Čínski hackeri sa zamerali na indickú energetickú sieť uprostred geopolitického napätia

Uprostred zvýšeného napätia na hraniciach medzi Indiou a Čínou odhalili výskumníci kybernetickej bezpečnosti koordinovanú kampaň proti kritickej infraštruktúre Indie, vrátane národnej energetickej siete, zo strany čínskych štátom sponzorovaných skupín.

Útoky, ktoré sa časovo zhodovali s konfliktom medzi oboma krajinami v máji 2020, sa zamerali na celkovo 12 organizácií, z ktorých 10 je v sektore výroby a prenosu energie.

„10 rôznych organizácií indického energetického sektora, vrátane štyroch z piatich regionálnych stredísk odoslania záťaže (RLDC) zodpovedných za prevádzku elektrickej siete prostredníctvom vyrovnávania ponuky a dopytu po elektrickej energii, bolo identifikovaných ako ciele v koordinovanej kampani proti kritickej infraštruktúre Indie,“ Recorded Future uviedol vo včera zverejnenej správe. „Zahrnuté sú aj ďalšie identifikované ciele 2 indické námorné prístavy.”

Medzi hlavné obete patrí elektráreň prevádzkovaná spoločnosťou National Thermal Power Corporation (NTPC) Limited a Power System Operation Corporation Limited so sídlom v New Delhi.

Vyšetrovatelia zo skupiny Insikt Group, ktorá sa zaoberá kybernetickou bezpečnosťou, upozorňujú na prieniky do novej skupiny s názvom „RedEcho“ a uviedli, že malvér nasadený aktérom hrozby zdieľa silnú infraštruktúru a viktimologické prekrývanie s inými čínskymi skupinami APT41 (aka Barium, Winnti alebo Wicked Panda) a Tonto. tím.

Konflikty na hraniciach sa rozhoreli od minulého roka po smrteľných stretoch medzi indickými a čínskymi vojakmi v údolí Galwan v Ladaku. Kým pri zrážkach zahynulo 20 indických vojakov, Čína 19. februára po prvý raz oficiálne identifikovala štyri obete na svojej strane.

V uplynulých mesiacoch indická vláda zakázala viac ako 200 čínskych aplikácií za údajné zapojenie sa do aktivít, ktoré predstavovali hrozbu pre „národnú bezpečnosť a obranu Indie, čo v konečnom dôsledku zasahuje do suverenity a integrity Indie“.

Poznamenávajúc, že ​​pat medzi oboma krajinami sprevádzala zvýšená špionážna aktivita na oboch stranách, Recorded Future uviedol, že útoky z Číny zahŕňali použitie infraštruktúry, ktorú sleduje ako AXIOMATICASYMPTOTE, ktorá zahŕňa modulárny Windows backdoor s názvom ShadowPad, ktorý bol predtým pripísaný APT41 a následne zdieľaný medzi ďalšími čínskymi štátom podporovanými aktérmi.

Okrem toho správa tiež vyvoláva otázky o možnom spojení medzi potýčkami a výpadkom elektriny, ktorý vlani v októbri ochromil Bombaj.

Zatiaľ čo počiatočné vyšetrovanie kybernetického oddelenia západoindického štátu Maharashtra sledovalo útok na malvér identifikovaný v State Load Despatch Centre so sídlom v Padgha, výskumníci uviedli, že „údajná súvislosť medzi výpadkom a objavením nešpecifikovaného variantu malvéru zostáva nepodložené.“

“Toto zverejnenie však poskytuje ďalšie dôkazy naznačujúce koordinované zacielenie indických stredísk odoslania nákladu,” dodali.

Zaujímavé je, že tieto kybernetické útoky boli opísané ako pochádzajúce z Chengdu, ktoré je tiež základňou pre sieťovú technologickú spoločnosť s názvom Chengdu 404 Network Technology Company, ktorá fungovala ako zástera pre desaťročie trvajúce hackerské vyčíňanie zamerané na viac ako 100 high-tech a online herných spoločností. .

Nie je to však len Čína. V týždňoch, ktoré viedli k stretom v máji, štátom podporovaná skupina s názvom Sidewinder – ktorá pôsobí na podporu indických politických záujmov – údajne vybrala čínske vojenské a vládne entity v útoku spear-phishing pomocou návnad súvisiacich s COVID- 19 alebo územné spory medzi Nepálom, Pakistanom, Indiou a Čínou.

Odhliadnuc od modus operandi, zistenie je ďalšou pripomienkou toho, prečo je kritická infraštruktúra naďalej lukratívnym cieľom pre protivníka, ktorý chce odrezať prístup k základným službám, ktoré využívajú milióny ľudí.

“Vniknutia sa prekrývajú s predchádzajúcim indickým energetickým sektorom zameraným na čínske skupiny hroziacich aktivít v roku 2020, ktoré tiež používali infraštruktúru AXIOMATICASYMPTOTE,” uzavreli vedci. “Zameranie na indický elektrický systém preto pravdepodobne naznačuje trvalý strategický zámer získať prístup k indickej energetickej infraštruktúre.”

Oslovili sme indický tím pre počítačovú núdzovú reakciu (CERT-IN) a ak sa nám ozve, aktualizujeme správu.

AKTUALIZOVAŤ

Veľký výpadok prúdu, ktorý zasiahol Bombaj minulý október, mohol byť výsledkom úmyselného činu kybernetickej sabotáže, podľa predbežnej správy zverejnenej v stredu Maharashtra Cyber ​​Cell, ktorá dodala, že našla možné dôkazy o 14 „trójskych koňoch“ a 8 GB nevysvetliteľné údaje nasadené v mestskom energetickom systéme. Čína vo vyhlásení pre agentúru Reuters poprela zodpovednosť za spáchanie útoku.