Το FBI κατάφερε να διακόψει ένα εκτεταμένο botnet, που συνδεόταν με μια κινεζική ομάδα απειλών και στόχευε πανεπιστήμια, κυβερνητικές υπηρεσίες και άλλους οργανισμούς στις ΗΠΑ. Το botnet, που αποδίδεται στην ομάδα Flax Typhoon, είχε παραβιάσει πάνω από 200.000 συσκευές, κυρίως κάμερες, καταγραφικά βίντεο και δρομολογητές Internet.
Η απειλή του Botnet
Η ομάδα Flax Typhoon χρησιμοποίησε αυτές τις παραβιασμένες συσκευές για να διεξάγει επιθέσεις DDoS και να κλέψει ευαίσθητες πληροφορίες από εκπαιδευτικούς και κυβερνητικούς φορείς στις ΗΠΑ. Το γεγονός αυτό οδήγησε την πενταμελή συμμαχία πληροφοριών Five Eyes να εκδώσει κοινή προειδοποίηση, καλώντας τους οργανισμούς να λάβουν αυξημένα προστατευτικά μέτρα.
Ο Ρόλος του FBI και του Υπουργείου Δικαιοσύνης
Ο διευθυντής του FBI, Chris Wray, κατά τη διάρκεια της ομιλίας του στο Aspen Cyber Summit, ανακοίνωσε ότι το FBI και το Υπουργείο Δικαιοσύνης των ΗΠΑ κατάφεραν να καταλάβουν την υποδομή του botnet. Από τις 200.000 παραβιασμένες συσκευές, οι μισές βρίσκονταν στις ΗΠΑ.
Ο Wray εξήγησε ότι η ομάδα Flax Typhoon παρουσιάζεται ως εταιρεία ασφάλειας πληροφοριών, με το όνομα “Integrity Technology Group”, αλλά στην πραγματικότητα λειτουργεί σε στενή συνεργασία με την κινεζική κυβέρνηση. Οι παραβιασμένες συσκευές περιλαμβάνουν τόσο οικιακά όσο και επαγγελματικά συστήματα δικτύωσης, τα οποία χρησιμοποιήθηκαν για την κλοπή ευαίσθητων πληροφοριών.
Συγκρίσεις με το Volt Typhoon
Ο Wray σημείωσε ότι η τακτική του Flax Typhoon έχει ομοιότητες με μια άλλη κινεζική ομάδα, τη Volt Typhoon, η οποία επίσης χρησιμοποίησε συσκευές συνδεδεμένες στο Διαδίκτυο για να δημιουργήσει ένα botnet. Ωστόσο, το botnet του Flax Typhoon κατάφερε να θέσει σε κίνδυνο μια ευρύτερη γκάμα συσκευών, πέρα από τους δρομολογητές που συνήθως στοχεύει το Volt Typhoon.
Κατασκοπεία και Κινέζικες κυβερνητικές συνδέσεις
Το FBI και το Υπουργείο Δικαιοσύνης έλαβαν ένταλμα για την κατάσχεση της υποδομής του botnet, αλλά δεν αποκάλυψαν συγκεκριμένα τους στόχους, περιοριζόμενοι σε γενικές κατηγορίες όπως πανεπιστήμια, κρατικές υπηρεσίες, τηλεπικοινωνιακούς παρόχους, εταιρείες μέσων ενημέρωσης και μη κυβερνητικούς οργανισμούς.
Παρά την επιτυχία της επιχείρησης, ο Wray προειδοποίησε ότι οι απειλές από την Κίνα παραμένουν ενεργές και θα συνεχίσουν να στοχεύουν κρίσιμες υποδομές των ΗΠΑ, είτε άμεσα είτε μέσω πληρεξουσίων τους. Η κινεζική κυβέρνηση, σύμφωνα με τον Wray, θα συνεχίσει να αναζητά ευκαιρίες για να παραβιάζει αμερικανικούς οργανισμούς, προσπαθώντας να αποκτήσει πρόσβαση σε πολύτιμες πληροφορίες.
Το ιστορικό της ομάδας Flax Typhoon
Σύμφωνα με τη Microsoft, η ομάδα Flax Typhoon δραστηριοποιείται από το 2021, αν και ορισμένες αναφορές δείχνουν ότι η δράση της ξεκίνησε ήδη από το 2020. Στην αρχή, η ομάδα εστίασε κυρίως σε κυβερνητικούς φορείς, εκπαιδευτικά ιδρύματα, κρίσιμους τομείς παραγωγής και οργανισμούς πληροφορικής στην Ταϊβάν. Στη συνέχεια, οι στόχοι της επεκτάθηκαν σε άλλες περιοχές, όπως η Νοτιοανατολική Ασία, η Αφρική και η Βόρεια Αμερική.
Η τακτική της ομάδας περιλαμβάνει κυρίως τη χρήση παραδοσιακών τεχνικών επίθεσης, όπως πλευρική κίνηση και συλλογή διαπιστευτηρίων, με σκοπό την κατασκοπεία και τη διατήρηση πρόσβασης στα συστήματα που έχουν παραβιάσει. Σύμφωνα με τη Microsoft, η ομάδα δεν έχει δείξει ακόμη ότι επιδιώκει να εκτελέσει επιθετικές ενέργειες στους στόχους που έχει αποκτήσει πρόσβαση, αλλά η απειλή παραμένει υπαρκτή.
Προστατευτικά μέτρα για οργανισμούς
Σε κοινή συμβουλευτική ανακοίνωση, το Υπουργείο Δικαιοσύνης των ΗΠΑ, το NCSC και άλλες διεθνείς υπηρεσίες προτείνουν στους οργανισμούς να λάβουν προληπτικά μέτρα για την προστασία τους από πιθανές επιθέσεις. Οι προτάσεις περιλαμβάνουν την απενεργοποίηση αχρησιμοποίητων υπηρεσιών και θυρών, την εφαρμογή τμηματοποίησης δικτύου, την παρακολούθηση για μεγάλους όγκους κίνησης στο δίκτυο, την τακτική εγκατάσταση ενημερώσεων ασφαλείας, την αντικατάσταση προεπιλεγμένων κωδικών πρόσβασης και την επανεκκίνηση συσκευών σε τακτά χρονικά διαστήματα.
Συμπέρασμα
Η επιτυχής επιχείρηση του FBI αποτελεί μια σημαντική νίκη στον πόλεμο κατά των διαδικτυακών απειλών, αλλά η μάχη συνεχίζεται. Οι οργανισμοί πρέπει να είναι προετοιμασμένοι να ενισχύσουν τα μέτρα ασφαλείας τους και να συνεργαστούν στενά με τις αρχές για την αντιμετώπιση αυτών των εξελιγμένων απειλών.
Η προστασία των κρίσιμων υποδομών και των ευαίσθητων πληροφοριών παραμένει κορυφαία προτεραιότητα, καθώς οι κυβερνοεπιθέσεις που συνδέονται με κράτη συνεχίζουν να εξελίσσονται και να γίνονται πιο επικίνδυνες.
