Sophos Pacific Rim jelentés
A Sophos 2024. október 31-én nyilvánosságra hozott egy „Pacific Rim” elnevezésű jelentéssorozatot, amely részletesen bemutatja, hogy a kiberbiztonsági vállalat több mint 5 éve harcol a kínai kiberszereplőkkel, akik világszerte egyre több hálózati eszközt vesznek célba, köztük a Sophos eszközeit is. A kiberbiztonsági cégek évek óta figyelmeztetik a szervezeteket, hogy a kínai kiberszereplők kihasználják a hálózati eszközök hibáit, hogy olyan egyedi kártevőket telepítsenek, amelyek lehetővé teszik számukra a hálózati kommunikáció megfigyelését, a hitelesítő adatok ellopását, vagy proxy-kiszolgálóként működnek a továbbított támadásokhoz.
Ezek a támadások olyan jól ismert gyártókat céloztak meg, mint a Fortinet, a Barracuda, a SonicWall, a Check Point, a D-Link, a Cisco, a Juniper, a NetGear, a Sophos és még sok más gyártó. A Sophos a taktikák, technikák és eljárások (TTP-k) terén talált átfedéseket a jól ismert kínai nemzetállami csoportokkal, köztük a Volt Typhoon, az APT31 és az APT41 csoportokkal. A kiberszereplők kisebb és nagyobb kritikus infrastruktúrákat és kormányzati létesítményeket egyaránt célba vettek, elsősorban Dél- és Délkelet-Ázsiában, köztük nukleáris energiaszolgáltatókat, egy főváros repülőterét, egy katonai kórházat, egy állambiztonsági apparátust és központi kormányzati minisztériumokat.
Az első támadás nem hálózati eszköz ellen irányult, hanem az egyetlen dokumentált támadás volt egy Sophos létesítmény ellen: a Cyberoam, a Sophos indiai székhelyű leányvállalatának központja ellen. 2018. december 4-én a Sophos SecOps csapatának elemzői észlelték ezt az eszközt, amely hálózati szkennelést végzett. Egy távoli hozzáférésű trójai vírust (RAT) azonosítottak egy alacsony jogosultságú számítógépen, amelyet a Cyberoam irodáiban egy falra szerelt kijelző meghajtására használtak. Bár a kezdeti vizsgálat során olyan rosszindulatú szoftvereket találtak, amelyek nem túl kifinomult szereplőre utaltak, a további részletek megváltoztatták ezt az értékelést. A behatolás egy korábban nem látott, nagyméretű és összetett rootkitet tartalmazott, amelyet Cloud Snooper-nek neveztek el, valamint egy újszerű technikát: egy rosszul konfigurált Amazon Web Services Systems Manager Agent (SSM Agent) kihasználását a felhőinfrastruktúrába való bejutásra.
