Από ότι όλα δείχνουν η Κίνα εμπλέκεται σε νέα προσπάθεια κυβερνοεπίθεσης κατά των ΗΠΑ. Αξιωματούχοι των μυστικών υπηρεσιών, ενημερώνουν πως η κυβέρνηση Μπάιντεν κυνηγάει ήδη έναν κακόβουλο κώδικα που πιστεύει πως οι Κινέζοι έχουν κρύψει βαθιά στο δίκτυο που ελέγχει το ρεύμα, τα συστήματα επικοινωνιών και τις προμήθειες νερού που τροφοδοτούν τις στρατιωτικές βάσεις των ΗΠΑ σε όλο τον κόσμο.

Συγκεκριμένα, σύμφωνα με τους New York Times, η ανακάλυψη του κακόβουλου λογισμικού έχει αυξήσει τους φόβους ότι Κινέζοι χάκερ, που πιθανόν εργάζονται για τον Λαϊκό Απελευθερωτικό Στρατό, έχουν εισάγει κώδικα σχεδιασμένο να διαταράξει τις στρατιωτικές επιχειρήσεις των ΗΠΑ σε περίπτωση σύγκρουσης, μεταξύ άλλων εάν το Πεκίνο κινηθεί εναντίον της Ταϊβάν τα επόμενα χρόνια.

ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ

Νέα στρατιωτική βοήθεια των ΗΠΑ στην Ταϊβάν με δεδομένη την οργή της Κίνας

Μία «ωρολογιακή βόμβα» έτοιμη να πλήξει τις αμερικανικές βάσεις

Το κακόβουλο λογισμικό, δήλωσε ένας αξιωματούχος του Κογκρέσου, ήταν ουσιαστικά «μια ωρολογιακή βόμβα» που θα μπορούσε να δώσει στην Κίνα τη δύναμη να διακόψει ή να επιβραδύνει τις αμερικανικές στρατιωτικές αναπτύξεις ή τις επιχειρήσεις ανεφοδιασμού, διακόπτοντας την παροχή ρεύματος, νερού και επικοινωνιών στις αμερικανικές στρατιωτικές βάσεις. Αλλά ο αντίκτυπός της θα μπορούσε να είναι πολύ ευρύτερος, επειδή οι ίδιες υποδομές συχνά τροφοδοτούν τα σπίτια και τις επιχειρήσεις των απλών Αμερικανών, σύμφωνα με Αμερικανούς αξιωματούχους.

Οι πρώτες δημόσιες ενδείξεις για το κακόβουλο λογισμικό άρχισαν να εμφανίζονται στα τέλη Μαΐου, όταν η Microsoft δήλωσε ότι είχε εντοπίσει μυστηριώδη κώδικα υπολογιστή σε συστήματα τηλεπικοινωνιών στο Γκουάμ, το νησί του Ειρηνικού στο οποίο βρίσκεται μια τεράστια αμερικανική αεροπορική βάση, αλλά και σε άλλες περιοχές στις Ηνωμένες Πολιτείες. Αλλά αυτό αποδείχθηκε ότι ήταν μόνο το ένα κομμάτι του προβλήματος που η Microsoft μπορούσε να δει μέσα από τα δίκτυά της. 

Ξεκίνησε η ενημέρωση του Κογκρέσου

Περισσότεροι από δώδεκα Αμερικανοί αξιωματούχοι και εμπειρογνώμονες του κλάδου δήλωσαν σε συνεντεύξεις τους τελευταίους δύο μήνες ότι η κινεζική προσπάθεια υπερβαίνει κατά πολύ τα συστήματα τηλεπικοινωνιών και προϋπήρχε της έκθεσης του Μαΐου κατά τουλάχιστον ένα χρόνο. Είπαν ότι η προσπάθεια της αμερικανικής κυβέρνησης να κυνηγήσει τον κώδικα και να τον εξαλείψει έχει ξεκινήσει εδώ και αρκετό καιρό. Οι περισσότεροι μίλησαν υπό τον όρο της ανωνυμίας για να συζητήσουν εμπιστευτικές και σε ορισμένες περιπτώσεις διαβαθμισμένες εκτιμήσεις.

