Κομφούκιος APT

Κομφούκιος APT Περιγραφή

Τα πρώτα σημάδια δραστηριότητας που αποδίδονται στο Confucius APT (Advanced Persistent Threat) χρονολογούνται από το 2013. Η συλλογικότητα των χάκερ είναι ενεργή από τότε με το τελευταίο κύμα επιθέσεων που έλαβε χώρα τον Δεκέμβριο του 2020. Πιστεύεται ακράδαντα ότι ο Κομφούκιος χρηματοδοτείται από το κράτος και έχει επιδείξει δεσμούς υπέρ της Ινδίας. Κατά τη διάρκεια των ετών, ο κύριος στόχος είναι κυβερνητικές υπηρεσίες από την περιοχή της Νοτιοανατολικής Ασίας, Πακιστανοί στρατιωτικοί, πυρηνικοί οργανισμοί και ινδοί εκλογικοί αξιωματούχοι.

Η ομάδα έχει επικεντρωθεί κυρίως σε επιχειρήσεις κλοπής δεδομένων και αναγνώρισης και αυτό έχει διαμορφώσει την εργαλειοθήκη του για κακόβουλο λογισμικό. Το πρώτο που αποδόθηκε στον Κομφούκιο ήταν το ChatSpy. Αναπτύχθηκε ως μέρος μιας επιχείρησης του 2017 και λειτούργησε ως εργαλείο επιτήρησης. Μεταξύ 2016 και 2019, η ομάδα ασχολήθηκε με την ενεργό ανάπτυξη του SunBird Malware , μιας απειλής για λογισμικό κατασκοπείας Android με διευρυμένες δυνατότητες. Αν και η λειτουργικότητα του SunBird ήταν επίσης προσανατολισμένη στην κλοπή δεδομένων, συμπεριλαμβανομένων των αναγνωριστικών συσκευών, της τοποθεσίας GPS, των λιστών επαφών, των αρχείων καταγραφής κλήσεων κ.λπ., σχεδιάστηκε για να στοχεύει ειδικά το WhatsApp εξάγοντας έγγραφα, βάσεις δεδομένων και εικόνες από την εφαρμογή. Επιπλέον, το SunBird ήταν εξοπλισμένο με λειτουργία Remote Access Trojan (RAT) που επέτρεψε στον Κομφούκιο να απορρίψει πρόσθετα ωφέλιμα φορτία κακόβουλου λογισμικού στις ήδη παραβιασμένες συσκευές.

Η τελευταία επιχείρηση Κομφούκιου παρατηρήθηκε τον Δεκέμβριο του 2020 και χρησιμοποιούσε ένα εντελώς διαφορετικό στέλεχος λογισμικού κατασκοπείας Android. Ονομάστηκε Hornbill, έδειξε την εξέλιξη των δραστηριοτήτων της ομάδας. Πράγματι, το εύρος των δυνατοτήτων του Hornbill μειώθηκε σε σύγκριση με το SunBird, αλλά αυτό επέτρεψε στην απειλή να λειτουργήσει ως ένα πιο διακριτικό εργαλείο σχεδιασμένο να συλλέγει επιλεκτικά δεδομένα από τον στόχο. Ο Hornbill έχασε τη λειτουργία RAT, αλλά απέκτησε τη δυνατότητα κατάχρησης των λειτουργιών προσβασιμότητας Android για τον εντοπισμό και την καταγραφή ενεργών κλήσεων WhatsApp.