Σύμφωνα με τη FireEye, Κινέζοι hackers βρίσκονται πίσω από μια σειρά πρόσφατων επιθέσεων που χρησιμοποιούν Zoho, Citrix και Cisco exploits για να στοχεύσουν συσκευές, που χρησιμοποιούνται από διάφορες εταιρείες σε όλο τον κόσμο. Οι ερευνητές δήλωσαν ότι πίσω από τις επιθέσεις βρίσκεται η κρατική hacking ομάδα APT41. Οι περισσότερες επιθέσεις είναι στοχευμένες.
Η εκστρατεία ξεκίνησε τον Ιανουάριο του 2020 και πιθανότατα στοχεύει επιχειρήσεις που αυτή τη στιγμή είναι απασχολημένες με την οργάνωση των καθηκόντων και των υπαλλήλων, που τώρα εργάζονται απομακρυσμένα λόγω του COVID-19.
Αντίστοιχες επιθέσεις συμβαίνουν εδώ και χρόνια
Όπως σημειώνει η FireEye, η πρόσφατη εκστρατεία της APT41 είναι μία από τις πιο εκτεταμένες επιθέσεις κατασκοπείας, που έχουν πραγματοποιήσει Κινέζοι hackers, τα τελευταία χρόνια.
“Από τις 20 Ιανουαρίου έως τις 11 Μαρτίου, η FireEye παρακολούθησε την προσπάθεια της APT41 να εκμεταλλευτεί ευπάθειες σε Citrix NetScaler / ADC, Cisco routers και Zoho ManageEngine Desktop Central”, αναφέρει η έκθεση της εταιρείας.
Η APT41 είναι μια από τις πιο επιτυχημένες κινεζικές hacking ομάδες. Πιστεύεται ότι συνδέεται με την κινεζική κυβέρνηση. Δραστηριοποιείται τουλάχιστον από το 2012 και είναι γνωστή για επιχειρήσεις κατασκοπείας και για επιθέσεις που στοχεύουν μεγάλες βιομηχανίες αλλά και απλούς χρήστες.
Οι Κινέζοι hackers ξεκινούν, συνήθως, με spear-phishing emails για να διεισδύσουν στο δίκτυο του στόχου και στη συνέχεια χρησιμοποιούν malware payloads για να παραβιάσουν ολόκληρο το περιβάλλον.
Citrix exploits
Σε αυτή την πρόσφατη εκστρατεία, οι Κινέζοι hackers επιτίθενται σε εταιρείες διαφόρων τομέων: τράπεζες και χρηματικο-οικονομικές εταιρείες, κυβερνητικές υπηρεσίες, τεχνολογικές εταιρείες, πετρέλαιο και φυσικό αέριο, τηλεπικοινωνίες, υπηρεσίες υγειονομικής περίθαλψης, μέσα μαζικής ενημέρωσης και κατασκευαστικές εταιρείες.
Όπως είπαμε και παραπάνω, οι Κινέζοι hackers πραγματοποιούν κυρίως στοχευμένες επιθέσεις. Οι εταιρείες στόχοι βρίσκονται σε πολλές χώρες (ΗΠΑ, Ηνωμένο Βασίλειο, Γαλλία, Ιταλία, Ιαπωνία, Σαουδική Αραβία και Ελβετία κ.ά.).
“Δεν είναι σαφές εάν η APT41 σάρωσε το Διαδίκτυο και επιχείρησε μαζική εκμετάλλευση ή αν επέλεξε ένα υποσύνολο συγκεκριμένων οργανισμών για να στοχεύσει. Ωστόσο, φαίνεται να είναι στοχευμένες επιθέσεις“, πρόσθεσαν οι ερευνητές της FireEye.
Οι Κινέζοι hackers εκμεταλλεύτηκαν την ευπάθεια CVE-2019-19781 που επηρεάζει το Citrix Application Controller (NetScaler ADC) και Citrix Gateway (NetScaler Gateway) servers.
Κατά τη διάρκεια αυτών των επιθέσεων, υπήρχαν διακυμάνσεις. Οι Κινέζοι hackers ήταν είτε πολύ δραστήριοι είτε σταματούσαν εντελώς τις δραστηριότητές τους.
Όπως ανακάλυψε η FireEye, τα διαλείμματα συμπίπτουν με τις κινεζικές διακοπές και με τα μέτρα καραντίνας που έλαβε η κινεζική κυβέρνηση ως απάντηση στην πανδημία του COVID-19.
“Είναι πιθανό αυτή η μείωση της δραστηριότητας να σχετίζεται με τα μέτρα καραντίνας λόγω COVID-19 στην Κίνα. Ωστόσο, οι Κινέζοι hackers μπορεί να παρέμειναν ενεργοί με άλλους τρόπους, τους οποίους δεν μπορέσαμε να παρατηρήσουμε”, ανέφεραν οι ερευνητές.
Zoho και Cisco exploits
Στις 21 Φεβρουαρίου, οι Κινέζοι hackers παραβίασαν το router Cisco RV320 ενός τηλεπικοινωνιακού οργανισμού, αλλά οι ερευνητές της FireEye δεν μπόρεσαν να προσδιορίσουν ποια Cisco exploits χρησιμοποίησαν οι hackers για την επίθεση.
“Δεν είναι γνωστό ποια exploits χρησιμοποιήθηκαν, αλλά υπάρχει ένα Metasploit module, που συνδυάζει δύο ευπάθειες (CVE-2019-1653 και CVE-2019-1652), που επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα σε routers”, δήλωσε η FireEye.
Στη συνέχεια, η APT41 εκμεταλλεύτηκε τη zero-day ευπάθεια CVE-2020-10189 στο Zoho ManageEngine, που επιτρέπει στους hackers να εκτελούν κώδικα ως SYSTEM / root σε μη ενημερωμένα συστήματα.
Από τις 8 Μαρτίου, μια μέρα μετά τη διόρθωση της CVE-2020-10189 από τη Zoho, οι Κινέζοι hackers πραγματοποίησαν επιθέσεις σε πελάτες της FireEye και κατάφεραν να παραβιάσουν τα συστήματα τουλάχιστον πέντε ατόμων.
Έπειτα, οι hackers εγκατέστησαν μια δοκιμαστική έκδοση του Cobalt Strike BEACON loader και εγκατέστησαν ένα άλλο backdoor που χρησιμοποιήθηκε για να κατεβάσει ένα VMPprotected Meterpreter downloader.
Δεν είναι η πρώτη φορά που η APT41 χρησιμοποιεί δημόσια exploits για να στοχεύσει ευάλωτα συστήματα.
“Αυτή η νέα δραστηριότητα από αυτή την ομάδα δείχνει πόσο γρήγορα μπορούν να αξιοποιηθούν οι πρόσφατα δημοσιευμένες ευπάθειες”.
