GhostSpider Backdoor

Μέχρι το Mezo το Προηγμένη επίμονη απειλή (APT), Backdoors, Κακόβουλο λογισμικό

Μετάφραση σε:

Μια εξελιγμένη ομάδα κατασκοπείας στον κυβερνοχώρο που συνδέεται με την Κίνα, γνωστή ως Earth Estries, στοχεύει τηλεπικοινωνιακές και κυβερνητικές οντότητες σε όλη τη Νοτιοανατολική Ασία και πέρα από αυτήν. Η ομάδα έχει χρησιμοποιήσει μια ποικιλία προηγμένων τεχνικών για να διεισδύσει σε κρίσιμες βιομηχανίες, συμπεριλαμβανομένης της χρήσης μιας μη τεκμηριωμένης κερκόπορτας που ονομάζεται GhostSpider. Αυτός ο παράγοντας απειλής έχει επίσης παρατηρηθεί να εκμεταλλεύεται αρκετά τρωτά σημεία για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στους στόχους του, αποκαλύπτοντας την αυξανόμενη πολυπλοκότητα των δυνατοτήτων της Κίνας στον κυβερνοχώρο.

Πίνακας περιεχομένων

GhostSpider: The Undocumented Backdoor

Το GhostSpider, μια νέα προσθήκη στο οπλοστάσιο των Earth Estries, έχει χρησιμοποιηθεί ως κύρια μέθοδος διείσδυσης σε δίκτυα. Αυτή η κερκόπορτα είναι ιδιαίτερα στοχευμένη, ειδικά κατασκευασμένη για να εκμεταλλεύεται τις αδυναμίες στην υποδομή των εταιρειών τηλεπικοινωνιών της Νοτιοανατολικής Ασίας. Το Earth Estries χρησιμοποιεί αυτό το εργαλείο μαζί με το MASOL RAT (επίσης γνωστό ως Backdr-NQ), ένα άλλο backdoor, για να στοχεύει τόσο το Linux όσο και τα κυβερνητικά δικτυακά συστήματα. Η στρατηγική του ομίλου για χρήση εξατομικευμένου κακόβουλου λογισμικού διασφαλίζει μια επίμονη παρουσία σε δίκτυα που έχουν παραβιαστεί, επιτρέποντας τη μακροπρόθεσμη κατασκοπεία στον κυβερνοχώρο.

A Global Reach: Targeting Multiple Sectors

Το Earth Estries έχει σημειώσει σημαντικά βήματα για να θέσει σε κίνδυνο ένα ευρύ φάσμα τομέων, συμπεριλαμβανομένων των τηλεπικοινωνιών, της τεχνολογίας, των συμβούλων, των μεταφορών, των χημικών βιομηχανιών και των κυβερνητικών οργανισμών. Οι επιχειρήσεις της ομάδας καλύπτουν περισσότερα από 20 θύματα σε περισσότερες από δώδεκα χώρες, συμπεριλαμβανομένων του Αφγανιστάν, της Βραζιλίας, της Ινδίας, της Ινδονησίας, της Μαλαισίας, της Νότιας Αφρικής, των ΗΠΑ και του Βιετνάμ. Αυτή η ευρεία στόχευση υπογραμμίζει τις ικανότητες και τις φιλοδοξίες της ομάδας, με περίπου 150 θύματα να επηρεάζονται από τις δραστηριότητές τους, ιδιαίτερα εντός της κυβέρνησης και του ιδιωτικού τομέα των ΗΠΑ.

The Tools of the Earth Estries

Ανάμεσα στα πολλά εργαλεία που έχει στη διάθεση του The Earth Estries, ξεχωρίζουν το Demodex rootkit και το Deed RAT (γνωστό και ως SNAPPYBEE). Αυτά τα εργαλεία, μαζί με άλλα όπως το Crowdoor και το TrillClient, αποτελούν αναπόσπαστο μέρος των λειτουργιών του ομίλου. Το ShadowPad, μια οικογένεια κακόβουλου λογισμικού που χρησιμοποιείται ευρέως από κινεζικές ομάδες APT, πιστεύεται ότι επηρέασε την ανάπτυξη του Deed RAT, ενός πιθανού διαδόχου. Αυτές οι προηγμένες κερκόπορτες και οι κλέφτες πληροφοριών επιτρέπουν στο The Earth Estries να παραμένει κρυφό, ενώ ταυτόχρονα διοχετεύει ευαίσθητες πληροφορίες από τους στόχους τους.

Εκμετάλλευση ευπαθειών για αρχική πρόσβαση

Για να αποκτήσει πρόσβαση στους στόχους του, το Earth Estries βασίζεται σε μεγάλο βαθμό σε ευπάθειες της N-day, οι οποίες είναι ελαττώματα στο λογισμικό που έχουν αποκαλυφθεί δημόσια αλλά δεν έχουν ακόμη διορθωθεί από τους χρήστες. Μερικά από τα πιο συχνά αξιοποιούμενα τρωτά σημεία περιλαμβάνουν αυτά του Ivanti Connect Secure, του Fortinet FortiClient EMS, του Sophos Firewall και του Microsoft Exchange Server. Μόλις εκμεταλλευτούν αυτά τα τρωτά σημεία, το Earth Estries αναπτύσσει το προσαρμοσμένο κακόβουλο λογισμικό του, ενσωματώνοντας περαιτέρω τον εαυτό του στο παραβιασμένο δίκτυο για μακροπρόθεσμη παρακολούθηση και συλλογή δεδομένων.

