Κινέζοι χάκερς βρίσκονται πίσω από μία νέα σειρά παραβιάσεων που σημειώθηκαν σε βασικούς στόχους της κυβέρνησης των ΗΠΑ, την κρίσιμη υποδομή της χώρας αλλά και ιδιωτικές εταιρείες, σύμφωνα με την “Mandiant”. Όπως αναφέρουν reports που δημοσιεύθηκαν από την FireEye και την Pulse Secure, Κινέζοι χάκερς έχουν εκμεταλλευτεί μία νέα zero-day ευπάθεια στον εξοπλισμό Pulse Secure VPN, για να εισέλθουν σε δίκτυα εργολάβων άμυνας των ΗΠΑ και κυβερνητικών οργανισμών σε όλο τον κόσμο.
Οι επιθέσεις ανακαλύφθηκαν από την εταιρεία κυβερνοασφάλειας “FireEye” στις αρχές του έτους, όταν η Mandiant διερεύνησε πολλαπλές παραβιάσεις ασφαλείας σε αμυντικούς, κυβερνητικούς και χρηματοοικονομικούς οργανισμούς σε όλο τον κόσμο. Σε όλες τις παραβιάσεις, οι επιτιθέμενοι στόχευσαν συσκευές Pulse Secure VPN στα παραβιασμένα δίκτυα.
Διαβάστε επίσης: Πανεπιστήμιο του Κολοράντο: Χάκερς ζητούν λύτρα για να μη διαρρεύσουν πάνω από 300.000 αρχεία
«Σε πολλές περιπτώσεις, δεν μπορέσαμε να προσδιορίσουμε πώς οι χάκερς απέκτησαν πρόσβαση σε επίπεδο διαχειριστή στις συσκευές. Ωστόσο, με βάση μία ανάλυση της Ivanti, εκτιμάμε ότι ορισμένες εισβολές οφείλονται στην εκμετάλλευση των ευπαθειών που είχαν αποκαλυφθεί στο παρελθόν, από το 2019 και το 2020, ενώ άλλες εισβολές οφείλονταν στην εκμετάλλευση της CVE-2021-22893», αναφέρει η έκθεση που δημοσιεύθηκε από τη FireEye.
Αυτή η κακόβουλη εκστρατεία είναι η τρίτη ξεχωριστή και σοβαρή επιχείρηση στον κυβερνοχώρο κατά των ΗΠΑ που έχει δημοσιοποιηθεί τους τελευταίους μήνες. Η αμερικανική κυβέρνηση κατηγόρησε τη Ρωσία τον Ιανουάριο ότι παραβίασε εννέα κυβερνητικές υπηρεσίες της χώρας μέσω της SolarWinds – μίας εταιρείας software με έδρα το Τέξας, της οποίας οι υπηρεσίες χρησιμοποιούνται σε μεγάλο βαθμό από αμερικανικές επιχειρήσεις και κυβερνητικές υπηρεσίες. Τον Μάρτιο, η Microsoft κατηγόρησε την Κίνα ότι ξεκίνησε ένα free-for-all, όπου δεκάδες ξεχωριστές hacking ομάδες εισέβαλαν σε οργανισμούς σε όλο τον κόσμο μέσω του Microsoft Exchange.
Δείτε ακόμη: ΗΠΑ: Κατηγορούν επίσημα τη SVR για το SolarWinds hack – Κυρώσεις και απέλαση Ρώσων διπλωματών
Και στις τρεις εκστρατείες, οι χάκερς χρησιμοποίησαν πρώτα αυτά τα προγράμματα για να εισβάλουν στα δίκτυα υπολογιστών των θυμάτων και στη συνέχεια δημιούργησαν backdoors για να τους κατασκοπεύσουν για μήνες, αν όχι περισσότερο.
Η CISA ανέφερε σε προειδοποίηση που εξέδωσε το απόγευμα της 20ής Απριλίου ότι η τελευταία κακόβουλη εκστρατεία «επηρεάζει επί του παρόντος κυβερνητικούς φορείς των ΗΠΑ, κρίσιμες οντότητες και άλλους οργανισμούς του ιδιωτικού τομέα.»
Η CISA ενεργοποίησε τις αυστηρότερες δυνάμεις έκτακτης ανάγκης το απόγευμα της 20ής Απριλίου, υποχρεώνοντας κάθε κυβερνητική υπηρεσία να πραγματοποιήσει σάρωση για να δει εάν επηρεάζεται από το hack και να προβεί σε ενέργειες για να το διορθώσει. Είναι η δεύτερη φορά μέσα σε επτά εβδομάδες, που η CISA εξέδωσε μια συμβουλευτική έκτακτης ανάγκης, μετά την παραβίαση του Exchange.
Πρόταση: FBI: Αφαιρεί web shells από παραβιασμένους Exchange servers χωρίς να ειδοποιήσει τους ιδιοκτήτες
Ο Matt Hartman, αναπληρωτής εκτελεστικός βοηθός διευθυντή κυβερνοασφάλειας, ανέφερε τα ακόλουθα: «Τους τελευταίους μήνες έχουμε εκδώσει πολλές συμβουλευτικές έκτακτης ανάγκης, κάτι που σίγουρα είναι ανησυχητικό και δεν το παίρνουμε ελαφριά. Εμείς στην CISA ανησυχούμε πολύ.»
Σε αντίθεση με τα hacks των SolarWinds και Exchange, που και τα δύο είχαν τουλάχιστον δεκάδες χιλιάδες πιθανά θύματα, δεν υπάρχει καμία ένδειξη ότι η Κίνα χρησιμοποίησε το Pulse για να παραβιάσει μεγάλο αριθμό στόχων. Ωστόσο, το hack είναι ιδιαίτερα σημαντικό, καθώς επέτρεψε στην Κίνα να αποκτήσει πρόσβαση σε πολλές ομοσπονδιακές υπηρεσίες και μεγάλες αμερικανικές εταιρείες για μήνες, δήλωσε ο Charles Carmakal, επικεφαλής τεχνολογίας στη Mandiant.
Επιπλέον, ο Carmakal πρόσθεσε τα ακόλουθα: «Αρχίζουμε να βλέπουμε μια αναζωπύρωση κατασκοπευτικής δραστηριότητας από την κινεζική κυβέρνηση. Κανένα από τα θύματα δεν έχει δημοσιευτεί ακόμη, αν και αυτό πιθανότατα θα αλλάξει. Τις επόμενες εβδομάδες και τους επόμενους μήνες, θα έχουμε καλύτερη εικόνα για το πόσο σημαντικό είναι αυτό το hack από την άποψη της εθνικής ασφάλειας.»
Όπως συνέβη και με το hack του Exchange, η Κίνα δεν αρνήθηκε την ευθύνη. Σε μία δήλωση μέσω email, ο Liu Pengyu, εκπρόσωπος της πρεσβείας της Κίνας στις ΗΠΑ, ανέφερε ότι η Κίνα είναι «ένθερμος υπερασπιστής της κυβερνοασφάλειας» και «αντιτίθεται σθεναρά και καταστέλει όλες τις μορφές κυβερνοεπιθέσεων».