Λένε ότι οι μέχρι τώρα έρευνες δείχνουν ότι η κινεζική προσπάθεια εμφανίζεται πιο διαδεδομένη – στις Ηνωμένες Πολιτείες και σε αμερικανικές εγκαταστάσεις στο εξωτερικό – από ό,τι είχαν αρχικά αντιληφθεί. Αλλά οι αξιωματούχοι αναγνωρίζουν ότι δεν γνωρίζουν την πλήρη έκταση της παρουσίας του κώδικα σε δίκτυα σε όλο τον κόσμο, εν μέρει επειδή είναι τόσο καλά κρυμμένος.

Αξιωματούχοι της κυβέρνησης Μπάιντεν άρχισαν να ενημερώνουν τα μέλη του Κογκρέσου, ορισμένους κυβερνήτες πολιτειών και εταιρείες κοινής ωφέλειας σχετικά με τα ευρήματα και επιβεβαίωσαν ορισμένα συμπεράσματα σχετικά με την επιχείρηση σε συνεντεύξεις τους στους New York Times. Υπάρχει μια συζήτηση στο εσωτερικό της κυβέρνησης σχετικά με το αν ο στόχος της επιχείρησης αποσκοπεί πρωτίστως στην αναστάτωση του στρατού ή ευρύτερα στην πολιτική ζωή σε περίπτωση σύγκρουσης. Αλλά οι αξιωματούχοι λένε ότι οι αρχικές έρευνες για τον κωδικό επικεντρώθηκαν πρώτα σε περιοχές με υψηλή συγκέντρωση αμερικανικών στρατιωτικών βάσεων.

Ποιες εταιρείες «χτυπάει» ο κώδικας

Ο κινεζικός κώδικας, λένε οι αξιωματούχοι, φαίνεται να απευθύνεται σε συνηθισμένες επιχειρήσεις κοινής ωφέλειας που εξυπηρετούν τόσο τον άμαχο πληθυσμό όσο και τις κοντινές στρατιωτικές βάσεις. Μόνο οι πυρηνικές εγκαταστάσεις της Αμερικής διαθέτουν αυτόνομα συστήματα επικοινωνίας, ηλεκτρικό ρεύμα και αγωγούς νερού. (Ο κώδικας δεν έχει βρεθεί σε διαβαθμισμένα συστήματα. Οι αξιωματούχοι αρνήθηκαν να περιγράψουν τα μη διαβαθμισμένα στρατιωτικά δίκτυα στα οποία βρέθηκε ο κώδικας).

Ακόμη, οι αξιωματούχοι λένε ότι αν το κακόβουλο λογισμικό ενεργοποιηθεί, δεν είναι σαφές πόσο αποτελεσματικό θα ήταν στην επιβράδυνση μιας αμερικανικής αντίδρασης – και ότι η κινεζική κυβέρνηση μπορεί να μην το γνωρίζει, επίσης. Σε συνεντεύξεις, αξιωματούχοι δήλωσαν ότι πιστεύουν ότι σε πολλές περιπτώσεις οι επικοινωνίες, τα δίκτυα υπολογιστών και τα δίκτυα ηλεκτρικής ενέργειας θα μπορούσαν να αποκατασταθούν γρήγορα μέσα σε λίγες ημέρες.

Αλλά οι αναλυτές των υπηρεσιών πληροφοριών έχουν καταλήξει στο συμπέρασμα ότι η Κίνα μπορεί να πιστεύει ότι υπάρχει χρησιμότητα σε οποιαδήποτε διασπαστική επίθεση που θα μπορούσε να επιβραδύνει την αμερικανική αντίδραση. 

Ποιος κρύβεται πίσω από την επίθεση

Η αρχική ανακάλυψη της Microsoft στο Γκουάμ – όπου βρίσκονται σημαντικές βάσεις της Πολεμικής Αεροπορίας και των Πεζοναυτών των ΗΠΑ – αποδόθηκε σε μια κινεζική κρατική ομάδα χάκερ, η οποία λέγεται Volt Typhoon.

Μια προειδοποίηση από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών του Υπουργείου Εσωτερικής Ασφάλειας, την Εθνική Υπηρεσία Ασφαλείας και άλλους φορείς που εκδόθηκε την ίδια ημέρα ανέφερε επίσης ότι το κακόβουλο λογισμικό προερχόταν από την κρατικά χρηματοδοτούμενη κινεζική ομάδα χάκερ που «ζει από τη γη».

Η φράση αυτή σημαίνει ότι απέφευγε τον εντοπισμό της αναμειγνύοντας την κανονική δραστηριότητα του υπολογιστή, η οποία διεξάγεται από εξουσιοδοτημένους χρήστες. Αλλά η προειδοποίηση δεν περιέγραφε άλλες λεπτομέρειες της απειλής. Οι Αμερικανοί εμπειρογνώμονες κυβερνοασφάλειας είναι σε θέση να αφαιρέσουν μέρος του κακόβουλου λογισμικού, αλλά ορισμένοι αξιωματούχοι δήλωσαν ότι υπάρχουν ανησυχίες ότι οι Κινέζοι θα μπορούσαν να χρησιμοποιήσουν παρόμοιες τεχνικές για να ανακτήσουν γρήγορα την πρόσβαση.

Τι μπορεί να προκαλέσει η αφαίρεση του λογισμικού

Η αφαίρεση του κακόβουλου λογισμικού Volt Typhoon ενέχει επίσης τον κίνδυνο να υποδείξει στις ολοένα και πιο ταλαντούχες δυνάμεις hacking της Κίνας τι εισβολές είναι σε θέση να βρουν οι Ηνωμένες Πολιτείες και τι τους διαφεύγει. Εάν συμβεί αυτό, η Κίνα θα μπορούσε να βελτιώσει τις τεχνικές της και να είναι σε θέση να μολύνει εκ νέου τα στρατιωτικά συστήματα με ακόμη πιο δύσκολο να βρεθεί λογισμικό.

Μιλώντας νωρίτερα αυτό το μήνα σε μια σύνοδο κορυφής των μυστικών υπηρεσιών, ο Τζορτζ Μπαρνς, αναπληρωτής διευθυντής της Εθνικής Υπηρεσίας Ασφαλείας, δήλωσε ότι οι επιθέσεις Volt Typhoon κατέδειξαν πόσο πιο εξελιγμένη έχει γίνει η Κίνα στη διείσδυση στα δίκτυα του κυβερνητικού και του ιδιωτικού τομέα.

Ο κ. Μπαρνς είπε ότι αντί να εκμεταλλεύεται ελαττώματα στο λογισμικό για να αποκτήσει πρόσβαση, η Κίνα είχε βρει τρόπους να κλέβει ή να μιμείται τα διαπιστευτήρια των διαχειριστών συστημάτων, των ανθρώπων που διαχειρίζονται τα δίκτυα υπολογιστών. Από τη στιγμή που αυτά είναι στα χέρια τους, οι Κινέζοι χάκερ έχουν ουσιαστικά την ελευθερία να πάνε οπουδήποτε σε ένα δίκτυο και να εμφυτεύσουν τον δικό τους κώδικα.

Οκτώ εφαρμογές (apps) για κινητά Android εντόπισε ένας ειδικός ασφαλείας από τη Γαλλία, ο Μαξίμ Ινγκράο, τα οποία περιέχουν malware, δηλαδή κακόβουλο λογισμικό που μπορεί να υποκλέπτει δεδομένα και έτσι καλεί όσους τις έχουν να τις απεγκαταστήσουν άμεσα.

Οι εφαρμογές εντοπίστηκαν να περιέχουν το κακόβουλο λογισμικό Autolycos, το οποίο χρησιμεύει για υποκλοπή δεδομένων, σύμφωνα με τον Μαξίμ Ινγκράο, ο οποίος αναφέρει ότι η Google καθυστέρησε 6 μήνες να τις αφαιρέσει από το Play Store των android κινητών.

Σημειώνεται, επίσης, ότι οι συγκεκριμένες 8 εφαρμογές είχαν πάνω από 2 εκατομμύρια downloads. Είναι οι:

• Vlog Star Video Editor (com.vlog.star.video.editor, 1 εκατ. «κατεβάσματα»)
• Creative 3D Launcher (app.launcher.creative3d, 1 εκατ. «κατεβάσματα»)
• Wow Beauty Camera (com.wowbeauty.camera, 100,000 «κατεβάσματα»)
• Gif Emoji Keyboard (com.gif.emoji.keyboard, 100,000 «κατεβάσματα»)
• Razer Keyboard & Theme (com.razer.keyboards, 10,000 «κατεβάσματα»)
• Freeglow Camera 1.0.0 (com.glow.camera.open, 5,000 «κατεβάσματα»)
• Coco Camera v1.1 (com.toomore.cool.camera, 1,000 «κατεβάσματα»)

Ο ειδικός ασφαλείας συμβουλεύει, επίσης, τους κατόχους smartphones να μην κατεβάζουν εφαρμογές μέσω links από διαφημίσεις.

