Китайские хакеры скомпрометировали организации в 70 странах, предупреждая федеральные агентства США

Автор Naveen Athrappully via The Epoch Times (выделено нами),

Группа вымогателей под названием «Призрак» использует сетевые уязвимости различных организаций для получения доступа к их системам. Согласно совместному консультативному заключению, выпущенному несколькими федеральными агентствами США.

Член хакерской группы Red Hacker Alliance, который отказался назвать свое настоящее имя, использует веб-сайт, который отслеживает глобальные кибератаки на своем компьютере в их офисе в Дунгуане, провинция Гуандун, Китай, 4 августа 2020 года. Nicolas Asfouri/AFP с помощью Getty Images

«Начиная с начала 2021 года, актеры-призраки начали атаковать жертв, чьи интернет-сервисы работали с устаревшими версиями программного обеспечения и прошивки», — говорится в совместном консультативном заявлении Агентства по кибербезопасности и безопасности инфраструктуры (CISA) от 19 февраля. «Актеры-призраки, находящиеся в Китае, совершают эти широкомасштабные нападения в целях получения финансовой выгоды. "

Атаки были нацелены на школы и университеты, правительственные сети, критическую инфраструктуру, технологические и производственные компании, здравоохранение и несколько малых и средних предприятий.

"Это неизбирательное нацеливание на сети, содержащие уязвимости, привело к компромиссу организаций в более чем 70 странах, включая организации в Китае.CISA, ФБР и Многогосударственный центр обмена информацией и анализа сообщили в консультативном комитете.

Призрачные актеры также связаны с другими именами, такими как Cring, Crypt3r, HsHarada, Hello, Wickrme, Phantom, Rapture и Strike.

Преступники используют общедоступный код для использования «общих уязвимостей и уязвимостей» своих целей для обеспечения доступа к серверам. Они используют уязвимости на серверах под управлением Adobe ColdFusion, Microsoft Exchange и Microsoft SharePoint.

Участники угроз используют инструменты для «сбора паролей и/или хешей паролей, чтобы помочь им с несанкционированными входами в систему и усилением привилегий или переключиться на другие устройства жертвы». Злоумышленники обычно проводят несколько дней в сетях своей цели.

Рекомендуемые организации исправляют известные сетевые уязвимости, применяя «своевременные обновления безопасности» к прошивке, программному обеспечению и операционным системам.

Организации должны обучать пользователей распознавать попытки фишинга. Организациям следует выявлять, расследовать и выдавать предупреждения в отношении любой "ненормальной сетевой деятельности". "

«Сохраняйте регулярные резервные копии системы, которые хорошо известны и хранятся в автономном режиме или сегментируются от исходных систем», — добавили в консультативном комитете.

"Жертвы вымогателей-призраков, чьи резервные копии не были затронуты атакой вымогателей, часто могли восстанавливать операции без необходимости связываться с актерами-призраками или платить выкуп. "

Предварительное позиционирование Китая

Консультация была выпущена в рамках продолжающихся усилий по противодействию угрозам вымогателей.

CISA ранее предупреждала о китайских киберугрозах, с которыми сталкиваются США. Китайские спонсируемые государством кибер-актеры стремятся заранее позиционировать себя в ИТ-сетях для проведения «подрывных или разрушительных кибератак» против критической американской инфраструктуры в случае, если Пекин вступит в конфликт с Вашингтоном.

Вольт Тайфун, спонсируемый Пекином кибер-актер, скомпрометировал ИТ-среды нескольких критически важных инфраструктурных организаций в таких секторах, как энергетика, транспорт, связь и водные системы.

В ноябре CISA и ФБР подробно описали «широкую и значительную кампанию кибершпионажа», проводимую китайскими хакерами, которая скомпрометировала сети телекоммуникационных провайдеров США.

Хакеры похитили записи звонков клиентов и личные сообщения «ограниченного числа лиц, которые в основном участвуют в правительственной или политической деятельности. "

Член палаты представителей Марк Грин (R-Tenn.), председатель Комитета Палаты представителей по национальной безопасности, сказал: «Эксплуатация Коммунистической партией Китая уязвимостей в крупных интернет-провайдерах — это всего лишь новейшая тревога, поскольку Пекин, Тегеран и Москва работают над получением стратегических преимуществ посредством кибершпионажа, манипуляций и разрушения». "