Kinesiske spioner støttet av myndighetene ble oppdaget i nettverket til et internasjonalt ingeniørselskap etter å ha brutt seg inn på en IBM-server.
I et intervju med The Register fortalte sikkerhetsdirektør John Dwyer at spionene først brøt seg inn i en av selskapets tre uovervåkede AIX-servere i mars. De oppholdt seg i IT-systemet i fire måneder mens de søkte etter flere systemer å kontrollere.
Hendelsen bør være en advarsel til de som har gamle eller nesten glemte maskiner koblet til nettverket, skjulte IT-installasjoner og uovervåket utstyr. Selv om resten av systemet er beskyttet av sikkerhetsløsninger, er disse eldre tjenestene ideelle inngangspunkter for kriminelle. Det er verdt å nevne at AIX ikke er utdatert teknologi; den er avansert og får fortsatt oppdateringer fra IBM. Med «eldre teknologi» menes at den er fra 1980-tallet, brukes i spesialiserte roller hvor den ikke lett kan byttes ut, og fortsatt finnes i en verden dominert av Linux og Windows.
Selskapet, som Dwyer ikke navnga, produserer deler for romfartsorganisasjoner og andre kritiske sektorer som olje og gass. Innbruddet er tilskrevet et ukjent team fra Kina, som ser ut til å drive spionasje og stjele tegninger. Myndighetene har sendt ut flere sikkerhetsvarsler om kinesiske spiongrupper som APT40 og Volt Typhoon, anklaget for å infiltrere amerikanske nettverk før dataangrep.
Da selskapet oppdaget de kinesiske agentene i sitt nettverk i august, varslet de myndighetene og samarbeidet med sikkerhetseksperter for å identifisere og stoppe trusselen. Firmaet Binary Defense ble også involvert i etterforskningen. Før de ble oppdaget, lastet inntrengerne opp et webskall og etablerte vedvarende tilgang, noe som ga dem full kontroll over nettverket. Dette ga dem mulighet til mulig tyveri av viktig informasjon og manipulering av forsyningskjeden.
Les også: Google: Slik infiltrerer Kina USAs kritiske infrastruktur
Hvis en kompromittert del kommer inn i produksjonsutstyr, kan brukerne oppleve problemer når delen svikter eller oppfører seg uventet. «Denne hendelsen viser at vi har en skjult risikokjede i forsyningskjeden,» forklarte Dwyer. Han la til at fiendtlige nasjoner er klar over dette, og angrepene ser ut til å flytte seg tidligere i forsyningskjeden, noe som påvirker flere ofre og blir mer integrert.
Å bryte seg inn i et klassifisert nettverk for å stjele design er vanskelig. «Men kan jeg få tilgang til en del av forsyningskjeden ved et produksjonssted som ikke følger de samme standardene?» spurte Dwyer. Svaret er ja.
Tre av selskapets AIX-servere var tilgjengelige fra internett uten tilstrekkelig beskyttelse. En av dem kjørte en administrasjonsportal med standard brukernavn og passord, noe som ga inntrengerne full tilgang. Serveren var ikke kompatibel med selskapets sikkerhetsverktøy, noe som forklarer hvorfor det tok dem flere måneder å oppdage aktiviteten. Ifølge Dwyer var dette «en ærlig feil,» men det viser problemet med at nye sikkerhetsverktøy ikke er kompatible med eldre AIX-maskiner.
Etter at serveren var kompromittert, installerte inntrengerne et webskall, hentet data og la til SSH-nøkler for ekstern tilgang. De samlet informasjon om nettverket og data tilgjengelig via delingstjenester. Flere ondsinnede programmer ble installert, inkludert Cobalt Strike og en rask omvendt proxy for å tunnelere tilbake til deres infrastruktur.
Kort tid etter ble inntrengerne oppdaget av selskapets sikkerhetsverktøy. De prøvde å hente ut minnet fra en Windows-server for å samle inn brukernavn og passord. Dette ble oppdaget og stoppet, og spionene ble fjernet fra nettverket. «Umiddelbart etter at vi hadde fjernet dem, startet et nytt angrep,» la Dwyer til. «Når de finner et verdifullt mål, vil de fortsette å prøve å komme inn igjen.»
Fra hjemmenettverk til nasjonal sikkerhet: USA strammer inn mot kinesisk kyberfare
