Drónellátási láncok elleni kínai kibertevékenység
A Trend Micro új jelentése szerint egy kiberkémkedő csoport – amely gyaníthatóan kapcsolatban áll kínai államilag támogatott kiberszereplőkkel – több ellátási láncot érintő támadás során szoftverszolgáltatókat és katonai cégeket vett célba Tajvanon és Dél-Koreában. Az Earth Ammit-nek nevezett csoport állítólag 2023 és 2024 között két hullámban indított kampányokat, amelyek számos iparágat érintettek, köztük a hadiipart, a műholdipart, a nehézipart, a médiát, a technológiát, a szoftverszolgáltatásokat és az egészségügyet.
A csoport hosszú távú célja az volt, hogy ellátási láncot érintő támadásokon keresztül kompromittálja a megbízható hálózatokat, lehetővé téve számukra, hogy nagy értékű szervezeteket célozzanak meg és növeljék hatókörüket – állítják a Trend Micro kutatói.
Az Earth Ammit Venom névre keresztelt kampányának első hullámában a kiberszereplő megbízható gyártók kompromittálására tett kísérletet, hogy beszivárogjon azok ügyfeleihez. A Trend Micro szerint a csoport stratégiájának középpontjában a drónok ellátási láncába való beszivárgás állt. A művelet ezen szakaszában a csoport nyílt forráskódú eszközöket használt – valószínűleg a hozzáférhetőségük, az alacsony költségük és a nyomuk elrejtésére való képességük miatt. A második, Tidrone névre keresztelt kampány elsősorban Tajvan műholdas és katonai iparára összpontosított. Ezekben a támadásokban a csoport a kiberkémkedéshez testreszabott backdoor-okat használt, köztük a CXCLNT-t és a CLNTEND-et.
A kutatók mindkét kampányt ugyanannak a csoportnak tulajdonították, mivel közös C2 infrastruktúrát használtak, és gyakran ugyanazokat az áldozatokat célozták meg. Emellett az Earth Ammit taktikája, valamint a célpontok profilja hasonlít egy feltételezett kínai állami kiberszereplő, a Dalbit által használt taktikára.
Az ellátási láncot érő támadások kockázatának csökkentése érdekében a szervezeteknek ellátási láncot érintő kockázatkezelési programot javasolt bevezetniük (amit egyébként előír a 7/2024. (VI. 24.) MK rendelet is), amelynek javasolt kiterjednie a beszállítók értékelésére, az SBOM összeállítására és rendszeres ellenőrzésére, a kódaláírás kikényszerítésére, a harmadik féltől származó szoftverek viselkedésének folyamatos monitorozására, a javítások azonnali alkalmazására, a vendor rendszerek szegmentálására, az ellátási láncot érintő kiberbiztonsági incidensek forgatókönyveinek incidenskezelési tervekbe történő beépítésére, valamint a Zero Trust Architecture bevezetésére.
