Támadnak a kínai zsarolóvírusok: már senkinek az adatai nem lehetnek biztonságban?

Az ellenfelek egyaránt célba vettek kisebb és nagyobb, elsősorban Dél- és Délkelet-Ázsiában található kritikus infrastrukturális és kormányzati célpontokat is, többek között atomenergia-szolgáltatókat, egy főváros repülőterét, egy katonai kórházat, állambiztonsági apparátust és központi kormányzati minisztériumokat.

A Pacific Rim alatt a Sophos X-Ops, a vállalat kiberbiztonsági és fenyegetésinformációs egysége azon dolgozott, hogy semlegesítse az ellenfelek lépéseit és folyamatosan fejlesztette a védelmet, illetve az ellentámadásokat. Miután a Sophos sikeresen reagált a kezdeti támadásokra, az ellenfelek fokozták erőfeszítéseiket és tapasztaltabb operátorokat vontak be. A Sophos ezt követően hatalmas ellenséges ökoszisztémát tárt fel.

A Sophos már 2020-tól közölt részleteket a kapcsolódó kampányokról, köztük a Cloud Snooperről és az Asnarökről, a vállalat most pedig megosztja az átfogó vizsgálati elemzést, hogy felhívja a figyelmet a kínai nemzetállami támadók perzisztenciájára és hiperfókuszukra a kerületvédelmi, a javítatlan és az életciklusukon túli (EOL) eszközök kompromittálására, gyakran olyan nulladik napi exploitokon keresztül, amelyeket ők készítenek ezekhez az eszközökhöz. A Sophos arra is ösztönöz minden szervezetet, hogy sürgősen telepítsék a javításokat az internetkapcsolattal rendelkező eszközök bármelyikén felfedezett sebezhetőségekhez és migráljanak a régebbi, már nem támogatott eszközökről az aktuális modellekre. A Sophos rendszeresen frissíti az összes támogatott termékét az új fenyegetések és a fertőzöttségi mutató indikátorai (IoC-k) alapján az ügyfelek védelme céljából. A Sophos Firewall ügyfeleket gyorsjavításokat védik, amelyek most már alapértelmezés szerint be vannak kapcsolva.

“A valóság az, hogy a peremeszközök rendkívül vonzó célpontokká váltak a kínai nemzetállami csoportok, mint például a Volt Typhoon és mások számára, ahogy “operational relay box”-okat, ORB-ket kívánnak építeni tevékenységük nyomainak elhomályosítására és támogatására. Ez magában egy szervezet célba vételét kémkedés céljából, vagy a gyenge pontok közvetett kihasználását a további támadásokhoz - ezzel lényegében járulékos veszteséggé válnak. Még olyan szervezeteket is megtámadnak, amelyek nem célpontok. A vállalkozások számára tervezett hálózati eszközök természetes célpontjai ezeknek a törekvéseknek - nagy teljesítményűek, mindig be vannak kapcsolva és folyamatos kapcsolattal rendelkeznek.” mondta Ross McKerchar, a Sophos CISO-ja. “Amikor egy ORB-k globális hálózatának kiépítésére törekvő csoport megcélozta néhány eszközünket, ugyanazokat az észlelési és válaszadási technikákat alkalmaztuk, amelyeket vállalati végpontjaink és hálózati eszközeink védelmére használunk. Ez lehetővé tette, hogy több műveletet felszámolhassunk és egy értékes fenyegetésinformációs forráshoz jussunk hozzá, amelyet felhasználtunk, hogy megvédjük ügyfeleinket mind a jövőbeni széles körű támadásokkal, mind a pontosan célzott műveletekkel szemben.”

