12 allierte etterretningsbyråer varsler om kinesiske skjulte hackernettverk i vanlige rutere

Kinesiske hackere bygger skjulte angrepsnettverk via rutere og smartenheter

USA og 11 andre allierte etterretnings- og cybersikkerhetsbyråer har gått sammen for å varsle om en storstilt endring i kinesiske hackeres metoder. I stedet for å bruke dedikert infrastruktur, bygger de nå opp store, skjulte nettverk av kompromitterte rutere, IoT-enheter og smartenheter for å gjennomføre cyberangrep.

Hvordan de skjulte nettverkene fungerer

I et felles rådgivningsdokument slår myndighetene fast at kinesiske cyberaktører har endret taktikk de siste årene. De har gått fra å bruke innkjøpt infrastruktur til å opprette og vedlikeholde store, skjulte nettverk av kompromitterte enheter.

«Vi har observert en betydelig endring i taktikker, teknikker og prosedyrer (TTP) hos kinesiske cyberaktører. De bruker nå eksternt oppsatte, store nettverk av kompromitterte enheter i stedet for individuelt anskaffet infrastruktur,» heter det i advarselen.

Blant de 12 byråene som har utstedt advarselen, er:

• U.S. Cybersecurity and Infrastructure Security Agency (CISA)
• U.S. National Security Agency (NSA)
• FBI
• U.K. National Cyber Security Centre (NCSC)
• Tilsvarende enheter fra Australia, Canada, Tyskland, Nederland, New Zealand, Japan, Spania og Sverige

Skjulte nettverk skaper utfordringer for cybersikkerheten

De skjulte nettverkene består hovedsakelig av kompromitterte:

• Små kontor-/hjemmerutere (SOHO)
• IoT-enheter
• Smarte enheter

«Disse nettverkene brukes til å koble seg til internett på en lavkostnads-, lavrisiko- og fornektelig måte. De kamuflerer opprinnelsen og tilskrivelsen av ondsinnet aktivitet,» forklarer myndighetene.

Bevis tyder på at kinesiske cybersikkerhetsselskaper oppretter og støtter disse nettverkene. Hackerne bruker dem til:

• Reconnosering (innsamling av informasjon)
• Malware-distribusjon
• Innsamling av sensitiv informasjon

Eksempler på aktivitet fra skjulte nettverk

Myndighetene peker på flere konkrete eksempler på hvordan disse nettverkene blir brukt:

• Volt Typhoon: En gruppe som har posisjonert seg på kritisk amerikansk infrastruktur for å forberede potensielle angrep.
• Flax Typhoon: En gruppe som driver med cyberspionasje.
• Raptor Train: Et botnett som har infisert over 200 000 enheter globalt.

Nettverkene er store, i konstant utvikling og nye opprettes kontinuerlig.

Nye trusler krever avanserte forsvarsstrategier

Richard Horne, administrerende direktør i NCSC, uttalte denne uken: «Vi vet at Kinas etterretnings- og militære enheter har oppnådd et imponerende nivå av sofistikering innen cyberoperasjoner.»

Forsvarsstrategier mot slike skjulte nettverk er ikke enkle, men inkluderer:

• Aktiv overvåking og kartlegging av skjulte nettverk
• Bruke trusselrapportering til å opprette blokklister
• Implementere generelle cybersikkerhetstiltak

Nick Andersen, fungerende direktør i CISA, understreket samarbeidet: «Gjennom tett samarbeid med amerikanske og internasjonale partnere fortsetter CISA å identifisere og varsle organisasjoner om kinesiske statssponsede cyberaktører som truer kritisk infrastruktur. Dette rådet informerer organisasjoner om hvordan disse aktørene strategisk bruker flere, stadig utviklende skjulte nettverk i stor skala for ondsinnet cyberaktivitet.»

«Disse skjulte nettverkene representerer en alvorlig trussel mot global cybersikkerhet. Organisasjoner må ta aktive grep for å beskytte seg,» sier en talsmann for NCSC.