Chiny gromadzą luki zabezpieczeń. Znalezione błędy w oprogramowaniu trzeba zgłaszać państwu

Microsoft twierdzi, że możliwości przeprowadzania ataków sieciowych przez Chiny poprawiły się dzięki zmianom przepisów, które umożliwiły Pekinowi zgromadzenie niezgłoszonych luk w zabezpieczeniach oprogramowania.

Wprowadzone w zeszłym roku przepisy wymagają zgłaszania wykrytych luk w zabezpieczeniach lokalnym władzom, zanim zostaną przekazane producentowi oprogramowania. Oznacza to, że rząd Chin może posiadać sporą bibliotekę nieujawnionych podatności. Wskazywać na to może znaczny spadek zgłaszania luk w zabezpieczeniach z Państwa Środka właśnie po wprowadzeniu nowych przepisów i jednocześnie wzrost anonimowych raportów.

Rząd gromadzi i wykorzystuje odnalezione luki w zabezpieczeniach oprogramowania. Prawo nakazuje zgłaszać wykryte luki władzy. Od momentu wprowadzenia przepisów mocno spadła ilość zgłaszanych błędów z Chin, które przodują w wykorzystywaniu exploitów zero-day.

„Wzmożone wykorzystanie zero-day w ciągu ostatniego roku przez chińskich hakerów prawdopodobnie odzwierciedla pierwszy pełny rok chińskich wymogów ujawniania luk w zabezpieczeniach dla chińskiej społeczności bezpieczeństwa oraz duży krok w wykorzystywaniu exploitów zero-day jako priorytetu państwowego”. powiedział Microsoft. Cyberprzestępcy z Chin są "szczególnie biegli" w wykrywaniu i wykorzystywaniu exploitów zero-day.

Microsoft wymienił kilka luk, które według niego zostały opracowane i wdrożone przez Chińczyków, zanim zostały odkryte i zaadoptowane przez innych atakujących. Ataki te obejmują CVE-2021-35211 SolarWinds Serv-U, CVE-2021-40539 Zoho ManageEngine ADSelfService Plus, CVE-2021-44077 Zoho ManageEngine ServiceDesk Plus, CVE-2021-42321 Microsoft Exchange i CVE-2022-26134 Confluence. Według Microsoftu, Chiny zintensyfikowały swoje szpiegostwo i cyberataki mające na celu kradzież informacji, aby przeciwdziałać próbom USA zwiększenia swoich wpływów w Azji Południowo-Wschodniej.