Η Microsoft λέει ότι έχει ανακαλύψει Κινέζους χάκερ που υποστηρίζονται από το κράτος να συλλέγουν δεδομένα από οργανισμούς υποδομής ζωτικής σημασίας στο Γκουάμ, μια επικράτεια των ΗΠΑ στον Ειρηνικό Ωκεανό.
Η ανακάλυψη κακόβουλου λογισμικού κυβερνοκατασκοπείας κινεζικής κατασκευής στο Γκουάμ προκαλεί ανησυχία επειδή το μικροσκοπικό νησί θεωρείται σημαντικό μέρος μιας μελλοντικής στρατιωτικής σύγκρουσης Κίνας/Ταϊβάν.
Η Microsoft ονόμασε την καμπάνια Volt Typhoon και την περιέγραψε ως «κλεφτή και στοχευμένη κακόβουλη δραστηριότητα που επικεντρώνεται στην πρόσβαση διαπιστευτηρίων μετά τον συμβιβασμό και στην ανακάλυψη συστήματος δικτύου».
«Η Microsoft αξιολογεί με μέτρια σιγουριά ότι αυτή η εκστρατεία [κινεζικής κυβερνοκατασκοπείας] επιδιώκει την ανάπτυξη δυνατοτήτων που θα μπορούσαν να διαταράξουν την κρίσιμη υποδομή επικοινωνιών μεταξύ των Ηνωμένων Πολιτειών και της περιοχής της Ασίας κατά τη διάρκεια μελλοντικών κρίσεων», ανέφερε ο γίγαντας λογισμικού σε σημείωμα που τεκμηριώνει την ανακάλυψη του APT.
Η υπηρεσία ανταπόκρισης της κυβερνοασφάλειας της κυβέρνησης των ΗΠΑ CISA εξέδωσε επίσης ένα επείγον δελτίο την Τετάρτη, εφιστώντας την προσοχή στον παράγοντα απειλής και παρέχοντας καθοδήγηση μετριασμού, ΔΟΕ και άλλη τηλεμετρία για να βοηθήσει τους υπερασπιστές να αναζητήσουν σημάδια συμβιβασμού.
Ο Ρέντμοντ είπε ότι η ομάδα δραστηριοποιείται από τα μέσα του 2021 και έχει στοχεύσει οργανισμούς υποδομής ζωτικής σημασίας στο Γκουάμ και αλλού στις Ηνωμένες Πολιτείες.
Οι χάκερ της κινεζικής κυβέρνησης έχουν χτυπήσει μια μεγάλη ποικιλία οργανισμών που εκτείνονται στους τομείς των επικοινωνιών, της κατασκευής, των υπηρεσιών κοινής ωφέλειας, των μεταφορών, των κατασκευών, της ναυτιλίας, της κυβέρνησης, της τεχνολογίας πληροφοριών και της εκπαίδευσης.
“Ο παράγοντας της απειλής σκοπεύει να πραγματοποιήσει κατασκοπεία και να διατηρήσει την πρόσβαση χωρίς να εντοπιστεί για όσο το δυνατόν περισσότερο”, δήλωσε η Microsoft.
Η ομάδα hacking εισβάλλει σε εταιρείες-στόχους μέσω συσκευών Fortinet FortiGuard που έχουν πρόσβαση στο Διαδίκτυο και ασφαλίζει σε παραβιασμένους δρομολογητές μικρού γραφείου/οικιακού γραφείου (SOHO) για να θολώσει την πηγή της δραστηριότητάς τους.
«Η Microsoft επιβεβαίωσε ότι πολλές από τις συσκευές, οι οποίες περιλαμβάνουν αυτές που κατασκευάζονται από τις ASUS, Cisco, D-Link, NETGEAR και Zyxel, επιτρέπουν στον κάτοχο να εκθέσει τις διεπαφές διαχείρισης HTTP ή SSH στο Διαδίκτυο. Οι ιδιοκτήτες συσκευών αιχμής δικτύου θα πρέπει να διασφαλίσουν ότι οι διεπαφές διαχείρισης δεν εκτίθενται στο δημόσιο Διαδίκτυο προκειμένου να μειώσουν την επιφάνεια επίθεσης τους», ανέφερε η εταιρεία.
«Με τη διαμεσολάβηση μέσω αυτών των συσκευών, το Volt Typhoon βελτιώνει τη μυστικότητα των λειτουργιών τους και μειώνει τα γενικά έξοδα για την απόκτηση υποδομής».
Σύμφωνα με την έκθεση, η ομάδα βασίζεται κυρίως στις αποκαλούμενες εντολές “living-off-the-land” για να βρει πληροφορίες σχετικά με το σύστημα, να ανακαλύψει πρόσθετες συσκευές στο δίκτυο και να εξάγει δεδομένα.
Προετοιμασία για μελλοντική σύγκρουση;
«Αναγνωρίζουμε τον ηθοποιό από μια σειρά εισβολών που στόχευαν στόχους αεροπορικών, θαλάσσιων και χερσαίων μεταφορών, καθώς και άλλους οργανισμούς», δήλωσε στο SecurityWeek ο John Hultquist, επικεφαλής αναλυτής της Mandiant που ανήκει στην Google. «Υπάρχουν διάφοροι λόγοι για τους οποίους οι φορείς στοχεύουν υποδομές ζωτικής σημασίας, αλλά η επίμονη εστίαση σε αυτούς τους τομείς μπορεί να υποδηλώνει προετοιμασία για αποτρεπτικές ή καταστροφικές επιθέσεις στον κυβερνοχώρο».
Αν και η ανακάλυψη είναι ανησυχητική, ο Hultquist είπε ότι μια τέτοια δραστηριότητα δεν σημαίνει ότι οι επιθέσεις είναι αναπόφευκτες.
«Τα κράτη πραγματοποιούν μακροπρόθεσμες εισβολές σε κρίσιμες υποδομές για να προετοιμαστούν για πιθανή σύγκρουση, επειδή μπορεί απλώς να είναι πολύ αργά για να αποκτήσουν πρόσβαση όταν προκύψει σύγκρουση», είπε. «Παρόμοιες εισβολές έκτακτης ανάγκης πραγματοποιούνται τακτικά από τα κράτη. Την τελευταία δεκαετία, η Ρωσία έχει στοχεύσει διάφορους τομείς υποδομής ζωτικής σημασίας σε επιχειρήσεις που δεν πιστεύουμε ότι σχεδιάστηκαν για άμεση εφαρμογή. Η Κίνα έχει κάνει το ίδιο στο παρελθόν, στοχεύοντας τον τομέα του πετρελαίου και του φυσικού αερίου».
Ενώ οι επιχειρήσεις του Πεκίνου είναι επιθετικές, ο Hultquist λέει ότι δεν υποδηλώνουν απαραίτητα ότι πλησιάζουν επιθέσεις. «Ένας πολύ πιο αξιόπιστος δείκτης για καταστροφικές και αποδιοργανωτικές επιθέσεις στον κυβερνοχώρο είναι μια επιδεινούμενη γεωπολιτική κατάσταση. Μια καταστροφική και ανατρεπτική κυβερνοεπίθεση δεν είναι απλώς ένα σενάριο εν καιρώ πολέμου. Αυτή η ικανότητα μπορεί να χρησιμοποιηθεί από κράτη που αναζητούν εναλλακτικές λύσεις αντί των ένοπλων συγκρούσεων».
«Οι Κινέζοι φορείς κυβερνοαπειλής είναι μοναδικοί μεταξύ των ομοίων τους στο ότι δεν έχουν καταφύγει τακτικά σε καταστροφικές και ανατρεπτικές επιθέσεις στον κυβερνοχώρο. Ως αποτέλεσμα», είπε ο Hultquist, «η ικανότητά τους είναι αρκετά αδιαφανής. Αυτή η αποκάλυψη είναι μια σπάνια ευκαιρία για έρευνα και προετοιμασία για αυτήν την απειλή».