Kínai hackerek egy globális akció részeként több mint 2700 okoskészüléket törtek fel Hollandiában – közölt a holland kiberbiztonsági központ (NCSC) az amerikai és a brit hatóságok figyelmeztetését követően.
A hackerek feltehetőleg a kínai állammal állnak kapcsolatban, és az általuk feltört több ezer okoskészüléket nagyszabású kibertámadásokhoz akarják felhasználni. „A hackerek kisebb irodai és otthoni használatra szánt, internethez csatlakozó eszközöket (SOHO) törtek fel, például modemeket, routereket, webkamerákat. Értesítettük az érintett berendezések tulajdonosait, de ez csak a Hollandiában található összes érintett eszköz egy részét érinti” – közölte az NSCS. A központ felszólította a hollandiai lakosokat, ellenőrizzék, hogy a SOHO-berendezéseikre telepítették-e a legújabb kibervédelmi frissítéseket.
„Az internetre közvetlenül csatlakozó berendezések sajnos ki vannak téve a visszaéléseknek. Az ilyen típusú eszközök esetében különösen fontos az alapvető védelem fenntartása” – hívta fel a figyelmet az NSCS. Hollandiát többek között az amerikai Szövetségi Nyomozóiroda (FBI) és a brit Nemzetbiztonsági Ügynökség (NSA) figyelmeztette a kínai hackertámadásokra. A hatóságok a hackert a Beijing Integrity Technology Group nevű, tőzsdén jegyzett kiberbiztonsági céggel hozták összefüggésbe, amely vélhetően kapcsolatban áll a kínai kormánnyal.
Idén februárban a holland katonai biztonsági szolgálat (MIVD) figyelmeztetett, hogy a kínai hatóságoknak tavaly sikerült hozzáférniük a védelmi minisztérium bizonyos belső számítógépes hálózataihoz. Peking tagadja az állításokat.
Az év elején végrehajtott támadásokkal több tucat vállalkozásba sikerült beszivárogniuk, és fontos katonai információkat loptak el.
A még 2022 januárjában, közvetlenül a háború kirobbanása előtt végrehajtott akcióval számos vállalkozás védelmi rendszerét áttörték, sőt, van, ahol teljesen elfoglalták az informatikai infrastruktúrát és átvették az irányítást a biztonsági protokoll hálózata felett.
A cél valószínűleg számítógépes kémkedés volt, és a TA428 kínai csoportnak tulajdonítják, amely korábban kelet-európai és ázsiai szervezetek ellen hajtott végre hasonló merényleteket.
Az egész adathalász e-mailekkel kezdődött: a támadók kihasználták a Microsoft Office korábbi verzióin tátongó biztonsági rést, ami CVE-2017-11882 néven ismert (először 2017-ben észlelték), és tetszőleges kód futtatását teszi lehetővé további felhasználói beavatkozás nélkül.
A hír nem közöl konkrét részleteket az okozott károk nagyságáról, csak annyi biztos, hogy több, katonai szektorban dolgozó ipari vállalat volt a célpont.
A TA428 csoport többlépcsős támadása kártékony, adathalász e-mailekkel kezdődött, majd ezek elterjesztették az adatlopó és kémkedő trójai vírust. Az e-mailek orosz szövegei tökéletesek voltak, nem adtak okot gyanúra, és konkrét, bizalmas adatokat (neveket és szervezeti információkat) tartalmaztak, amelyek kívülállók számára általában nem hozzáférhetők. Az első támadási hullámban a különböző országokban elhelyezett szerverek információit töltötték fel egy másodlagos, Kínában található szerverre. Valószínűleg ezeket a részleteket vagy akár a teljes e-mail-mintákat a csoport korábban lophatta el más, a most megtámadott vállalatokkal kapcsolatban álló cégektől.
A beszámoló szerint az attak több hónapon keresztül tarthatott, így egyelőre biztos információk sincsenek az ellopott adatok mennyiségéről.
Mihail Zaicev, orosz biztonsági szakértő szerint olyan nagyszabású volt az akció, hogy a hekkerek valami nagyon fontosat kereshettek a kínai vezetés számára, és a támadások valószínűleg sikerrel jártak.
Az érintett cégek nevét nem hozták nyilvánosságra.
REPORT: Chinese hackers accessed the email account of US ambassador to China, Nicholas Burns, in an attack that is believed to have compromised thousands of individual US government emails. -WSJhttps://t.co/DEBJZL12Eq
