Päevatoimetaja:
Kaido Einama
Saada vihje

Küberturbefirma avalikustas viieaastase võitluse Hiina häkkeritega, kes tahavad võrku üle võtta

Copy
Hiina häkkeritel on olnud viisaastakuplaan imbuda sisse maailmas enim kasutatavatesse võrguseadmetesse. Kassi-hiire mängus üritas küberturbefirma omakorda imbuda nende endi võrku.
Hiina häkkeritel on olnud viisaastakuplaan imbuda sisse maailmas enim kasutatavatesse võrguseadmetesse. Kassi-hiire mängus üritas küberturbefirma omakorda imbuda nende endi võrku. Foto: Andre M. Chang / ZUMA Press Wire / Scanpix

Juba aastaid on Hiina päritolu häkkerid üritanud võrguseadmetesse sokutada oma pahavara, mis võrguliiklust kontrollib ja vajadusel selle juhtimise üle võtab. Küberjulgeoleku ettevõte Sophos avalikustas neljapäeval põhjaliku raporti nimega Pacific Rim, milles kirjeldatakse, kuidas nad on viimase viie aasta jooksul pidanud järjepidevat võitlust Hiina päritolu küberründajatega, kes üha enam sihivad kogu maailma võrguseadmeid, sealhulgas Sophose enda tooteid.

Küberjulgeolekueksperdid on hoiatanud ettevõtteid, et Hiina päritolu ründajad kasutavad võrgu perimeetri seadmetes leiduvaid turvavigu, et paigaldada eritellimusel loodud pahavara. See laseb neil jälgida võrgu sidekanaleid, varastada kasutajatunnuseid või tarvitada firma seadmeid proksiserveritena järgmiste rünnakute jaoks.

Nende rünnakute sihtmärkideks on Sophose andmetel olnud sellised tuntud tootjad nagu Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear, Sophos ja mitmed teised tuntud brändid.

Sophos seostab seda tegevust otseselt üsna mitme Hiina päritolu ründajate grupiga, kuhu hulka kuuluvad Volt Typhoon, APT31 ja APT41/Winnti, mis kõik on varemgi võrguseadmeid sihikule võtnud.

Kolm Hiina häkkerigruppi

Sophose raportist selgub, et ettevõte on alates 2018. aastast uurinud mitmeid Hiinast pärit rühmitusi, kes sihivad Sophose tulemüüre, kasutades botivõrke, uudseid ründeid ja kohandatud pahavara. «Teiste küberjulgeoleku ettevõtete, valitsuste ja õiguskaitseorganite abiga oleme suutnud, erineva usaldusväärsuse tasemega, seostada konkreetseid rünnakumustreid Volt Typhooni, APT31 ja APT41/Winnti tegevusega,» selgitas Sophos raportis.

Vastasseis algas 2018. aastal, kui ründajad võtsid sihikule Cyberoami peakorteri, mis on Indias asuv Sophose tütarettevõte. Uurijad usuvad, et just siis hakkasid ründajad võrgus kasutatavate äriseadmete vastu oma kindlaid rünnakustrateegiaid välja töötama.

Sellel 2020. aastal tehtud fotol on häkkimisrühmituse Red Hacker Alliance liige Prince, kes kasutab veebisaiti, mis jälgib tema arvutis ülemaailmseid küberrünnakuid. Tegelane asub Dongguanis, Hiina lõunaosas Guangdongi provintsis ja tema tegelik nimi pole teada. Pilt on tehtud ajal, kui kahtlustati häkkerite sekkumist USA presidendivalimistesse. Ameerika tehnoloogiagigant Microsoft tõrjus siis mitmete välismaiste rühmituste – sealhulgas Hiina – küberrünnakuid nii vabariiklaste kui ka demokraatide kampaaniate vastu.
Sellel 2020. aastal tehtud fotol on häkkimisrühmituse Red Hacker Alliance liige Prince, kes kasutab veebisaiti, mis jälgib tema arvutis ülemaailmseid küberrünnakuid. Tegelane asub Dongguanis, Hiina lõunaosas Guangdongi provintsis ja tema tegelik nimi pole teada. Pilt on tehtud ajal, kui kahtlustati häkkerite sekkumist USA presidendivalimistesse. Ameerika tehnoloogiagigant Microsoft tõrjus siis mitmete välismaiste rühmituste – sealhulgas Hiina – küberrünnakuid nii vabariiklaste kui ka demokraatide kampaaniate vastu. Foto: NICOLAS ASFOURI / AFP / Scanpix

