Kínai kiberbiztonsági szervezetek jelentései az NSA (APT-C-40) műveleteiről

Egy ausztrál kutató a kínai kiberbiztonsági vállalatok (Qihoo 360, Pangu Lab, CVERC) nyilvánosan elérhető jelentéseit elemezve azt vizsgálta, milyen állításokat közölnek az NSA (APT-C-40) állítólagos kiberhadműveleteiről. A kutatás egyik központi esete a 2022-es támadás volt Kína Northwestern Polytechnical University ellen, amely egy repülőgépiparra és védelmi technológiákra specializálódott egyetem. A kínai jelentések szerint az NSA Tailored Access Operations (TAO) egysége több mint 40 egyedi kártevőt vetett be adatlopás és kémkedés céljából. A támadás során széles körben alkalmaztak MiTM (man-in-the-middle) támadásokat, adathalász e-maileket, nulladik napi (zero-day) sérülékenységeket és célzott exploitokat.

Hogyan végezte el Kína az attribúciót?

A kínai kiberbiztonsági szervezetek a támadást több tényező alapján kötötték az NSA-hoz:

1. IP-k és fedőcégek: Négy IP-címet azonosítottak, amelyeket két amerikai fedőcég (Jackson Smith Consultants és Mueller Diversified Systems) vásárolt meg, és egy „Amanda Ramirez” álnevet használó személy NSA-s FoxAcid szerveréhez kötötte őket.
2. Működési időszakok: A támadások hétfőtől péntekig zajlottak az amerikai munkarend szerint (9:00–16:00 EST), ünnepnapokon és hétvégéken nem történt aktivitás.
3. Nyelvi és technikai jellemzők: Az eszközök amerikai angol nyelvű operációs rendszert és billentyűzetet használtak.
4. Emberi hibák: Egy NSA-operátor hibázott egy Python-szkript futtatásakor, amely felfedte a terminál könyvtárstruktúráját (/etc/autoutils, amely a TAO által használt eszközök egyike).

Az NSA állítólagos támadási módszerei és eszközei

A jelentések szerint az NSA a következő eszközöket és stratégiákat alkalmazta:

1. Zero-day exploitok és proxy szerverek: 54 ugrószervert és 5 proxy szervert használtak, főként Kína szomszédos országaiban (Japán, Dél-Korea, Svédország, Lengyelország, Ukrajna).
2. FOXACID és SECONDDATE: Egy MiTM támadás során a SECONDDATE nevű malware-t telepítették egyetemi határvédelmi eszközökre, amely az intézmény hálózatán belüli felhasználók forgalmát egy FOXACID szerverre irányította át, amely böngésző-exploitokat alkalmazott az áldozatok ellen.
3. ISLAND: Solaris-alapú rendszerek kézi exploitálására használt eszköz.
4. NOPEN és FLAME SPRAY: Távoli hozzáférést biztosító hátsó kapuk, amelyek a kulcsfontosságú szerverek és hálózati eszközök feletti irányítás fenntartására szolgáltak.
5. STOIC SURGEON és CUNNING HERETICS: Titkosított kommunikációt és folyamatos hozzáférést biztosító malware-ek Linux, Solaris és JunOS rendszereken.
6. DRINKING TEA: SSH, Telnet és Rlogin jelszavak begyűjtésére és parancssori naplók rögzítésére használt eszköz.
7. TOAST BREAD: Naplómanipuláló program, amely törölte a behatolás nyomait.
8. Kritikus adatok exfiltrációja: Az NSA a kutatási adatok, hálózati infrastruktúra információk és érzékeny dokumentumok ellopására speciális eszközöket használt, mint például a OPERATION BEHIND ENEMY LINES, School of Magic, és Cursed Fire.

Kutatói megállapítások és következtetések

A kutató megjegyezte, hogy a kínai kiberbiztonsági közösség nyíltabban működik együtt, mint a nyugati, ahol az iparági együttműködés főként zárt csoportokban történik. A kínai nyomozások során kiemelt szerepet kapott a nagyméretű adatelemzés, például a támadók aktív időszakainak és munkarendjének pontos meghatározása.

Az NSA állítólagos taktikájából kiemelkedett a határvédelmi eszközök (tűzfalak, routerek) célba vétele, mivel ezek gyakran nem rendelkeznek EDR/XDR védelemmel, naplózásuk pedig korlátozott, így az ilyen támadásokat nehéz észlelni és kivizsgálni. Az edge eszközök elleni támadások nemcsak az NSA, hanem más állami APT csoportok (pl. kínai és orosz) körében is egyre gyakoribbak, és a jövőben még nagyobb jelentőséget kaphatnak.

(forrás)