Wielka Brytania Narodowe Centrum Cyberbezpieczeństwa (NCSC) i jej odpowiedniki z Five Eyes oskarżyły chińską firmę działającą jako przykrywka dla państwa o prowadzenie ogromnej sieci botnet składającej się z ponad 250 000 urządzeń podłączonych do Internetu, z czego około 8500 znajduje się w Wielkiej Brytanii.
Zagrożone urządzenia obejmują narzędzia sieciowe i zabezpieczające przedsiębiorstwa, takie jak routery i zapory sieciowe, a także produkty Internetu rzeczy (IoT), takie jak kamery CCTV i kamery internetowe. Ich właściciele nie wiedzą, że są one wykorzystywane do przeprowadzania skoordynowanych cyberataków, w tym ataków typu „distributed denial of service” (DDoS) i dostarczania złośliwego oprogramowania.
„Botnet „Operacje te stanowią poważne zagrożenie dla Wielkiej Brytanii, wykorzystując luki w zabezpieczeniach urządzeń codziennego użytku podłączonych do Internetu, co może potencjalnie prowadzić do przeprowadzania cyberataków na szeroką skalę” — powiedział dyrektor operacyjny NCSC, Paul Chichester.
„Chociaż większość botnetów służy do przeprowadzania skoordynowanych ataków DDoS, wiemy, że niektóre z nich mają również zdolność do kradzieży poufnych informacji.
„Dlatego NCSC wraz z naszymi partnerami w krajach Five Eyes gorąco zachęca organizacje i osoby prywatne do działania zgodnie z wytycznymi zawartymi w tym poradniku – co obejmuje stosowanie aktualizacji urządzeń podłączonych do Internetu – aby zapobiec dołączaniu ich urządzeń do botnetu”.
Firma, o której mowa, Integrity Technology Group, ma siedzibę w Pekinie i najprawdopodobniej działa jako legalny dostawca usług z zakresu bezpieczeństwa sieci.
Jednakże zgodnie ze wspólnym doradztwem, który można przeczytać w całości tutajwykorzystała również swoją wiedzę specjalistyczną na rzecz chińskiego rządu – wiadomo, że adresy IP firmy Integrity China Unicom Beijing Province zostały wykorzystane do uzyskania dostępu do innej infrastruktury operacyjnej wykorzystywanej w cyberatakach na ofiary w USA.
Według władz, FBI nawiązało kontakt z wieloma ofiarami i odkryło działania zgodne z taktyką, techniką i procedurami (TTP) preferowanymi przez wspieranego przez państwo ugrupowanie stanowiące zaawansowane stałe zagrożenie (APT) znane jako Flax Typhoon, ale znane również jako RedJuliett i Ethereal Panda, między innymi.
Jego botnet używa niesławne złośliwe oprogramowanie Mirai rodzina do przejmowania kontroli nad urządzeniami z systemami operacyjnymi opartymi na systemie Linux. Integrity atakuje te urządzenia za pośrednictwem szeregu ujawnionych powszechnych luk i zagrożeń (CVE).
Po pobraniu i uruchomieniu ładunku Mirai rozpoczyna on procesy na urządzeniu w celu nawiązania połączenia z infrastrukturą poleceń i kontroli (C2) Integrity przy użyciu Transport Layer Security (TLS) przez port 443. Gromadzi również i eksfiltruje informacje systemowe, w tym wersje systemu operacyjnego, szczegóły dotyczące pamięci i przepustowości w celach enumeracyjnych. Wysyła również żądania do ‘c.speedtest.net’ w celu zebrania dodatkowych szczegółów dotyczących połączenia internetowego. Ponadto, jak wykazało dochodzenie, niektóre ładunki Mirai są samoczynnie usuwane, aby uniknąć wykrycia.
Tymczasem w górnym biegu Integrity obsługuje poziom serwerów zarządzających za pośrednictwem portu TCP 34125, aby uruchomić infrastrukturę C2 botnetu. Serwery hostują bazę danych MySQL zawierającą informacje o naruszonych urządzeniach, która według stanu na czerwiec tego roku zawiera ponad 1,2 miliona rekordów. Serwery hostują również aplikację znaną jako „Sparrow” do interakcji z botnetem — kod tej aplikacji jest przechowywany w repozytorium Git i definiuje różne funkcje, które umożliwiają użytkownikom wysyłanie poleceń zadań i eksploatacji do naruszonych urządzeń, między innymi. „Sparrow” może również dostarczać użytkownikom informacje o podatności urządzeń oraz podkomponent o nazwie „arsenał podatności”, który pozwala im wykorzystywać tradycyjne sieci za pośrednictwem urządzeń ofiary.
Więcej szczegółów na temat działalności Integrity, w tym wskazówki dotyczące łagodzenia skutków, można znaleźć w pełnej wersji poradnika.