Меню

Отчет BlackBerry рассматривает десятилетний компромисс серверов Linux китайскими APTs

09.04.2020 - Без рубрики
Отчет BlackBerry рассматривает десятилетний компромисс серверов Linux китайскими APTs

Сегодня вышло новое исследование, в котором исследуется, как пять связанных между собой групп продвинутых постоянных угроз (APT), действующих в интересах китайского правительства, систематически нацеливались на серверы Linux, системы Windows и мобильные устройства под управлением Android, оставаясь незамеченными в течение почти десяти лет.

В докладе, озаглавленном “десятилетие крыс: кросс-платформенные атаки APT-шпионажа, нацеленные на Linux, Windows и Android”, дается дальнейшее представление о всепроникающих операциях экономического шпионажа, нацеленных на интеллектуальную собственность, тема, которую Министерство юстиции недавно заявило, является предметом более чем 1000 открытых расследований во всех 56 полевых отделениях ФБР.

Кросс-платформенный аспект этих атак также вызывает особую озабоченность в свете проблем безопасности, вызванных внезапным увеличением числа удаленных работников. Инструменты, выявленные в ходе этих продолжающихся атакующих кампаний, уже существуют для использования преимуществ мандатов работы на дому, и сокращение числа сотрудников на местах для поддержания безопасности этих критических систем усугубляет риски. В то время как большая часть рабочей силы покинула офис в рамках сдерживающих усилий в ответ на вспышку COVID-19, интеллектуальная собственность остается в корпоративных центрах обработки данных, большинство из которых работают на Linux.

Linux управляет почти всеми ведущими 1 миллионами веб-сайтов в интернете, 75% всех веб-серверов, 98% мировых суперкомпьютеров и 75% крупных поставщиков облачных услуг (Netcraft, 2019, Linux Foundation, 2020). Большинство крупных организаций полагаются на Linux для запуска веб-сайтов, прокси – сетевого трафика и хранения ценных данных. В отчете BlackBerry рассматривается, как APTs использовали” всегда включенный, всегда доступный “характер серверов Linux для создания” плацдарма для операций ” по широкому кругу целей.

“Linux обычно не ориентирован на пользователя, и большинство охранных компаний сосредотачивают свое инженерное и маркетинговое внимание на продуктах, предназначенных для фронт-офиса, а не для серверной стойки, поэтому охват Linux является редким”, – сказал Эрик Корнелиус, главный архитектор продуктов BlackBerry. “Эти группы APT нацелились на этот пробел в безопасности и использовали его для своего стратегического преимущества, чтобы украсть интеллектуальную собственность из целевых секторов в течение многих лет, и никто этого не заметил.”

Другие ключевые выводы, содержащиеся в докладе, включают::

Группы АПТ, рассматриваемые в настоящем докладе, скорее всего, состоят из гражданских подрядчиков, работающих в интересах китайского правительства, которые охотно делятся инструментами, методами, инфраструктурой и целевой информацией друг с другом и своими правительственными коллегами.
Группы APT традиционно преследовали различные цели и были сосредоточены на широком спектре целей; однако было отмечено, что существует значительная степень координации между этими группами, особенно в тех случаях, когда речь идет о таргетировании платформ Linux.
В исследовании определены два новых примеров вредоносных программ для Android, продолжение тенденции, в предыдущем докладе от BlackBerry исследователи, под названием вредоносных программ для мобильных устройств и склонны шпионаж: плодовитый, всепроникающей, и кросс-платформенный, на котором были рассмотрены как групп было использование вредоносных программ для мобильных устройств в сочетании с традиционных рабочих станций это вредоносное ПО текущим кросс-платформенной слежке и шпионских кампаний.
Один из образцов вредоносных программ для Android очень близко напоминает код в коммерчески доступном инструменте тестирования на проникновение, однако вредоносная программа была создана почти за два года до того, как коммерческий инструмент был впервые доступен для покупки.
В докладе рассматриваются несколько новых вариантов хорошо известных вредоносных программ, которые получают сетевые защитники через использование сертификатов подписи кода для рекламного ПО, тактика, которая, как надеются злоумышленники, увеличит уровень заражения, поскольку AV-красные флаги отклоняются как просто еще один всплеск в постоянном потоке рекламных предупреждений.
Исследование также подчеркивает сдвиг злоумышленников в сторону использования поставщиков облачных услуг для передачи команд и управления (C2) и эксфильтрации данных, которые, как представляется, являются доверенным сетевым трафиком.
“Это исследование рисует картину шпионских усилий, нацеленных на саму основу сетевой инфраструктуры крупных организаций, которая является более системной, чем было признано ранее”, – говорит Джон Макклург, главный сотрудник по информационной безопасности BlackBerry. “Этот отчет открывает еще одну главу в истории китайской кражи ИС, предоставляя нам новые уроки для изучения.”

Метки: ,

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *