Австралийских ИТ-специалистов призывают защищаться от китайских угроз кибербезопасности

Австралийское управление связи и Австралийский центр кибербезопасности присоединились к учреждениям по кибербезопасности из США, Канады и Новой Зеландии, предупредив местных специалистов в области технологий о необходимости остерегаться угроз, связанных с Китаем, включая Salt Typhoon, которые могут проникнуть в их критически важную коммуникационную инфраструктуру.

Эта новость появилась через несколько недель после публикации Ежегодного отчета о киберугрозах за 2023–2024 годы Австралийского управления радиоэлектронной борьбы, в котором агентство предупредило, что спонсируемые государством киберпреступники в течение последнего отчетного периода постоянно атаковали австралийские правительства, критически важную инфраструктуру и предприятия, используя новые методы.

Что такое соляной тайфун?

Недавно США сообщили, что связанная с Китаем группировка Salt Typhoon взломала сети по меньшей мере восьми американских поставщиков телекоммуникационных услуг в рамках «широкой и масштабной кампании по кибершпионажу». Однако эта кампания не ограничивается территорией США.

Австралийские агентства не подтвердили, достиг ли Salt Typhoon австралийских телекоммуникационных компаний. Однако Грант Уолш, руководитель телекоммуникационной отрасли в местной фирме по кибербезопасности CyberCX, написал, что «вряд ли ACSC и партнерские агентства выпустили бы столь подробные указания, если бы угроза не была реальной».

«Телекоммуникационные сети инвестировали в некоторые из самых зрелых киберзащит в Австралии. Но глобальный ландшафт угроз ухудшается», — написал он. «Телекоммуникационные сети являются ключевой целью для постоянных и высокоэффективных государственных групп кибершпионажа, особенно тех, которые связаны с Китаем».

СМОТРИТЕ: Почему австралийские специалисты по кибербезопасности должны беспокоиться о спонсируемых государством кибератаках

Соляной тайфун: часть более масштабной угрозы, спонсируемой государством

За последний год Управление по кибербезопасности (ASD) выпустило несколько совместных рекомендаций с международными партнерами, чтобы привлечь внимание к развивающимся операциям спонсируемых государством киберпреступников, в частности, со стороны субъектов, спонсируемых Китаем.

В феврале 2024 года ASD присоединилось к США и другим международным партнерам в выпуске консультативного заключения. В нем говорилось, что спонсируемые Китаем киберпреступники пытались разместиться в сетях информационно-коммуникационных технологий для проведения разрушительных кибератак на критически важную инфраструктуру США в случае крупного кризиса.

ASD отметило, что австралийские сети критической инфраструктуры могут быть уязвимы для аналогичной спонсируемой государством вредоносной киберактивности, которая наблюдается в США.

«Эти субъекты проводят кибероперации, преследуя государственные цели, в том числе для шпионажа, оказания вредоносного влияния, вмешательства и принуждения, а также для того, чтобы заранее подготовить сети для проведения разрушительных кибератак», — говорится в отчете ASD.

СМОТРЕТЬ: Австралия принимает новаторский закон о кибербезопасности

В ежегодном киберотчете ASD агентство заявило, что выбор Китаем целей и модели поведения соответствует предварительному позиционированию для разрушительных эффектов, а не традиционным операциям по кибершпионажу. Однако оно заявило, что спонсируемые государством кибератаки также имеют цели по сбору информации и шпионажу в Австралии.

«Государственные субъекты имеют устойчивый интерес к получению конфиденциальной информации, интеллектуальной собственности и персонально идентифицируемой информации для получения стратегического и тактического преимущества», — говорится в отчете. «Австралийские организации часто хранят большие объемы данных, поэтому, вероятно, являются целью для такого рода деятельности».

Распространенные методы, используемые спонсируемыми государством злоумышленниками

По словам Уолша, спонсируемые Китаем группировки, такие как Salt Typhoon, являются «продвинутыми постоянными источниками угроз». В отличие от группировок, занимающихся вымогательством, они не стремятся к немедленной финансовой выгоде, а «хотят получить доступ к важным ключевым компонентам критической инфраструктуры, например, телекоммуникациям, для шпионажа или даже в разрушительных целях».

«Их атаки не направлены на блокировку систем и извлечение быстрой прибыли», — говорит Уолш. «Вместо этого, это скрытые, спонсируемые государством кампании кибершпионажа, которые используют труднообнаружимые методы, чтобы проникнуть внутрь критической инфраструктуры и оставаться там, возможно, годами. Они ждут, чтобы украсть конфиденциальные данные или даже нарушить или уничтожить активы в случае будущего конфликта с Австралией».

ASD предупредило правозащитников о распространенных методах, которые используют эти спонсируемые государством злоумышленники.

Компромиссы в цепочке поставок

По данным ASD, компрометация цепочек поставок может стать шлюзом для целевых сетей. Агентство отметило: «Управление рисками киберцепочек поставок должно стать важным компонентом общей стратегии кибербезопасности организации».

Методы жизни за счет земли

По данным ASD, одной из причин, по которой спонсируемых государством субъектов так трудно обнаружить, является то, что они используют «встроенные инструменты сетевого администрирования для достижения своих целей и избегания обнаружения, сливаясь с обычной деятельностью системы и сети». Эти так называемые методы «выживания за счет земли» подразумевают ожидание, чтобы украсть информацию из сети организации.

Облачные технологии

Спонсируемые государством субъекты угроз адаптируют свои методы для использования облачных систем для шпионажа, поскольку организации переходят на облачную инфраструктуру. ASD заявило, что методы доступа к облачным сервисам организации включают «атаки методом подбора и распыление паролей для доступа к высокопривилегированным учетным записям служб».

СМОТРИТЕ: Как ИИ меняет уравнение безопасности облака

Как защититься от киберугроз

Есть некоторые сходства в методах злоумышленников и слабостях систем, которые они используют. ASD заявило, что спонсируемые государством киберпреступники часто используют ранее украденные данные, такие как сетевая информация и учетные данные из предыдущих инцидентов кибербезопасности, для продолжения своих операций и повторной эксплуатации сетевых устройств.

К счастью, компании могут защитить себя от кибератак. Ранее в этом году TechRepublic объединил экспертные советы о том, как компании могут защитить себя от наиболее распространенных киберугроз, включая нулевые дни, программы-вымогатели и deepfakes. Эти предложения включали обновление программного обеспечения, внедрение решений по безопасности конечных точек и разработку плана реагирования на инциденты.