Denne side giver et overblik over Cybersecurity and Infrastructure Security Agency’s (CISA’s) vurdering af den kinesiske regerings ondsindede cyberaktiviteter. Oversigten udnytter offentligt tilgængelige open source-efterretninger og oplysninger om denne trussel. Denne side indeholder også en komplet liste over relaterede CISA-publikationer, hvoraf mange er forfattet i fællesskab med andre amerikanske regeringsorganer (Bemærk: medmindre det specifikt er angivet, tilskrev hverken CISA eller den amerikanske regering specifik aktivitet beskrevet i de refererede kilder til kinesiske regeringsaktører). Derudover indeholder denne side instruktioner om, hvordan du rapporterer relateret trusselsaktivitet og informer os gerne på info@icare.dk
Den kinesiske regering – officielt kendt som Folkerepublikken Kina (KINA) – engagerer sig i ondsindede cyberaktiviteter for at forfølge sine nationale interesser. Ondsindede cyberaktiviteter, der tilskrives den kinesiske regering, målrettede og fortsætter med at målrette mod en række industrier og organisationer i USA, herunder sundhedspleje, finansielle tjenester, forsvarsindustriel base, energi, offentlige faciliteter, kemisk, kritisk fremstilling (herunder bilindustrien og rumfart), kommunikation, IT (herunder administrerede tjenesteudbydere), international handel, uddannelse, videospil, trosbaserede organisationer og advokatfirmaer. Derudover afslører rådgivninger udgivet af CISA og andre uklassificerede kilder, at Kina udfører operationer over hele verden for at stjæle intellektuel ejendom og følsomme data fra kritiske infrastrukturorganisationer, herunder organisationer, der er involveret i sundheds-, farmaceutiske og forskningssektorer, der arbejder med COVID-19-respons.
Ifølge det amerikanske kontor for direktøren for National Intelligence 2021 årlig trusselsvurdering,
“Kina udgør en produktiv og effektiv cyberspionagetrussel, besidder betydelige cyberangrebskapaciteter og udgør en voksende indflydelsestrussel.”
Vurderingen fastslår, at
“Kina kan iværksætte cyberangreb, der som minimum kan forårsage lokaliserede, midlertidige forstyrrelser af kritisk infrastruktur i USA.” Derudover hedder det i vurderingen, at
“Kinas cyberspionageoperationer har inkluderet kompromitterende telekommunikationsvirksomheder, udbydere af administrerede tjenester og bredt anvendt software og andre mål, der potentielt er rige på opfølgende muligheder for indsamling af efterretninger, angreb eller påvirkningsoperationer.”
Seneste amerikanske regeringsrapport om kinesisk ondsindet cyberaktivitet
Den 6. oktober 2022 udgav CISA, NSA og FBI en rådgivning for at levere de bedste almindelige sårbarheder og eksponeringer (CVE’er), der er brugt siden 2020 af Folkerepublikken Kina (Kina).
Afsnittet Kinesisk ondsindet cyberaktivitet nedenfor viser alle CISA-rådgivninger, advarsler og malwareanalyserapporter (MAR’er) om kinesiske ondsindede cyberaktiviteter.
Kinesisk ondsindet cyberaktivitet
Meget af oplysningerne i de vejledninger, advarsler og MAR’er, der er anført nedenfor, er resultatet af analytiske bestræbelser mellem CISA, det amerikanske forsvarsministerium (DoD) og Federal Bureau of Investigation (FBI) for at give tekniske detaljer om de værktøjer og infrastruktur, der bruges af kinesiske statsstøttede cyberaktører. Publikationerne nedenfor indeholder beskrivelser af kinesisk ondsindet cyberaktivitet, tekniske detaljer og anbefalede afbødninger. Brugere og administratorer skal markere aktivitet, der er knyttet til oplysningerne i de produkter, der er anført i tabel 1 nedenfor, rapportere aktiviteten til CISA eller FBI Cyber Watch (CyWatch) og give aktiviteten højeste prioritet for forbedret afhjælpning.
