Хакеры, связанные с Китаем, используют сети уязвимых интернет-подключенных устройств, включая домашние маршрутизаторы, принтеры и “умные” устройства, в качестве прикрытия для проведения операций по шпионажу и кибератакам. Эта техника теперь используется большинством хакеров, связанных с Китаем, как способ сокрытия атак шпионажа и взлома, направленных против западных организаций. Национальный центр кибербезопасности Великобритании (NCSC) и национальные агентства девяти других стран сегодня предупредили, что китайские группировки используют сети зараженных устройств «в масштабе» для целенаправленных атак на критически важные сектора по всему миру и кражи конфиденциальных данных. Согласно консультативному уведомлению, выпущенному альянсом по обмену разведданными «Пять глаз» — в который входят Великобритания, США, Канада, Австралия и Новая Зеландия — а также 10 другими странами, китайские группировки эксплуатируют уязвимости в необновленных интернет-устройствах для создания сетей, которые используются в качестве плацдарма для дальнейших атак. «Мы знаем, что разведывательные и военные ведомства Китая теперь демонстрируют ошеломляющий уровень изощренности в своих кибероперациях», — заявил глава NCSC Ричард Хорн в своем выступлении на конференции CyberUK в Глазго.
Скрытые сети маскируют «индикаторы компрометации»
Агентства предупреждают, что китайская тактика затрудняет для организаций обнаружение и атрибуцию вредоносных атак на их компьютерные сети с использованием традиционных «индикаторов компрометации». Например, китайские группировки могут использовать зараженное устройство, находящееся в Великобритании, в качестве плацдарма для взлома компании, базирующейся в Великобритании, что означает, что блокировка небританских IP-адресов больше не обеспечивает защиту от зарубежных атак. Они советуют компаниям принимать «адаптивные, основанные на разведданных меры» для лучшего смягчения рисков, включая мониторинг трафика от интернет-подключенных устройств, виртуальных частных сетей (VPN) и устройств удаленного доступа для выявления подозрительного трафика. Китайские группировки могут уклоняться от обнаружения, используя недорогие сети зараженных устройств, которые могут быть быстро перенастроены, так что традиционные статические списки блокировки IP-адресов становятся неэффективными. Согласно уведомлению, эти сети используются для каждого этапа кибератаки: от разведки и доставки вредоносного ПО до командно-контрольных структур и эксфильтрации данных против целей шпионажа и наступательных киберопераций.
Скрытые сети стоят за крупными операциями по взлому
Скрытые сети скомпрометированных устройств использовались спонсируемой китайским государством группой Volt Typhoon для предварительного позиционирования перед будущими атаками на критически важную национальную инфраструктуру (КНИ). Группа нацеливалась на коммуникационные, энергетические, транспортные и водные службы в США и смогла сохранять скрытый доступ к критически важным ИТ-системам в течение пяти лет и более. Она использовала сеть уязвимых маршрутизаторов Cisco и NetGear, которые больше не поддерживались производителями и не получали обновлений патчей безопасности. Другая китайская группа, Flax Typhoon, использовала скрытую сеть из 260 000 скомпрометированных устройств, включая маршрутизаторы, межсетевые экраны, веб-камеры и камеры видеонаблюдения, для ведения кибершпионажа против целей в нескольких странах.
Взлом как услуга
Китайские хакерские группировки имеют выбор из скрытых сетей, каждая из которых потенциально насчитывает сотни тысяч конечных точек, которые часто меняются, что затрудняет для целевых компаний блокирование атак, говорится в уведомлении. Китайские компании, занимающиеся информационной безопасностью, поддерживали сети зараженных устройств, доступные как услуга для связанных с Китаем хакерских группировок. Китайская компания Integrity Technology Group контролировала сеть, известную как Raptor Train, которая заразила более 200 000 устройств по всему миру в 2024 году.
Компаниям рекомендуется принять контрмеры
NCSC советует компаниям составить карту интернет-подключенных устройств в своей организации и корпоративных VPN, чтобы понимать, какой трафик является легитимным. Им также следует внедрить многофакторную аутентификацию (MFA), когда сотрудники используют удаленные подключения для входа в бизнес-сети. Более крупные организации могут профилировать входящие соединения на основе операционных систем, часовых поясов и конфигураций систем организации для выявления легитимного трафика. «Пять глаз» и NCSC советуют организациям, подверженным наибольшему риску, активно отслеживать китайские изощренные постоянные угрозы (APT), используя отчеты об угрозах, предоставляемые NCSC, для создания динамических списков блокировки и правил для обнаружения входящих угроз. «В последние годы мы наблюдали преднамеренный сдвиг в сторону кибергруппировок, базирующихся в Китае, использующих эти сети для сокрытия своей вредоносной деятельности в попытке избежать ответственности», — заявил Пол Чичестер, директор по операциям NCSC. «Мы призываем организации принять меры сейчас, чтобы лучше защитить свои критически важные активы».”
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Goodwin
