FBI zoekt publieke hulp om Chinese hackers achter wereldwijde cyberinbraken te identificeren

Het Amerikaanse Federal Bureau of Investigation (FBI) heeft de hulp van het publiek ingeroepen in verband met een onderzoek naar de inbreuk op randapparatuur en computernetwerken van bedrijven en overheidsinstanties.

“Een Advanced Persistent Threat-groep zou malware (CVE-2020-12271) hebben gemaakt en ingezet als onderdeel van een wijdverbreide reeks willekeurige computerinbraken die zijn ontworpen om gevoelige gegevens uit firewalls over de hele wereld te exfiltreren”, aldus het bureau.

“De FBI is op zoek naar informatie over de identiteit van de personen die verantwoordelijk zijn voor deze cyberinbraken.”

De ontwikkeling komt in de nasleep van een reeks rapporten gepubliceerd door cyberbeveiligingsleverancier Sophos, waarin een reeks campagnes tussen 2018 en 2023 wordt beschreven die zijn edge-infrastructuurapparaten exploiteerden om aangepaste malware in te zetten of deze opnieuw te gebruiken als proxy’s om detectie te omzeilen.

De kwaadaardige activiteit, met de codenaam Pacific Rim en ontworpen om surveillance, sabotage en cyberspionage uit te voeren, wordt toegeschreven aan meerdere door de Chinese staat gesponsorde groepen, waaronder APT31, APT41 en Volt Typhoon. De eerste aanval dateert van eind 2018, toen een cyberaanval gericht was op de Indiase dochteronderneming Cyberoam van Sophos.

“De tegenstanders hebben zich zowel op kleine als grote kritieke infrastructuur en overheidsfaciliteiten gericht, voornamelijk in Zuid- en Zuidoost-Azië, waaronder kernenergieleveranciers, de luchthaven van een nationale hoofdstad, een militair hospitaal, staatsveiligheidsapparaat en ministeries van de centrale overheid”, aldus Sophos.

Van sommige van de daaropvolgende massa-aanvallen is vastgesteld dat ze gebruik maken van meerdere dan zero-day-kwetsbaarheden in Sophos-firewalls – CVE-2020-12271, CVE-2020-15069, CVE-2020-29574, CVE-2022-1040 en CVE-2022- 3236 – om de apparaten in gevaar te brengen en payloads te leveren aan zowel de apparaatfirmware als die zich binnen de LAN-netwerk van de organisatie.

“Vanaf 2021 leken de tegenstanders de focus te verleggen van wijdverbreide willekeurige aanvallen naar zeer gerichte, ‘hands-on-keyboard’-aanvallen met beperkte focus tegen specifieke entiteiten: overheidsinstanties, kritieke infrastructuur, onderzoeks- en ontwikkelingsorganisaties, gezondheidszorgaanbieders, detailhandel, financiën , militaire en organisaties uit de publieke sector, voornamelijk in de regio Azië-Pacific”, aldus het rapport.

Vanaf medio 2022 zouden de aanvallers hun inspanningen hebben geconcentreerd op het verkrijgen van diepere toegang tot specifieke organisaties, het omzeilen van detectie en het verzamelen van meer informatie door handmatig opdrachten uit te voeren en malware in te zetten, zoals Asnarök, Gh0st RAT en Pygmy Goat, een geavanceerde achterdeurkabel. van het bieden van permanente toegang op afstand tot Sophos XG Firewalls en waarschijnlijk andere Linux-apparaten.

“Hoewel het geen nieuwe technieken bevat, is Pygmy Goat behoorlijk geavanceerd in de manier waarop het de acteur in staat stelt om er op verzoek mee te communiceren, terwijl het opgaat in het normale netwerkverkeer”, aldus het Britse National Cyber ​​Security Centre (NCSC).

“De code zelf is schoon, met korte, goed gestructureerde functies die toekomstige uitbreidbaarheid bevorderen, en fouten worden overal gecontroleerd, wat erop wijst dat de code door een competente ontwikkelaar of ontwikkelaars is geschreven.”