A jelentés kiemelt pontjai

• 2018. december 4-én a Sophos által 2014-ben felvásárolt Cyberoam indiai központjában egy fali kijelzőhöz csatlakoztatott, alacsony jogosultságokkal rendelkező számítógép elkezdte szkennelni a Sophos hálózatát - látszólag magától. A Sophos egy olyan payloadra bukkant, mely csendesen figyelte a speciális bejövő internetes forgalmat a számítógépen, amely egy új típusú backdoort és egy összetett rootkitet tartalmazott - ez volt a “Cloud Snooper”.
• 2020. áprilisában több szervezet jelentett egy vezérlőfelületet, mely egy domainre mutatott, aminek a nevében szerepelt a “Sophos”. A Sophos együttműködött az európai bűnüldöző szervekkel, amelyek felkutatták és elkobozták azt a szervert, amelyet az ellenfelek ártalmas célú payloadok telepítéséhez használtak. Ennek később a Sophos az Asnarök nevet adta. A Sophos azzal semlegesítette az Asnarököt, amelyet a cég Kínához tudott kapcsolni, hogy átvette a malware vezérlő (C2) csatornáját. Ez azt is lehetővé tette a Sophos számára, hogy semlegesítse a botnet-támadások egy tervezett hullámát.
• Az Asnarök után a Sophos továbbfejlesztette információszerzési műveleteit egy további, fenyegetési szereplőket követő program létrehozásával, amely az ügyfelek környezeteiben telepített Sophos-eszközöket kihasználni kívánó ellenfelek azonosítására és megzavarására fókuszál; a program nyílt forrású információk, webanalízis, telemetria-megfigyelés és a támadók kutatóeszközeire telepített célzott kernelimplantok kombinációjával készült.
• Ezután a támadók egyre nagyobb szintű perzisztenciát mutattak, magasabb szintre emelve taktikáikat és egyre rejtőzködőbb malware-eket alkalmaztak. Ám a Sophos a fenyegetési szereplőket követő programja és a továbbfejlesztett telemetriagyűjtő képességei segítségével képes volt megelőzni számos támadást, valamint megszerezni egy UEFI bootkit és egyedi exploitok másolatát, mielőtt azokat széles körben elterjeszthették volna.
• Néhány hónappal később a Sophos a támadások egy részének nyomait követve eljutott egy ellenfélig, akiről kiderült, hogy kapcsolatban áll Kínával és a Chengdu régióban lévő Sichuan Silence Information Technology Double Helix kutatóintézetével.
• 2022. márciusában egy névtelen kutató egy nulladik napi távoli kódfuttatási sebezhetőséget jelentett a Sophosnak a vállalat hibajavító bug bounty programjának részeként. A sebezhetőség a CVE-2022-1040 azonosítót kapta. A további vizsgálatok feltárták, hogy ezt a CVE-t már több művelet során kihasználták a gyakorlatban - a Sophos ezután meg tudta állítani a műveletek ügyfelekre gyakorolt hatását. Mélyebb elemzés után a Sophos megállapította, hogy a visszaélést bejelentő személy kapcsolatban állhatott az ellenfelekkel. Ez volt a második alkalom, hogy a Sophos gyanús időzítésű “tippet” kapott egy exploitról, mielőtt az ártó céllal felhasználták volna.

“A CISA legújabb tanácsadói világossá tették, hogy a kínai nemzetállami csoportok állandó fenyegetést jelentenek a nemzetek kritikus infrastruktúrájára.” folytatta McKerchar. “Hajlamosak vagyunk elfelejteni, hogy a kis- és középvállalkozások – amelyek a kritikus infrastruktúrák ellátási láncának nagy részét alkotják – célpontok, mivel gyakran ők a gyenge láncszemek ebben az ellátási láncban. Sajnos ezeknek a vállalkozásoknak gyakran kevesebb erőforrása van az ilyen kifinomult fenyegetésekkel szembeni védekezésre. Tovább bonyolítja a helyzetet az a tendencia, hogy ezek az ellenfelek megvetik a lábukat és mélyre ássák magukat, ami megnehezíti az eltávolításukat. A kínai ellenfelek munkamódszere hosszú távú perzisztenciát és összetett, álcázott/rejtett támadásokat eredményez. Nem állnak le, amíg meg nem zavarják őket.”

Iparági megjegyzések a Sophos Pacific Rim jelentése kapcsán

“A JCDC-n keresztül a CISA kulcsfontosságú információkat szerez és oszt meg az előttünk álló kiberbiztonsági kihívásokról, beleértve a Kínai Népköztársaság (KNK, angolul PRC) államilag támogatott kiberszereplői által használt fejlett taktikákat és technikákat. Az olyan partnerek szakértelme, mint a Sophos, és az olyan jelentések, mint a Pacific Rim riport, több betekintést nyújtanak a globális kiberközösség számára a Kínai Népköztársaság fejlődő tevékenységeibe. Vált vállvetve dolgozva segítünk a kibervédőknek megérteni a hálózati peremeszközökkel való visszaélések mértékét és elterjedtségét, valamint az enyhítő stratégiák implementálását.” mondta Jeff Greene, a CISA kiberbiztonsági ügyvezető igazgatóhelyettese. “A CISA továbbra is felhívja a figyelmet arra, hogy a sebezhetőségi osztályokat, beleértve az SQL-injektálást és a memóriabiztonsági sebezhetőségeket, továbbra is tömegesen használják ki. Arra biztatjuk a szoftvergyártókat, hogy tekintsék át a Secure by Design erőforrásainkat, és – ahogyan a Sophos is tette ebben az esetben – alkalmazzák alapelveit a gyakorlatban. A többieket arra biztatjuk, szánják el magukat és tekintsék át figyelmeztetéseinket arról, hogy hogyan küszöbölhetik ki a gyakori hibaosztályokat.”

