Η κυβέρνηση των ΗΠΑ προειδοποιεί για χάκερς που χρηματοδοτούνται από την Κίνα για να πραγματοποιούν επιθέσεις σε κυβερνητικές υπηρεσίες, εκμεταλλευόμενοι bugs σε Microsoft Exchange, Citrix και F5 συσκευές και servers.
Αναλυτικότερα, η CISA και το FBI προειδοποιούν ότι χάκερς που συνδέονται με το Υπουργείο Κρατικής Ασφάλειας της Κίνας (MMS) επιτίθενται σε κυβερνητικές υπηρεσίες και ιδιωτικές εταιρείες των ΗΠΑ, εκμεταλλευόμενοι bugs σε δημόσια εκτεθειμένα συστήματα.
Σύμφωνα με πρόσφατο κατηγορητήριο του Υπουργείου Δικαιοσύνης των ΗΠΑ, οι χάκερς που συνδέονται με το MSS έχουν στοχεύσει διάφορες βιομηχανίες τόσο στις ΗΠΑ όσο και σε άλλες χώρες. Μεταξύ των κλάδων που έχουν βρεθεί στο στόχαστρό τους συγκαταλέγονται κατασκευαστές υψηλής τεχνολογίας, κατασκευαστές ιατρικών συσκευών, πολιτικές υπηρεσίες, εκπαιδευτικά ιδρύματα, φαρμακοβιομηχανίες καθώς κι η άμυνα των χωρών – στόχων. Πρόκειται για επιθέσεις που διενεργήθηκαν στο πλαίσιο μιας εκστρατείας που διήρκεσε πάνω από δέκα χρόνια. Αυτοί οι χάκερς που χρηματοδοτούνται από την Κίνα ενεργούσαν τόσο για το προσωπικό τους όφελος όσο και για το όφελος του κινεζικού MSS.
Κατά τις επιθέσεις τους, οι χάκερς που συνδέονται με την Κίνα αναζητούν ευάλωτες και δημόσια εκτεθειμένες συσκευές, χρησιμοποιώντας τη μηχανή αναζήτησης Shodan και databases ευπαθειών, όπως οι CVE (Common Vulnerabilities and Exposure) και NVD (National Vulnerabilities Database).
Σύμφωνα με το BleepingComputer, η CISA έχει παρατηρήσει ότι οι χάκερς στοχεύουν bugs σε F5, Citrix και Microsoft Exchange Server για να αποκτήσουν πρόσβαση στο δίκτυο ενός οργανισμού και να συλλέξουν δεδομένα. Σύμφωνα με την CISA, τα πιο αξιοσημείωτα Exchange, Citrix και F5 bugs που έχουν βρεθεί στο στόχαστρο των χάκερς είναι τα ακόλουθα:
- CVE-2020-5902: Bug στο Big-IP F5 – Αυτό το bug επιτρέπει σε έναν απομακρυσμένο εισβολέα να αποκτήσει πρόσβαση στο TMUI (Traffic Management User Interface) του BIG-IP application delivery controller (ADC) χωρίς έλεγχο ταυτότητας, καθώς και να προχωρήσει σε απομακρυσμένη εκτέλεση κώδικα.
- CVE-2019-19781: Citrix VPN Appliances – Bugs στο Citrix Application Delivery Controller (ADC), το Citrix Gateway και το Citrix SD-WAN WANOP επιτρέπουν σε μη εξουσιοδοτημένους εισβολείς να εκτελέσουν απομακρυσμένες εντολές για να αποκτήσουν πρόσβαση σε ένα δίκτυο.
- CVE-2020-0688: Microsoft Exchange Server – Αυτό το bug υπάρχει στο Exchange Control Panel (ECP) component και προκαλείται από την αποτυχία του Exchange να δημιουργήσει μοναδικά κρυπτογραφικά κλειδιά κατά την εγκατάστασή του. Μετά την εκμετάλλευση, οι εισβολείς μπορούν να προβούν σε απομακρυσμένη εκτέλεση κώδικα (RCE) στον server με προνόμια συστήματος.
Επιπλέον, μόλις παραβιαστεί ένα δίκτυο, οι χάκερς που χρηματοδοτούνται από την Κίνα κατεβάζουν μια σειρά εργαλείων που τους επιτρέπουν να αποκτήσουν περαιτέρω πρόσβαση σε υπολογιστές που βρίσκονται στο παραβιασμένο δίκτυο. Σύμφωνα με τη CISA, οι χάκερς κατεβάζουν συνήθως συγκεκριμένα εργαλεία για να ενισχύσουν τις επιθέσεις τους. Μερικά από αυτά είναι τα ακόλουθα:
Cobalt Strike: Το Cobalt Strike είναι μια νόμιμη πλατφόρμα προσομοίωσης αντιπάλου που προορίζεται για χρήση από επαγγελματίες ασφαλείας, για την αξιολόγηση της ασφάλειας ενός δικτύου. Οι χάκερς χρησιμοποιούν crafted URIs ως μέρος των επιθέσεων τους, για backdoor πρόσβαση σε παραβιασμένα συστήματα και για ανάπτυξη πρόσθετων εργαλείων στο δίκτυο – στόχο.
China Chopper Web Shell: Αυτό το εργαλείο επιτρέπει στους χάκερς να εγκαταστήσουν PHP, ASP, ASPX, JSP και CFM webshells (backdoor) σε web servers που εκτίθενται δημόσια. Μόλις εγκατασταθεί το China Chopper Web Shell, οι χάκερς αποκτούν πλήρη πρόσβαση σε έναν απομακρυσμένο server, μέσω του εκτεθειμένου site.
Mimikatz: Το Mimikatz είναι ένα εργαλείο που επιτρέπει στους χάκερς να κλέβουν τα Windows credentials που είναι αποθηκευμένα στη μνήμη ενός υπολογιστή. Αυτό το εργαλείο χρησιμοποιείται συνήθως από χάκερς, μαζί με λειτουργίες ransomware, για να αποκτήσουν πρόσβαση σε admin credentials και να παραβιάσουν τους ελεγκτές domain των Windows.
Χρησιμοποιώντας τα παραπάνω τρία εργαλεία, οι χάκερς μπορούν να εξαπλωθούν από ένα παραβιασμένο σύστημα σε άλλες συσκευές, έως ότου αποκτήσουν τον πλήρη έλεγχο του στοχοποιημένου δικτύου. Επιπλέον, η CISA προειδοποίησε ότι οι χάκερς εκμεταλλεύονται το Microsoft Exchange CVE-2020-0688 RCE bug για να συλλέξουν emails από τους exchange servers που βρίσκονται σε περιβάλλοντα της Ομοσπονδιακής Κυβέρνησης.
Επομένως, η CISA και το FBI συνιστούν στους οργανισμούς να ελέγχουν καθημερινά τις υποδομές τους και να ενημερώνουν τα προγράμματα διαχείρισής τους. Τους προτείνουν επίσης να ελέγχουν τακτικά τα προγράμματα διαμόρφωσης για να διασφαλίζουν ότι μπορούν να παρακολουθούν και να μετριάζουν τις αναδυόμενες απειλές. Έτσι, θα αποτρέψουν πιθανές “επιχειρήσεις” των εξελιγμένων φορέων απειλής στον κυβερνοχώρο και θα προστατεύσουν τους πόρους και τις πληροφορίες τους.