Tabel 1: CISA og fælles CISA-publikationer
| Dato for offentliggørelse | Titel | Beskrivelse |
| Oktober 6, 2022 | Fælles cybersikkerhedsrådgivning: Top CVE’er, der aktivt udnyttes af Folkerepublikken Kina statsstøttede cyberaktører: Top CVE’er aktivt udnyttet af Folkerepublikken Kina statsstøttede cyberaktører | CISA, NSA og FBI udgav en rådgivning for at levere de bedste almindelige sårbarheder og eksponeringer (CVE’er), der er brugt siden 2020 af Folkerepublikken Kina (Kina). |
| 7. juni 2022 | Fælles cybersikkerhedsrådgivning: Folkerepublikken Kina Statsstøttede cyberaktører udnytter netværksudbydere og enheder | CISA, NSA og FBI udgav en rådgivning, der beskriver de måder, hvorpå Kinas statsstøttede cyberaktører fortsætter med at udnytte offentligt kendte sårbarheder for at etablere et bredt netværk af kompromitteret infrastruktur. |
| Marts 20, 2021 | Fælles cybersikkerhedsrådgivning: Kinesisk kampagne for indtrængen i gasrørledninger, 2011 til 2013 | CISA og FBI udgav en rådgivning, der gav oplysninger om en spearphishing- og indtrængenskampagne udført af statsstøttede kinesiske aktører, der fandt sted fra december 2011 til 2013, rettet mod amerikanske olie- og naturgasrørledningsselskaber (ONG). |
| Marts 19, 2021 | Fælles cybersikkerhedsrådgivning: TTP’er for anklagede APT40-aktører tilknyttet Kinas MSS Hainan State Security Department | CISA og FBI udgav en rådgivning for at hjælpe netværksforsvarere med at identificere og afhjælpe APT40-indtrængen og etablerede fodfæste. Se justitsministeriets pressemeddelelse af 19. juli 2021. |
| Marts 19, 2021 | Fælles cybersikkerhedsrådgivning: Kinesiske observerede TTP’er | CISA, NSA og FBI udgav en rådgivning, der beskriver kinesisk cybertrusselsadfærd og tendenser og giver afbødninger for at hjælpe med at beskytte den føderale regering; statslige, lokale, stamme- og territoriale regeringer; kritisk infrastruktur, forsvarsindustriel base og private industriorganisationer. |
| Marts 19, 2021 | Fælles CISA Insights: Kinesisk cybertrusselsoversigt for ledere | CISA, NSA og FBI udgav en fælles CISA Insights for at hjælpe ledere med at forstå denne trussel, og hvordan man reducerer deres organisations risiko for at blive offer for cyberspionage og datatyveri. |
| Marts 03, 2021 | CISA-advarsel: Afhjælp microsoft Exchange Server-sårbarheder | CISA-partnere observerede aktiv udnyttelse af sårbarheder i Microsoft Exchange Server-produkter. Denne advarsel indeholder taktik, teknikker og procedurer og indikatorer for kompromis i forbindelse med denne aktivitet. Se erklæringen fra Det Hvide Hus den 19. juli 2021. |
| 1. oktober 2020 | CISA-advarsel: Potentiale for Kinas cyberrespons på øgede spændinger mellem USA og Kina | I lyset af øgede spændinger mellem USA og Kina udgav CISA en advarsel, der gav specifik kinesisk regering og tilknyttede cybertrusselsaktører taktikker, teknikker og procedurer (TTP’er). Advarslen indeholder også anbefalede afbødninger til cybersikkerhedssamfundet for at hjælpe med beskyttelsen af vores nations kritiske infrastruktur. |
| Marts 14, 2020 | Fælles cybersikkerhedsrådgivning: Kinesisk ministerium for statssikkerhedstilknyttet cybertrusselsaktøraktivitet | CISA har konsekvent observeret kinesiske statsministeriums (MSS) tilknyttede cybertrusselsaktører ved hjælp af offentligt tilgængelige informationskilder og almindelige, velkendte TTP’er til at målrette mod amerikanske regeringsorganer. Denne rådgivning identificerer nogle af de mere almindelige TTP’er, der anvendes af cybertrusselsaktører, herunder dem, der er tilknyttet den kinesiske MSS. |
| Udgivet d. 3. marts 2020 | MAR-10292089-1.v2 – Kinesisk fjernadgang Trojan: TAIDOOR | CISA, FBI og DoD udgav en MAR, der beskriver kinesiske regeringsaktører, der bruger malware-varianter i forbindelse med proxyservere for at opretholde en tilstedeværelse på offernetværk og til yderligere netværksudnyttelse. |
| Maj 13, 2020 | CISA og FBI Joint Public Service Announcement: Folkerepublikken Kina (KINA) Målretning af COVID-19 forskningsorganisationer | CISA og FBI udsendte en public service-meddelelse, der advarede sundheds-, farmaceutiske og forskningssektorer, der arbejder på COVID-19-reaktionen om sandsynlig målretning og forsøg på netværkskompromis fra Kina. |