De achterdeur, een nieuwe rootkit die de vorm aanneemt van een gedeeld object (“libsophos.so”), is geleverd na de exploitatie van CVE-2022-1040. Het gebruik van de rootkit werd tussen maart en april 2022 waargenomen op een overheidsapparaat en een technologiepartner, en opnieuw in mei 2022 op een machine in een militair hospitaal in Azië.

Er wordt toegeschreven dat het het handwerk is van een Chinese bedreigingsacteur die intern door Sophos wordt gevolgd als Tstark, die banden heeft met de University of Electronic Science and Technology of China (UESTC) in Chengdu.

Het wordt geleverd met de “mogelijkheid om te luisteren naar en te reageren op speciaal vervaardigde ICMP-pakketten, die, indien ontvangen door een geïnfecteerd apparaat, een SOCKS-proxy of een omgekeerde shell-back-verbinding zouden openen met een IP-adres naar keuze van de aanvaller.”

Sophos zei dat het de campagnes in een vroeg stadium heeft tegengegaan door een op maat gemaakt kernel-implantaat in te zetten op apparaten die eigendom zijn van Chinese bedreigingsactoren om onderzoek naar kwaadaardige exploits uit te voeren, waaronder machines die eigendom zijn van het Double Helix Research Institute van Sichuan Silence Information Technology, waardoor inzicht wordt verkregen in een “eerder onbekende en sluipende exploit van externe code-uitvoering” in juli 2020.

Een vervolganalyse in augustus 2020 leidde tot de ontdekking van een minder ernstige kwetsbaarheid bij het uitvoeren van externe code na authenticatie in een besturingssysteemcomponent, voegde het bedrijf eraan toe.

Bovendien zei het bedrijf dat eigendom is van Thoma Bravo dat het een patroon heeft waargenomen van het minstens twee keer ontvangen van “tegelijkertijd zeer nuttige en toch verdachte” bugbounty-rapporten (CVE-2020-12271 en CVE-2022-1040) van personen waarvan het vermoedt dat het om personen met banden gaat. aan in Chengdu gevestigde onderzoeksinstellingen voordat deze kwaadwillig worden gebruikt.

De bevindingen zijn veelbetekenend, niet in de laatste plaats omdat ze laten zien dat er actief onderzoek en ontwikkelingsactiviteiten op het gebied van kwetsbaarheid worden uitgevoerd in de regio Sichuan, en vervolgens worden doorgegeven aan verschillende door de Chinese staat gesponsorde frontlijngroepen met verschillende doelstellingen, capaciteiten en post-exploitatietechnieken.

“Met Pacific Rim zagen we (…) een lopende band van zero-day exploit-ontwikkeling geassocieerd met onderwijsinstellingen in Sichuan, China”, zei Chester Wisniewski. “Deze exploits lijken te zijn gedeeld met door de staat gesponsorde aanvallers, wat logisch is voor een natiestaat die dergelijk delen verplicht stelt via hun wetten voor het openbaar maken van kwetsbaarheden.”

De toegenomen targeting van edge-netwerkapparaten valt ook samen met een dreigingsanalyse van het Canadian Centre for Cyber ​​Security (Cyber ​​Centre), waaruit bleek dat ten minste twintig Canadese overheidsnetwerken de afgelopen vier jaar zijn gecompromitteerd door door de Chinese staat gesponsorde hackploegen om hun activiteiten vooruit te helpen. strategische, economische en diplomatieke belangen.

Het beschuldigde Chinese dreigingsactoren er ook van zich te richten op de particuliere sector om een ​​concurrentievoordeel te behalen door vertrouwelijke en bedrijfseigen informatie te verzamelen, naast het ondersteunen van ‘transnationale repressie’-missies die zich richten op Oeigoeren, Tibetanen, pro-democratische activisten en aanhangers van de Taiwanese onafhankelijkheid.

Chinese cyberbedreigingsactoren “hebben de afgelopen vijf jaar de toegang tot meerdere overheidsnetwerken gecompromitteerd en behouden, waarbij ze communicatie en andere waardevolle informatie hebben verzameld”, aldus het rapport. “De bedreigingsactoren stuurden e-mailberichten met trackingafbeeldingen naar ontvangers om netwerkverkenning uit te voeren.”

Thijs Van der Does