Podmioty stanowiące zagrożenie powiązane z Chinami stają się znaczącą siłą w zakresie uzbrajania nowo odkrytych CVE
Agenci zagrożeń z Chin stają się coraz lepsi i szybsi w wykorzystywaniu i wdrażaniu exploitów dla nowo odkrytych wspólnych podatności i narażeń (CVE), a w ciągu ostatnich 12 miesięcy wykorzystali nowe podatności w „znacząco wyższym” tempie w porównaniu z rokiem 2020 – wynika z ósmego dorocznego globalnego raportu zagrożeń firmy CrowdStrike.
CrowdStrike Intelligence powiedział, że potwierdził wykorzystanie dwóch luk opublikowanych w 2020 roku przez podmioty APT (advanced persistent threat) z Chin – odpowiednio w Oracle WebLogic i Zoho ManageEngine – ale w zeszłym roku był w stanie potwierdzić wykorzystanie 12 luk i dziewięciu różnych produktów, powiązanych z 10 znanymi APT, w tym niesławnym Wicked Panda (aka APT41 lub Barium).
Analitycy stwierdzili, że chociaż chińskie APT od dawna opracowywały i wdrażały własne exploity w ukierunkowanych włamaniach, w 2021 r. zaobserwowano zwiększoną aktywność chińskich APT, co podkreśla ewolucję w sposobie, w jaki te grupy wykonują swoją pracę.
„Przez lata chińscy aktorzy opierali się na exploitach, które wymagały interakcji użytkownika, czy to poprzez otwieranie złośliwych dokumentów lub innych plików załączonych do wiadomości e-mail, czy też odwiedzanie stron internetowych hostujących złośliwy kod” – napisali autorzy raportu.
„W przeciwieństwie do tego, exploity wdrożone przez tych aktorów w 2021 r. skupiały się w dużej mierze na lukach w urządzeniach lub usługach skierowanych do internetu”.
Wśród podatności preferowanych przez chińskie APT w 2021 r. znalazły się błędy Microsoft Exchange znane zbiorczo jako ProxyLogon i ProxyShell, a także inne produkty sieciowe, takie jak VPN-y i routery. Coraz częściej zwracają też uwagę na oprogramowanie korporacyjne hostowane na serwerach z dostępem do Internetu.
Zespół CrowdStrike’a ocenił, że exploity te są w dużej mierze opracowywane samodzielnie w firmie lub, co jest nowym zwrotem akcji, pozyskiwane z legalnych źródeł w Chinach.
„W szczególności,” napisał zespół, „zawody hakerskie Tianfu Cup demonstrują znaczący talent do tworzenia exploitów w chińskiej społeczności hakerskiej.
„Exploity zgłoszone na Tianfu Cup zostały później przejęte przez chińskich specjalistów od włamań w celu wykorzystania ich w swoich operacjach. W kilku incydentach z 2021 r. chińscy aktorzy wykazali zdolność do szybkiego operacjonalizowania publicznego kodu exploita proof-of-concept.”
Najnowsza edycja raportu podkreśla ciągłe dostosowywanie się powiązanych z państwem przeciwników ukierunkowanego włamania do nowych możliwości i wymagań strategicznych, i to nie tylko wśród tych powiązanych z Chinami. Pozostała narodowa czwórka przeciwników – Rosja, Iran i Korea Północna – również zastosowała nowe formy manipulacji w 2021 r., takie jak atakowanie dostawców usług IT i usług w chmurze w przypadku Rosji, podczas gdy Irańczycy obecnie preferują maskowanie swoich włamań za pomocą ataków typu ransomware, a Koreańczycy z Północy przesunęli swoją uwagę na cele związane z kryptowalutami, aby utrzymać swoje przepływy pieniężne.
Poza Wielką Czwórką i innymi rządami o ugruntowanym potencjale cybernetycznym, CrowdStrike wprowadził w 2021 roku do swojej matrycy zagrożeń dwa nowe „zwierzęta” – Wilka (Turcja) i Ocelota (Kolumbia), dołączając do takich gatunków jak Niedźwiedź (Rosja), Panda (Chiny) i Kociak (Iran). Podkreśla to wzrost możliwości ofensywnych poza rządami tradycyjnie związanymi z cyberoperacjami i uwypukla rosnącą różnorodność celów narodowych.
CrowdStrike zwrócił również uwagę na udział, jak to określa, podmiotów ofensywnych z sektora prywatnego lub „hakerów do wynajęcia” – izraelscy twórcy szkodliwego oprogramowania NSO Group i Candiru zaliczają się do tej kategorii – oraz na ciągły rozwój i rozprzestrzenianie się oddolnych grup haktywistów – takim grupom nadano przydomek Jackal w matrycy o tematyce zwierzęcej – szczególnie na Białorusi i w Iranie.