Στο στόχαστρο του κινέζικου κυβερνοεγκλήματος μπαίνει όλο και πιο συστηματικά ο δυτικός κόσμος. Οι επιθέσεις, που προέρχονται από ομάδες κυβερνοκατασκοπείας με έδρα την Κίνα, δεν είναι κάτι καινούργιο για την κοινότητα της ασφάλειας στον κυβερνοχώρο. Οι κινεζικές ομάδες APT, όπως η Volt Typhoon, έχουν ιστορικό εξελιγμένων εκστρατειών κυβερνοκατασκοπείας.
Οι τελευταίες, χρηματοδοτούμενες από το κινέζικό κράτος, επιθέσεις σε υποδομές των ΗΠΑ αποτελούν συνέχεια μιας συγκεκριμένης τάσηςΤο πρωταρχικό τους κίνητρο είναι συχνά η συλλογή στρατηγικών πληροφοριών, η στοχευμένη διατάραξη ή απλώς η επιβεβαίωση μιας θέσης στα δίκτυα για μελλοντικές επιχειρήσεις. Η πρόσφατη ανακοίνωση εντοπίζει μια ποικιλία τεχνικών, που χρησιμοποιούν αυτοί οι απειλητικοί φορείς, αλλά ιδιαίτερο ενδιαφέρον παρουσιάζει η εστίασή τους στο να “ζουν εκτός γης” και στην εκμετάλλευση συσκευών δικτύου, όπως οι δρομολογητές.
Πρόσφατα, στην τελευταία της έκθεση, η Check Point Research (CPR) αποκάλυψε ότι τους τελευταίους μήνες παρακολουθεί στενά μια σειρά στοχευμένων επιθέσεων σε ευρωπαϊκούς φορείς εξωτερικών υποθέσεων. Αυτές οι εκστρατείες έχουν συνδεθεί με μια κινεζική κρατικά χρηματοδοτούμενη ομάδα APT.
Η ολοκληρωμένη ανάλυση αυτών των επιθέσεων αποκάλυψε ένα κακόβουλο εμφύτευμα υλικολογισμικού προσαρμοσμένο για δρομολογητές TP-Link. Το εμφύτευμα διαθέτει διάφορα κακόβουλα συστατικά, συμπεριλαμβανομένου ενός προσαρμοσμένου backdoor με την ονομασία “Horse Shell”, που επιτρέπει στους επιτιθέμενους να διατηρούν μόνιμη πρόσβαση, να δημιουργούν ανώνυμες υποδομές και να επιτρέπουν την πλευρική μετακίνηση σε παραβιασμένα δίκτυα.
Οι ΗΠΑ δεν είναι ο μοναδικός στόχος
Οι ΗΠΑ δεν είναι ο μοναδικός στόχος κυβερνο-κατασκοπείας. Τον Μάρτιο του 2023 ξετυλίχτηκε το κουβάρι των επιθέσεων κατασκοπείας κινεζικής προέλευσης εναντίον κυβερνητικών οντοτήτων της νοτιοανατολικής Ασίας, ιδίως εθνών με παρόμοιες εδαφικές διεκδικήσεις ή στρατηγικά έργα υποδομής, όπως το Βιετνάμ, η Ταϊλάνδη και η Ινδονησία.
Σε μια προηγούμενη σύσταση της CISA από το 2021, απαριθμούσε κοινές τεχνικές που χρησιμοποιούνται από τα APT, που χρηματοδοτούνται από την Κίνα. Μεταξύ αυτών αναφέρουν ότι οι επιτιθέμενοι στοχεύουν σε ευάλωτους δρομολογητές ως μέρος της επιχειρησιακής τους υποδομής για να αποφύγουν την ανίχνευση και να φιλοξενήσουν δραστηριότητα Διοίκησης και Ελέγχου.
Στόχος οι edge συσκευές
Όπως παρατηρούν οι αναλυτές, βασικός στόχος των Κινέζων χάκερς είναι οι edge συσκευές. “Τα τελευταία χρόνια βλέπουμε το αυξανόμενο ενδιαφέρον των κινεζικών φορέων απειλών για την παραβίαση συσκευών ακραίων σημείων, με στόχο τόσο τη δημιουργία ανθεκτικών και πιο ανώνυμων υποδομών C&C, όσο και την απόκτηση ερεισμάτων σε ορισμένα στοχευμένα δίκτυα”, αναφέρει η εταιρεία κυβερνοασφάλειας check point.
Οι δικτυακές συσκευές, όπως οι δρομολογητές, που συχνά θεωρούνται η περίμετρος της ψηφιακής περιουσίας ενός οργανισμού, χρησιμεύουν ως το πρώτο σημείο επαφής για την επικοινωνία μέσω διαδικτύου. Είναι υπεύθυνες για τη δρομολόγηση και τη διαχείριση της κίνησης δικτύου, τόσο της νόμιμης, όσο και της δυνητικά κακόβουλης.
Με την παραβίαση αυτών των συσκευών, οι επιτιθέμενοι μπορούν να αναμειγνύουν την κυκλοφορία τους με τις νόμιμες επικοινωνίες, καθιστώντας τον εντοπισμό σημαντικά πιο δύσκολο. Αυτές οι συσκευές, όταν επαναρυθμίζονται ή παραβιάζονται, επιτρέπουν επίσης στους επιτιθέμενους να διοχετεύουν επικοινωνίες μέσω του δικτύου, ανωνυμοποιώντας αποτελεσματικά την κυκλοφορία τους και αποφεύγοντας τις παραδοσιακές μεθόδους ανίχνευσης.
Η στρατηγική αυτή συμπληρώνει, επίσης, την προσέγγιση της Volt Typhoon “που ζει εκτός γης”. Αντί να χρησιμοποιούν κακόβουλο λογισμικό, το οποίο μπορεί να εντοπιστεί από πολλά σύγχρονα συστήματα ασφαλείας, οι εν λόγω φορείς χρησιμοποιούν ενσωματωμένα εργαλεία διαχείρισης δικτύου, όπως τα wmic, ntdsutil, netsh και PowerShell.
Οι κακόβουλες δραστηριότητες χάνονται μέσα στη θάλασσα των καλοήθων εργασιών διαχείρισης, καθιστώντας δύσκολο για τους αμυντικούς να εντοπίσουν τους επιτιθέμενους ανάμεσα στους νόμιμους χρήστες. Τέτοιες τεχνικές επιτρέπουν επίσης στην ομάδα APT να διατηρήσει την επιμονή της στο δίκτυο.