Chiński smok podnosi głowę. Dziesiątki celów na całym świecie zaatakowane

Działania chińskich hakerów miały, zdaniem specjalistów, rozpocząć się 20 stycznia i zakończyć 11 marca, a ich celem było 75 różnych organizacji na całym świecie pochodzących z następujących sektorów: telekomunikacji, ochrony zdrowia, administracji rządowej, wojskowości, finansów, petrochemii, przemysłu wytwórczego oraz transportowego i edukacji. Ucierpiały również media oraz organizacje prawnicze. Firma nie podała w jakich państwach znajdowały się cele.  FireEye uważa, że kampania była kierowana przez powiązaną z chińskim rządem grupę APT41.

Eksperci firmy uważają, że to jedna z najrozleglejszych kampanii szpiegowskich przeprowadzanych przez Chiny w ostatnim czasie. Zauważają, również zmianę działania grupy APT41, która w swoich poprzednich kampaniach przywiązywała dużą uwagę do wstępnego rozpoznania i potem dopiero obierała na cel konkretną grupę osób w danej organizacji. W przypadku ostatnich działań, można zauważyć bardzo wysokie tempo operacji oraz szeroki zakres zbieranych danych.

W swoich atakach APT41 wykorzystało podatności w ruterach Cisco, rozwiązaniach Citrixa oraz Zoho’s Manage Engine Desktop Central.  Podatności w Citriksie zostały opublikowane miesiąc przed rozpoczęciem kampanii APT41. Umożliwiały one albo nieautoryzowanemu użytkownikowi wykonanie dowolnego kodu w celu przejęcia pełnej kontroli nad serwerami Citrix.

Podatności w Zoho’s Manage Engine Desktop Central opublikowano w Internecie trzy dni przed początkiem operacji cyberszpiegowskiej. Pokazuje to jak szybko grupa jest w stanie wykorzystać wykryte podatności do przeprowadzania ataków. Potwierdza to wysokie umiejętności grupy oraz duże zasoby, którymi dysponuje.

Pierwsze informacje o grupie APT41 pojawiły się w zeszłym roku. FireEye pisze, że obok operacji cyberszpiegowskich wymierzonych wtedy m.in. w placówki badające nowotwory oraz amerykańskie uniwersytety, prowadzone były również działania ukierunkowane na kradzież środków finansowych. Świadczą o tym ataki na sektor gamingowy i bankowy. FireEye przypomina też, że to nie pierwszy raz, kiedy APT41 zaatakowało sektor telekomunikacyjny. W zeszłym roku grupa skupiła się na zbieraniu połączeń telefonicznych oraz wiadomości tekstowych od operatorów. W szczególności interesowały ich rozmowy decydentów politycznych.

Pomimo wykrycia kampanii przez ekspertów FireEye wciąż pozostaje wiele pytań.  Nie wiadomo czy APT41 w ogóle wykradło jakieś informacje oraz jakie dokładnie narzędzia zastosowało. Jeden z ekspertów FireEye w rozmowie z portalem CyberScoop przyznał, że trudno jest opisać intencje i motywy  grupy. Jest wiele możliwych wyjaśnień, w tym wojna handlowa pomiędzy Stanami Zjednoczonymi a Chinami czy epidemia COVID-19 i będące tego skutkiem konieczność zdobycia informacji na różnego rodzaje tematów jak badania naukowe, stan międzynarodowego handlu czy transportu.  

Eksperci FireEye wskazują, że część działań APT41, w szczególności tych wykorzystujących podatności w Citiksie była ukierunkowana na konkretne instytucje. Jednak tak duża liczba celów wskazuje, że w większości przypadków Chińczycy działali po omacku, szukając i być może wykradając wszystkie informacje, które być może się przydadzą w przyszłości. We wcześniejszych latach chińskie grupy hakerskie już taką strategię stosowały, jednak potem zauważono zmianę sposobu działań. 

FireEye wskazuje również, że grupa ograniczyła swoją aktywność podczas obchodów nowego roku w Chinach w okolicach 25 stycznia, co ma być charakterystyczne dla wszystkich chińskich grup hakerskich. Przerwa w działalności nastąpiła również pomiędzy 2 i 19 lutego. Mogło to być spowodowane wprowadzeniem kwarantanny ze względu na epidemię koronawirusa. Hakerzy starali się również ukryć swoją prawdziwą tożsamość. Dlatego korzystali z publicznego dostępnych narzędzi taki jak Cobalt Strike czy Meterpreter, co miało utrudnić atrybucję ataku.