Chiny coraz lepsze w wykorzystywaniu nowo wykrywanych podatności

Nowy raport firmy Crowd Strike z branży cyberbezpieczeństwa potwierdza wykorzystanie dwóch odkrytych w 2020 r. podatności, zlokalizowanych w produktach Oracle WebLogic i Zoho ManageEngine właśnie przez Chiny. Dodatkowo, jak twierdzą eksperci, w ciągu ostatniego roku potwierdzono wykorzystanie właśnie przez cyberprzestępców z ChRL 12 innych różnych podatności i luk w 9 produktach, a działania z tym związane połączono z 10 znanymi grupami cyberprzestępczymi APT (takimi jak np. Wicked Panda, czyli APT41).

Chińskie cybergangi ewoluują

Z raportu wynika, że chińskie gangi cyberprzestępcze ewoluują i coraz bardziej doskonalą wykorzystywane przez siebie taktyki.

"Przez wiele lat sprawcy z Chin polegali na wykorzystywaniu podatności, które wymagały interakcji ze strony użytkownika, takich jak np. otwarcie złośliwego załącznika lub innych plików dołączanych do korespondencji mailowej, bądź odwiedzenia strony internetowej ze złośliwym kodem" - czytamy w raporcie.

"Natomiast w 2021 roku sprawcy polegali przede wszystkim na wykorzystaniu podatności w urządzeniach lub usługach, łączących się z internetem" - dodano, wskazując na zasadniczą zmianę sposobu działania chińskich cyberprzestępców.

Co lubią cyberprzestępcy z ChRL?

Według Crowd Strike, w ub. roku cybergangi działające na rzecz Pekinu najczęściej sięgały po wykorzystanie podatności Microsoft Exchange, znanych pod zbiorową nazwą ProxyLogon i ProxyShell, a także luki w produktach takich, jak VPN-y i routery sieciowe. Coraz częściej sprawcy ataków z Chin interesują się również oprogramowaniem w modelu SaaS.

Eksperci uważają, że coraz więcej chińskich grup cyberprzestępczych opracowuje niezależne metody ataków lub pozyskuje je z legalnych źródeł w Chinach , co oznaczałoby współpracę hakerów z sektorem cyberbezpieczeństwa, takim jak np. konkurs Tianfu Cup, który może być dla wielu grup źródłem pozyskiwania wiedzy o podatnościach i sposobach ich wykorzystania.

W kilku incydentach odnotowanych w 2021 roku specjaliści wykryli, że sprawcy posługiwali się zademonstrowanymi publicznie metodami eksploatowania luk w oprogramowaniu.

Nie tylko Chiny

Oprócz ChRL ofensywne działania coraz chętniej podejmują również grupy cyberprzestępcze działające na rzecz Rosji, Iranu i Korei Północnej, które w ub. roku również zdobyły nową wiedzę i umiejętności. Znalazło to swoje odbicie m.in. w atakach na dostawców usług IT i usług chmurowych w przypadku Rosji, Iran natomiast chętnie sięga po ataki ransomware, Korea Północna z kolei porusza się w tradycyjnym dla siebie obszarze ataków na podmioty związane z rynkiem kryptowalut.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.