Поделиться
Sophos: пять лет мы воюем с китайскими хакерами
В публикации антивирусной компании содержится признание, что время от времени ее эксперты переходили к «наступательным действиям».
Тихоокеанский рубеж без монстров и роботов
Британский вендор средств защиты информации Sophos опубликовал отчет под названием Pacific Rim («Тихоокеанский рубеж»), в котором повествуется о пятилетнем противостоянии с некими китайскими акторами, настойчиво атаковавшими сетевые устройства. Среди мишеней оказались разработки фирм Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear и самой компании Sophos.
Что касается структур, осуществлявших сами атаки, то здесь через запятую идут Volt Typhoon, APT31 и APT41/Winnti. Все они были так или иначе замечены в атаках на сетевое оборудование и в прошлом.
«На протяжении более чем пяти лет Sophos исследовал деятельность ряда групп, базирующихся в Китае, которые атаковали файерволлы Sophos посредством ботнетов, новейших эксплойтов и специально созданного вредоносного ПО», – говорится в публикации.
Начало системного противостояния было положено в 2018 г., когда указанные группировки начали атаковать индийское подразделение Sophos – дочернюю фирму Cyberoam. В компании считают, что с этого момента злоумышленники начали исследовать практический аспект атак на сетевые устройства. Позднее они с нарастающей интенсивностью использовали новые и старые уязвимости для компрометации оконечных сетевых устройств.
В Sophos также утверждают «со средней степенью уверенности», что в образовательных учреждениях КНР существует сообщество, специализирующееся на поиске уязвимостей и созданию эксплойтов к ним, и что они передают информацию о найденных «багах» не только вендорам уязвимых продуктов, но и структурам, осуществляющим «наступательные действия» в кибепространстве в интересах властей страны. Минимум дважды эксперты Sophos обнаруживали связи между теми, кто передавал информацию об уязвимости вендорам, и хакерами, эти уязвимости эксплуатировавшими.
«Средняя степень уверенности – довольно шаткое основание для обвинений, однако, скорее всего, это тот самый случай, когда дыма без огня не появляется, – считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Те или иные детали можно оспаривать на основании того, что атрибуция – дело крайне проблематичное, но главное это то, что в киберпространстве геополитическая напряженность приняла форму войны всех против всех».
Продвинутые методы
В последние годы хакеры, предположительно связанные с властями Китая, с растущей интенсивностью используют бесфайловые вредоносы и другие продвинутые техники; в частности, скомпрометированные сети нередко используются как прокси-средства, призванные снизить вероятность обнаружения кибератак.
Sophos, однако, также предпринимал ограниченные «наступательные» действия, в том числе, установку своих имплантов на устройства, которые использовали хакеры КНР. В нескольких случаях экспертам Sophos удавалось практически в режиме реального времени наблюдать активность противоположной стороны, а также собрать полезную информацию и даже перехватить UEFI-буткит, который устанавливался на сетевое устройство.
Это устройство было приобретено частной компанией в городе Чэнду, и телеметрия с него шла на IP-адрес, расположенный в том же регионе. Его в Sophos считают средоточием вредоносной активности, направленной против сетевых устройств во всем мире.
Поделиться
Короткая ссылка
