Agencje rządowe USA nękane cyberatakami. Chińscy hakerzy w natarciu

Amerykańska Cybersecurity and Infrastructure Security Agency (CISA) zaobserwowała działania ze strony hakerów powiązanych z chińskim Ministry of State Security (MSS), którzy przeprowadzali cyberataki wymierzone w agencje rządowe USA. Podczas operacji wykorzystywali powszechnie znane luki w zabezpieczeniach oraz narzędzia open source – wynika z raportu „Chinese Ministry of State Security-Affiliated Cyber Threat Actor Activity” opracowanym przez CISA.

Hakerzy rozsyłają wiadomości phishingowe zawierające zainfekowane załączniki do wybranych ofiar. Ich celem jest infiltracja organizacji, w których pracują poszkodowani. Cyberprzestępcy skutecznie wykorzystują luki w zabezpieczeniach i wady oprogramowania w produktach komercyjnych. Przykładem może być interfejs F5 Networks do zarządzania ruchem Big-IP, urządzenia Citrix VPN, sprzęt Pulse Secure VPN czy serwer Microsoft Exchange Server.

Warto podkreślić, że korzystanie z powszechnie dostępnych rozwiązań komercyjnych przez rządowe agencje sprawia, że stają się one stosunkowo łatwym i tanim celem hakerów działających na zlecenie państwa. Ich wartość jest szczególnie wysoka z punktu widzenia operacji szpiegowskich realizowanych przez przeciwników. „Adwersarze mogą wykorzystywać stosunkowo mało skomplikowane funkcje do identyfikowania i wykorzystywania sieci docelowych” – czytamy w raporcie. CISA alarmuje, że tego typu działania często kończą się sukcesem hakerów.

Skąd cyberprzestępcy biorą wiedzę na temat podatności urządzeń i oprogramowania? Ze źródeł open source. Przykładem może być baza danych Common Vulnerabilities and Exposure (CVE) oraz National Vulnerabilities Database (NVD). Zawierają one szczegółowe informacje na temat luk w aplikacjach, urządzeniach i systemach operacyjnych, a także ocenę ryzyka, jeśli którakolwiek z zarejestrowanych podatności zostanie skutecznie wykorzystana. „Hakerzy polegają na (…) bazie danych CVE, NVD i innych informacjach typu open source, aby identyfikować cele i planować operacje” – wskazano w raporcie.

Cyberprzestępcy już kilka dni po opublikowaniu luk podejmują działania na rzecz przeprowadzenia skutecznego cyberataku. W ten sposób hakerzy wykorzystują te same podatności do operacji wymierzonych w organizacje w wielu sektorach. „Wydaje się, że organizacje nie eliminują luk w zabezpieczeniach odpowiednio szybko” – alarmuje CISA.

Analizując działania chińskich hakerów przez ostatnie 12 miesięcy amerykańska agencja zaobserwowała, że ich głównym sposobem prowadzenia operacji są kampanie spearphishingowe. W rozsyłanych e-mailach zawierały się złośliwe załączniki. Inną metodą cyberprzestępców było infekowanie stron internetowych, których linki następnie wysyłano do potencjalnych ofiar.

CISA nadal obserwuje działania, których celem jest włamanie się do sieci rządu federalnego USA. Agencja podkreśla, że z dużą pewnością wrogie podmioty będą nieustannie wykorzystywać zasoby i narzędzia open source do atakowania sieci o niskim poziomie bezpieczeństwa.

„Gdy hakerzy prowadzą operacje przeciwko miękkim celom, może to negatywnie wpłynąć na infrastrukturę krytyczną, federalne i stanowe, lokalne, sieci rządowe, prawdopodobnie skutkując utratą krytycznych danych lub informacji umożliwiających identyfikację” – czytamy w raporcie CISA.

Zdaniem agencji powszechne wdrożenie solidnych programów do konfiguracji i zarządzania poprawkami znacznie zwiększyłoby bezpieczeństwo sieci. „Zmniejszyłoby to również szybkość i częstotliwość ataków, zmuszając wrogie podmioty do poświęcenia czasu i środków na badanie nieznanych luk w zabezpieczeniach oraz opracowywanie niestandardowych narzędzi do eksploatacji” – wyjaśnia CISA. Konieczne jest przywiązywanie większej wagi do eliminacji luk w zabezpieczeniach, które są wykorzystywane przez hakerów powiązanych z MSS oraz podmiotami innych państw.