Odborníci sa domnievajú, že za niekoľkými útokmi zameranými na Izrael stoja čínski hackeri

Čínska skupina pre kybernetickú špionáž bola minimálne od roku 2019 prepojená s radom narušených aktivít zameraných na izraelské vládne inštitúcie, poskytovateľov IT a telekomunikačné spoločnosti, pričom hackeri sa vydávali za iránskych aktérov, aby zavádzali forenznú analýzu.

Oddelenie spravodajských informácií o hrozbách FireEye Mandiant pripísalo kampaň operátorovi, ktorého sleduje ako „UNC215“, čínsku špionážnu operáciu, o ktorej sa predpokladá, že vybrala organizácie na celom svete už od roku 2014, čím spojila skupinu s „nízkou istotou“ s pokročilými perzistentná hrozba (APT) široko známa ako APT27, Emissary Panda alebo Iron Tiger.

“UNC215 kompromitoval organizácie vo vládnom sektore, technológiách, telekomunikáciách, obrane, financiách, zábave a zdravotníctve,” uviedli tímy FireEye pre Izrael a USA v správe zverejnenej dnes.

“Skupina sa zameriava na údaje a organizácie, ktoré sú veľmi zaujímavé pre finančné, diplomatické a strategické ciele Pekingu,” zistenia odrážajú neúnavnú túžbu po tajomstvách súvisiacich s obranou medzi hackerskými skupinami.

Prvé útoky spáchané kolektívom údajne využili zraniteľnosť Microsoft SharePoint (CVE-2019-0604) ako odrazový mostík k infiltrácii vládnych a akademických sietí s cieľom nasadiť webové shelly a užitočné zaťaženie FOCUSFJORD na ciele na Blízkom východe a v Strednej Ázii. FOCUSFJORD, ktorý prvýkrát opísala skupina NCC v roku 2018, tiež nazývaný HyperSSL a Sysupdate, sú zadné vrátka, ktoré sú súčasťou arzenálu nástrojov, ktoré používa herec Emissary Panda.

Po získaní počiatočnej opory sa protivník riadi zavedeným vzorom vykonávania získavania poverení a interného prieskumu s cieľom identifikovať kľúčové systémy v cieľovej sieti pred vykonaním aktivít bočného pohybu na inštaláciu vlastného implantátu s názvom HyperBro, ktorý prichádza s funkciami, ako je snímanie obrazovky a keylogging.

Každá fáza útoku sa vyznačuje pozoruhodným úsilím, ktoré sa vynakladá na zabránenie detekcii odstránením akýchkoľvek stôp zvyškových forenzných artefaktov z napadnutých strojov, pričom súčasne vylepšuje zadné vrátka FOCUSFJORD v reakcii na správy bezpečnostných dodávateľov, pričom sa skrýva infraštruktúra velenia a riadenia (C2). používanie iných sietí obetí na zastupovanie ich inštrukcií C2 a dokonca začlenenie falošných príznakov v snahe zavádzať pripisovanie.

Na tento účel skupina nasadila vlastný webový shell s názvom SEASHARPEE, ktorý je spojený s iránskymi skupinami APT najmenej pri troch príležitostiach, a dokonca použila cesty k súborom obsahujúce odkazy na Irán a zobrazovala chybové hlásenia v arabčine, ktoré pravdepodobne zahmlievali zdroj aktivity.

A čo viac, v operácii v roku 2019 proti izraelskej vládnej sieti UNC215 získal prístup k primárnemu cieľu prostredníctvom pripojení protokolu vzdialenej pracovnej plochy (RDP) od dôveryhodnej tretej strany pomocou ukradnutých poverení, ktoré zneužil na nasadenie a vzdialené spustenie malvéru FOCUSFJORD, tzv. poznamenala spoločnosť pre kybernetickú bezpečnosť.

“Aktivita […] demonštruje trvalý strategický záujem Číny na Blízkom východe,” uzavreli vedci. “Táto kybernetická špionážna činnosť sa deje na pozadí mnohomiliardových investícií Číny v súvislosti s iniciatívou Belt and Road Initiative (BRI) a jej záujmom o izraelskú robustnú technológiu. sektore“.

„Čína viedla množstvo kampaní proti prieniku pozdĺž trasy BRI, aby monitorovala potenciálne prekážky – politické, ekonomické a bezpečnostné – a očakávame, že UNC215 sa bude naďalej zameriavať na vlády a organizácie zapojené do týchto projektov kritickej infraštruktúry v Izraeli a na blízkom Blízkom východe. – a strednodobé,“ dodali tímy.