Ειδικοί σε θέματα κυβερνοασφάλειας, ανακάλυψαν ένα νέο επικίνδυνο κακόβουλο λογισμικό που στοχεύει συσκευές Android.

Το 2021, οι ερευνητές ανακάλυψαν ένα κακόβουλο λογισμικό με την ονομασία ERMAC που επιτίθεται σε συσκευές Android.

Τώρα, οι ειδικοί κυβερνοασφάλειας της εταιρείας ESET διαπίστωσαν ότι μια νέα έκδοση του τραπεζικού trojan – με την ονομασία ERMAC 2.0 – είναι ενεργή.

Το κακόβουλο λογισμικό στοχεύει συσκευές Android μέσω 467 εφαρμογών που κλέβουν τα διαπιστευτήρια των χρηστών και τις τραπεζικές πληροφορίες.

Το ERMAC 2.0 το κάνει αυτό υποδυόμενο δημοφιλείς και γνήσιες εφαρμογές, σύμφωνα με τους ειδικούς σε θέματα κυβερνοασφάλειας.

Η Cyble Research Labs διαπίστωσε επίσης ότι οι απειλητικοί φορείς μπορούν να νοικιάσουν το κακόβουλο λογισμικό έναντι μιας βαριάς μηνιαίας αμοιβής ύψους 5.000 δολαρίων.

Το ERMAC 1.0, το οποίο ανακαλύφθηκε επίσημα τον Αύγουστο του 2021, χρησιμοποιούσε 378 εφαρμογές και ενοικιαζόταν για 3.000 δολάρια το μήνα.

«Παρατηρήσαμε ότι το ERMAC 2.0 παραδίδεται μέσω ψεύτικων ιστότοπων», σημειώνει η Cyble Labs σε ανάρτηση στο blog της.

Οι ειδικοί πρόσθεσαν ότι το EMRAC 2.0 εξαπλώνεται επίσης μέσω ψεύτικων τοποθεσιών ενημέρωσης του προγράμματος περιήγησης.

Πώς λειτουργεί το κακόβουλο λογισμικό που κλέβει κωδικούς στα Android

Μόλις κάποιος εγκαταστήσει το ERMAC 2.0 μέσω μιας απατηλής εφαρμογής, το κακόβουλο λογισμικό ζητάει έως και 43 άδειες από τη συσκευή του.

Αυτές οι άδειες, αν χορηγηθούν, μπορεί να επιτρέψουν στους κακούς παράγοντες να πάρουν τον πλήρη έλεγχο της συσκευής του θύματος.

Μπορούν επίσης, να δώσουν στους χάκερ πρόσβαση σε SMS, πρόσβαση σε επαφές, δημιουργία παραθύρου ειδοποίησης συστήματος, ηχογράφηση ή πλήρη πρόσβαση ανάγνωσης και εγγραφής στον αποθηκευτικό χώρο.

Ακόμα, μπορούν να δημιουργήσουν μια λίστα με τις εφαρμογές που είναι εγκατεστημένες στη συσκευή του θύματος και να μοιραστούν αυτά τα δεδομένα με τον διακομιστή C2 του χάκερ, σύμφωνα με το Tech Radar.

Αυτό μπορεί να οδηγήσει σε ένα σύνθετο σχέδιο ηλεκτρονικού ψαρέματος που συλλέγει τα δεδομένα του χρήστη κάθε φορά που προσπαθεί να συνδεθεί στην προσβεβλημένη εφαρμογή.

Ορισμένες σελίδες ηλεκτρονικού ψαρέματος (phishing) που χρησιμοποιούνται για την εξαπάτηση των θυμάτων, περιλαμβάνουν τραπεζικές εφαρμογές όπως η bitbank της Ιαπωνίας, η IDBI Bank της Ινδίας, η Greater Bank της Αυστραλίας και η Santander Bank με έδρα τη Βοστώνη, σύμφωνα με το Phone Arena.

Πώς να προστατευτείτε

Διάφοροι περιορισμοί που τίθενται μέσω της Υπηρεσίας Προσβασιμότητας προστατεύουν τις συσκευές με Android 11 και 12, σύμφωνα με το BleepingComputer.

