesięcy ściśle monitorowała serię ukierunkowanych ataków wymierzonych w europejskie podmioty zajmujące się sprawami zagranicznymi. Kampanie te zostały powiązane ze sponsorowaną przez państwo chińską grupą APT, którą nazwano Camaro Dragon. Wykazuje ona podobieństwa do wcześniej zgłaszanych działań prowadzonych przez chińskich cyberprzestępców, a mianowicie Mustang Panda.
"Wszechstronna analiza tych ataków ujawniła złośliwy implant oprogramowania układowego dostosowany do routerów TP-Link. Implant zawiera kilka złośliwych komponentów, w tym niestandardowy backdoor o nazwie "Horse Shell", który umożliwia atakującym utrzymanie stałego dostępu, zbudowanie anonimowej infrastruktury i umożliwienie bocznego przemieszczania się do zaatakowanych sieci" - informuje Checkpoint Research.
TP-Link przesłał w tej sprawie Gazecie.pl oświadczenie, w którym informuje, że "w publikacji Check Point Research nie ma jakiejkolwiek informacji o złamaniu zabezpieczeń bądź wykryciu luki w zabezpieczeniach w oryginalnym oprogramowaniu TP-Link". Jak precyzuje firma, CPR odkryło oprogramowanie łudząco przypominające oryginalny firmware TP-Link.
Najbardziej prawdopodobnym źródłem zainfekowania routera jest są znane podatności urządzenia (do których - jak informuje TP-Link) wydano już aktualizację oraz "słabe hasło do panelu administracyjnego w routerach, w których został skonfigurowany zdalny dostęp od strony WAN".
