Είκοσι τρεις υπηρεσίες κυβερνοχώρου, άμυνας και πληροφοριών από τις Ηνωμένες Πολιτείες και άλλες χώρες εξέδωσαν κοινή συμβουλευτική στις 27 Αυγούστου, στην οποία περιγράφεται το εγχειρίδιο που χρησιμοποίησαν οι κινεζικοί κρατικοί χάκερς που παραβίασαν μεγάλες αμερικανικές τηλεπικοινωνίες το 2024 και προτρέπουν τα δίκτυα να κυνηγήσουν αυτή την κακόβουλη δραστηριότητα.
Οι αρχές λένε ότι αυτοί οι κακόβουλοι φορείς κυβερνοαπειλών έχουν παραβιάσει δίκτυα παγκοσμίως για να τροφοδοτήσουν ένα σύστημα κατασκοπείας που χρηματοδοτείται από το κινεζικό κράτος.
Κατονόμασαν τρεις κινεζικές εταιρείες που συνδέονται με την εκστρατεία που είναι ευρέως γνωστή ως Salt Typhoon.
Η μία είναι η εταιρεία Sichuan Juxinhe Network Technology Co., Ltd., η οποία υπόκειται σε κυρώσεις από τις ΗΠΑ. Δύο άλλες εταιρείες δεν είχαν γνωστοποιηθεί προηγουμένως: Beijing Huanyu Tianqiong Information Technology Co., Ltd. και Sichuan Zhixin Ruijie Network Technology Co., Ltd.
Η κατονομασία των εταιρειών που συνδέονται με την κακόβουλη κυβερνοδραστηριότητα του κινεζικού καθεστώτος παρέχει στους ερευνητές του κυβερνοχώρου περισσότερες πληροφορίες σχετικά με τις δυνατότητες των διαφόρων εκστρατειών.
«Αυτές οι εταιρείες παρέχουν προϊόντα και υπηρεσίες που σχετίζονται με τον κυβερνοχώρο στις υπηρεσίες πληροφοριών της Κίνας, συμπεριλαμβανομένων πολλών μονάδων του Λαϊκού Απελευθερωτικού Στρατού και του Υπουργείου Κρατικής Ασφάλειας», αναφέρεται στην έκθεση, η οποία συνυπογράφεται από υπηρεσίες των Ηνωμένων Πολιτειών, της Αυστραλίας, του Καναδά, της Νέας Ζηλανδίας, του Ηνωμένου Βασιλείου, της Τσεχικής Δημοκρατίας, της Φινλανδίας, της Γερμανίας, της Ιταλίας, της Ιαπωνίας, των Κάτω Χωρών, της Πολωνίας και της Ισπανίας.
Αξιωματούχοι επιβεβαίωσαν το 2024 ότι δεκάδες χώρες επλήγησαν από τον τυφώνα Salt. Η Wall Street Journal ανέφερε στις 27 Αυγούστου ότι το FBI λέει τώρα ότι η εκστρατεία αυτή έχει παραβιάσει περισσότερες από 80 χώρες.
«Η αδιάκριτη στόχευση των ιδιωτικών επικοινωνιών από το Πεκίνο απαιτεί την ισχυρότερη συνεργασία μας με τους εταίρους μας για τον εντοπισμό και την αντιμετώπιση αυτής της δραστηριότητας στα πρώτα στάδια», δήλωσε ο Brett Leatherman, επικεφαλής της Διεύθυνσης Κυβερνοχώρου του FBI, σε δήλωση με βίντεο.
Ο διευθύνων σύμβουλος του Εθνικού Κέντρου Κυβερνοασφάλειας του Ηνωμένου Βασιλείου Richard Horne δήλωσε: «Ανησυχούμε βαθύτατα για την ανεύθυνη συμπεριφορά των κατονομαζόμενων εμπορικών οντοτήτων που εδρεύουν στην Κίνα, η οποία επέτρεψε μια ανεξέλεγκτη εκστρατεία κακόβουλων δραστηριοτήτων στον κυβερνοχώρο σε παγκόσμια κλίμακα».
Η αμερικανική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών ανέφερε σε δήλωσή της στις 27 Αυγούστου ότι η έκθεση βασίζεται σε «έρευνες σε πραγματικό κόσμο που διεξήχθησαν σε πολλές χώρες μέχρι τον Ιούλιο του 2025».
