GhostSpider tagauks

Aastaks Mezo aastal Täiustatud püsiv oht (APT), Tagauksed, Pahavara

Tõlgi:

Hiinaga seotud keerukas küberspionaažirühmitus, mida tuntakse nime all Earth Estries, on võtnud sihikule telekommunikatsiooni- ja valitsusasutused kogu Kagu-Aasias ja mujal. Rühm on kriitilistesse tööstusharudesse imbumiseks kasutanud mitmesuguseid täiustatud tehnikaid, sealhulgas kasutanud dokumentideta tagaust nimega GhostSpider. Samuti on täheldatud, et see ohutegija kasutab oma sihtmärkidele volitamata juurdepääsu saamiseks ära mitmeid haavatavusi, mis paljastab Hiina kübervõimekuse üha keerukamaks muutumise.

Sisukord

GhostSpider: dokumentideta tagauks

GhostSpiderit, uut täiendust Earth Estries'i arsenali, on kasutatud peamise meetodina võrkudesse imbumiseks. See tagauks on väga sihipärane, spetsiaalselt loodud selleks, et kasutada ära Kagu-Aasia telekommunikatsiooniettevõtete infrastruktuuri nõrkusi. Earth Estries kasutab seda tööriista koos teise tagauksega MASOL RAT (tuntud ka kui Backdr-NQ), et sihtida nii Linuxi kui ka valitsuse võrgusüsteeme. Grupi eritellimusel valmistatud pahavara kasutamise strateegia tagab püsiva kohaloleku ohustatud võrkudes, võimaldades pikaajalist küberspionaaži.

Globaalne haare: mitme sektori sihtimine

Earth Estries on teinud märkimisväärseid edusamme paljudes sektorites, sealhulgas telekommunikatsioonis, tehnoloogias, nõustamises, transpordis, keemiatööstuses ja valitsusasutustes. Rühma operatsioonid hõlmavad üle 20 ohvri enam kui tosinas riigis, sealhulgas Afganistanis, Brasiilias, Indias, Indoneesias, Malaisias, Lõuna-Aafrikas, USA-s ja Vietnamis. See laiaulatuslik sihtmärk rõhutab grupi suutlikkust ja ambitsioone – hinnanguliselt 150 ohvrit on nende tegevusest mõjutatud, eriti USA valitsuses ja erasektoris.

Maa tööriistad Estries

Paljude The Earth Estriesi käsutuses olevate tööriistade hulgast paistavad silma Demodexi juurkomplekt ja Deed RAT (tuntud ka kui SNAPPYBEE). Need tööriistad koos teistega, nagu Crowdoor ja TrillClient, on grupi töö lahutamatud. Arvatakse, et Hiina APT gruppide poolt laialdaselt kasutatav pahavaraperekond ShadowPad on mõjutanud tõenäolise järglase Deed RAT arengut. Need täiustatud tagauksed ja teabevarastajad võimaldavad The Earth Estriesil jääda varjatuks, samal ajal tundlikku teavet oma sihtmärkidelt välja filtreerides.

Turvaaukude kasutamine esmaseks juurdepääsuks

Oma sihtmärkidele juurdepääsu saamiseks tugineb Earth Estries suuresti N-päevasetele haavatavustele, mis on tarkvara vead, mis on avalikult avaldatud, kuid mida kasutajad pole veel parandanud. Mõned kõige sagedamini ärakasutatud haavatavused hõlmavad Ivanti Connect Secure'i, Fortinet FortiClient EMS-i, Sophose tulemüüri ja Microsoft Exchange Serveri turvaauke. Kui need haavatavused on ära kasutatud, juurutab Earth Estries oma kohandatud pahavara, lisades end pikaajaliseks jälgimiseks ja andmete kogumiseks ohustatud võrku.

Keeruline ja hästi organiseeritud grupp

Earth Estries tegutseb kõrgelt struktureeritud ja organiseeritud lähenemisviisiga. Mitme kampaania analüüsi põhjal selgub, et grupi erinevad meeskonnad vastutavad konkreetsete piirkondade ja tööstusharude sihtimise eest. Samuti on detsentraliseeritud grupi Command-and-Control (C2) infrastruktuur, kus erinevad meeskonnad haldavad erinevaid tagaukse toiminguid. See segmenteerimine võimaldab läbi viia keerukamaid ja koordineeritumaid rünnakuid erinevates sektorites.

GhostSpider: mitme mooduliga implantaat

Earth Estrisi operatsioonide keskmes on GhostSpideri implantaat. See keerukas tööriist suhtleb ründaja juhitava infrastruktuuriga kohandatud protokolli kaudu, mida turvab TLS (Transport Layer Security). Implantaat saab vajaduse korral hankida täiendavaid mooduleid, laiendades selle funktsionaalsust. Selle paindlikkus muudab selle võimsaks tööriistaks pikaajaliseks küberspionaažiks, võimaldades Maa Estritel oma tegevust vastavalt olukorrale kohaneda ja arendada.

Varguse ja kõrvalehoidumise taktikad

Earth Estries kasutab tuvastamise vältimiseks mitmesuguseid varjamistehnikaid. Rühm alustab rünnakuid ääreseadmetest, laiendades järk-järgult oma ulatust pilvekeskkondadesse, muutes selle kohaloleku tuvastamise keeruliseks. Säilitades madalat profiili ja peites end infrastruktuuri kihtide taha, tagab Earth Estries, et selle tegevused jäävad pikemaks ajaks avastamata, võimaldades katkematut andmete kogumist.

Telekommunikatsiooniettevõtted: sagedane sihtmärk

Telekommunikatsiooniettevõtted on pikka aega olnud Hiinaga seotud küberohugruppide peamiseks sihtmärgiks ning Earth Estries on liitunud teiste, nagu Granite Typhoon ja Liminal Panda, ridadega. Need rünnakud näitavad Hiina küberprogrammi küpsemist, mis on nihkunud ühekordsetelt rünnakutelt andmete hulgikogumisele ja kriitilistele teenusepakkujatele suunatud pidevatele kampaaniatele. Earth Estries keskendumine hallatavatele teenusepakkujatele (MSP), Interneti-teenuse pakkujatele (ISP) ja platvormi pakkujatele näitab nihet Hiina strateegias pideva juurdepääsu saamiseks ülemaailmsetele sidevõrkudele.

Järeldus: kasvav küberspionaaži oht

Kuna Earth Estries jätkab oma tegevuse laiendamist, toob see esile Hiinaga seotud küberspionaažirühmade kasvavad võimalused. Keerulise pahavara kasutamine koos keskendumisega kriitilistele infrastruktuuri sektoritele näitab hästi organiseeritud ja arenevat ohtu. Mõjutatud piirkondade organisatsioonide jaoks pole vajadus kõrgendatud valvsuse ja jõuliste küberjulgeolekumeetmete järele kunagi olnud nii kriitilise tähtsusega.