Kínai hackerek Operational Relay Box (ORB) hálózatok mögé bújnak

May 22, 2024 Yanac APT5, Kína, ORB2/FLORAHOX, ORB3/SPACEHOP

Az államilag támogatott hackerek, különösen a Kínához kötődő hackerek, egyre nagyobb mértékben használnak hatalmas Operational Relay Box (ORB) proxy-hálózatokat a kiberkémkedés végrehajtásához, ami rendkívül megnehezíti a felderítést és az attribúciót. Az ORB-ket, amelyek virtuális privát szerverek (VPS) és kompromittált eszközök, például használaton kívüli routerek és IoT-termékek összetett hálói, nem közvetlenül a hackerek kezelik, hanem független kiberbűnözők, akik bérbe adják őket különböző állami támogatott csoportoknak. Ez a proxy-hálózat és a hackerek közötti szétválasztás lehetővé teszi a rosszindulatú csomópontok földrajzi szétszóródását, ami megnehezíti a kiberbiztonsági erőfeszítéseket e fenyegetések felkutatására és semlegesítésére.

A Mandiant kiberbiztonsági cég több ilyen hálózatot azonosított, nevezetesen az ORB3/SPACEHOP és az ORB2/FLORAHOX hálózatokat, amelyeket a Kínával kapcsolatban álló fenyegető szereplők a felderítéstől a szellemi tulajdon ellopásáig terjedő tevékenységekre használnak. Az ORB3/SPACEHOP például fontos szerepet játszott a Citrix-rendszerek kritikus sebezhetőségének kihasználásában, amelyet az APT5-nek tulajdonítottak – egy több kínai állami kapcsolattal rendelkező csoportnak. Másrészt az ORB2/FLORAHOX kompromittált útválasztók és TOR-csomópontok keverékét használja a forgalom eredetének eltitkolására, különféle kémkampányokat szolgálva. Ezekre a hálózatokra jellemző a klónozott Linux image-eket és kifinomult parancs- és vezérlési keretrendszerek használata, amelyek a kibertámadások tényleges forrásának elrejtése érdekében különböző csomópontokon keresztül irányítják a forgalmat.

Az ORB-hálózatok működési jellemzői számos előnyt kínálnak a támadóknak, például a működési rugalmasságot, a lopakodást és azt a képességet, hogy a célpontokhoz földrajzilag közel eső helyekről csapjanak le, elkerülve ezzel a kompromittálódást. Az ORB-csomópontok átmeneti jellege – az IP-címek néha csak 31 napig tartanak – tovább védi ezeket a tevékenységeket a kiberbiztonsági intézkedésekkel szemben. Ahogy ezek az ORB-hálózatok egyre kifinomultabbá és elterjedtebbé válnak, egyre nagyobb kihívást jelentenek a vállalati védelem számára, megnehezítve a biztonsági szakemberek felderítési és reagálási feladatait, és új stratégiákat tesznek szükségessé a fejlődő kiberfenyegetések elleni küzdelemben.

(forrás)