Jaunā Google Mandiant ziņojumā konstatēts, ka Ķīnas hakeri tagad pievērš uzmanību savu upuru tīklu ārējiem slāņiem. Pat antivīrusu programmatūrai un ugunsmūriem, kas ir ieejas punkts kiberuzbrukumiem un vieta, kur dzīvot gadiem ilgi, izvairoties no atklāšanas.
Ķīnas hakeri šos uzbrukumus vērš pret lieliem datu glabāšanas objektiem (datu centriem), kas visvairāk interesē Ķīnas valdības izlūkošanas operācijām. Dažos gadījumos izvietojot jaunu ļaunprātīgu programmatūru vai izmantojot nultās dienas (zero-days) ievainojamības, lai kompromitētu programmatūru, kas citādi varētu tikt uzskatīta par drošu.
Ķīnas hakeri ilggadējās kampaņās ir apdraudējuši populārus drošības rīkus
Mandiant brīdina, ka ķīniešu hakeri ir atraduši veidus, kā kompromitēt vairākus nozīmīgus drošības un tīkla rīkus, ko radījuši tādi uzņēmumi kā Citrex, Fortinet, SonicWall un VMWare. Pētnieki arī uzskata, ka šie kiberuzbrukumi ir plašāki, nekā spējam apzināties, un nākotnē, visticamāk, tiks kompromitēta arvien vairāk programmatūras.
Ķīnas hakeri izmanto programmatūru un ierīces, kas atrodas ārpus ugunsmūra, taču lielākoties nemēģina pat ielauzties. Tie ir elementi, kas parasti nav aizsargāti ar galapunktu drošības vai pretvīrusu programmatūru. Dažkārt mērķis ir pati pretvīrusu programmatūra vai ugunsmūris. Taču kiberuzbrukumi ir vērsti arī uz ierīču un lietotņu klāstu, kam parasti ir jādarbojas ar nelielu vai nekādu aizsardzību tīklā. Daži no visbiežāk sastopamajiem piemēriem ir VPN, lietu interneta (Internet of Things – IoT) ierīces un hipervizori (hypervisors).
Mandiant šos ielaušanās gadījumus piedēvē valsts atbalstītiem Ķīnas hakeriem, pamatojoties uz vairākiem pierādījumiem: ilgs uzturēšanās laiks, informācijas veidi, uz kuru zagšanu viņi koncentrējas, izmantotās ļaunatūras veidi un fakts, ka tās ir ilgtermiņa operācijas, kas prasa lielākus resursus nekā tipiskiem kibernoziedznieku grupējumiem.
Mandiant papildus norāda, ka šie Draudu dalībnieki (threat actors) koncentrējas uz valdības aģentūrām, tehnoloģiju un telekomunikāciju uzņēmumiem. Kā vienmēr, Ķīna noliedz, ka valdība sponsorē šāda veida kiberuzbrukumus.
Vienā no gadījumiem, kas notika 2022. gada vidū, Ķīnas hakeri ielauzās organizācijā, izmantojot FortiGate ugunsmūra nultās dienas (zero day) ievainojamību. Pēc tam lietojot rīkus, kas paredzēti FortiManager ierīču pārvaldības platformas izmantošanai. Šajā gadījumā upura drošības dienesta darbinieki pamanīja sākotnējo ielaušanos un piemēroja jaunus ierobežojumus FortiManager piekļuvei, lai novērstu uzbrucēju uzbrukumu. Ķīnas hakeri to apgāja, ieviešot tīkla datplūsmas novirzīšanas utilītu un reversās čaulas backdoor, izmantojot savu esošo piekļuvi.
Līdzīgi kiberuzbrukumi no Ķīnas sākās 2006. gadā
Mandiant uzbrukumus nav tieši attiecinājis uz kādu no zināmajām APT grupām (uzbrucēji apzīmēti kā “UNC3886”), taču ir zināma līdzība ar APT1 grupu, kas aktīvi darbojas kopš 2006. gada. Kopš tā laika grupa ir kompromitējusi vismaz 141 upuru, izmantojot aptuveni 40 ļaunatūru saimes (Malware families). Tāpat tā rīcībā ir plaša infrastruktūra ar tūkstošiem sistēmu, kas atbalsta tās kiberuzbrukumus.
2021. gada beigās Mandiant publicēja ziņojumu par zināmajām APT1 aktivitātēm. Tika uzskatīts, ka šī grupa ir tik liels drauds, ka ar izlūkdatiem par to ir jādalās atklāti. Ķīnas hakerus vada Tautas atbrīvošanas armija (TAA) (People’s Liberation Army – PLA), un tie parasti uzturas upuru sistēmās aptuveni vienu gadu, bet ir eksfiltrējuši informāciju līdz pat četriem gadiem. Lielākā daļa grupas darbības ir vērsta uz angliski runājošām valstīm, jo īpaši ASV. Visbiežāk tās mērķauditorija ir informācijas tehnoloģiju, kosmosa, valsts pārvaldes, satelītu un zinātniskās pētniecības organizācijas.
Izsmalcināti hakeri, kuri vēlas ilgstoši uzturēties mērķsistēmā un klusi eksfiltrēt informāciju bieži vien, plānojot kiberuzbrukumus, vispirms pievēršas administratīvajiem rīkiem. Ja ikdienas administrēšanas rīkus var kompromitēt, atklāšanas izredzes krietni samazinās, jo šie rīki dzīvo atmiņā un rada ļoti maz jaunu failu, kurus aizsardzības sistēmas var atzīmēt kā potenciālus aizdomīgu darbību avotus.
