Χάκερς του κινεζικού κράτους μολύνουν κρίσιμες υποδομές σε όλες τις ΗΠΑ και το Γκουάμ

Μια κινεζική κυβερνητική ομάδα hacking έχει αποκτήσει σημαντική θέση μέσα σε περιβάλλοντα υποδομών ζωτικής σημασίας σε όλες τις ΗΠΑ και το Γκουάμ και κλέβει διαπιστευτήρια δικτύου και ευαίσθητα δεδομένα, ενώ παραμένει σε μεγάλο βαθμό απαρατήρητη, δήλωσαν την Τετάρτη η Microsoft και κυβερνήσεις από τις ΗΠΑ και άλλες τέσσερις χώρες.

Η ομάδα, η οποία εντοπίζεται από τη Microsoft με το όνομα Volt Typhoon, δραστηριοποιείται εδώ και τουλάχιστον δύο χρόνια με επίκεντρο την κατασκοπεία και τη συλλογή πληροφοριών για τη Λαϊκή Δημοκρατία της Κίνας, δήλωσε η Microsoft. Για να παραμείνουν απαρατήρητοι, οι χάκερ χρησιμοποιούν εργαλεία που είναι ήδη εγκατεστημένα ή ενσωματωμένα σε μολυσμένες συσκευές που ελέγχονται χειροκίνητα από τους επιτιθέμενους αντί να αυτοματοποιούνται, μια τεχνική γνωστή ως "living off the land". Εκτός από την αποκάλυψη από τη Microsoft, η εκστρατεία καταγράφηκε επίσης σε μια συμβουλευτική που δημοσιεύθηκε από κοινού από:

• Αμερικανικό Οργανισμό Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA)
• Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI)
• Αυστραλιανό Κέντρο Κυβερνοασφάλειας (ACSC)
• Καναδικό Κέντρο για την Ασφάλεια στον Κυβερνοχώρο (CCCS)
• Εθνικό κέντρο ασφάλειας στον κυβερνοχώρο της Νέας Ζηλανδίας (NCSC-NZ)
• Εθνικό κέντρο ασφάλειας στον κυβερνοχώρο του Ηνωμένου Βασιλείου (NCSC-UK)

Εκτός από την τεχνική του "living-off-the-land", οι χάκερς συγκάλυψαν περαιτέρω τη δραστηριότητά τους χρησιμοποιώντας παραβιασμένους routers για το σπίτι και μικρά γραφεία ως ενδιάμεση υποδομή που επιτρέπει στις επικοινωνίες με τους μολυσμένους υπολογιστές να προέρχονται από ISP που είναι τοπικοί στη γεωγραφική περιοχή. Στη συμβουλευτική της Microsoft, οι ερευνητές έγραψαν:

Για την επίτευξη του στόχου τους, ο φορέας της απειλής δίνει μεγάλη έμφαση στη μυστικότητα σε αυτή την εκστρατεία, βασιζόμενος σχεδόν αποκλειστικά σε τεχνικές "living-off-the-land" και σε "χειροκίνητες" δραστηριότητες. Εκτελούν εντολές μέσω της γραμμής εντολών για να (1) συλλέξουν δεδομένα, συμπεριλαμβανομένων των διαπιστευτηρίων από τοπικά συστήματα και συστήματα δικτύου, (2) να τοποθετήσουν τα δεδομένα σε ένα αρχείο αρχειοθέτησης για να τα προετοιμάσουν για την απομόνωση και στη συνέχεια (3) να χρησιμοποιήσουν τα κλεμμένα έγκυρα διαπιστευτήρια για να διατηρήσουν τη διατήρηση. Επιπλέον, το γκρούπ Volt Typhoon προσπαθεί να ενσωματωθεί στην κανονική δραστηριότητα του δικτύου, δρομολογώντας την κυκλοφορία μέσω παραβιασμένου εξοπλισμού δικτύου μικρών γραφείων και οικιακών γραφείων (SOHO), συμπεριλαμβανομένων δρομολογητών, τειχών προστασίας και υλικού VPN. Έχει επίσης παρατηρηθεί ότι χρησιμοποιούν προσαρμοσμένες εκδόσεις εργαλείων ανοιχτού κώδικα για να δημιουργήσουν ένα κανάλι διοίκησης και ελέγχου (C2) μέσω διακομιστή μεσολάβησης για να παραμείνουν περαιτέρω κάτω από το ραντάρ.

Οι ερευνητές της Microsoft δήλωσαν ότι η εκστρατεία είναι πιθανότατα σχεδιασμένη για την ανάπτυξη δυνατοτήτων για τη "διατάραξη κρίσιμων υποδομών επικοινωνίας μεταξύ των Ηνωμένων Πολιτειών και της περιοχής της Ασίας κατά τη διάρκεια μελλοντικών κρίσεων". Το Γκουάμ είναι σημαντικό για τον αμερικανικό στρατό λόγω των λιμανιών του στον Ειρηνικό και της αεροπορικής βάσης που παρέχει. Καθώς οι εντάσεις σχετικά με την Ταϊβάν έχουν υποχωρήσει, η στρατηγική σημασία του Γκουάμ έχει γίνει κεντρικό θέμα.

Το αρχικό σημείο εισόδου για τις παραβιάσεις του Volt Typhoon είναι μέσω των συσκευών Fortinet FortiGuard που έχουν πρόσβαση στο Διαδίκτυο, οι οποίες τα τελευταία χρόνια έχουν αποδειχθεί σημαντικό προγεφύρωμα για τη μόλυνση δικτύων. Εκμεταλλευόμενοι ευπάθειες στις συσκευές FortiGuard που οι διαχειριστές έχουν αμελήσει να επιδιορθώσουν, οι χάκερς αποσπούν διαπιστευτήρια για το Active Directory ενός δικτύου, το οποίο αποθηκεύει ονόματα χρηστών, password hashes και άλλες ευαίσθητες πληροφορίες για όλους τους άλλους λογαριασμούς. Στη συνέχεια, οι χάκερ χρησιμοποιούν αυτά τα δεδομένα για να μολύνουν άλλες συσκευές στο δίκτυο. Ερευνητές της Microsoft έγραψαν ότι:

Το Volt Typhoon μεταβιβάζει μεσολάβηση όλη την κυκλοφορία του δικτύου του στους στόχους του μέσω παραβιασμένων συσκευών άκρου δικτύου SOHO (συμπεριλαμβανομένων των δρομολογητών). Η Microsoft έχει επιβεβαιώσει ότι πολλές από τις συσκευές, στις οποίες περιλαμβάνονται αυτές που κατασκευάζονται από τις ASUS, Cisco, D-Link, NETGEAR και Zyxel, επιτρέπουν στον ιδιοκτήτη να εκθέσει διεπαφές διαχείρισης HTTP ή SSH στο Διαδίκτυο

Μεταξύ των κλάδων που επηρεάζονται, είναι οι επικοινωνίες, η μεταποίηση, οι υπηρεσίες κοινής ωφέλειας, οι μεταφορές, οι κατασκευές, η ναυτιλία, η κυβέρνηση, η τεχνολογία των πληροφοριών και η εκπαίδευση.