| Marts 2019 | CISA-webinar: Kinesisk cyberaktivitet rettet mod administrerede tjenesteudbydere CISA Webinar Slide Deck: Kinesisk cyberaktivitet rettet mod administrerede tjenesteudbydere | CISA leverede et webinar om kinesiske statsstøttede cyberaktører rettet mod administrerede tjenesteudbydere (MSP’er) og deres kunder. Denne kampagne kaldes CLOUD HOPPER. |
| 3. oktober 2018 | CISA-advarsel: Avanceret vedvarende trusselsaktivitet, der udnytter administrerede tjenesteudbydere CISA-advarsel: Brug af streng legitimationskontrol for at afbøde pålidelig netværksudnyttelse | Disse advarsler omhandler CLOUD HOPPER-kampagnen. Siden maj 2016 har APT-aktører brugt forskellige TTP’er til at forsøge at infiltrere netværkene af globale MSP’er med henblik på cyberspionage og tyveri af intellektuel ejendom. APT-aktører har målrettet ofre i flere amerikanske kritiske infrastruktursektorer, herunder IT, Energi, Sundhedspleje og Folkesundhed, Kommunikation og Kritisk Produktion. |
| Marts 27, 2017 | CISA-advarsel: Indtrængen, der påvirker flere ofre på tværs af flere sektorer | Denne advarsel indeholder oplysninger om en kampagne, hvor kinesiske regerings cybertrusselsaktører udnyttede tillidsforhold mellem it-tjenesteudbydere – såsom MSP’er og cloud-tjenesteudbydere – og deres kunder. Kinesiske cyberaktører tilknyttet den kinesiske MSS gennemførte en kampagne med cyberaktiveret tyveri rettet mod globale teknologitjenesteudbydere og deres kunder. Aktørerne fik adgang til flere amerikanske og globale it-tjenesteudbydere og deres kunder i et forsøg på at stjæle intellektuel ejendom og følsomme data fra virksomheder i mindst 12 lande. |
Rapportér aktivitet relateret til denne trussel
CISA opfordrer alle organisationer til hurtigst muligt at rapportere yderligere oplysninger relateret til denne trussel. Brugere og administratorer skal markere tilknyttet aktivitet, rapportere aktiviteten til CISA (se nedenfor) eller FBI Cyber Watch (CyWatch) og give aktiviteten højeste prioritet for forbedret afhjælpning.
- 1-888-282-0870 (Uden for USA: +1-703-235-8832)
- Central@cisa.gov (UNCLASS) gerne med kopi til info@icare.dk
CISA opfordrer dig til at rapportere enhver mistænkelig aktivitet, herunder cybersikkerhedshændelser, mulig ondsindet kode, softwaresårbarheder og phishing-relateret svindel. Indberetningsformularer findes på gennemførelseskonventionens hjemmeside på https://www.us-cert.cisa.gov/.
Afhjælp og registrer denne trussel
CISA anbefaler, at brugere og administratorer gennemgår publikationerne i afsnittet Kinesisk ondsindet cyberaktivitet samt følgende ressourcer til beskrivelser af taktikker og teknikker forbundet med denne trussel og anbefalede afbødninger og detektioner. Derudover anbefaler CISA, at brugere og administratorer gennemgår CISA’s apts targeting IT Service Provider Customers webside for at få vejledning i beskyttelse mod kinesisk ondsindet aktivitet rettet mod administrerede tjenesteudbydere og deres kunder. Bemærk: Medmindre det specifikt er angivet, tilskrev hverken CISA eller den amerikanske regering specifikke aktiviteter, der er beskrevet i de refererede kilder, til kinesiske regeringsaktører.
Reager på en hændelse
CISA anbefaler, at brugere og administratorer konsulterer joint advisory, technical approaches to uncovering and remediating malicious activity, som beskriver tekniske tilgange til afdækning af ondsindet aktivitet og omfatter afhjælpningstrin i henhold til bedste praksis. Denne fælles rådgivning er resultatet af en samarbejdsforskningsindsats fra cybersikkerhedsmyndighederne i fem nationer: Australien, Canada, New Zealand, Storbritannien og USA.
Referencer
[1] Det amerikanske kontor for direktøren for National Intelligence | Årlige | for trusselsvurdering 2021 Marts 9, 2021 | Url: https://www.dni.gov/files/ODNI/documents/assessments/ATA-2021-Unclassified-Report.pdf
KILDE: ICARE.DK og CISA.GOV
Fotokredit: CISA & ICARE