Chiny atakują USA przez zainfekowany routery To już wyraźny trend – zaznacza Check Point Research

„Stany Zjednoczone i międzynarodowe organy ds. bezpieczeństwa cybernetycznego wydają niniejszy wspólny poradnik dotyczący bezpieczeństwa cybernetycznego (CSA), aby zwrócić uwagę na niedawno odkrytą grupę interesujących działań związanych ze sponsorowanym przez państwo podmiotem cybernetycznym z Chińskiej Republiki Ludowej (ChRL), znanym również jako Volt Typhoon” głosi oświadczenie wydane przez władze w USA, Australii, Kanadzie, Nowej Zelandii i Wielkiej Brytanii – krajach tworzących sieć wywiadowczą Five Eyes.

W tym poradniku oraz w towarzyszącym mu wpisie na blogu firmy Microsoft opisano, że Volt Typhoon przekazuje cały swój ruch sieciowy do swoich celów za pośrednictwem zainfekowanych urządzeń brzegowych sieci SOHO (w tym routerów). Wiele urządzeń, w tym te produkowane przez firmy ASUS, Cisco, D-Link, NETGEAR i Zyxel, umożliwia właścicielowi udostępnienie interfejsów zarządzania HTTP lub SSH w Internecie.

Urządzenia sieciowe za cel. Nie po raz pierwszy

Ataki przeprowadzane przez chińskie grupy cyberszpiegowskie nie są nowością dla ekspertów Check Point Research i społeczności zajmującej się cyberbezpieczeństwem. Chińskie grupy APT, takie jak Volt Typhoon, mają historię wyrafinowanych kampanii cyberszpiegowskich. Ich główną motywacją jest często strategiczne gromadzenie informacji wywiadowczych, ukierunkowane zakłócenia lub po prostu zdobycie przyczółka w sieciach dla przyszłych operacji.

W ciągu ostatnich kilku miesięcy firma Check Point Research (CPR) ściśle monitorowała serię ukierunkowanych ataków wymierzonych w europejskie podmioty zajmujące się sprawami zagranicznymi. Kampanie te zostały powiązane ze sponsorowaną przez państwo chińską grupą APT, którą nazwano Camaro Dragon.  Wykazuje ona podobieństwa do wcześniej zgłaszanych działań prowadzonych przez chińskich cyberprzestępców, a mianowicie Mustang Panda.

Wszechstronna analiza tych ataków ujawniła złośliwy implant oprogramowania układowego dostosowany do routerów TP-Link. Implant zawiera kilka złośliwych komponentów, w tym niestandardowy backdoor o nazwie „Horse Shell”, który umożliwia atakującym utrzymanie stałego dostępu, zbudowanie anonimowej infrastruktury i umożliwienie bocznego przemieszczania się do zaatakowanych sieci.     

Stany Zjednoczone nie są jedynym celem szpiegów

W marcu 2023 r analitycy Check Pointa ujawnili szczegóły chińskich ataków szpiegowskich skierowanych przeciwko podmiotom rządowym Azji Południowo-Wschodniej, w szczególności w krajach o podobnych roszczeniach terytorialnych lub strategicznych projektach infrastrukturalnych, takich jak Wietnam, Tajlandia i Indonezja.

W lipcu 2021 r. CERT-FR (Francja) poinformował z kolei o dużej kampanii prowadzonej przez powiązanego z Chinami ugrupowanie cyberprzestępcze APT31. Odkryto, że hakerzy korzystali z sieci kratowej złożonej z zainfekowanych routerów, zorganizowanej przy użyciu złośliwego oprogramowania, które nazwali „Pakdoor”.

Wcześniejszy poradnik CISA z 2021 r. również wymieniał wspólne techniki stosowane przez sponsorowane przez Chiny APT. Wśród nich wymieniane jest atakowanie podatnych routerów i przekształcanie ich w część infrastruktury operacyjnej, aby uniknąć wykrycia i hostować działania dowodzenia i kontroli.  

Urządzenia brzegowe centralnym punktem strategii

W ostatnich latach obserwujemy rosnące zainteresowanie chińskich cyberprzestępców atakami na urządzenia brzegowe, których celem jest zarówno zbudowanie odpornej i bardziej anonimowej infrastruktury C&C, jak i zdobycie przyczółku w określonych docelowych sieciach.

Urządzenia sieciowe, takie jak routery, często uważane za granice cyfrowego majątku organizacji, służą jako pierwszy punkt kontaktu w komunikacji internetowej. Są one odpowiedzialne za kierowanie i zarządzanie ruchem sieciowym, zarówno legalnym, jak i potencjalnie złośliwym. Włamując się do tych urządzeń, osoby atakujące mogą łączyć swój ruch z legalną komunikacją, co znacznie utrudnia wykrywanie. Urządzenia te, po rekonfiguracji lub naruszeniu zabezpieczeń, umożliwiają również atakującym tunelowanie komunikacji przez sieć, skutecznie zachowując poufność ruchu i unikając tradycyjnych metod wykrywania.

Strategia ta uzupełnia również podejście Volt Typhoon „living off the land”. Zamiast używać złośliwego oprogramowania, które może zostać wykryte przez wiele nowoczesnych systemów bezpieczeństwa, napastnicy wykorzystują wbudowane narzędzia do administrowania siecią, takie jak wmic, ntdsutil, netsh i PowerShell. Szkodliwe działania gubią się w morzu łagodnych zadań administracyjnych, co utrudnia zespołom reagowania identyfikację atakujących spośród legalnych użytkowników.

Takie techniki pozwalają również grupie APT na utrzymanie trwałości w sieci. Naruszenie urządzeń sieciowych Small Office/Home Office (SOHO) może być wykorzystane jako wykorzystanie infrastruktury pośredniej, by ukryć ich prawdziwe pochodzenie i zachować kontrolę nad siecią, nawet jeśli inne elementy działania cyberprzestępców zostaną wykryte i usunięte. Ukryty przyczółek to potężne narzędzie APT, umożliwiające drugą falę ataków lub kradzież danych, nawet jeśli organizacja uważa, że zagrożenie zostało wyeliminowane.

Odkrycie, że wszczepione komponenty są niezależne od oprogramowania układowego, wskazuje, że zagrożona może być szeroka gama urządzeń i dostawców. Co więcej, odkrycie przez Check Point Research niezależnego od oprogramowania układowego charakteru wszczepionych komponentów wskazuje, że zagrożona może być szeroka gama urządzeń i dostawców.