Ωστόσο, συνιστάται στους χρήστες να αποφεύγουν τη λήψη εφαρμογών εκτός του Play Store της Google.

Ακόμη και αν μια εφαρμογή βρίσκεται στο Play Store της Google, οι χρήστες θα πρέπει να βρίσκονται σε εγρήγορση σχετικά με τη νομιμότητά της.

Δυο μήνες μετά τις αποκαλύψεις  για τις παρακολουθήσεις πολιτών από την ΕΥΠ και λίγες μέρες μετά το δημοσίευμα των ReportersUnited για την έκτακτη τροπολογία που ψήφισε η κυβέρνηση τον προηγούμενο Μάρτιο, σύμφωνα με την οποία η ΕΥΠ μπορεί να παρακολουθεί τον οποιονδήποτε και αυτός να μην το μάθει ποτέ, ένα νέο αποκλειστικό ρεπορτάζ  βασισμένο σε δυο νέες αποκαλυπτικές έρευνες, του καναδικού ινστιτούτου CitizenLab και του Meta, δηλαδή του Facebook- από το «Inside Story» και  την Ελίζα Τριανταφύλλου, δείχνει ότι οι πελάτες του κακόβουλου λογισμικού κατασκοπίας Predator στην Ελλάδα στόχευσαν μεταξύ άλλων και ενημερωτικά sites.

Σύμφωνα με την έρευνα του Citizen Lab το λογισμικό κατασκοπίας Predator αναπτύχθηκε από μία μικρή και σχεδόν άγνωστη start-up της Βόρειας Μακεδονίας με την επωνυμία Cytrox, η οποία ανήκει σε Ισραηλινό επιχειρηματία.

Το Citizen Lab στο πλαίσιο της έρευνάς του για το spyware Predator κατέληξε ότι μεταξύ των πελατών του Ισραηλινού επιχειρηματία πιθανώς να συγκαταλέγεται και η ελληνική κυβέρνηση.

Ξεχωριστή έρευνα από το Meta για τη βιομηχανία των κυβερνομισθοφόρων που δημοσιεύθηκε ξανά στις 16 Δεκεμβρίου κατέληξε σε παρόμοιο συμπέρασμα. Το Citizen Lab είχε μοιραστεί με το Meta τα ευρήματα της δικής του έρευνας για το Predator.

«Η έρευνά μας εντόπισε πελάτες στην Αίγυπτο, την Αρμενία, την Ελλάδα, τη Σαουδική Αραβία, το Ομάν, την Κολομβία, την Ακτή Ελεφαντοστού, το Βιετνάμ, τις Φιλιππίνες και τη Γερμανία. Στους στόχους της Cytrox και των πελατών της περιλαμβάνονται πολιτικοί και δημοσιογράφοι σε όλο τον κόσμο, συμπεριλαμβανομένης της Αιγύπτου και της Αρμενίας», αναφέρει η έκθεση της Meta.

(Our investigation identified customers in Egypt, Armenia, Greece, Saudi Arabia, Oman, Colombia, Côte d’Ivoire, Vietnam, the Philippines, and Germany. Targets of Cytrox and its customers included politicians and journalists around the world, including in Egypt and Armenia.)

Η έρευνα της ομάδας ασφαλείας του Meta οδήγησε στον αποκλεισμό περίπου 300 λογαριασμών από τις πλατφόρμες του Facebook και του Instagram που σχετίζονταν με την Cytrox.

Κυρίως αποκάλυψε ένα ευρύ πλέγμα domains που θεωρείται ότι η Cytrox χρησιμοποίησε για να πλαστογραφήσει νόμιμες ειδησεογραφικές οντότητες στις χώρες ενδιαφέροντος και να μιμηθεί νόμιμες υπηρεσίες συντόμευσης URLs και μέσα κοινωνικών δικτύων, ώστε να «μολύνει» με το κατασκοπευτικό λογισμικό της τους χρήστες-στόχους.

Το σχετικό παράρτημα της έρευνας του Meta περιλαμβάνει περισσότερες από 310 πλαστές ιστοσελίδες. Εξ αυτών οι 42 φαίνεται να στήθηκαν αποκλειστικά για να παραπλανήσουν ενδεχόμενους στόχους εντός Ελλάδας.

Ολόκληρο το ρεπορτάζ εδώ:

Πηγή: koutipandoras.gr