Chińscy szpiedzy zhakowali aplikację do... monitorowania zdrowia zwierząt. Chodziło o włamanie do systemów rządowych USA

Oprogramowanie, znane jako System Diagnostyczny Raportowania Kryzysu Zdrowotnego Zwierząt lub USAHERDS miało służyć jako narzędzie cyfrowe dla amerykańskich władz stanowych do śledzenia m.in. chorób zwierząt hodowlanych. Okazało się, że chińska grupa APT wykorzystała je do ataku przy pomocy luki zero-day.

Mandiant, firma specjalizująca się w cyberbezpieczeństwie (to m.in. ona ujawniła kulisy operacji „Ghostwriter”, która była skierowana w polski rząd), opublikowała informacje dotyczące długotrwałej kampanii hakerskiej, która w ostatnim roku miała naruszyć systemy w co najmniej sześciu stanach w USA (choć niewykluczone, że skala ataków jest większa).

Firma utrzymuje, że kampania była dziełem chińskiej grupy cyberszpiegowskiej APT41 (znanej również jako Barium lub jako część większej chińskiej grupy Winnti) i polegała na wykorzystaniu luki zero-day w USAHERDS. Niewykluczone, że ataki mogły dotyczyć nawet osiemnastu systemów stanowych.

APT41 dobrze znana z działalności cyberprzestępczej

APT41 zyskał reputację jednej z najbardziej agresywnych chińskich grup hakerskich. Amerykański Departament Sprawiedliwości oskarżył pięciu jej członków w 2020 roku o włamanie się do setek systemów w Azji i na Zachodzie, zarówno w celu szpiegostwa, sponsorowanego przez państwo, jak i dla zysku. Jednak na razie cel grupy dotyczący tej serii włamań nie jest znany.

Zdaniem analityka Mandiant, Rufusa Browna, niepozorna aplikacja mogła służyć do osiągania kolejnych celów i wykradania istotnych dla systemów rządowych danych. „To bardzo niepokojące, że tę grupę można zobaczyć wszędzie” – skomentował Brown. „APT41 szuka każdej luki, która może zapewnić im dostęp do sieci. To prostu bardzo wytrwałe, ciągłe targetowanie” – cytuje eksperta Wired.

Pod koniec ubiegłego roku Mandiant ostrzegł twórcę USAHERDS, firmę Acclaim Systems, o możliwym do zhakowania błędzie w aplikacji; przedsiębiorstwo twierdzi, że lukę załatano.

Mandiant uważa, że chińska grupa APT41 co najmniej od maja 2021 roku atakuje systemy rządowe w USA, wykorzystując ASP.NET. Dodatkowo cyberspecjaliści odkryli m.in., że grupa od grudnia 2021 roku wykorzystywała głośną lukę Log4j do włamywania się do co najmniej dwóch innych systemów stanowych.

„Istnieje 18 stanów, które używają USAHERDS. Jeśli byłbyś (grupą) APT41, dlaczego nie wykorzystałbyś wszystkich (luk)?” – skomentował Rufus Brown z Mandiant. „Nie wiemy, jak obszerne jest to działanie. Naprawdę chcemy uzyskać dostęp do tych informacji” - dodał.

Chińscy, rosyjscy i białoruscy cyberprzestępcy celują w Europę

Na łamach CyberDefence24.pl pisaliśmy o tym, że cyberprzestępcy z Rosji, Chin i Białorusi mają na celowniku Ukrainę i Europę, przeciwko którym skierowali kolejne kampanie phishingowe i ataki typu DDoS. Głównymi celami mają być organizacje administracji rządowej i wojska - ostrzegają eksperci z koncernu Google.

Jeśli chodzi o zaangażowanie chińskich cyberprzestępców w działania w Europie - grupa znana jako Mustang Panda ma angażować się w działania phishingowe wycelowane w europejskich dyplomatów, w tym jedną z konkretnych osób zaangażowanych w aktywną pomoc uchodźcom i migrantom.

/NB

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.