Chinese hackersgroepen blijven zich richten op Indiase elektriciteitsnetwerken

Activos de la red eléctrica india Nachrichten

Aan China gelinkte tegenstanders zijn toegeschreven aan een voortdurende aanval op Indiase elektriciteitsnetwerkorganisaties, een jaar nadat een gecoördineerde campagne gericht op kritieke infrastructuur in het land aan het licht kwam.

De meeste inbraken hadden betrekking op een modulaire achterdeur genaamd ShadowPad, volgens de Insikt Group van Recorded Future, een geavanceerde trojan voor externe toegang die een „meesterwerk van particulier verkochte malware in Chinese spionage“ wordt genoemd.

„ShadowPad wordt nog steeds gebruikt door een steeds groter aantal groepen die aan het Volksbevrijdingsleger (PLA) en het Ministerie van Staatsveiligheid (MSS) zijn gekoppeld, waarvan de oorsprong is gekoppeld aan bekende MSS-aannemers die de tool eerst in hun eigen operaties gebruiken en later waarschijnlijk optreden als een digitale kwartiermaker,“ de onderzoekers zei.

Het doel van de aanhoudende campagne, aldus het cyberbeveiligingsbedrijf, is om het verzamelen van inlichtingen met betrekking tot kritieke infrastructuursystemen te vergemakkelijken ter voorbereiding op toekomstige noodoperaties. De targeting wordt verondersteld te zijn begonnen in september 2021.

De aanvallen waren gericht op zeven State Load Despatch Centers (SDLC’s), voornamelijk gelegen in Noord-India, met name die dicht bij de betwiste grens tussen India en China in Ladakh, waarbij een van de doelen het slachtoffer werd van een soortgelijke aanval die in februari 2021 werd bekendgemaakt en toegeschreven aan de RedEcho-groep.

De RedEcho-aanvallen van 2021 omvatten het compromitteren van 10 verschillende Indiase organisaties in de energiesector, waaronder zes van de regionale en nationale laadcentra (RLDC), twee havens, een nationale elektriciteitscentrale en een onderstation.

Recorded Future koppelde de nieuwste reeks kwaadaardige activiteiten aan een opkomend dreigingscluster dat het volgt onder de naam Threat Activity Group 38, ook bekend als TAG-38 (vergelijkbaar met de UNC#### en DEV-#### aanduidingen gegeven door Mandiant en Microsoft), onder vermelding van „opmerkelijke verschillen“ van die van de eerder geïdentificeerde RedEcho TTP’s.

Naast de aanval op de activa van het elektriciteitsnet, had TAG-38 ook gevolgen voor een nationaal noodhulpsysteem en de Indiase dochteronderneming van een multinationaal logistiek bedrijf.

Hoewel de initiële infectievector die werd gebruikt om de netwerken te doorbreken onbekend is, werd de ShadowPad-malware op de hostsystemen gevorderd door middel van een netwerk van geïnfecteerde op internet gerichte DVR/IP-camera’s die zijn gelokaliseerd in Taiwan en Zuid-Korea.

„Het gebruik van ShadowPad in Chinese activiteitengroepen blijft in de loop van de tijd groeien, waarbij nieuwe clusters van activiteiten regelmatig worden geïdentificeerd met behulp van de achterdeur, evenals voortdurende acceptatie door eerder gevolgde clusters“, aldus de onderzoekers, eraan toevoegend dat het ten minste 10 verschillende groepen met toegang bewaakt. aan de malware.

Na de onthulling heeft de Indiase minister van Energie, RK Singh gekenmerkt de inbraken als mislukte „indringende pogingen“ tot hacking die plaatsvonden in januari en februari, en dat de regering voortdurend haar cyberbeveiligingsmechanismen herziet om de verdediging te versterken.

China, van zijn kant, herhaalde dat het „zich krachtig verzet tegen en alle vormen van cyberaanvallen bestrijdt“ en dat „cyberbeveiliging een gemeenschappelijke uitdaging is waarmee alle landen worden geconfronteerd en die gezamenlijk moeten worden aangepakt door middel van dialoog en samenwerking.“

„Onlangs hebben Chinese cyberbeveiligingsbedrijven een reeks rapportenwaaruit blijkt dat de Amerikaanse regering cyberaanvallen heeft uitgevoerd op veel landen over de hele wereld, waaronder China, waardoor de veiligheid van de kritieke infrastructuur van deze landen ernstig in gevaar komt‘, zegt Zhao Lijian, de woordvoerder van het Chinese ministerie van Buitenlandse Zaken. zei.

„Het is vermeldenswaard dat veel van de Amerikaanse bondgenoten of landen waarmee het samenwerkt op het gebied van cyberbeveiliging, ook het slachtoffer zijn van Amerikaanse cyberaanvallen. Wij zijn van mening dat de internationale gemeenschap, vooral de buurlanden van China, hun ogen wijd open zullen houden en hun eigen oordeel zullen vellen op de ware bedoelingen van de Amerikaanse kant.“

David
Rate author
Hackarizona