Kiinan valtion tukemilla hakkereilla onlöysi uuden tavan piiloutuaheidän jälkiään. He kaappaavat kodin ja toimiston päivittäisiä laitteita peittääkseen haitalliset toimintansa. Ison-Britannian kansallinen kyberturvallisuuskeskus soitti juuri hälytyksiä yhdeksän muun maan rinnalla.
Tämä ei ole vain uusi kyberuhkien varoitus. Se edustaa perustavanlaatuista muutosta Kiinan hakkerointioperaatioiden toiminnassa. Nämä ryhmät ovat siirtyneet pois yksittäin ostetusta infrastruktuurista. Nyt he luottavat laajoihin vaarantuneiden laitteiden verkkoihin, jotka kuuluvat tavallisille ihmisille ja yrityksille.
Kaapatut kodin laitteet syöttävät valtavia vakoiluverkkoja
TheNCSC-UK julkaistiinyhteinen neuvonantaja Yhdysvaltojen, Australian, Kanadan, Saksan, Japanin, Alankomaiden, Uuden-Seelannin, Espanjan ja Ruotsin virastojen kanssa. Varoitus tekee selväksi, että suurin osa kiinalaisista hakkerointiryhmistä on vaihtanut taktiikkaa.
Nämä uhkatoimijat hallitsevat nyt valtavia robottiverkkoja, jotka koostuvat pääasiassa pienistä toimisto- ja kotitoimiston reitittimistä. Videonauhurit, Internet-käyttöiset kamerat ja NAS-laitteet (verkkoon liitetyt tallennuslaitteet) muodostavat myös nämä verkot.
Hakkerit käyttävät näitä suuria bottiverkkoja reitittäessään liikennettä vaarantuneiden laitteiden ketjujen läpi. Ne tulevat verkkoon yhdessä pisteessä, kulkevat useiden välisolmujen läpi ja poistuvat lähellä aiottua kohdetta. Tämä tekniikka tekee maantieteellisestä havaitsemisesta lähes mahdotonta.
"NCSC uskoo, että suurin osa Kiina-yhteyden uhkien toimijoista hyödyntää näitä verkkoja, että useita salaisia verkkoja on luotu ja niitä päivitetään jatkuvasti ja että yksi peiteverkko voisi olla useiden toimijoiden käytössä", yhteisessä neuvonnassa todetaan.
Nämä verkot koostuvat pääasiassa vaarantuneista Small Office Home Office (SOHO) -reitittimistä sekä esineiden Internetistä (IoT) ja älylaitteista.
FBI häiritsee massiivisia kiinalaisia botnet-operaatioita
Yksi erityisen suuri kiinalainen botnetnimeltään Raptor Traintartunnan saaneet yli 260 000 laitetta maailmanlaajuisesti vuonna 2024. FBI yhdisti tämän verkon haitalliseen toimintaan, joka johtui Kiinan valtion tukemasta Flax Typhoon -hakkerointiryhmästä. Tutkijat liittivät sen myös kiinalaiseen Integrity Technology Groupiin (jonka viranomaiset hyväksyivät tammikuussa 2025).
Syyskuussa 2024 FBI tuhosi Raptor-junan "Black Lotus Labsin" tutkijoiden avun ansiosta. Tutkijat linkittivät botnetin tapahtumiin, jotka kohdistuivat useiden alojen kokonaisuuksiin. Näitä olivat armeija, hallitus, korkeakoulutus, televiestintä, puolustusteollisuus ja IT-alat. Hyökkäykset kohdistuivat ensisijaisesti järjestöihin Yhdysvalloissa ja Taiwanissa.
Erillinen verkko, KV-Botnet, palveli Kiinan valtion tukemia Volt Typhoon -huonoja toimijoita. Tämä bottiverkko sisälsi ensisijaisesti haavoittuvia Netgear- ja Cisco-reitittimiä, jotka olivat vanhentuneita eivätkä enää saaneet tietoturvakorjauksia.
Tammikuussa 2024 FBI tuhosi KV-Botnetin puhdistamalla haittaohjelmat vaarantuneista reitittimistä. Volt Typhoon alkoi kuitenkin vähitellen elpyä marraskuussa 2024 ensimmäisen epäonnistuneen yrityksen jälkeen helmikuussa.
NCSC-UK:n toimintajohtaja Paul Chichester käsitteli tämän uhan vakavuutta. "Botnet-operaatiot muodostavat merkittävän uhan Isolle-Britannialle, koska ne hyödyntävät jokapäiväisten Internetiin kytkettyjen laitteiden haavoittuvuuksia, jotka voivat suorittaa laajamittaisia kyberhyökkäyksiä", Chichester selitti.
Miten organisaatiot voivat suojella itseään
Mukaan osallistuvien länsimaisten tiedusteluryhmien mukaan perinteiset suojat, jotka perustuvat haitallisten IP-osoitteiden staattisten luetteloiden estoon, ovat menettämässä voimaa. Nämä botnet-verkot lisäävät jatkuvasti uusia vaarantuneita solmuja, jolloin kiinteät estoluettelot vanhentuvat lähes välittömästi.
Riskit ulottuvat valtion tukemien hyökkäysten, pimeän verkon datan ulkopuolellevenäläisen lippujättiläisen Kassy.ru kaatopaikkaosoittaa, että kaupalliset alustat ovat yhtä haavoittuvia tietomurroille, jotka paljastavat asiakastietoja, mikä korostaa vahvojen turvatoimien tarvetta riippumatta siitä, onko uhka valtion tukema vai rikollinen.
Virastot suosittelevat pienten, keskisuurten ja suurten organisaatioiden verkoston puolustajia ottamaan useita erityistoimenpiteitä. Niiden tulisi ottaa käyttöön monitekijätodennus kaikissa järjestelmissä. Organisaatioiden on kartoitettava verkon reunalaitteet ymmärtääkseen hyökkäyspinnansa.
Puolustajien tulisi hyödyntää dynaamisia uhkasyötteitä piiloverkkojen indikaattoreilla. Organisaatioiden tulisi ottaa käyttöön IP-sallitut luettelot estoluetteloiden sijaan. Nollaluottamuksen hallinta tarjoaa paremman suojan tässä ympäristössä. Konevarmenteen vahvistus lisää toisen suojakerroksen.
Siirtyminen botnet-pohjaiseen infrastruktuuriin osoittaa, kuinka kehittyneitä Kiinan hakkerointitoiminnasta on tullut. Nämä ryhmät eivät enää luota helposti tunnistettavissa oleviin palvelimiin tai IP-osoitteisiin. Sen sijaan ne piiloutuvat miljoonien vaarantuneiden kuluttajalaitteiden taakse. Laitteet näyttävät laillisilta, koska ne ovat laillisia (vain kaapattu). Tämä tekee havaitsemisesta uskomattoman vaikeaa perinteisillä menetelmillä.