Firma Sophos ujawnia szczegóły pięcioletniej operacji obronnej skierowanej przeciwko sponsorowanym przez struktury państwowe chińskim grupom atakującym urządzenia brzegowe, w tym firewalle Sophos. Ich członkowie wykorzystywali luki w zabezpieczeniach oraz specjalnie zaprojektowane złośliwe oprogramowanie, aby prowadzić działania szpiegowskie i sabotować infrastrukturę krytyczną. Jak wskazują eksperci Sophos, badane grupy przestępcze stosowały taktykę długotrwałej obecności w środowisku ofiar oraz prowadzenia skomplikowanych, ukrytych ataków.
Dzięki podjętym działaniom obronnym zespół analityków Sophos X-Ops zneutralizował pierwsze ataki, co skłoniło przeciwników do eskalacji działań i zaangażowania bardziej doświadczonych operatorów. W efekcie pięcioletniej operacji eksperci odpowiedzialni za cyberbezpieczeństwo i analizę zagrożeń odkryli rozległy ekosystem cyberprzestępców stosujących taktyki oraz techniki przypisywane chińskim grupom, takim jak Volt Typhoon, APT31 i APT41. Ataki były wymierzone głównie w infrastrukturę krytyczną oraz instytucje rządowe w Azji Południowej i Południowo-Wschodniej, w tym dostawców energii jądrowej, stołeczne lotnisko, szpital wojskowy, służby bezpieczeństwa.
Kiedy grupa atakowała niektóre z urządzeń firmy Sophos, jej specjaliści zastosowali takie same techniki wykrywania i reagowania, z pomocą których chronione są urządzenia końcowe i sieciowe w korporacyjnych środowiskach klientów. Działanie to pozwoliło udaremnić wiele operacji i wykorzystać zdobyte informacje o zagrożeniach do rozwijania ochrony przed kolejnymi szeroko zakrojonymi i ukierunkowanymi atakami.
Furtka na brzegu sieci
Raport „Pacific Rim” wskazuje, że sponsorowane przez państwo chińskie grupy cyberprzestępcze atakują urządzenia brzegowe, które mają luki w zabezpieczeniach oraz te, które nie są już wspierane przez producentów. Dlatego eksperci Sophos podkreślają w nim znaczenie regularnego aktualizowania oprogramowania oraz potrzebę nieustannego monitorowania systemów IT pod kątem błędów i „otwartych furtek”.
– Urządzenia brzegowe stały się niezwykle atrakcyjnymi celami dla chińskich grup cyberprzestępczych, takich jak Volt Typhoon. Tworzą one operacyjne przekaźniki do komunikacji między urządzeniami (Operational Relay Box, ORB), służące do ukrywania i wspierania swoich działań. Obejmuje to zarówno bezpośrednie ataki na przedsiębiorstwa w celu ich szpiegowania, jak i pośrednie wykorzystanie słabych punktów oprogramowania do dalszych cyberataków. Ofiarami ataków padają nawet firmy, które nie są faktycznym celem działań przestępców. Natomiast atrakcyjne są dla nich urządzenia brzegowe – zawsze włączone i podłączone do sieci – podkreśla Ross McKerchar, dyrektor ds. bezpieczeństwa informacji (CISO) w firmie Sophos.
MŚP również na celowniku hakerów
Każde urządzenie podłączone do sieci jest narażone na atak cyberprzestępców. Dla grup sponsorowanych przez państwa szczególnie atrakcyjnym celem są podmioty należące do infrastruktury krytycznej, w tym małe i średnie przedsiębiorstwa będące w łańcuchu dostaw tego sektora. MŚP są podatne na ataki, ponieważ najczęściej nie dysponują wystarczającymi zasobami do wykrywania zaawansowanych cyberzagrożeń czy obrony przed nimi. Dodatkowo przestępcy po uzyskaniu dostępu przebywają w systemie przez dłuższy czas, co utrudnia ich szybkie wykrycie i usunięcie.
Jak wskazują eksperci Sophos, aby skutecznie bronić się przed cyberatakami grup wspieranych przez państwa, kluczowa jest współpraca między sektorem publicznym, prywatnym, organami ścigania oraz branżą cyberbezpieczeństwa. Istotną rolę pełnią również dostawcy oprogramowania zabezpieczającego, którzy powinni wspierać klientów, zapewniając niezawodne, przetestowane poprawki i ułatwiając migrację z niewspieranych już przez producentów platform. Niezbędne jest również bieżące aktualizowanie systemów oraz systematyczne usuwanie lub modyfikowanie przestarzałego kodu, który może zawierać luki bezpieczeństwa. Firmy powinny również ograniczać liczbę urządzeń podłączonych do sieci.