Vanuit China opererende spionagegroepen maken gebruik van een reeks technieken, tactieken en procedures om bij overheidsinstanties, bedrijven en onderwijsinstellingen in te breken, zo stellen de Amerikaanse geheime dienst NSA, de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security in een vandaag verschenen document (pdf).
Vandaag werden ook vier Chinese staatsburgers aangeklaagd die deel zouden uitmaken van één van deze groepen, aangeduid als APT40. Deze groep wordt verdacht van een jarenlange spionagecampagne gericht tegen overheidsinstanties, bedrijven en onderwijsinstellingen, waarbij allerlei handelsgeheimen en vertrouwelijke bedrijfsinformatie werd gestolen.
De Amerikaanse autoriteiten hebben nu een overzicht gegeven van technieken en tactieken die APT40 toepaste en die door Chinese spionagegroepen in het algemeen zouden worden toegepast. Bij de aanvallen wordt gebruik gemaakt van onder andere kwetsbaarheden in populaire applicaties zoals Pulse Secure VPN, Apache, F5 Big-IP en producten van Microsoft.
Deze beveiligingslekken worden soms enkele dagen nadat ze bekend zijn gemaakt aangevallen, aldus de NSA. Daarnaast maken de aanvallers ook gebruik van spearphishing, drive-by downloads via gecompromitteerde websites en typosquatting. Ook het gebruik van gecompromitteerde inloggegevens is een veel toegepaste techniek. Zodra er toegang tot een systeem is verkregen wordt geprobeerd het verdere netwerk te compromitteren en installeren de aanvallers allerlei soorten malware.
In het document geven de NSA, FBI en het CISA vervolgens ook adviezen en mitigatiemaatregelen om dergelijke aanvallen tegen te gaan, waaronder het tijdig installeren van beveiligingsupdates, het gebruik van multifactorauthenticatie, het uitschakelen van het remote desktop protocol (RDP) wanneer het niet wordt gebruikt, wat ook geldt voor PowerShell. Tevens wordt het laden van remote dll-bestanden afgeraden en wordt er uitgebreid geadviseerd over het monitoren van systemen en verkeer.
De drie Amerikaanse overheidsinstanties roepen organisaties op om de aanbevelingen in het document toe te passen en zo de kans op "kwaadaardige Chinese cyberactiviteiten" te verkleinen en de verdediging van vitale netwerken te versterken.
Deze posting is gelocked. Reageren is niet meer mogelijk.