Большая часть дискуссий о кибервойне в последние месяцы была сосредоточена вокруг России и Украины. Однако, несмотря на то, что она, возможно, была отодвинута на задний план, агрессивная киберактивность Китая продолжается быстрыми темпами, независимо от того, поднимается ли она до уровня военных действий или нет. Всего месяц назад мы освещали новости о том, что китайские хакеры, спонсируемые государством, использовали вредоносное ПО для кражи интеллектуальной собственности США в ходе операции, которая годами оставалась незамеченной. Всего за месяц до этого мы писали о спонсируемой государством китайской хакерской группе, которая использовала VLC Media Player для развертывания вредоносных программ в целевых атаках на иностранные правительства и неправительственные организации.
Обе эти поддерживаемые Китаем кибероперации были обнаружены частными исследователями кибербезопасности, но федеральные агентства США также отслеживают киберактивность Китая. На этой неделе Агентство национальной безопасности (АНБ), Агентство кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) опубликовали совместный бюллетень по кибербезопасности, в котором подробно описаны способы, которыми спонсируемые государством хакеры Китая компрометируют сетевых провайдеров и устройства, чтобы отслеживать сетевую активность и красть учетные данные.

Согласно бюллетеню, этот кибершпионаж широко распространен и нацелен не только на крупную сетевую инфраструктуру, но и на более мелкие коммерческие сетевые устройства, такие как маршрутизаторы и сетевые устройства хранения данных (NAS). Китайские хакеры осуществляют эту деятельность, используя известные уязвимости в сетевых устройствах. Во многих случаях поставщики, производящие эти сетевые устройства, выпускали исправления, устраняющие уязвимости, но сетевые администраторы пренебрегали обновлением устройств. В следующей таблице перечислены известные уязвимости сетевых устройств, которые чаще всего используются хакерами, поддерживаемыми Китаем.
Продавец | CVE-идентификатор |
Тип уязвимости |
Строгость |
Сиско | CVE-2019-11510 | Удаленное выполнение кода |
9.8 Критический |
CVE-2019-15271 | Удаленное выполнение кода | 8.8 Высокий |
|
CVE-2019-1652 | Удаленное выполнение кода | 7.2 Высокий |
|
Цитрикс | CVE-2019-19781 | Удаленное выполнение кода | 9.8 Критический |
ДрейТек | CVE-2020-8515 | Удаленное выполнение кода | 9.8 Критический |
Д-линк | CVE-2019-16920 | Удаленное выполнение кода | 9.8 Критический |
Фортинет | CVE-2018-13382 | Обход аутентификации |
7.5 Высокий |
МикроТик | CVE-2018-14847 | Обход аутентификации | 9.1 Критический |
Нетгир | CVE-2017-6862 | Удаленное выполнение кода |
9.8 Критический |
Пульс | CVE-2019-11510 | Обход аутентификации |
10 критических |
CVE-2021-22893 | Удаленное выполнение кода |
10 критических |
|
QNAP |
CVE-2019-7192 | Повышение привилегий |
9.8 Критический |
CVE-2019-7193 | Удаленная инъекция |
9.8 Критический |
|
CVE-2019-7194 | Обходная атака XML-маршрутизации |
9.8 Критический |
|
CVE-2019-7195 | Обходная атака XML-маршрутизации |
9.8 Критический |
|
Zyxel | CVE-2020-29583 | Обход аутентификации |
9.8 Критический |
Всего через два дня после того, как федеральные агентства США опубликовали этот бюллетень по кибербезопасности , независимые исследователи кибербезопасности из Sentinel Labs опубликовали подробную информацию о Aoqin Dragon, хакерской группе, спонсируемой китайским государством. По словам исследователей, эти хакеры вели кибершпионаж против Сингапура, Гонконга, Вьетнама, Камбоджи и Австралии. Исследователи проследили эту активность вплоть до 2013 года, когда Aoqin Dragon использовал вредоносные документы Microsoft Word для установки бэкдоров в целевых системах.

Тактика китайской хакерской группы претерпела многочисленные изменения с 2013 года. Примерно в 2016 году группа перешла от вредоносных документов Microsoft Word к поддельным исполняемым файлам антивируса. Затем, в 2018 году, Aoqin Dragon перешла на использование поддельных съемных устройств и до сих пор использует эту стратегию. Группа использует ярлыки «RemovableDisc», которые запускают «RemovableDisc.exe». Этот исполняемый файл устанавливает вредоносное ПО, которое запускается при запуске устройства как «приложение Evernote Tray». Это вредоносное ПО устанавливает две дополнительные полезные нагрузки вредоносного ПО. Первая полезная нагрузка копирует вредоносное ПО на все съемные устройства, а вторая полезная нагрузка устанавливает бэкдор, который взаимодействует с инфраструктурой управления и контроля (C2) хакеров.