Zephyrnet-logo

Bugbountyprogramma's en hackwedstrijden versterken de Chinese cyberaanval

Datum:

De Chinese cyberveiligheidsexperts zijn de afgelopen tien jaar geëvolueerd van aarzelende deelnemers aan mondiale veroveringswedstrijden, exploitwedstrijden en bugbounty-programma’s tot dominante spelers in deze arena’s – en de Chinese overheid past deze buit toe in de richting van sterkere cyber-offensieve capaciteiten voor de natie.

In 2014 was Keen Team bijvoorbeeld de enige Chinese hackgroep die een prijs mee naar huis nam – goed voor 13% van de opbrengst – van de Pwn2Own-exploitwedstrijd. Maar in 2017 verzamelden zeven in China gevestigde teams 79% van het prijzengeld van de wedstrijd, volgens gegevens uit het rapport 'From Vegas to Chengdu Hacking Contests, Bug Bounties, and China's Offensive Cyber ​​Ecosystem', dat vorige week werd gepubliceerd. Het jaar daarop verbood China deelname aan westerse wedstrijden, omdat het de kwetsbaarheidsinformatie te belangrijk achtte voor de nationale veiligheid.

De civiele hackers hebben rechtstreeks geprofiteerd van de Chinese cyberoffensieve programma's en zijn een voorbeeld van het succes van de Chinese cyberbeveiligingspijplijn, die de regering heeft gecreëerd door haar eis dat alle kwetsbaarheden rechtstreeks aan de overheidsinstanties moeten worden gerapporteerd, zegt Eugenio Benincasa, senior onderzoeker bij het Centrum voor Security Studies (CSS) aan de ETH Zürich, en de auteur van het rapport.

“Door zichzelf strategisch te positioneren als de eindontvanger in de processen voor het openbaar maken van kwetsbaarheden van civiele onderzoekers, maakt de Chinese overheid op grote schaal en kosteloos gebruik van haar civiele kwetsbaarheidsonderzoekers, die tot de beste ter wereld behoren”, zegt hij.

De open source inlichtingenrapport komt terwijl de Verenigde Staten, Australië, Japan, Zuid-Korea en andere landen in de regio Azië-Pacific moeite hebben om de cyberverdediging tegen Chinese Advance Persistent Threat (APT)-groepen te verbeteren. Eerder dit jaar waarschuwden vooraanstaande Amerikaanse overheidsfunctionarissen dat China kritieke infrastructuur in gevaar bracht zijn militaire hackers voorbereiden op toekomstige conflicten. En in de onlangs ontdekte ‘Operatie Crimson Palace’ drie verschillende dreigingsteams in China voerden gecoördineerde aanvallen uit tegen een overheidsinstantie uit Zuidoost-Azië.

Een robuuste cyberpijplijn

Beginnend met universitaire 'capture-the-flag'-wedstrijden en eindigend met exploits die militaire cyberoperaties mogelijk maken, benadrukt de Chinese pijplijn voor het trainen van civiele hackers de voordelen van de focus van het land op praktische cyberbeveiliging. Het cyberoffensieve vermogen van China heeft ook aanzienlijk geprofiteerd van de handhaving van zijn regel voor het openbaar maken van kwetsbaarheden, de Regulations on the Management of Security Vulnerabilities in Network Products (RMSV). Beide programma's maken deel uit van China's algemene Militair-Civiele Fusie (MCF)-initiatief.

civiele hackers naar de pijplijn voor cyberoperaties

Door het groeiende aantal technische afgestudeerden te concentreren op het vinden van kwetsbaarheden, kunnen de offensieve mogelijkheden worden vergroot, zegt Chris Wysopal, Chief Technology Officer bij softwarebeveiligingsbedrijf Veracode.

“Daar zit een schaalverschil in. … Ze hebben een groot aantal technische afgestudeerden, en dat wordt benut om kwetsbaarheden in [westerse producten, zoals] Google Android te vinden”, zegt hij. “Dit laat zien dat de prikkels in hun voordeel werken, en daar zijn bewijzen voor.”

Er bestaan ​​twee groepen hackers binnen de cyber-offensieve ecosystemen van China. De eerste groep omvat kwetsbaarheidsonderzoekers en offensieve beveiligingsspecialisten die zich hebben onderscheiden door deel te nemen aan bugbounty-programma's en hackwedstrijden, zoals de Pwn2Own-wedstrijd en de Tianfu Cup, die werd opgericht als een in China gevestigd alternatief voor Pwn2Own.

De tweede groep bestaat uit gecontracteerde of professionele hackers die kwetsbaarheden als wapen gebruiken voor aanvallen op specifieke doelen. Exploits die door de eerste groep zijn ontwikkeld, zijn vaak ook door de tweede groep gebruikt. een feit dat eerder dit jaar werd besproken in het iSoon-lek.

In het verleden werden teams voor kwetsbaarheidsonderzoek doorgaans geassocieerd met technische groepen bij grote bedrijven, zoals Qihoo 360, dat uit minstens 19 teams bestaat; de Ant Group, die negen teams herbergt; en Tencent, dat minstens zeven onderzoeksgroepen heeft. Tegenwoordig maken de onderzoekers vaak deel uit van kleine cybersecuritybedrijven.

Chinese civiele hackers kregen aanvankelijk training door deel te nemen aan westerse capture-the-flag-wedstrijden en exploit-ontwikkelingswedstrijden, zoals Pwn2Own, evenals bugbounty-programma's. China beschikt nu over binnenlandse versies van de meeste van deze initiatieven en programma’s, vaak met financiële steun van vooraanstaande nationale technische universiteiten.

