Федеральные агентства США раскрывают масштабную шпионскую кампанию китайских хакеров по кибершпионажу

Федеральные агентства США раскрывают новости кампании китайских хакеров по кибершпионажу
Большая часть дискуссий о кибервойне в последние месяцы была сосредоточена вокруг России и Украины. Однако, несмотря на то, что она, возможно, была отодвинута на задний план, агрессивная киберактивность Китая продолжается быстрыми темпами, независимо от того, поднимается ли она до уровня военных действий или нет. Всего месяц назад мы освещали новости о том, что китайские хакеры, спонсируемые государством, использовали вредоносное ПО для кражи интеллектуальной собственности США в ходе операции, которая годами оставалась незамеченной. Всего за месяц до этого мы писали о спонсируемой государством китайской хакерской группе, которая использовала VLC Media Player для развертывания вредоносных программ в целевых атаках на иностранные правительства и неправительственные организации.
Обе эти поддерживаемые Китаем кибероперации были обнаружены частными исследователями кибербезопасности, но федеральные агентства США также отслеживают киберактивность Китая. На этой неделе Агентство национальной безопасности (АНБ), Агентство кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) опубликовали совместный бюллетень по кибербезопасности, в котором подробно описаны способы, которыми спонсируемые государством хакеры Китая компрометируют сетевых провайдеров и устройства, чтобы отслеживать сетевую активность и красть учетные данные.

Федеральные агентства США раскрывают новости кампании китайских хакеров по кибершпионажу
Общий метод, используемый китайскими хакерами для взлома сетевой инфраструктуры (источник: АНБ )

Согласно бюллетеню, этот кибершпионаж широко распространен и нацелен не только на крупную сетевую инфраструктуру, но и на более мелкие коммерческие сетевые устройства, такие как маршрутизаторы и сетевые устройства хранения данных (NAS). Китайские хакеры осуществляют эту деятельность, используя известные уязвимости в сетевых устройствах. Во многих случаях поставщики, производящие эти сетевые устройства, выпускали исправления, устраняющие уязвимости, но сетевые администраторы пренебрегали обновлением устройств. В следующей таблице перечислены известные уязвимости сетевых устройств, которые чаще всего используются хакерами, поддерживаемыми Китаем.

Продавец CVE-идентификатор
Тип уязвимости
Строгость
Сиско CVE-2019-11510 Удаленное выполнение кода
9.8 Критический
CVE-2019-15271 Удаленное выполнение кода 8.8 Высокий
CVE-2019-1652 Удаленное выполнение кода 7.2 Высокий
Цитрикс CVE-2019-19781 Удаленное выполнение кода 9.8 Критический
ДрейТек CVE-2020-8515 Удаленное выполнение кода 9.8 Критический
Д-линк CVE-2019-16920 Удаленное выполнение кода 9.8 Критический
Фортинет CVE-2018-13382 Обход аутентификации
7.5 Высокий
МикроТик CVE-2018-14847 Обход аутентификации 9.1 Критический
Нетгир CVE-2017-6862 Удаленное выполнение кода
9.8 Критический
Пульс CVE-2019-11510 Обход аутентификации
10 критических
CVE-2021-22893 Удаленное выполнение кода
10 критических
QNAP
CVE-2019-7192 Повышение привилегий
9.8 Критический
CVE-2019-7193 Удаленная инъекция
9.8 Критический
CVE-2019-7194 Обходная атака XML-маршрутизации
9.8 Критический
CVE-2019-7195 Обходная атака XML-маршрутизации
9.8 Критический
Zyxel CVE-2020-29583 Обход аутентификации
9.8 Критический

Всего через два дня после того, как федеральные агентства США опубликовали этот бюллетень по кибербезопасности , независимые исследователи кибербезопасности из Sentinel Labs опубликовали подробную информацию о Aoqin Dragon, хакерской группе, спонсируемой китайским государством. По словам исследователей, эти хакеры вели кибершпионаж против Сингапура, Гонконга, Вьетнама, Камбоджи и Австралии. Исследователи проследили эту активность вплоть до 2013 года, когда Aoqin Dragon использовал вредоносные документы Microsoft Word для установки бэкдоров в целевых системах.

Федеральные агентства США раскрыли китайскую хакерскую кампанию кибершпионажа killchain
Текущая цепочка уничтожения вредоносных программ Aoqin Dragon (источник: SentinelLabs )

Тактика китайской хакерской группы претерпела многочисленные изменения с 2013 года. Примерно в 2016 году группа перешла от вредоносных документов Microsoft Word к поддельным исполняемым файлам антивируса. Затем, в 2018 году, Aoqin Dragon перешла на использование поддельных съемных устройств и до сих пор использует эту стратегию. Группа использует ярлыки «RemovableDisc», которые запускают «RemovableDisc.exe». Этот исполняемый файл устанавливает вредоносное ПО, которое запускается при запуске устройства как «приложение Evernote Tray». Это вредоносное ПО устанавливает две дополнительные полезные нагрузки вредоносного ПО. Первая полезная нагрузка копирует вредоносное ПО на все съемные устройства, а вторая полезная нагрузка устанавливает бэкдор, который взаимодействует с инфраструктурой управления и контроля (C2) хакеров.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал