A kínai hackerek titkos kiberkémkedési műveletben megsértik az amerikai internetszolgáltatókat

Egy gyorsan fejlődő világban, ahol a technológia irányítja mindennapi életünk nagy részét, a kiberkémkedés láthatatlan fenyegetése egyre nő, és senki sem védett. A folyamatban lévő kibercsata legújabb incidense a kínai támogatású hackerekre hívta fel a figyelmet, akik beszivárogtak az Egyesült Államok internetszolgáltatóihoz (ISP), és felfedték a sebezhetőséget még az erősen megerősített hálózatokon belül is.

Ez a kampány a The Wall Street Journal szerint egy olyan fenyegetési csoporthoz kapcsolódik, amelyet a Microsoft Salt Typhoon néven követ. A FamousSparrow vagy a GhostEmperor néven is emlegetett hackerek kifinomult támadást intéztek "maroknyi" internetszolgáltató ellen, hogy érzékeny információkat nyerjenek ki. Az ilyen típusú kampányok fő célpontjai általában a kritikus infrastruktúra, és ez a példa sem különbözik egymástól.

A hackerek módszerei

A jelentések azt sugallják, hogy ezek a kiberbűnözők hozzáférhettek az internetes infrastruktúra szívéhez, a Cisco Systems útválasztókhoz. Ezek az útválasztók felelősek az internetes forgalom jelentős részének irányításáért, így ideális célponttá válnak az államilag támogatott hackerek számára, akiknek célja, hogy állandó hozzáférést biztosítsanak az érzékeny hálózatokhoz.

A támadás mögött álló csoport, a GhostEmperor először 2021 októberében került a kiberközpontú reflektorfénybe. Először a Kaspersky, egy orosz kiberbiztonsági cég azonosította be a délkelet-ázsiai országokat célzó műveletek vizsgálata során. Támadásaik egy Demodex nevű, erőteljes rootkitet telepítettek, lehetővé téve számukra, hogy észrevétlenül kémkedjenek. Erőfeszítéseik nemcsak malajziai, vietnámi és thaiföldi nagy entitásokra voltak hatással, hanem távoli célpontokat is elértek olyan helyeken, mint Egyiptom és Etiópia.

Gyorsan 2024 júliusáig a Sygnia kiberbiztonsági cég a GhostEmperor újabb támadását fedezte fel. Ezúttal egy meg nem nevezett szervezet kompromittálódott, és ezen keresztül az egyik üzlettársa is áldozatul esett. A vizsgálatok feltárták, hogy a csoport több eszközt is bevetett, köztük a Demodex módosított változatát, hogy kommunikáljon a parancs- és vezérlőszerverekkel, kiemelve azok műszaki képességeit és eltökéltségét.

A kínai kiberkémkedés folyamatos fenyegetés

A támadásról néhány nappal azután derült fény, hogy az Egyesült Államok kormánya megzavarta a „Raptor Train” névre keresztelt, 260 000 eszközből álló nagy botnetet. Ez a botnet, amelyet egy másik, Kínához kötődő csoport, a Flax Typhoon üzemeltet, egy sor agresszív kiberkampányhoz járul hozzá, amelyeket Kínának tulajdonítottak az elmúlt években.

Ezek a könyörtelen támadások aláhúzzák az államilag támogatott, különösen a Pekinghez kötődő szereplők által jelentett állandó veszélyt. A telekommunikációba, az internetszolgáltatókba és más kritikus infrastruktúrákba való beszivárgásra való összpontosításuk emlékeztet arra, mennyire elengedhetetlen a kiberbiztonsági védelem megerősítése az ágazatok között.

Kitartás és adatlopás

Ami ezeket a számítógépes behatolásokat különösen riasztóvá teszi, az stratégiai természetük. E támadások elsődleges célja, hogy hosszú távú, rejtett hozzáférést szerezzenek a célhálózatokhoz. A bejutást követően a támadók nemcsak kiszívhatják az érzékeny adatokat, hanem szükség esetén potenciálisan megzavarhatják vagy károsíthatják a rendszert. Akár kémkedés a cél, akár az infrastruktúra megbénítása a jövőbeli konfliktusokban, ennek óriási következményei vannak.

Az internetszolgáltatókra és a távközlési hálózatokra való összpontosítás tovább növeli a tétet. A forgalom ilyen alapvető szinten történő irányításával vagy elfogásával a fenyegető szereplők azonnali észlelés nélkül figyelhetik a kommunikációt, megzavarhatják a szolgáltatásokat, és nagy értékű információkat nyerhetnek ki.

Hogyan védhetik meg magukat a cégek?

Bár egyetlen védelem sem teljesen bolondbiztos, a szervezetek számos lépést tehetnek az ilyen kiberkémkampányok kockázatának csökkentése érdekében:

1. Folyamatos figyelés: A szokatlan hálózati tevékenységek valós idejű megfigyelése segíthet a behatolások korai észlelésében.
2. Javításkezelés: A rendszerek, különösen a kritikus infrastruktúra-összetevők, például az útválasztók rendszeres frissítése és javítása elengedhetetlen.
3. Zero Trust Architecture: A nulla megbízhatósági modellre való áttérés, ahol a felhasználókat, eszközöket és rendszereket folyamatosan hitelesíteni kell, segíthet korlátozni az érzékeny területekhez való hozzáférést.
4. Együttműködés kiberbiztonsági szakértőkkel: Harmadik felek biztonsági szakértőivel való együttműködés, mint a Sygnia esetében, segíthet feltárni és reagálni a fejlett fenyegetésekre.

A tágabb következmények

Ahogy a kiberhadviselés fejlődik, a tét már nem csupán az adatlopás. Egy globális sakkjátszmának lehetünk tanúi, ahol az olyan országok, mint Kína, kihasználják kiberképességeiket, hogy maguk javára billentsék a mérleget. Ebben az új korszakban az infrastruktúra ugyanolyan célpont, mint a hagyományos hírszerző ügynökségek vagy a katonai eszközök.

A GhostEmperor csoporttal és az amerikai internetszolgáltatókba való beszivárgásukkal kapcsolatos legfrissebb kinyilatkoztatások határozottan emlékeztetnek arra, milyen törékenyek lehetnek még a legrobusztusabb rendszerek is. A világszerte működő szervezetek számára nem csak az a fontos, hogy egy lépéssel előttünk maradjanak, hanem annak megértése, hogy a kibercsatatér folyamatosan fejlődik – és az ellenségek közelebb vannak, mint gondolnánk.

Ebben az új világban a felkészültség és az éberség jelentik a rendelkezésünkre álló kulcsfontosságú védekezési mechanizmusokat. Akár kormányzati lépésekről, akár vállalati kezdeményezésekről van szó, az államilag támogatott kiberkémkedés elleni küzdelem folyamatos innovációt, együttműködést és odafigyelést igényel.