Cyberbezpieczeństwo
Chińscy szpiedzy zhakowali aplikację do... monitorowania zdrowia zwierząt. Chodziło o włamanie do systemów rządowych USA
Luki w oprogramowaniu w aplikacji do śledzenia zdrowia zwierząt USAHERDS i Log4j miały stanowić dla chińskiej grupy APT41 (znanej również jako Barium) przyczółek do ataku na wiele amerykańskich systemów rządowych.
Oprogramowanie, znane jako System Diagnostyczny Raportowania Kryzysu Zdrowotnego Zwierząt lub USAHERDS miało służyć jako narzędzie cyfrowe dla amerykańskich władz stanowych do śledzenia m.in. chorób zwierząt hodowlanych. Okazało się, że chińska grupa APT wykorzystała je do ataku przy pomocy luki zero-day.
Mandiant, firma specjalizująca się w cyberbezpieczeństwie (to m.in. ona ujawniła kulisy operacji „Ghostwriter”, która była skierowana w polski rząd), opublikowała informacje dotyczące długotrwałej kampanii hakerskiej, która w ostatnim roku miała naruszyć systemy w co najmniej sześciu stanach w USA (choć niewykluczone, że skala ataków jest większa).
Czytaj też
Firma utrzymuje, że kampania była dziełem chińskiej grupy cyberszpiegowskiej APT41 (znanej również jako Barium lub jako część większej chińskiej grupy Winnti) i polegała na wykorzystaniu luki zero-day w USAHERDS. Niewykluczone, że ataki mogły dotyczyć nawet osiemnastu systemów stanowych.
APT41 dobrze znana z działalności cyberprzestępczej
APT41 zyskał reputację jednej z najbardziej agresywnych chińskich grup hakerskich. Amerykański Departament Sprawiedliwości oskarżył pięciu jej członków w 2020 roku o włamanie się do setek systemów w Azji i na Zachodzie, zarówno w celu szpiegostwa, sponsorowanego przez państwo, jak i dla zysku. Jednak na razie cel grupy dotyczący tej serii włamań nie jest znany.
Zdaniem analityka Mandiant, Rufusa Browna, niepozorna aplikacja mogła służyć do osiągania kolejnych celów i wykradania istotnych dla systemów rządowych danych. „To bardzo niepokojące, że tę grupę można zobaczyć wszędzie” – skomentował Brown. „APT41 szuka każdej luki, która może zapewnić im dostęp do sieci. To prostu bardzo wytrwałe, ciągłe targetowanie” – cytuje eksperta Wired.
Pod koniec ubiegłego roku Mandiant ostrzegł twórcę USAHERDS, firmę Acclaim Systems, o możliwym do zhakowania błędzie w aplikacji; przedsiębiorstwo twierdzi, że lukę załatano.
Mandiant uważa, że chińska grupa APT41 co najmniej od maja 2021 roku atakuje systemy rządowe w USA, wykorzystując ASP.NET. Dodatkowo cyberspecjaliści odkryli m.in., że grupa od grudnia 2021 roku wykorzystywała głośną lukę Log4j do włamywania się do co najmniej dwóch innych systemów stanowych.
„Istnieje 18 stanów, które używają USAHERDS. Jeśli byłbyś (grupą) APT41, dlaczego nie wykorzystałbyś wszystkich (luk)?” – skomentował Rufus Brown z Mandiant. „Nie wiemy, jak obszerne jest to działanie. Naprawdę chcemy uzyskać dostęp do tych informacji” - dodał.
Chińscy, rosyjscy i białoruscy cyberprzestępcy celują w Europę
Na łamach CyberDefence24.pl pisaliśmy o tym, że cyberprzestępcy z Rosji, Chin i Białorusi mają na celowniku Ukrainę i Europę, przeciwko którym skierowali kolejne kampanie phishingowe i ataki typu DDoS. Głównymi celami mają być organizacje administracji rządowej i wojska - ostrzegają eksperci z koncernu Google.
Jeśli chodzi o zaangażowanie chińskich cyberprzestępców w działania w Europie - grupa znana jako Mustang Panda ma angażować się w działania phishingowe wycelowane w europejskich dyplomatów, w tym jedną z konkretnych osób zaangażowanych w aktywną pomoc uchodźcom i migrantom.
/NB
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.