GhostSpider אחורית

עד Mezo ב-איום מתמשך מתקדם (APT), דלתות אחוריות, תוכנה זדונית

לתרגם ל:

קבוצת ריגול סייבר מתוחכמת הקשורה לסין, הידועה בשם Earth Estries, פנתה לטלקומוניקציה ולישויות ממשלתיות ברחבי דרום מזרח אסיה ומחוצה לה. הקבוצה השתמשה במגוון טכניקות מתקדמות כדי לחדור לתעשיות קריטיות, כולל שימוש בדלת אחורית לא מתועדת בשם GhostSpider. שחקן האיום הזה גם נצפה מנצל מספר נקודות תורפה כדי להשיג גישה בלתי מורשית למטרותיו, וחושף את התחכום ההולך וגובר של יכולות הסייבר של סין.

תוכן העניינים

GhostSpider: The Undocumented Backdoor

GhostSpider, תוספת חדשה לארסנל של Earth Estries, שימשה כשיטה ראשית לחדור לרשתות. הדלת האחורית הזו ממוקדת מאוד, נוצרה במיוחד כדי לנצל חולשות בתשתית של חברות תקשורת בדרום מזרח אסיה. ה-Earth Estries משתמש בכלי זה לצד MASOL RAT (הידוע גם בשם Backdr-NQ), דלת אחורית נוספת, כדי למקד הן למערכות לינוקס והן למערכות רשת ממשלתיות. האסטרטגיה של הקבוצה של שימוש בתוכנות זדוניות מותאמות אישית מבטיחה נוכחות מתמשכת בתוך רשתות שנפגעו, ומאפשרת ריגול סייבר ארוך טווח.

טווח הגעה עולמי: מיקוד למגזרים מרובים

Earth Estries עשתה צעדים משמעותיים בפשרה על מגוון רחב של מגזרים, כולל טלקומוניקציה, טכנולוגיה, ייעוץ, תחבורה, תעשיות כימיות וארגונים ממשלתיים. פעולות הקבוצה משתרעות על פני למעלה מ-20 קורבנות ביותר מתריסר מדינות, כולל אפגניסטן, ברזיל, הודו, אינדונזיה, מלזיה, דרום אפריקה, ארה"ב ווייטנאם. הכוונה רחבה זו מדגישה את היכולת והשאפתנות של הקבוצה, עם על פי ההערכות 150 קורבנות שהושפעו מפעילותם, במיוחד בממשלת ארה"ב ובמגזר הפרטי.

הכלים של כדור הארץ Estries

בין הכלים הרבים העומדים לרשות The Earth Estries, בולטים ערכת השורש של Demodex ו-Deed RAT (הידועה גם בשם SNAPPYBEE). כלים אלו, יחד עם אחרים כמו Crowdoor ו-TrillClient, הם חלק בלתי נפרד מהפעילות של הקבוצה. מאמינים כי ShadowPad, משפחת תוכנות זדוניות בשימוש נרחב על ידי קבוצות APT סיניות, השפיעה על הפיתוח של Deed RAT, יורש סביר. דלתות אחוריות וגנבי מידע מתקדמים אלה מאפשרים ל-Earth Estries להישאר מוסתרים תוך הוצאת מידע רגיש מהמטרות שלהם.

ניצול פגיעויות עבור גישה ראשונית

כדי לקבל גישה למטרות שלה, Earth Estries מסתמך במידה רבה על נקודות תורפה של N-ימים, שהן פגמים בתוכנה שנחשפו בפומבי אך עדיין לא תוקנה על ידי המשתמשים. חלק מהפגיעויות המנוצלות ביותר כוללות את אלו ב-Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall ו-Microsoft Exchange Server. לאחר ניצול הפגיעות הללו, ה-Earth Estries פורס את התוכנה הזדונית המותאמת אישית שלו, ומטמיע את עצמו עוד יותר ברשת הנפגעת לצורך מעקב ואיסוף נתונים לטווח ארוך.

קבוצה מורכבת ומאורגנת היטב

ה-Earth Estries פועל בגישה מובנית ומאורגנת ביותר. בהתבסס על ניתוח של מספר קמפיינים, נראה כי צוותים שונים בתוך הקבוצה אחראים למיקוד לאזורים ותעשיות ספציפיות. תשתית הפיקוד והבקרה (C2) של הקבוצה גם היא מבוזרת, עם צוותים שונים המנהלים פעולות שונות בדלת האחורית. פילוח זה מאפשר סדרה מורכבת ומתואמת יותר של התקפות על פני מגזרים שונים.

GhostSpider: שתל רב-מודולים

בלב הפעילות של Earth Estries נמצא שתל GhostSpider. כלי מתוחכם זה מתקשר עם תשתית הנשלטת על ידי תוקף באמצעות פרוטוקול מותאם אישית המאובטח על ידי Transport Layer Security (TLS). השתל יכול לאחזר מודולים נוספים לפי הצורך, ולהרחיב את הפונקציונליות שלו. הגמישות שלו הופכת אותו לכלי רב עוצמה לריגול סייבר ארוך טווח, המאפשרת לכדור הארץ להסתגל ולפתח את פעולותיו בהתאם לדרישות המצב.

טקטיקות התגנבות והתחמקות

ה-Earth Estries משתמש במגוון טכניקות התגנבות כדי להימנע מגילוי. הקבוצה מתחילה את ההתקפות שלה במכשירי הקצה, ומרחיבה בהדרגה את טווח ההגעה שלה לסביבות ענן, מה שמקשה על זיהוי נוכחותה. על ידי שמירה על פרופיל נמוך והסתתרות מאחורי שכבות של תשתית, Earth Estries מבטיח שהפעילות שלו לא תתגלה לתקופות ממושכות, מה שמאפשר איסוף נתונים ללא הפרעה.

חברות טלקומוניקציה: יעד תכוף

חברות טלקומוניקציה הן כבר זמן רב יעד עיקרי לקבוצות איומי סייבר הקשורות לסין, כאשר ה-Earth Estries מצטרפים לשורותיהם של אחרים כמו גרניט טייפון ולימינל פנדה. התקפות אלו חושפות את ההתבגרות המוגברת של תוכנית הסייבר של סין, שעברה משביתות חד פעמיות לאיסוף נתונים בכמות גדולה וקמפיינים מתמשכים המכוונים לספקי שירותים קריטיים. ההתמקדות של Earth Estries בספקי שירותים מנוהלים (MSP), ספקי שירותי אינטרנט (ISP) וספקי פלטפורמות מסמנת שינוי באסטרטגיה של סין להשיג גישה מתמשכת לרשתות תקשורת גלובליות.

מסקנה: איום הולך וגדל של ריגול סייבר

ככל שה-Earth Estries ממשיכה להרחיב את פעילותה, היא מדגישה את היכולות ההולכות וגדלות של קבוצות ריגול סייבר הקשורות לסין. השימוש בתוכנות זדוניות מתוחכמות, בשילוב עם התמקדות במגזרי תשתית קריטיים, מוכיח איום מאורגן היטב ומתפתח. עבור ארגונים באזורים המושפעים, הצורך בערנות מוגברת ובאמצעי אבטחת סייבר חזקים מעולם לא היה קריטי יותר.