Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, upozorňuje, že čínští státem sponzorovaní hackeři napadají americkou kritickou infrastrukturu, včetně vládních a komunikačních organizací, a útočí také na další státy a cíle.
Spojené státy a mezinárodní úřady pro kybernetickou bezpečnost vydaly společné kyberbezpečnostní doporučení, aby upozornily na aktivity státem sponzorované čínské hackerské skupiny Volt Typhoon. Prohlášení vydaly úřady USA, Austrálie, Kanady, Nového Zélandu a Spojeného království, tedy zemí, které tvoří zpravodajskou síť Five Eyes.
Microsoft na svých stránkách uvádí, že skupina Volt Typhoon směřuje veškerý síťový provoz ke svým cílům prostřednictvím infikovaných síťových zařízení, například routerů. Mnohá zařízení, mezi nimiž jsou i zařízení vyráběná společnostmi ASUS, Cisco, D-Link, NETGEAR a Zyxel, umožňují majiteli umístit rozhraní pro správu HTTP nebo SSH na internet.
Sofistikované útoky čínských kyberšpionážních skupin, jako Volt Typhoon, jsou stále častější. Jejich primární motivací je shromažďování strategických zpravodajských informací, cílené narušování provozu nebo prosté upevnění pozice v sítích pro další operace.
USA nejsou jediným cílem špionáží
„Nedávno jsme upozorňovali na řadu cílených útoků na evropské subjekty. Útoky byly spojeny s čínskou státem sponzorovanou APT skupinou Camaro Dragon a její aktivity nápadně připomínají útoky jiné čínské státem sponzorované skupiny Mustang Panda. Analýza útoků odhalila nebezpečný doplněk firmwaru routerů TP-Link. Ten obsahuje několik škodlivých komponent, včetně vlastního backdooru Horse Shell, který útočníkům umožňuje budovat anonymní infrastrukturu a dále se v napadených sítích šířit,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software
A v březnu 2023 odhalil Check Point čínské špionážní útoky na vládní subjekty v jihovýchodní Asii. Jednalo se především o země, jako jsou Vietnam, Thajsko a Indonésie, s podobnými územními nároky nebo strategickou infrastrukturou.
V posledních letech vidíme, že se čínské hackerské skupiny stále častěji zaměřují na SOHO (Small Office/Home Office) zařízení, která jim pomohou vybudovat robustnější a anonymnější C&C infrastrukturu a také jim pomohou získat opěrný bod v napadené síti.
„Síťová zařízení, jako routery, jsou často považovaná za perimetr digitálního majetku organizace a slouží jako první kontaktní místo pro internetovou komunikaci. Jsou zodpovědná za směrování a správu síťového provozu, a to jak legitimního, tak potenciálně škodlivého. Napadením těchto zařízení mohou útočníci smíchat nebezpečný provoz s legitimní komunikací, což výrazně ztěžuje jejich odhalení. Překonfigurovaná nebo kompromitovaná zařízení také umožňují útočníkům vytvářet v síti komunikační tunely, čímž účinně anonymizují svůj provoz a vyhýbají se tradičním detekčním metodám,“ dodává Tomáš Růžička.
Skupina Volt Typhoon tyto strategie využívá a místo malwaru, který může být odhalen mnoha moderními bezpečnostními systémy, se zaměřuje na integrované nástroje pro správu sítě, jako jsou wmic, ntdsutil, netsh a PowerShell. Škodlivé aktivity se potom ztrácí v moři neškodných administrátorských úloh, což obráncům ztěžuje identifikaci útočníků mezi legitimními uživateli.
Tyto techniky umožňují hackerské skupině fungovat v napadené síti velmi dlouho. Kompromitace síťových SOHO zařízení může být využita jako infrastruktura k ukrytí skutečného původu a udržení kontroly nad sítí i v případě, že jsou odhaleny a odstraněny další části útočné kampaně. Hackeři pak mohou tyto opěrné body použít v rámci druhé vlny útoků nebo ke krádežím dat i poté, co se organizace domnívá, že hrozba byla eliminována.
Ohrožena mohou být různá zařízení od různých dodavatelů. Je proto nutné síťová zařízení neustále aktualizovat a zabezpečovat a dávat si pozor na jakoukoli podezřelou aktivitu v síti.
Novinky od českého týmu společnosti Check Point Software Technologies:
- Facebook: https://www.facebook.com/CheckPointCzech
- Twitter: https://twitter.com/CheckPointCzech
- LinkedIn: https://cz.linkedin.com/showcase/checkpointczech
Sledujte novinky o bezpečnostním týmu Check Point Research:
Sledujte novinky o společnosti Check Point Software Technologies:
- Twitter: http://www.twitter.com/checkpointsw
- Facebook: https://www.facebook.com/checkpointsoftware
- Blog: http://blog.checkpoint.com
- YouTube: http://www.youtube.com/user/CPGlobal
- LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.
