Οι ερευνητές ασφαλείας προειδοποιούν ότι Κινέζοι κρατικοί hackers, βασίζονται όλο και περισσότερο σε ένα τεράστιο δίκτυο διακομιστών μεσολάβησης (ORB), που δημιουργήθηκε από εικονικούς ιδιωτικούς διακομιστές και παραβιασμένες ηλεκτρονικές συσκευές, για επιχειρήσεις κυβερνοκατασκοπείας.
Δείτε επίσης: Ιρανοί hackers στοχεύουν Αλβανία και Ισραήλ με wiping επιθέσεις
Αυτά τα δίκτυα μεσολάβησης που ονομάζονται operational relay box (ORB), διαχειρίζονται από ανεξάρτητους εγκληματίες του κυβερνοχώρου που παρέχουν πρόσβαση σε πολλούς φορείς που χρηματοδοτούνται από το κράτος (APT). Τα ORB είναι παρόμοια με τα botnet, αλλά είναι ένα υβρίδιο εμπορικά μισθωμένων υπηρεσιών VPS και παραβιασμένων συσκευών, συμπεριλαμβανομένων των δρομολογητών στο τέλος του κύκλου ζωής τους και άλλων προϊόντων IoT.
Η αυξανόμενη χρήση των ORB από τους Κινέζους hackers, συνοδεύεται από προκλήσεις τόσο στον εντοπισμό όσο και στην απόδοση, καθώς η υποδομή επίθεσης δεν ελέγχεται πλέον από τον παράγοντα απειλής, ο οποίος μπορεί να κάνει κύκλους μέσω κόμβων κατανεμημένων σε μια ευρεία περιοχή.
Κακόβουλα δίκτυα μεσολάβησης
Η εταιρεία κυβερνοασφάλειας Mandiant παρακολουθεί πολλά ORB, δύο από τα οποία χρησιμοποιούνται από προηγμένους Κινέζους hackers, γνωστούς για επιχειρήσεις κατασκοπείας και πνευματικής κλοπής που συνδέονται με την κυβέρνηση της Κίνας.
Ένα από αυτά που ονομάζεται ORB3/SPACEHOP περιγράφεται ως «ένα πολύ ενεργό δίκτυο που αξιοποιείται από πολλούς παράγοντες απειλών China-nexus, συμπεριλαμβανομένων των APT5 και APT15» για αναγνώριση και εκμετάλλευση ευπάθειας. Για παράδειγμα, το SPACEHOP χρησιμοποιήθηκε τον Δεκέμβριο του 2022 για την εκμετάλλευση του CVE-2022-27518, μιας κρίσιμης ευπάθειας στο Citrix ADC και στο Gateway, το οποίο η Εθνική Υπηρεσία Ασφαλείας (NSA) συνέδεσε με την APT5 (γνωστή και ως Manganese, Mulberry Typhoon, Bronze Fleenda και UNC2630).
Δείτε ακόμα: Guy Verhofstadt: Θύμα Κινέζων hackers ο πρώην πρωθυπουργός του Βελγίου
Οι ερευνητές της Mandiant λένε ότι το δίκτυο ORB SPACEHOP που χρησιμοποιούν οι Κινέζοι hackers, είναι ένα προβλεπόμενο δίκτυο που χρησιμοποιεί έναν διακομιστή αναμετάδοσης που φιλοξενείται στο Χονγκ Κονγκ ή την Κίνα από έναν πάροχο cloud. Εγκαθιστά ένα πλαίσιο εντολών και ελέγχου ανοιχτού κώδικα (C2) που επιτρέπει τη διαχείριση κόμβων.
Αντίθετα, το ORB2/FLORAHOX είναι ένα υβριδικό δίκτυο που αποτελείται από έναν Adversary Controlled Operations Server (ACOS), παραβιασμένες συνδεδεμένες συσκευές (routers και IoT) και υπηρεσίες VPS που εκτελούν την κυκλοφορία μέσω TOR και πολλαπλών παραβιασμένων δρομολογητών. Οι ερευνητές πιστεύουν ότι αυτό το πλέγμα “χρησιμοποιείται σε εκστρατείες κατασκοπείας στον κυβερνοχώρο από ένα διαφορετικό σύνολο παραγόντων απειλών China-nexus” για να θολώσει την κυκλοφορία από την πηγή.
Το δίκτυο ORB που εκμεταλλεύονται οι Κινέζοι hackers, φαίνεται να περιέχει πολλά υποδίκτυα που αποτελούνται από παραβιασμένες συσκευές που έχουν στρατολογηθεί από το εμφύτευμα δρομολογητή FLOWERWATER καθώς και άλλα ωφέλιμα φορτία που βασίζονται σε δρομολογητές.
Παρόλο που το ORB2/FLORAHOX χρησιμοποιείται από πολλούς παράγοντες απειλών, η Mandiant λέει ότι αξιόπιστες πηγές τρίτων έχουν αναφέρει δραστηριότητες που αποδίδονται σε αντιπάλους APT31/Zirconium που συνδέονται με την Κίνα και επικεντρώνονται στην κλοπή πνευματικής ιδιοκτησίας.
Δείτε επίσης: Οι κυβερνοεπιθέσεις από Κινέζους hackers αυξάνονται στις Φιλιππίνες
Τα κύρια κίνητρα των Κινέζων hackers περιλαμβάνουν την κρατική υποστήριξη και την εθνική ασφάλεια. Πολλοί hackers εργάζονται για λογαριασμό της κινεζικής κυβέρνησης, με στόχο την απόκτηση στρατιωτικών και πολιτικών πληροφοριών που θα μπορούσαν να ενισχύσουν την εθνική ασφάλεια της Κίνας. Οικονομική κατασκοπεία είναι ένα άλλο σημαντικό κίνητρο. Οι Κινέζοι hackers, όπως αυτοί που χρησιμοποιούν το δίκτυο ORB, συχνά στοχεύουν επιχειρήσεις και βιομηχανίες σε άλλες χώρες για να αποκτήσουν εμπορικά μυστικά, πνευματική ιδιοκτησία και άλλες πολύτιμες πληροφορίες που μπορούν να δώσουν στην Κίνα ανταγωνιστικό πλεονέκτημα στην παγκόσμια αγορά. Η πολιτική επιρροή και η προπαγάνδα αποτελούν επίσης κίνητρα για τους Κινέζους hackers. Μέσω κυβερνοεπιθέσεων και παραπληροφόρησης, επιδιώκουν να επηρεάσουν πολιτικές εξελίξεις σε άλλες χώρες, να αποσταθεροποιήσουν κυβερνήσεις και να προωθήσουν την κινεζική ατζέντα. Η τεχνολογική καινοτομία και η επιστημονική έρευνα είναι επίσης στόχοι. Οι hackers επιδιώκουν να αποκτήσουν πρόσβαση σε ερευνητικά δεδομένα και τεχνολογίες αιχμής, προκειμένου να επιταχύνουν την ανάπτυξη της Κίνας στους τομείς της επιστήμης και της τεχνολογίας.
Πηγή: bleepingcomputer
){kind=link}