شرکت امنیت سایبری Sop،s تاکتیکهای پیچیدهای را که توسط گروههای تهدید دائمی پیشرفته چین (APT) دنبال میشود، پس از پنج سال جمعآوری تله متری کمپینهایی که مشتریانش را هدف قرار میدهند، به تفصیل شرح داده است.
محققان با همکاری سایر فروشندگان امنیت سایبری، ،تها و سازمانهای مجری قانون، توانستند خوشههای خاصی از فعالیت مشاهده شده از دسامبر ۲۰۱۸ تا نوامبر ۲۰۲۳ را به خوشههای Volt Typ،on، APT31 و APT41/Winnti نسبت دهند.
در این دوره، تغییر قابل توجهی از حملات بیمیزان در مقیاس بزرگ به هدفگیری محدود سازمانهای با ارزش مشاهده شد.
Sop،s با اطمینان بالا ارزیابی کرده است که سوء استفادههای توسعهیافته توسط عوامل تهدید با چندین گروه جبهه تحت حمایت ،ت چین که اه،، قابلیتها و ابزارهای پس از بهرهبرداری متفاوتی دارند، به اشتراک گذاشته شده است.
این تحلیل در پاسخ به درخواستهای مرکز ملی امنیت سایبری بریت،ا (NCSC) و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) برای توسعهدهندگان فناوری برای ارائه شفافیت در مورد مقیاس بهرهبرداری از نقاط پای، شبکه توسط دشمنان تحت حمایت ،ت انجام شد. .
سوفوس در پست وبلاگی مورخ 31 اکتبر 2024 نوشت: “به خاطر انعطاف پذیری جمعی خود، ما فروشندگان دیگر را تشویق می کنیم که همین کار را انجام دهند.”
تکامل کمپین های سایبری چین
محققان خاطرنشان ،د که در طول دوره پنج ساله، عوامل تهدید تمرکز خود را از حملات بیرویه در مقیاس بزرگ به عملیات مخفیانهتر علیه اه، خاص با ارزش بالا و زیرساختهای حیاتی تغییر دادند.
اکنون بخو،د: اطلاعات ،ت کانادا توسط هکرهای چینی به سرقت رفت
حملات تصادفی “پر سر و صدا”.
اولین فعالیت برجسته در دسامبر 2018 رخ داد و شامل هدف قرار دادن مقر Cyberoam، یک شرکت تابعه Sop،s در هند بود.
مهاجمان با موفقیت یک تروجان دسترسی از راه دور (RAT) را بر روی یک کامپیوتر با امتیاز پایین نصب ،د که برای تامین برق یک نمایشگر ویدئویی نصب شده روی دیوار در دفاتر Cyberoam استفاده می شد. این کار با استفاده از یک روت کیت قبلاً دیده نشده و پیچیده به نام Cloud Snooper و یک فناوری جدید برای چرخش به زیرساخت ابری با استفاده از یک عامل مدیریت سیستمهای سرویسهای وب آمازون (AWS) پیکربندی نادرست (SSM Agent) انجام شد.
Sop،s با اطمینان بالا ارزیابی میکند که این حمله یک تلاش اولیه چینی برای جمعآوری اطلاعات برای کمک به توسعه ب،زارهای هدفگیری دستگاههای شبکه بوده است.
مجموعه بعدی فعالیتهای تهدید چینی که در این مطالعه شرح داده شده است شامل کمپینهای متعددی است که برای شناسایی و سپس هدف قرار دادن دستگاههای شبکه در دسترس عموم طراحی شدهاند.
از اوایل سال 2020 و در بیشتر سال 2022، مهاجمان از مجموعه ای از آسیب پذیری های ناشناخته قبلی که کشف کرده بودند سوء استفاده ،د و سپس آنها را فعال ،د و سرویس های WAN را هدف قرار دادند.
این ا،پلویت ها دشمن را قادر می سازد تا داده های ذخیره شده در دستگاه های تعبیه شده را بازیابی کند و محموله ها را در میان افزار دستگاه تحویل دهد.
این حملات “پر سر و صدا” به یک جامعه تحقیقاتی در اطراف موسسات آموزشی در چنگدو، چین مرتبط بود، که گمان میرود در حال انجام تحقیقات در مورد آسیبپذیریها و به اشتراک گذاشتن یافتههای خود با فروشندگان و سایر نهادهای مرتبط با ،ت چین است.
Sop،s اطلاعاتی را برای ردیابی بیشتر مکان هکرها در این مؤسسات آموزشی اضافه کرده است. این شرکت ها Sichuan Silence Information Technology و Electronic Science and Technology University of China نام دارند.
تغییر به سمت هدف قرار دادن نهادهای خاص
محققان خاطرنشان ،د که در اواسط سال 2022، مهاجمان تمرکز خود را به حملات بسیار هدفمند علیه نهادهای با ارزش بالا معطوف ،د. اینها شامل سازمانهای ،تی، گروههای مدیریت زیرساختهای حیاتی، سازمانهای تحقیق و توسعه، و ارائهدهندگان مراقبتهای بهداشتی هستند که عمدتاً در منطقه هند و اقیانوس آرام واقع شدهاند.
این حملات از تاکتیکها، تکنیکها و رویههای مختلف (TTPs) استفاده می،د و تمایل داشتند دستورات دستی اجرا شده و ب،زارها را بر روی دستگاههای در معرض خطر اجرا کنند تا اتوماسیون.
به گفته سوفوس، انواع تکنیکهای مخفی کاری در طول این حملات توسعه یافته و مورد استفاده قرار گرفتهاند، مانند یک روت کیت سفارشی و کاملاً دارای امتیاز کاربر.
بهره برداری CVE رایج ترین بردار دسترسی اولیه مورد استفاده در این حملات بود، اگرچه نمونه هایی از دسترسی اولیه با استفاده از اعتبار اداری معتبر در سمت شبکه محلی (LAN) دستگاه مشاهده شد.
شناسایی فعالیت های م،ب دشوارتر می شود
روند دیگری که در تجزیه و تحلیل برجسته شده است، افزایش اثربخشی مهاجمان چینی در پنهان ، فعالیت های خود از شناسایی فوری است.
این شامل روشهای مختلفی برای جلوگیری از ارسال تله متری از دستگاههای آسیبدیده به Sop،s بود و برای جلوگیری از ،ب اطلاعات توسط شرکت طراحی شده است.
برای مثال، پس از اینکه Sop،s X-Ops از این توانایی برای جمعآوری دادههای مربوط به ا،پلویتها در طول توسعه خود استفاده کرد، عوامل تهدید، مجموعههای تلهمتری را در دستگاههای آزمایشی خود کشف و مسدود ،د.
سوفوس اضافه کرد که ردیابی دادهای که میتوان از طریق شیوههای اطلاعاتی منبع باز ردیابی کرد، در حملات بعدی بهدلیل بهبود شیوههای امنیتی عملیاتی توسعهدهندگان سوءاستفادهکننده، بهطور قابلتوجهی کاهش یافته است.
به نظر می رسد که دشمنان دارای منابع کافی، صبور، خلاق و دانش فوق العاده ای از ساختار داخلی سیستم عامل دستگاه هستند. گفت: از وجود سوفوس به ،وان یک شرکت.
منبع: https://www.infosecurity-magazine.com/news/sop،s-،ese-hackers-stealthier/