Μία επίμονη εκστρατεία κυβερνοκατασκοπείας, προερχόμενη πιθανότατα από την Κίνα, είχε επιτυχώς διεισδύσει επί τέσσερα και πλέον χρόνια στο δίκτυο μεγάλης ασιατικής εταιρείας τηλεπικοινωνιών, αναφέρει έκθεση που δημοσιοποίησε τη Δευτέρα η εταιρεία κυβερνοασφάλειας Sygnia.
Η συγκεκριμένη έκθεση εντοπίζει ως υπεύθυνο των παραβιάσεων μία ομάδα κακόβουλων παραγόντων, γνωστή με την επωνυμία «Weaver Ant». Η ομάδα φαίνεται ότι κατά τη διάρκεια της τετραετούς παρουσίας της στο δίκτυο επέδειξε τη δυνατότητα συνεχούς πρόσβασης και συλλογής ευαίσθητων δεδομένων, αξιοποιώντας εξελιγμένα εργαλεία, μεταξύ άλλων τα λεγόμενα «web shells». Πρόκειται για ειδικά σχεδιασμένες εντολές κειμένου που επιτρέπουν στους επιτιθέμενους να ελέγχουν τους υπολογιστές-στόχους χωρίς τη χρήση γραφικού περιβάλλοντος.
H Sygnia αναφέρθηκε σε δύο τύπους τέτοιων εργαλείων που εντοπίστηκαν στο δίκτυο της εταιρείας: ένα γνωστό από το 2013 με την ονομασία «China Chopper» και μία νέα παραλλαγή, που η Sygnia ονόμασε «INMemory», η οποία ενεργοποιεί την εκτέλεση κακόβουλων εντολών απευθείας στη μνήμη των υπολογιστών.
Χαρακτηριστικό της ομάδας Weaver Ant είναι ότι επέλεγε να επιχειρεί κυρίως τις καθημερινές, στη ζώνη ώρας GMT+8 (η οποία περιλαμβάνει την Κίνα), αποφεύγοντας σαββατοκύριακα και τοπικές εορτές, στοιχείο που ενισχύει τη θεωρία περί οργανωμένης, κρατικών συμφερόντων οντότητας.
Όπως διαπίστωσε η Sygnia, οι κακόβουλοι δράστες εξασφάλισαν αρχικά πρόσβαση μέσω συμβιβασμένων δρομολογητών της εταιρείας Zyxel, οι οποίοι είναι διαδεδομένοι σε δίκτυα τηλεπικοινωνιακών εταιρειών της Νοτιοανατολικής Ασίας. Οι δρομολογητές αυτοί κατασκευάζονται στην Ταϊβάν, και έχουν επανειλημμένως προσελκύσει το ενδιαφέρον κινεζικών ομάδων προχωρημένων επίμονων απειλών (Advanced Persistent Threats, APTs).
Η ανακάλυψη αυτής της διείσδυσης έγινε όταν η Sygnia έλαβε προειδοποίηση για ύποπτες δραστηριότητες ενός λογαριασμού που είχε ήδη απενεργοποιηθεί κατά προηγούμενη απόπειρα του θύματος να περιορίσει τις ενέργειες των εισβολέων. Ο εν λόγω λογαριασμός ενεργοποιήθηκε εκ νέου μέσω ενός «service account», δηλαδή μίας αυτοματοποιημένης υπηρεσίας υψηλής προνομιακής πρόσβασης που εκτελεί συγκεκριμένες λειτουργίες στο δίκτυο.
Η συγκεκριμένη εκστρατεία είχε τόσο μεγάλη διάρκεια και επιμονή που, παρά τις πολλαπλές απόπειρες εξουδετέρωσης, οι χάκερ κατάφερναν να παραμένουν στο σύστημα. Μάλιστα, ακόμη και μετά την ανακάλυψη των δραστηριοτήτων τους από τη Sygnia, η ομάδα «Weaver Ant» πραγματοποίησε νέες απόπειρες να ανακτήσει τον έλεγχο του δικτύου.
Ιδιαίτερη πρόκληση για τους ειδικούς κυβερνοασφάλειας αποτέλεσαν οι τεχνικές αποφυγής ανίχνευσης που χρησιμοποιούσαν οι επιτιθέμενοι. Ειδικότερα, η χρήση στρατηγικά επιλεγμένων λέξεων-κλειδιών όπως «password» και «key», ενεργοποιούσε την αυτόματη απόκρυψη δεδομένων του firewall καθιστώντας δύσκολη τη διερεύνηση των στοιχείων που είχαν υποκλαπεί.
Η ανακάλυψη έρχεται να προστεθεί σε αναφορές μεγάλων εταιρειών κυβερνοασφάλειας, όπως η CrowdStrike και η Mandiant, οι οποίες πρόσφατα προειδοποίησαν για αύξηση των διαδικτυακών επιχειρήσεων κινεζικών ομάδων που αξιοποιούν τεχνητή νοημοσύνη και παρωχημένο λογισμικό στους δρομολογητές για την επίτευξη εισόδου σε ευαίσθητα δίκτυα και δεδομένα.
Η δημοσιοποίηση της συγκεκριμένης υπόθεσης έχει ευρύτερες συνέπειες, καθώς αποκαλύπτει ότι οι υποδομές τηλεπικοινωνιών της Ασίας — και πιθανώς ευρύτερα — αποτελούν στόχο μαζικών, άριστα οργανωμένων προγραμμάτων κυβερνοκατασκοπείας, με πιθανές γεωστρατηγικές προεκτάσεις.
Η Sygnia ανακοίνωσε ότι συνεχίζει να παρακολουθεί στενά τις εξελίξεις και τις ενέργειες της ομάδας Weaver Ant, η οποία αναμένεται να προσπαθήσει να διεισδύσει εκ νέου στα συστήματα της εταιρείας-στόχου. Αναλυτική έκθεση από τη Sygnia θα περιγράφει τη νέα μέθοδο δράσης και τα νέα εργαλεία της επίμονης και άριστα οργανωμένης ομάδας Weaver Ant.
