Kínai APT csoportok elemzése

A kínai államilag támogatott APT (Advanced Persistent Threat) csoportok 2021 óta folytatnak globális kiberkémkedési kampányokat, főként távközlési, kormányzati, katonai és szállítmányozási hálózatokat célozva. Ezek a műveletek főként nagy forgalmú gerinchálózati routerek és szélkiszolgálók (PE és CE routerek) sérülékenységeinek kihasználásával valósulnak meg, amelyeken keresztül a támadók oldalirányban mozognak a hálózaton belül, hosszú távú hozzáférést és adatlopást biztosítva maguknak. Az APT csoportokat – például Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807, GhostEmperor – több ország (USA, Ausztrália, Kanada, Új-Zéland, Egyesült Királyság stb.) hírszerző és kiberbiztonsági ügynökségei is nyomon követik.

A támadók nyíltan ismert sebezhetőségeket (pl. CVE-2024-21887, CVE-2024-3400, CVE-2023-20273, CVE-2018-0171) használnak routerek, tűzfalak és switchek kompromittálására. A támadás után routerkonfigurációkat módosítanak a tartós jelenlét érdekében – például ACL-eket változtatnak, szolgáltatásokat tesznek elérhetővé nem szokványos portokon. Haladó technikák között szerepel beágyazott Linux konténerek futtatása, titkosított alagutak (GRE, IPsec) használata, valamint routerek natív funkcióinak kihasználása (pl. PCAP rögzítés a TACACS+/RADIUS jelszavak elfogására). Emellett emelt jogosultságú felhasználókat hoznak létre, naplókat manipulálnak, és kihasználják a gyenge alapértelmezett jelszavakat is.

A támadások összetettsége és a rejtőzködési képességek azt mutatják, hogy ezek a kínai APT kampányok jól szervezettek, és szoros kapcsolatban állnak a Kínai Népköztársaság katonai és állambiztonsági szerveivel. A nemzetközi kiberbiztonsági közösség összehangolt védekezést sürget: a hálózatvédelem megerősítését, naprakész sérülékenység-kezelést, valamint a kompromittáltság jeleinek aktív keresését.

(forrás)