Februárban az FBI más szövetségi hivatalokkal közösen adott ki figyelmeztetést a növekvő kínai kiberfenyegetések miatt. A Nikkei és a Trend Micro most számszerűsítette is ezt a növekedést, amely a gazdasági lap cikke szerint összefügghet egy 2021-ben bevezetett szabállyal: a sérülékenységkutatóknak minden felfedezett hibát be kell jelenteniük 48 órán belül egy állami szervnél. Így Peking lényegében a "fehér kalapos" hekkereket is mozgósíthatja kibertámadási képességeinek erősítéséhez.
A gazdasági portál a Trend Micro segítségével több mint 220 szoftver sebezhetőségeit vizsgálta meg. Olyan szoftvereket választottak, melyek ismert és bejelentett sérülékenységét már kihasználták Pekinghez köthető támadásokban.
A bejelentési kötelezettség bevezetése előtti évben 16 ilyen támadást találtak az OTX (Open Threat Exchange) adatbázisában. 2022-ben számuk 267-re, egy évvel később pedig 502-re nőtt. 2024 első féléve egyelőre a tavalyihoz hasonlít, június végéig 242 esetet regisztráltak.
A Trend Micro egy szakértője azt mondta a lapnak, hogy a hekkerek támadási módja is megváltozott: míg korábban adathalászattal indították az akciókat, 2021 óta inkább a sebezhetőségek kiaknázására építenek. Ez a váltás egyébként az orosz hekkerek támadásainál szintén megfigyelhető. A Trend Micro szakértője szerint őket többek között a Microsoft terelte ebbe az irányba azzal, hogy 2022-ben szigorúbb intézkedéseket hozott az adathalász támadások megelőzése érdekében.
Nem mindegy, kihez mikor jut el az infó
A kínai fehér kalaposokat egyébként ma a világ legjobbjai között tartják számon. Ezt többek között az olyan hekkerversenyeken elért eredményeik igazolták, mint a Pwn2Own. A 2014-es versenyen még csak a kifizetett díjak 13 százalékát vitték haza Kínából érkezett csapatok, három évvel később már a négyötödét.
2018 óta azonban tilos részt venniük nyugati szervezésű versenyeken, csak kínai megfelelőjén, a szintén államilag felügyelt Tianfu Cupon indulhatnak. Azóta nagyon leszűkölt a szervezett kapcsolat a kínai fehér kalaposok és a világ többi hibavadásza között. A Tianfu Cup eredményei, azaz a feltárt sérülékenységek pedig egyenesen mennek a kormányhoz.
Tegyük hozzá azonban, hogy a támadások sikerességéhez kell némi önkéntes segítség a felhasználói oldaltól is. A folyamat ugyanis így néz ki:
A sérülékenységvadász (aki dolgozhat kiberbiztonsági cégeknél vagy szabadúszóként) a felfedezett biztonsági rést bejelenti a fejlesztőnek, és mellékeli a megfelelő dokumentációt. A fejlesztő megvizsgálja a sérülékenységet, hogy az valóban kihasználható-e a hibavadász által leírt módon, majd súlyossága függvényében jutalmat fizet az első felfedezőnek. Utána elkészíti a javítást, amit elküld a felhasználóinak, egyúttal nyilvánosságra hozza a sürülékenységet, hogy arról a legszélesebb kör szerezhessen tudomást.
Arra azonban már nincs ráhatása, hacsak nem automatikus frissítési metódust alkalmaz, hogy a felhasználók telepítik-e a patch-et.
De nem csak a felhasználó lehet trehány: volt olyan ismert Linux-sérülékenység, melyhez felfedezése után 8 évvel adtak ki javítást. A sérülékenységbejelentő platform, a ZDI (Zero Day Initiative) 2022-ben a hasonló esetek miatt szigorította a nyilvánosságra hozatali szabályait, hogy nagyobb nyomást gyakorolhasson a szoftvergyártókra.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?