Čínské kyberšpionážní skupiny APT15 (Vixen Panda, Ke3chang) a APT31 (Zirconium, Judgment Panda) byly označeny v Cyber Briefu německé zpravodajské služby BfV (Bundesamt für Verfassungsschutz, Spolkový úřad pro ochranu ústavy) jako skupiny, které zneužívají SOHO zařízení pro státem řízené kybernetické operace zaměřené především na vládní a politické instituce.
Útočníci v této kampani využili SOHO zařízení (pozn. zkratka pro small office, home office), která se běžně využívají k vytvoření malých domácích sítí tvořených několika počítači, tiskárnami, telefony, aj.
U těchto zařízení lze vzhledem k jejich povaze očekávat, že budou vůči takovým útokům obzvláště zranitelná, pokud nejsou dostatečně aktualizována nebo pokud výrobce ukončil jejich podporu (EoL=”End-of-life”).
Ti, kterých se zneužití týká, nemají možnost si kompromitace všimnout, neboť nedochází k žádnému odpojení nebo jiným abnormalitám v síťovém provozu. Díky velkému množství infikovaných zařízení dochází k vytvoření sofistifikovaných obfuskačních sítí, velmi podobným komerčním VPN sítím, díky kterým mohou útočníci pomocí dvou až tří mezikroků proniknout do sítí svých obětí.
Schématické znázornění anonymizační sítě (Cyber Brief, BfV)
Infrastruktura zobrazená na obrázku velmi ztěžuje odhalení aktivit APT útočníků díky vysoce konfigurovaným proxy sítím složeným z kompromitovaných zařízení, které skupině umožňují často infrastrukturu měnit a zároveň se vyhnout odhalení detekčními mechanismy.
Ačkoli BfV neuvádí žádné oběti, německojazyčné zpravodajské zdroje (Der Standart, Der Spiegel, ZDF) uvádějí, že APT15 použila síť napadených routerů ke kompromitaci Spolkové agentury pro kartografii a geodézii (BKG), která analyzuje satelitní snímky a vytváří velmi podrobné mapy pro německé ministerstvo vnitra. Kompromitace se uskutečnila v prosinci 2021, což potvrdila forenzní síťová analýza, a síť byla od té doby rekonstruována.
Tento incident a aktivity spojené s APT15 znepokojily německou BfV natolik, že v rámci mezinárodní spolupráce vznikla společná, avšak utajená zpráva k APT15, do níž svými poznatky přispělo nejméně 12 zemí.
Kromě APT15, která přitahuje pozornost útoky na diplomatické cíle a komerční podniky, se zpráva zmiňuje i o APT31. Kampaň APT31 zaměřená na zneužívání SOHO zařízení, především routerů (jednalo o routery Pakedge, Cisco, SOPHOS CYBERROAM), byla již v dubnu 2021 atribuována francouzskou ANSSI (Agence nationale de la sécurité des systèmes d’information, Národní úřad pro bezpečnost informačních systémů).
Cyber Brief obsahuje i řadu preventivních rad, jak minimalizovat rizika spojená s čínskými kybernetickými aktéry, které spočívají především v instalaci aktualizací a výměně zastaralých zařízení, která již nejsou výrobci podporována.
Zdroje:BfV, Der Standart, Der Spiegel, ZDF