Hackeri susținuți de guvernul chinez au pătruns la furnizorii americani de servicii de Internet în ultimele luni pentru a spiona utilizatorii acestora, potrivit unor persoane familiarizate cu acțiunile din domeniul securității private, citate de The Washington Post. Atacurile neobișnuit de agresive și sofisticate includ accesul la cel puțin doi furnizori importanți cu milioane de clienți, precum și la mai mulți furnizori mai mici, au declarat persoane familiarizate cu campaniile separate.
„În prezent, China își desfășoară activitatea ca de obicei, dar aceasta a crescut dramatic față de ceea ce era înainte. Este cu mult mai rău”, a declarat Brandon Wales, care, până la începutul acestei luni, a fost director executiv al Cybersecurity and Infrastructure Security Agency, CISA.
Pirateria informatică stârnește îngrijorare
Pirateria informatică stârnește îngrijorare deoarece se crede că țintele sale includ personal guvernamental și militar care lucrează sub acoperire și grupuri de interes strategic pentru China.
„Aceasta este o conectivitate privilegiată, la nivel înalt, cu clienți interesanți”, a declarat Mike Horka, cercetător la Lumen Technologies și fost agent FBI. Acesta a adăugat că este notabil faptul că grupurile au considerat eforturile suficient de importante pentru a exploata defecte software nedescoperite anterior, care ar fi putut fi păstrate pentru o utilizare ulterioară.
Deși nu există nicio dovadă că noile incursiuni vizează altceva decât colectarea de informații, unele dintre tehnicile și resursele folosite sunt asociate cu cele utilizate în ultimul an de un grup susținut de China cunoscut sub numele de Volt Typhoon, au declarat două dintre persoanele citate.
Au încercat să obțină acces la echipamente din porturile din Pacific
Oficiali ai serviciilor de informații americane au declarat că acest grup a încercat să obțină acces la echipamente din porturile din Pacific și la alte infrastructuri pentru a permite Chinei să semene panică și să perturbe capacitatea Americii de a transporta trupe, armament și provizii către Taiwan în cazul izbucnirii unui conflict armat.
Casa Albă a adresat întrebări CISA, din cadrul Departamentului pentru Securitate Internă, care a fost de acord că defectul găsit de Lumen a fost exploatat. Aceasta a refuzat să răspundă la întrebări privind alte tehnici, victimele finale, amploarea campaniilor sau cine se află în spatele acestora.
Ambasada Chinei la Washington a respins acuzațiile.
„Volt Typhoon„ este de fapt un grup infracțional cibernetic de tip ransomware care se autointitulează «Dark Power» și nu este sponsorizat de niciun stat sau regiune”, a declarat purtătorul de cuvânt al ambasadei, Liu Pengyu.
„Există semne că, pentru a primi mai multe bugete din partea Congresului și contracte guvernamentale, comunitatea de informații a SUA și companiile de securitate cibernetică au colaborat în secret pentru a pune cap la cap dovezi false și a răspândi dezinformări cu privire la așa-numitul sprijin al guvernului chinez pentru atacurile cibernetice împotriva SUA”, a adăugat el.
Cercetătorii Lumen au declarat că au identificat trei furnizori americani de servicii de Internet care au fost piratați în această vară, dintre care unul mare, împreună cu o altă companie americană și una din India.
Hackerii au folosit o vulnerabilitate necunoscută anterior
Într-un blog făcut public marți, Lumen a declarat că hackerii au folosit o vulnerabilitate necunoscută anterior, cunoscută sub numele de vulnerabilitate zero-day, într-un program realizat de Versa Networks pentru gestionarea rețelelor la scară largă. Versa a recunoscut vulnerabilitatea critică la sfârșitul săptămânii trecute, avertizând doar clienții săi direcți.
Luni, compania cu sediul în Santa Clara, California, a publicat o postare pe blog cu privire la problemă, afirmând că a emis un patch și că „clienții afectați nu au reușit să pună în aplicare liniile directoare privind întărirea sistemului și firewall-ul”.
Lumen a scris că a localizat programe malware în routerele ISP care deservesc anumite grupuri sau clienți individuali, care ar putea intercepta parolele clienților respectivi. Lumen a declarat că bănuiește că malware-ul a fost utilizat de Volt Typhoon.
Încă un grup suspect
Într-un raport separat, la începutul acestei luni, compania de securitate Volexity a declarat că a descoperit o altă tehnică high-end în joc la un ISP diferit, fără nume. În acest caz, a afirmat că un grup de hackeri al statului chinez, distinct de Volt Typhoon, a reușit să pătrundă suficient de mult în interiorul furnizorului de servicii pentru a modifica adresele web ale sistemului de nume de domeniu (DNS) pe care utilizatorii încercau să le acceseze și să le redirecționeze, permițând hackerilor să introducă backdoor pentru spionaj.
Manipularea DNS este un fel de specialitate în rândul grupurilor de hackeri ale guvernului chinez. O campanie misterioasă identificată la începutul acestui an de experții în securitate de la Infoblox și atribuită Chinei a implicat utilizarea așa-numitului Mare Firewall al Chinei.
Deși au evitat să discute în mod specific despre amenințările la adresa furnizorilor de servicii de Internet, unii dintre cei mai importanți oficiali americani din domeniul securității cibernetice prezenți la recentele conferințe de hacking Black Hat și Def Con au declarat că Volt Typhoon a rămas la fel de activ și de performant ca atunci când operațiunile sale au fost identificate pentru prima dată anul trecut.
Editor : Marina Constantinoiu