Supersterren op het gebied van cyberbeveiliging

Een handvol onderzoekers heeft belangrijke bijdragen geleverd aan de Chinese programma's, wat volgens het rapport de Chinese afhankelijkheid van een kleine groep onderzoekers onderstreept.

Meer dan 50% van de Google Android-kwetsbaarheden worden bijvoorbeeld toegeschreven aan Qihoo 360's Security Response Center (360 SRC), waarbij Han Zinuo als een van de bijdragers wordt genoemd. Toen Zinuo overstapte naar cyberbeveiligingsbedrijf Oppo, daalde het aantal inzendingen van 360 SRC en nam het aantal van Oppo toe, aldus het onderzoeksrapport. Op dezelfde manier was een andere onderzoeker, Yuki Chen, verantwoordelijk voor 68% van de inzendingen van Qihoo 360's Vulcan-onderzoeksgroep aan Microsoft, en toen hij in 2020 overstapte naar het boetiekbedrijf Cyber ​​Kunlun, zag het voormalige bedrijf een aanzienlijke daling van de kwetsbaarheden voor het bugbounty-programma van Microsoft, terwijl de laatste zag een stijging.

Over het geheel genomen is het aantal kwetsbaarheden dat Chinese bedrijven rapporteerden aan de drie grote Amerikaanse softwarebedrijven – Apple, Google en Microsoft – vanaf 2020 afgenomen. Hoewel dit erop zou kunnen wijzen dat Chinese bedrijven de kwetsbaarheden die ze ontdekten niet langer rapporteerden, viel dit ook samen met toenemende sancties van de Verenigde Staten, zoals de zwarte lijst van Qihoo 360 in mei 2020 vanwege de banden met het Chinese leger, aldus het rapport.

“Deze afname [in kwetsbaarheidsrapporten] heeft zorgen doen ontstaan ​​over het potentiële verlies van een belangrijk kanaal voor kwetsbaarheidsrapportage binnen het mondiale ecosysteem”, aldus het rapport.

Nadelen voor Defensie

Omdat Chinese teams hun deelname aan westerse hackcompetities hebben ingeperkt, hebben ze de competities aantoonbaar minder effectief gemaakt als defensieve strategie. In 2022 en 2023 hebben bijvoorbeeld geen teams geprobeerd de iPhone van Apple of de Pixel van Google te hacken tijdens de Pwn2Own-wedstrijd – dat was de eerste keer in 15 jaar voor de iPhone van Apple – wat aangeeft dat China nu alle exploits die zijn experts vinden als te waardevol beschouwt. publiekelijk demonstreren.

“De opmerkelijke afwezigheid van Chinese hackteams die gespecialiseerd zijn in het aanvallen van deze apparaten verklaart deze breuk veel beter dan de veronderstelling dat de iPhone en Pixel ondoordringbaar zijn geworden”, aldus het onderzoeksrapport. “Tegelijkertijd worden deze kwetsbaarheden zeer waarschijnlijk door de Chinese veiligheidsdiensten beoordeeld op mogelijk gebruik bij kwaadaardige cyberoperaties.”

Zelfs het tonen van dergelijke exploits zonder begeleidende details brengt het risico met zich mee dat aanvallers de kwetsbaarheden opnieuw gaan ontdekken, zegt Dustin Childs, hoofd dreigingsbewustzijn voor het Zero Day Initiative bij Trend Micro, dat de Pwn2Own-wedstrijd leidt.

"Ze zijn al op het podium gedemonstreerd, dus dreigingsactoren weten dat ze hun tijd niet verspillen aan het ongedaan maken van een patch die voor sommigen misschien niet meer kan worden uitgebuit", zegt hij. “Daarom nodigen wij leveranciers uit om deel te nemen aan de wedstrijd.”

Particuliere organisaties die zich bezighouden met exploits fungeren als signaalgever voor de kwetsbaarheidsmarkt. Exploiteer verkoper Zerodium biedt momenteel een betaaldag van $ 2.5 miljoen voor elke hacker die een zero-click-exploitketen vindt voor Google Android en $ 2 miljoen voor een soortgelijke aanval op iOS.

China's eigen hackwedstrijden

Ondertussen scheidt China zich verder af van de mondiale informatie-infrastructuur en verplaatst het zijn infrastructuur naar in eigen land ontwikkelde technologie. Het is niet verrassend dat de pijplijn op het gebied van cyberbeveiliging dit voorbeeld volgt, waarbij enkele grote exploitcompetities zich steeds meer op Chinese producten richten.

Op de lange termijn zal China twee wegen moeten volgen, zegt Benincasa.

“We zien een interessante verschuiving in de Chinese hackcompetities, waarbij de nadruk meer ligt op hun eigen producten, terwijl tegelijkertijd een sterke interesse in westerse producten behouden blijft”, zegt hij, en voegt eraan toe: “China's strategische bedoeling is om aanwezig te blijven in de westerse wereld. internationale producten voor offensieve doeleinden, gezien de expertise van de hackers in het aanvallen van westerse producten, terwijl ze zich tegelijkertijd richten op binnenlandse producten voor defensieve doeleinden, omdat dit geleidelijk de afhankelijkheid van Amerikaanse leveranciers vermindert.”

spot_img

Laatste intelligentie

spot_img