Společnost Sophos, celosvětový lídr v oblasti inovativních bezpečnostních řešení, která zabraňují kybernetickým útokům, zveřejnila studii „Pacific Rim“, ve které podrobně popisuje své obranné a protiofenzivní operace za posledních pět let s několika vzájemně propojenými, státem podporovanými protivníky z Číny, kteří se zaměřují na bezpečnostní zařízení v perimetru, včetně firewallů Sophos.
Útočníci použili sérii kampaní s novými exploity a přizpůsobeným malwarem, do kterých vložili nástroje na provádění sledování, sabotáže a kybernetické špionáže, stejně jako překrývající se taktiky, nástroje a postupy (TTP) se známými čínskými skupinami včetně Volt Typhoon, APT31 a APT41. Protivníci se zaměřili na malé i velké cíle kritické infrastruktury a státní správy, které se nacházely především v jižní a jihovýchodní Asii, včetně dodavatelů jaderné energie, letiště v hlavním městě, vojenské nemocnice, státního bezpečnostního aparátu a ministerstva ústřední vlády.
V průběhu celé operace Pacific Rim pracoval expertní tým Sophos X-Ops, který se zabývá kybernetickou bezpečností a zpravodajstvím o hrozbách, na neutralizaci kroků protivníků a průběžně vyvíjel obranu a protiútoky. Poté, co Sophos úspěšně zareagoval na první útoky, protivníci zvýšili své úsilí a zapojili zkušenější operátory. Sophos následně odhalil rozsáhlý ekosystém útočníků.
Poté, co Sophos zveřejnil podrobnosti o souvisejících kampaních počínaje rokem 2020, včetně Cloud Snooper a Asnarök, sdílí nyní i celkovou analýzu vyšetřování, aby zvýšil povědomí o vytrvalosti státem podporovaných čínských protivníků a jejich „hyperzaměření“ na kompromitaci perimetru, nezáplatovaných zařízení a zařízení s ukončenou životností (EOL), často prostřednictvím exploitů nultého dne, které pro tato zařízení vytvářejí. Sophos také vyzývá všechny organizace, aby urychleně aplikovaly záplaty na zranitelnosti odhalené ve všech jejich zařízeních připojených k internetu a aby přešly ze všech starších a nepodporovaných zařízení na aktuální modely. Sophos pravidelně aktualizuje všechny své podporované produkty na základě nových hrozeb a indikátorů kompromitace (IoC), aby své zákazníky ochránil. Zákazníci s firewally Sophos jsou chráněni pomocí rychlých oprav, jejichž aplikace je aktivována už ve výchozím nastavení.
„Skutečnost je taková, že koncová zařízení se stala velmi atraktivním cílem pro Čínou podporované skupiny, jako je Volt Typhoon a další, které se snaží vytvořit operační přeposílací uzly, aby zamaskovaly a podpořily svou činnost. To zahrnuje přímé zacílení na organizaci za účelem špionáže nebo nepřímé využití slabých míst k dalším útokům, takže zasaženy jsou i organizace, které nejsou primárním cílem a stávají se tak obětí vedlejších škod. Síťová zařízení určená pro firmy jsou pro tyto účely přirozeným cílem – jsou výkonná, neustále zapnutá a mají nepřetržitou konektivitu,“ řekl Ross McKerchar, CISO společnosti Sophos. „Když se skupina usilující o vybudování globální sítě operačních přeposílacích uzlů zaměřila na některá naše zařízení, reagovali jsme použitím stejných detekčních a reakčních technik, které používáme k ochraně našich firemních koncových a síťových zařízení. To nám umožnilo překazit mnoho operací a získat cenný zdroj informací o hrozbách, které jsme použili k ochraně našich zákazníků před budoucími rozsáhlými útoky i vysoce cílenými operacemi.“
Nejdůležitější závěry studie
• V indickém sídle společnosti Cyberoam, kterou Sophos koupil v roce 2014, začal 4. prosince 2018 jeden počítač s nízkou úrovní oprávnění – zdánlivě sám od sebe – skenovat síť. Sophos odhalil úlohu, v tichosti naslouchající specializovanému příchozímu internetovému provozu v počítači, který obsahoval nový typ zadních vrátek a komplexní rootkit „Cloud Snooper“.
• Následně v dubnu 2020 několik organizací nahlásilo uživatelské rozhraní odkazující na doménu s názvem „Sophos“. Sophos spolupracoval s evropskými orgány činnými v trestním řízení, které vypátraly a zabavily server, který protivníci použili k nasazení škodlivých úloh, které Sophos později nazval Asnarök. Převzetím jeho řídicího a kontrolního kanálu (C2) zneškodnil Sophos malware Asnarök, jehož původcem byla Čína. Sophosu to také umožnilo neutralizovat plánovanou vlnu botnetových útoků.
• Po Asnaröku Sophos rozvinul své zpravodajské operace vytvořením dalšího programu na sledování aktérů hrozeb s cílem identifikovat a narušit aktivity útočníků, kteří chtějí zneužít zařízení Sophos nasazená v zákaznických prostředích. Program byl vytvořen pomocí kombinace zpravodajských informací z otevřených zdrojů, webové analytiky, sledování telemetrie a cílených implantátů jádra nasazených do zařízení na průzkum útočníků.
• Následně útočníci prokázali stupňující se vytrvalost, zlepšili svou taktiku a nasazovali stále skrytější malware. Sophos ale pomocí svého programu pro sledování aktérů hrozeb a rozšířených možností sběru telemetrie dokázal předejít několika útokům a získat kopii UEFI bootkitu i specializovaných exploitů dříve, než mohly být široce nasazeny.
• O několik měsíců později Sophos vypátral, že některé z útoků vedly k protivníkovi, který prokázal vazby na China and Sichuan Silence Information Technology’s Double Helix Research Institute v čínské provincii Chengdu.
• V rámci programu odměn za odhalené chyby pak v březnu 2022 nahlásil Sophosu anonymní bezpečnostní výzkumník zranitelnost nultého dne s označením CVE-2022-1040, která umožňovala vzdálené spouštění kódu. Další vyšetřování odhalilo, že tato zranitelnost byla již zneužita v několika operacích – těch, které Sophos dokázal zastavit, aby neměly dopad na zákazníky. Po hlubší analýze Sophos zjistil, že osoba, která zranitelnost nahlásila, mohla mít spojení s útočníky. Sophos totiž už podruhé obdržel podezřele načasovaný „tip“ na zranitelnost ještě před jejím zneužitím.
„Nedávná doporučení CISA jasně ukázala, že se Čínou podporované skupiny staly trvalou hrozbou pro kritickou infrastrukturu států,“ pokračoval McKerchar. „Zapomínáme na to, že malé a středně velké podniky, které tvoří většinu dodavatelského řetězce kritické infrastruktury, jsou terčem útoků, protože jsou často slabými články. Bohužel mají tyto podniky často méně prostředků na obranu proti těmto sofistikovaným hrozbám. Situaci ještě více komplikuje tendence těchto protivníků získat opěrný bod a opevnit se, což ztěžuje jejich odstranění. Modus operandi protivníků z Číny spočívá v dlouhodobém přetrvávání v síti a komplexních zastíraných útocích. Nepřestanou, dokud nebudou vyrušeni.“