Firma Sophos ujawniła szczegóły 5-letniej operacji obronnej skierowanej przeciwko sponsorowanym przez struktury państwowe chińskim grupom atakującym urządzenia brzegowe, w tym firewalle Sophos. Ich członkowie wykorzystywali luki w zabezpieczeniach oraz specjalnie zaprojektowane złośliwe oprogramowanie, aby prowadzić działania szpiegowskie i sabotować infrastrukturę krytyczną.
Eksperci odpowiedzialni za cyberbezpieczeństwo i analizę zagrożeń odkryli rozległy ekosystem cyberprzestępców stosujących taktyki oraz techniki przypisywane chińskim grupom, takim jak Volt Typhoon, APT31 i APT41. Ataki były wymierzone głównie w infrastrukturę krytyczną oraz instytucje rządowe w Azji Południowej i Południowo-Wschodniej, w tym dostawców energii jądrowej, stołeczne lotnisko, szpital wojskowy, służby bezpieczeństwa. Ofiarami ataków często stają się również małe i średnie przedsiębiorstwa, będące częścią łańcucha dostaw sektora infrastruktury krytycznej.
Raport Pacific Rim wskazuje, że sponsorowane przez państwo chińskie grupy cyberprzestępcze atakują urządzenia brzegowe, które mają luki w zabezpieczeniach oraz te, które nie są już wspierane przez producentów. Dlatego eksperci Sophos podkreślają znaczenie regularnego aktualizowania oprogramowania oraz potrzebę nieustannego monitorowania systemów IT pod kątem błędów i tzw. „otwartych furtek”.
– Urządzenia brzegowe stały się niezwykle atrakcyjnymi celami dla chińskich grup cyberprzestępczych, takich jak Volt Typhoon. Tworzą one operacyjne przekaźniki do komunikacji między urządzeniami (Operational Relay Box, ORB), służące do ukrywania i wspierania swoich działań. Obejmuje to zarówno bezpośrednie ataki na przedsiębiorstwa w celu ich szpiegowania, jak i pośrednie wykorzystanie słabych punktów oprogramowania do dalszych cyberataków – podkreśla Ross McKerchar, dyrektor ds. bezpieczeństwa informacji (CISO) w firmie Sophos.