Μια σύνθετη και καλά οργανωμένη ομάδα

Το Earth Estries λειτουργεί με μια ιδιαίτερα δομημένη και οργανωμένη προσέγγιση. Με βάση την ανάλυση πολλών καμπανιών, φαίνεται ότι διαφορετικές ομάδες εντός της ομάδας είναι υπεύθυνες για τη στόχευση συγκεκριμένων περιοχών και βιομηχανιών. Η υποδομή Command-and-Control (C2) του ομίλου είναι επίσης αποκεντρωμένη, με ξεχωριστές ομάδες που διαχειρίζονται διαφορετικές λειτουργίες backdoor. Αυτή η τμηματοποίηση επιτρέπει μια πιο σύνθετη και συντονισμένη σειρά επιθέσεων σε διάφορους τομείς.

GhostSpider: Ένα εμφύτευμα πολλαπλών μονάδων

Στην καρδιά των εργασιών της Earth Estries βρίσκεται το εμφύτευμα GhostSpider. Αυτό το εξελιγμένο εργαλείο επικοινωνεί με την υποδομή που ελέγχεται από τους εισβολείς μέσω ενός προσαρμοσμένου πρωτοκόλλου που ασφαλίζεται από το Transport Layer Security (TLS). Το εμφύτευμα μπορεί να ανακτήσει πρόσθετες μονάδες όπως απαιτείται, επεκτείνοντας τη λειτουργικότητά του. Η ευελιξία του το καθιστά ισχυρό εργαλείο για μακροπρόθεσμη κατασκοπεία στον κυβερνοχώρο, επιτρέποντας στο Earth Estries να προσαρμόζεται και να εξελίσσει τις δραστηριότητές του όπως απαιτεί η κατάσταση.

Τακτικές Stealth και Evasion

Το Earth Estries χρησιμοποιεί μια ποικιλία τεχνικών stealth για να αποφύγει τον εντοπισμό. Η ομάδα ξεκινά τις επιθέσεις της στις συσκευές άκρων, επεκτείνοντας σταδιακά την εμβέλειά της σε περιβάλλοντα cloud, καθιστώντας δύσκολη την ανίχνευση της παρουσίας της. Διατηρώντας χαμηλό προφίλ και κρύβοντας πίσω από στρώματα υποδομής, το Earth Estries διασφαλίζει ότι οι δραστηριότητές του θα παραμείνουν απαρατήρητες για εκτεταμένες περιόδους, επιτρέποντας την αδιάλειπτη συλλογή δεδομένων.

Εταιρείες τηλεπικοινωνιών: Συχνός στόχος

Οι εταιρείες τηλεπικοινωνιών αποτελούν εδώ και καιρό πρωταρχικό στόχο για ομάδες απειλών στον κυβερνοχώρο που συνδέονται με την Κίνα, με τις Earth Estries να εντάσσονται στις τάξεις άλλων, όπως οι Granite Typhoon και Liminal Panda. Αυτές οι επιθέσεις αποκαλύπτουν την αυξημένη ωρίμανση του κυβερνοπρογράμματος της Κίνας, το οποίο έχει μετατοπιστεί από μεμονωμένες απεργίες στη μαζική συλλογή δεδομένων και συνεχείς εκστρατείες που στοχεύουν σε κρίσιμους παρόχους υπηρεσιών. Η εστίαση του Earth Estries στους Διαχειριζόμενους Παρόχους Υπηρεσιών (MSP), τους Παρόχους Υπηρεσιών Διαδικτύου (ISP) και τους παρόχους πλατφορμών σηματοδοτεί μια αλλαγή στη στρατηγική της Κίνας για συνεχή πρόσβαση σε παγκόσμια δίκτυα επικοινωνιών.

Συμπέρασμα: Μια αυξανόμενη απειλή κυβερνοκατασκοπείας

Καθώς το Earth Estries συνεχίζει να επεκτείνει τις δραστηριότητές του, υπογραμμίζει τις αυξανόμενες δυνατότητες των ομάδων κυβερνοκατασκοπείας που συνδέονται με την Κίνα. Η χρήση εξελιγμένου κακόβουλου λογισμικού, σε συνδυασμό με την εστίαση σε τομείς ζωτικής σημασίας υποδομής, καταδεικνύει μια καλά οργανωμένη και εξελισσόμενη απειλή. Για τους οργανισμούς στις πληγείσες περιοχές, η ανάγκη για αυξημένη επαγρύπνηση και ισχυρά μέτρα κυβερνοασφάλειας δεν ήταν ποτέ πιο κρίσιμη.