Ujawniono szczegóły operacji sponsorowanej przez Chiny od 2018 roku, która jest skierowana przeciwko celom w południowej Azji, w szczególności przeciwko firmom, które posiadają urządzenia brzegowe niewystarczająco zabezpieczone / ze starszymi wersjami firmware. Cyberataki przypisuje się grupom Volt Typhoon, APT31 i APT41, a ataki odnotowano głównie w infrastrukturę krytyczną oraz instytucje rządowe, w tym w dostawców energii jądrowej, lotnisko, szpital wojskowy, służby bezpieczeństwa.
Furtka na brzegu sieci
Jak już wspomniałem, raport „Pacific Rim” wskazuje, że atakowane są urządzenia brzegowe, które mają luki w zabezpieczeniach oraz urządzenia, które nie są już wspierane przez producentów. Tutaj warto wymienić jakimi sposobami atakujący uzyskują dostęp do infrastruktury sieciowej:
- poprzez lukę w firmware / oprogramowaniu na serwerze wstrzykiwano backdoor Novel SSH),
- urządzenia sieciowe Sophox zawierają liczne podatności np. CVE-2020-12271, którą wykorzystano do rozprowadzania trojanów wskutek instalacji web-shell w panelu administratora oprogramowania do zarządzania regułami i konfiguracją, albo CVE-2022-3236, gdzie pomimo wdrożonej łatki bezpieczeństwa aktorzy są w stanie ominąć zabezpieczenia,
- podobnie z urządzeniami sieciowymi Cyberoam: skuteczne były ataki 0-day (CVE-2020-29574), które posłużyły do stworzenia nowych kont administratorów (Cyberoam zostało wykupione w 2014 r. przez Sophos),
Znaczenie regularnego aktualizowania oprogramowania, usług uruchomionych na serwerze, w tym firmware urządzeń ma ogromne znaczenie.
Można zaryzykować stwierdzenie, że każde urządzenie podłączone do sieci jest narażone na pierwszy atak cyberprzestępców w czasie od kilku minut do kilku godzin. Dla grup sponsorowanych przez państwa szczególnie atrakcyjnym celem są podmioty należące do infrastruktury krytycznej, w tym małe i średnie przedsiębiorstwa będące w łańcuchu dostaw tego sektora.
Sektor małych firm jest podatny na ataki, ponieważ najczęściej nie dysponują wystarczającymi zasobami do wykrywania zaawansowanych cyberzagrożeń czy obrony przed nimi. Dodatkowo przestępcy po uzyskaniu dostępu przebywają w systemie przez dłuższy czas, co utrudnia ich szybkie wykrycie i usunięcie.
Eksperci Sophos wskazują, że aby skutecznie bronić się przed cyberatakami grup wspieranych przez państwa, kluczowa jest współpraca między sektorem publicznym, prywatnym, organami ścigania oraz branżą cyberbezpieczeństwa. Istotną rolę pełnią również dostawcy oprogramowania zabezpieczającego, którzy powinni wspierać klientów, zapewniając przetestowane poprawki i ułatwiając migrację z niewspieranych już przez producentów platform. Niezbędne jest również bieżące aktualizowanie systemów oraz systematyczne usuwanie lub modyfikowanie przestarzałego kodu, który może zawierać luki bezpieczeństwa. Firmy powinny również ograniczać liczbę urządzeń podłączonych do sieci.
