Sophos na tropie kilku grup hakerów sponsorowanych przez Chiny: atakują sieciowe urządzenia brzegowe

14 listopada, 2024

Ujawniono szczegóły operacji sponsorowanej przez Chiny od 2018 roku, która jest skierowana przeciwko celom w południowej Azji, w szczególności przeciwko firmom, które posiadają urządzenia brzegowe niewystarczająco zabezpieczone / ze starszymi wersjami firmware. Cyberataki przypisuje się grupom Volt Typhoon, APT31 i APT41, a ataki odnotowano głównie w infrastrukturę krytyczną oraz instytucje rządowe, w tym w dostawców energii jądrowej, lotnisko, szpital wojskowy, służby bezpieczeństwa.

Furtka na brzegu sieci

Jak już wspomniałem, raport „Pacific Rim” wskazuje, że atakowane są urządzenia brzegowe, które mają luki w zabezpieczeniach oraz urządzenia, które nie są już wspierane przez producentów. Tutaj warto wymienić jakimi sposobami atakujący uzyskują dostęp do infrastruktury sieciowej:

  • poprzez lukę w firmware / oprogramowaniu na serwerze wstrzykiwano backdoor Novel SSH),
  • urządzenia sieciowe Sophox zawierają liczne podatności np. CVE-2020-12271, którą wykorzystano do rozprowadzania trojanów wskutek instalacji web-shell w panelu administratora oprogramowania do zarządzania regułami i konfiguracją, albo CVE-2022-3236, gdzie pomimo wdrożonej łatki bezpieczeństwa aktorzy są w stanie ominąć zabezpieczenia,
  • podobnie z urządzeniami sieciowymi Cyberoam: skuteczne były ataki 0-day (CVE-2020-29574), które posłużyły do stworzenia nowych kont administratorów (Cyberoam zostało wykupione w 2014 r. przez Sophos),

Znaczenie regularnego aktualizowania oprogramowania, usług uruchomionych na serwerze, w tym firmware urządzeń ma ogromne znaczenie.

Można zaryzykować stwierdzenie, że każde urządzenie podłączone do sieci jest narażone na pierwszy atak cyberprzestępców w czasie od kilku minut do kilku godzin. Dla grup sponsorowanych przez państwa szczególnie atrakcyjnym celem są podmioty należące do infrastruktury krytycznej, w tym małe i średnie przedsiębiorstwa będące w łańcuchu dostaw tego sektora.

Sektor małych firm jest podatny na ataki, ponieważ najczęściej nie dysponują wystarczającymi zasobami do wykrywania zaawansowanych cyberzagrożeń czy obrony przed nimi. Dodatkowo przestępcy po uzyskaniu dostępu przebywają w systemie przez dłuższy czas, co utrudnia ich szybkie wykrycie i usunięcie.

Eksperci Sophos wskazują, że aby skutecznie bronić się przed cyberatakami grup wspieranych przez państwa, kluczowa jest współpraca między sektorem publicznym, prywatnym, organami ścigania oraz branżą cyberbezpieczeństwa. Istotną rolę pełnią również dostawcy oprogramowania zabezpieczającego, którzy powinni wspierać klientów, zapewniając przetestowane poprawki i ułatwiając migrację z niewspieranych już przez producentów platform. Niezbędne jest również bieżące aktualizowanie systemów oraz systematyczne usuwanie lub modyfikowanie przestarzałego kodu, który może zawierać luki bezpieczeństwa. Firmy powinny również ograniczać liczbę urządzeń podłączonych do sieci.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]