Sellest ajast alates on ründajad järjest enam kasutanud nii nullpäeva haavatavusi kui ka teadaolevaid turvanõrkusi, et võtta üle võrgu nii-öelda perimeetri seadmeid, mis suhtlevad välismaailmaga. Sophose eksperdid on sealjuures veendunud, et paljud nullpäeva haavatavused töötavad välja Hiina teadlased, kes jagavad neid lisaks seadmetootjatele ka Hiina valitsusega ja riiklikult toetatud ründajatega.

Jäljed viivad teadlasteni

2022. aastal avastati, et häkkerid on osavalt ära kasutanud aastaid vanu turvaauke ja pääsenud võrguseadmetesse ilma sisse logimata, kirjutas MIT Tehcnology Review

Kahe rünnaku (nimedega Asnarök ja hiljem Personal Panda) puhul leidis Sophose üksus X-Ops seoseid turvaauke avastanud teadlaste ja vastasegruppide vahel, mainib Bleeping Computer.

«Eriüksus» X-Ops hindas siis keskmise kindlusega, et Chengdus asuvate õppeasutuste ümber on koondunud uurimiskogukond, mis arvatavasti teeb koostööd turvauuringute valdkonnas, jagades leide nii tootjatega kui ka Hiina valitsusega seotud üksustega, kes viivadki läbi küberrünnakuid. Kuigi nende tegevuste ulatus pole täielikult kinnitatud, viitavad tõendid sellisest koordineeritud tegevusest ja teadusasutuste toetusest tõsisele ohule.

Aastate jooksul on Hiina ründajad täiustanud oma taktikaid, kasutades mälupõhist uutmoodi pahavara, edasijõudnud tehnikaid ja kompromiteeritud võrguseadmete kasutamist massiivsete operatiivsete vaheseadmete võrkudena, et vältida enda avastamist.

Häkkerite häkkimine paljastas nende telgitagused

Kuigi need rünnakud on tihti seadnud küberjulgeoleku uurijad nii-öelda kaitsepositsioonidele, on proovitud minna ründajate vastu ka vastupealetungile. Sophose X-Ops paigutas näiteks kohandatud jälgimistarkvara seadmetesse, mille puhul nad tegid kindlaks, et need on kompromiteeritud. Siis asuti jälgima, mida üle võetud võrguseadmetega edasi plaanitakse teha.

Telemeetriaga kogutud andmete põhjal tuvastasid X-Opsi analüütikud seadme, mille nad suure kindlusega sidusid ründajate grupiga Double Helix. Seejärel paigaldas X-Ops sihipärase jälgimistarkvara ning uuris, kuidas ründaja kasutas oma kahjulikku koodi.

Nii osutus ka ründaja ise ühel hetkel jälgitavaks, kelle iga liigutust oli võimalik näha. 

Need seadmesse paigaldatud nuhkimistarkvarad aitasid Sophosel koguda väärtuslikku infot ründajate kohta, sealhulgas jälgida UEFI buutimistäienduse paigaldamist võrguseadmesse.

Mis saab edasi? Pacific Rim heidab valgust, kuidas mitte otseselt Hiina riiklikud institutsioonid, kuid nendega üsna ilmselt seotud Hiina häkkerirühmitused tegutsevad ja kuidas nende töövahendid täiustuvad vastavalt teaduslike uurimisasutuste tööle.

Tagasi üles