“Sok kiberbiztonsági szolgáltató folytat kutatási műveleteket az ellenfelek kapcsán, de kevesen képesek sikeresen elvégezni azokat a nemzetállami támadók ilyen kihívásokkal teli csoportja ellen ilyen hosszú időn keresztül.” mondta Eric Parizo, az Omdia kiberbiztonsági kutatócsoportjának vezető elemzője. “A Sophos kiaknázta a lehető legtöbbet egy rendkívül egyedülálló lehetőségből, és dicséretet érdemel, amiért olyan kutatásokat és taktikai információkat nyújtott, amelyek segítenek jobban megvédeni ügyfeleit a jelenben és a jövőben is.”

“Az NCSC-NL-nél az egyik feladatunk az információk megosztása és a szervezetek összekapcsolása. A nemzeti és nemzetközi szervezetek közötti kommunikáció és együttműködés elősegítése nagy jelentőséggel bír a kiberellenállóság javításában. Örülünk, hogy hozzá tudtunk járulni ehhez a vizsgálathoz a Sophosszal.” – mondta Hielke Bontius, az NCSC-NL műveleti vezetője.

Tanácsok a védekezőknek

A szervezeteknek számítaniuk kell arra, hogy minden internetre néző eszköz a nemzetállami ellenfelek elsődleges célpontja, különösen a kritikus infrastruktúrában lévő eszközök. A Sophos arra biztatja a szervezeteket, hogy tegyék meg a következő lépéseket biztonsági helyzetük megerősítése érdekében.

• Minimalizálja az internetre néző szolgáltatásokat és eszközöket!
• Adjon elsőbbséget az internetre csatlakozó eszközök sürgős javításának és ezen eszközök megfigyelésének.
• Kapcsolja be, hogy a peremeszközök automatikusan engedélyezzék és alkalmazzák a gyorsjavításokat!
• Működjön együtt a bűnüldöző szervekkel, a köz- és magánszféra partnereivel és a kormányzattal a releváns IoC-k megosztása és az azokkal kapcsolatos cselekvés céljából!
• Készítsen tervet arra vonatkozóan, hogy szervezete hogyan kezelje az EOL, azaz életciklusuk végét elért eszközöket!

McKerchar ezzel zárta: “Együtt kell működnünk a köz- és magánszektorral, a bűnüldöző szervekkel és kormányokkal, valamint a biztonsági iparággal, hogy megosszuk, mit tudunk ezekről az ellenséges műveletekről. Azokat a peremeszközöket célozni, amelyek pont a hálózatok védelmére lettek telepítve, merész és okos taktika. A szervezeteknek, a csatornapartnereknek és a felügyelt szolgáltatóknak meg kell érteniük, hogy ezek az eszközök a támadók legfőbb célpontjai, és biztosítaniuk kell, hogy megfelelően meg legyenek erősítve, valamint a kritikus javításokat kiadásuk után azonnal telepítsék. Sőt, tudjuk, hogy a támadók aktívan vadásznak az EOL-eszközökre.

Az eladók itt is nagy szerepet játszanak. Segíteniük kell az ügyfeleket:

• a megbízható és jól tesztelt gyorsjavítás-rendszer támogatásával,
• az EOL-platformokról való frissítés megkönnyítésével,
• az elavult régi kódok szisztematikus újratervezésével és eltávolításával, amelyek elhúzódó sebezhetőségeket rejthetnek magukban,
• folyamatosan fejlesztve az alapértelmezetten biztonságos kialakításokat, hogy tehermentesítsék az ügyfeleket a megerősítéssel járó terhektől és
• monitorozniuk kell a telepített eszközeink integritását.”