Najważniejsze agencje cyberbezpieczeństwa w Chinach publicznie oskarżyły amerykańskie wywiad o prowadzenie trwałej kampanii cyberataków przeciwko sektorowi obrony. Zarzuty, szczegółowo opisane w raporcie Chińskiego Stowarzyszenia Bezpieczeństwa Cyberbezpieczeństwa, twierdzą, że aktorzy amerykańskie wykorzystały krytyczne wadę oprogramowania do kradzieży tajemnic wojskowych.
Ten ruch eskaluje trwający konflikt cyberprzestrzeni między Pekinem a Waszyngtonem. Zakwestionuje to powtarzające się ryzyko bezpieczeństwa narodowego, jakie stwarza luki w powszechnie używanym oprogramowaniu przedsiębiorstw, zwłaszcza Microsoft Exchange.
Oskarżanie Pekinu: Coroczne naruszenie za pośrednictwem Microsoft Exchange
Najbardziej zniszczającym obciążeniem od centrów o trwałym, całorocznym pierwszym zbiórce. Zgodnie z szczegółowy raport z chińskich agencji cyberbezpieczeństwa napastnicy wypłacali wcześniej nieznaną Zero-Day wrażliwość w mikroprzedażność do rezygnacji z kontroli e-maila, a także ich dostępu od lipca 2022 r. Lipiec 2023 r.
Ta początkowa pozycja była jedynie początkiem głębokiej infiltracji. Raport twierdzi, że aktorzy wykorzystali kontrolę nad serwerem pocztowym, aby zagrozić centralnego kontrolera domeny firmy-krytyczny ruch, który skutecznie dał im klucze do całej sieci. Stamtąd metodycznie obrócili się do ponad 50 innych ważnych urządzeń wewnętrznych, ustanawiając szeroką i trwałą obecność w cyfrowej infrastrukturze wykonawcy. Aby zachować kontrolę, podobno wszczepili niestandardową broń zaprojektowaną w celu stworzenia ukrytego tunelu WebSocket i SSH do wykładania danych.
CNCERT twierdzi, że ostatecznym celem tej obszernej operacji była strategiczna kradzież danych. Chińscy urzędnicy twierdzą, że napastnicy z powodzeniem wykupili e-maile 11 starszych pracowników, w tym kierownictwo wysokiego szczebla. Skradzione dane nie były ogólne; Podobno zawierał wysoce wrażliwą własność intelektualną, w tym szczegółowe plany projektowe produktów wojskowych i parametrów systemu podstawowego, reprezentujące znaczącą stratę bezpieczeństwa narodowego.
Aby maskować swoje działania, atakujący zastosowali wyrafinowaną taktykę unikania charakterystycznego dla aktora zagrożenia na poziomie państwa. Operacja została kierowana przez globalną sieć punktów skoku, z adresami IP znajdującymi się w Niemczech, Finlandii, Korei Południowej i Singapurze, które przeprowadziły ponad 40 odrębnych ataków. Samo złośliwe oprogramowanie było mocno zaciemnione w celu uniknięcia wykrywania przez oprogramowanie bezpieczeństwa, a komunikacja była ukryta przy użyciu wielowarstwowego przekazywania i szyfrowania.
Raport CNCERT również szczegółowo opisał drugą, najnowszą kampanię ukierunkowaną na chińską komunikację i satelitarną firmę internetową i satelitarną firmę internetową i satelitarną firmę internetową i satelitarną firmę internetową i satelitarną firmą i satelitarną firmą i satelitarną. Wada wtrysku w elektronicznym systemie plików firmy. Po naruszeniu systemu wszczepili backdoor na bazie pamięci i konia trojańskiego, aby zabezpieczyć ich dostęp.
Według CNCERT, napastnicy następnie sprytnie dodali swoje złośliwe ładowanie do filtra na serwerze internetowym Apache Tomcat firmy Apache Tomcat, umożliwiając im komunikowanie się z backdoor. Ta metoda umożliwiła im inwazję i kontrolę ponad 300 urządzeń w sieci. Wykazując wyraźne zamiary strategiczne, aktorzy zaobserwowali wyszukiwanie słów kluczowych, takich jak „wojskowa prywatna sieć” i „sieć rdzeniowa”, aby wskazać i ukraść najcenniejsze wrażliwe dane z uszkodzonych maszyn.