Οι αρχές σημειώνουν ότι αυτή η προηγμένη μόνιμη απειλή (APT) επικαλύπτεται με αυτό που η Microsoft παρακολουθεί ως Salt Typhoon, η CrowdStrike ως Operator Panda και η Insikt Group ως RedMike, καθώς και άλλοι ερευνητές του κυβερνοχώρου που χρησιμοποιούν διαφορετικές μεθόδους εντοπισμού και ονόματα.
Εκτός από τα δίκτυα τηλεπικοινωνιών, οι κινεζικοί κρατικά υποστηριζόμενοι χάκερς έχουν κλέψει δεδομένα από παρόχους υπηρεσιών διαδικτύου και έχουν παραβιάσει τους τομείς των καταλυμάτων και των μεταφορών, τα οποία συνολικά δίνουν στο κινεζικό καθεστώς τη δυνατότητα να παρακολουθεί τις επικοινωνίες και τις κινήσεις των στόχων σε όλο τον κόσμο, σύμφωνα με την έκθεση. Η ομάδα έχει επίσης παραβιάσει αμυντικά δίκτυα.
«Αυτοί οι φορείς APT εκμεταλλεύονται ευπάθειες στους μεγάλους δρομολογητές κορμού των παρόχων τηλεπικοινωνιών -συγκεκριμένα τους δρομολογητές άκρου παρόχου και άκρου πελάτη που συχνά δεν έχουν ορατότητα και είναι δύσκολο να παρακολουθηθούν- για να αποκτήσουν και να διατηρήσουν μόνιμη πρόσβαση», δήλωσε η CISA. «Συχνά τροποποιούν το υλικολογισμικό και τις διαμορφώσεις των δρομολογητών για να αποφύγουν την ανίχνευση και να δημιουργήσουν μακροπρόθεσμα ερείσματα».
Η εκστρατεία «εκτελεί κακόβουλες επιχειρήσεις σε παγκόσμιο επίπεδο τουλάχιστον από το 2021», σύμφωνα με την έκθεση, εκμεταλλευόμενη κυρίως δημόσια γνωστές ευπάθειες.
Σύμφωνα με την έκθεση, οι εν λόγω φορείς APT δεν έχει παρατηρηθεί να χρησιμοποιούν exploits μηδενικής ημέρας, τα οποία είναι ευπάθειες που οι πάροχοι δεν είχαν ακόμη την ευκαιρία να επιδιορθώσουν, αντ’ αυτού βασίζονται σε μια πιθανότατα διευρυνόμενη συλλογή από αποφεύξιμες αδυναμίες της υποδομής.
Η έκθεση προέτρεψε να δοθεί προτεραιότητα σε μια χούφτα από τις πιο ευρέως εκμεταλλεύσιμες ευπάθειες, οι περισσότερες από τις οποίες έχουν δημοσιοποιηθεί από τα τέλη του 2023 ή τις αρχές του 2024, καθώς και σε μία που σχετίζεται με τη λειτουργία Smart Install του λογισμικού Cisco IOS, η οποία δημοσιεύθηκε το 2018.
Η έκθεση περιλαμβάνει μια μελέτη περίπτωσης που αναλύει τις εντολές που χρησιμοποιήθηκαν από τους φορείς APT σε μια συγκεκριμένη παραβίαση.
Περιλαμβάνει επίσης λεπτομερείς κατευθυντήριες γραμμές για το κυνήγι απειλών στον κυβερνοχώρο. Οι αρχές έχουν προειδοποιήσει ότι οι φορείς APT τείνουν να αποκτούν μακροχρόνια πρόσβαση σε δίκτυα και οι μερικές αντιδράσεις για την εκδίωξή τους μπορεί απλώς να προειδοποιήσουν τους χάκερ, με αποτέλεσμα να είναι πιο μυστικοί και ενδεχομένως να διαταράξουν τις εν εξελίξει έρευνες.
«Όπου είναι δυνατόν, η απόκτηση πλήρους κατανόησης της έκτασης της πρόσβασης των APT actors στα δίκτυα, ακολουθούμενη από ταυτόχρονη λήψη μέτρων για την απομάκρυνσή τους, μπορεί να είναι απαραίτητη για την επίτευξη πλήρους και διαρκούς εκδίωξης», αναφέρει η έκθεση.
Πηγή: The Epoch Times