Kontekst geopolityczny: escalacyjny cykl cyberprzestrzeni
nie istnieją w kontekście Valuum. Reprezentują najnowsze Salvo w długotrwałym i eskalującym konflikcie cybernetycznym między Waszyngtonem a Pekinem, w którym publiczne przypisanie stało się kluczową bronią geopolityczną. Oba narody obecnie regularnie i otwarcie oskarżają się o sponsorowane przez państwo szpiegostwo, wykorzystując szczegółowe raporty techniczne w celu kształtowania międzynarodowych narracji i wywierania presji politycznej.
Od lat Waszyngton wskazywał palec na chińskie grupy sponsorowane przez państwo dla głównych intruzyk cybernetycznych. Obejmuje to masywny hack 2021, który naruszył dziesiątki tysięcy serwerów Microsoft Exchange na całym świecie, co jest incydentem Microsoft przypisywanym chińskim aktorom. Niedawno naruszenie 2023, które zagroziło konta e-mail starszych urzędników USA, zostało również obwinione o chińskie grupy powiązane z państwem.
Jednak Stany Zjednoczone i ich podstawowe dostawcy technologii również stanęli w obliczu intensywnej kontroli nad własną postawą bezpieczeństwa. Po naruszeniu e-maili urzędników w 2023 r. Własna komisja ds. Oceny bezpieczeństwa cyberbezpieczeństwa rządu USA opublikowała oszustów. Uderzył Microsoft za „kaskadę niepowodzeń bezpieczeństwa” i kulturę korporacyjną, która zdepriorityzowała inwestycje bezpieczeństwa, które ostatecznie umożliwiły włamanie.
Ostatnie ujawnienie w Pekinie jest bezpośrednim kontratakiem do tej historii oskarżeń USA. Chińskie krajowe internetowe centrum awaryjne (CNCERT) wprowadziło liczbę rzekomej działalności, stwierdzając, że śledzi ponad 600 incydentów cyberatakowych przeciwko jego ważnym jednostkom przez zagraniczne grupy apt na poziomie państwowym w samym 2024 roku. Agencja była jasna, że sektor obrony i wojskowy jest głównym celem tych operacji.
Ten publiczny ruch jest zgodny z wzorem ustanowionym przez Pekin. Po wystawieniu poważnego cyberataku na Northwestern Polytechnical University w 2022 r. Chiny również . Upuszczając szczegółowe raporty z wskaźnikami technicznymi, Chiny mają na celu postawienie się jako ofiara zachodniej agresji cybernetycznej, bezpośrednio kwestionując narrację często promowaną przez Stany Zjednoczone i jej sojuszników.
Nieprawdzone pole bitwy: oprogramowanie do przedsiębiorstwa jako ryzyko bezpieczeństwa narodowego
podstawa tego konfliktu wyróżnia trwałe globalne zagrożenie. Wady wszechobecnego oprogramowania biznesowego tworzą ogromną powierzchnię ataku dla podmiotów państwowych. Microsoft Exchange, kamień węgielny komunikacji korporacyjnej i rządowej, stał się powtarzającym się cyfrowym polem bitwy.
Winbuzzer wcześniej informował o skali tego problemu. Krytyczna podatność ujawniona na początku 2024 r., CVE-2024-21410, pozostawiła szacunkowe 97 000 serwerów narażonych na zdalne atakowanie kodu. Takie wady pozwalają atakującym na ominięcie bezpieczeństwa i kradzież danych ze względną łatwością.
Microsoft nadal wydaje łatki i hotfixes, aby rozwiązać te problemy. Jednak opóźnienie między wydaniem Patch a wdrożeniem w całym przedsiębiorstwie pozostawia krytyczne okno możliwości dla hakerów. Zarówno dla USA, jak i Chin, zabezpieczenie tego łańcucha dostaw oprogramowania jest obecnie kwestią bezpieczeństwa narodowego.
