Konfucije APT

Konfucije APT

Prvi znakovi aktivnosti koji se pripisuju Confucius APT (Advanced Persistent Threat) datiraju iz 2013. Hakerski kolektiv je aktivan od tada s posljednjim valom napada koji se dogodio u prosincu 2020. Čvrsto se vjeruje da je Konfucije sponzoriran od strane države i je pokazao proindijske veze. Tijekom godina glavna su mete vladine agencije iz regije jugoistočne Azije, pakistanske vojne pojedince, nuklearne agencije i indijske izborne dužnosnike.

Grupa se uglavnom usredotočila na operacije krađe podataka i izviđanja i to je oblikovalo njezin alat za zlonamjerni softver. Prvi koji se pripisuje Konfuciju bio je ChatSpy. Razmještena je kao dio operacije 2017. i djelovala je kao nadzorni alat. Između 2016. i 2019. grupa je bila angažirana na aktivnom razvoju SunBird Malwarea , Android špijunske prijetnje s proširenim mogućnostima. Iako je SunBirdova funkcionalnost također bila usmjerena na krađu podataka, uključujući identifikatore uređaja, GPS lokaciju, popise kontakata, zapisnike poziva itd., dizajnirana je da posebno cilja WhatsApp izdvajanjem dokumenata, baza podataka i slika iz aplikacije. Nadalje, SunBird je bio opremljen funkcijom Remote Access Trojan (RAT) koja je omogućila Confuciusu da ispusti dodatni sadržaj zlonamjernog softvera na već kompromitirane uređaje.

Posljednja Konfucijeva operacija primijećena je u prosincu 2020. i koristila je potpuno drugačiji Android špijunski soj. Nazvan Hornbill, pokazao je evoluciju aktivnosti grupe. Doista, opseg Hornbillovih sposobnosti smanjen je u usporedbi sa SunBirdom, ali to je omogućilo prijetnji da djeluje kao diskretniji alat dizajniran za selektivno prikupljanje podataka od mete. Hornbill je izgubio RAT funkcionalnost, ali je dobio mogućnost zlouporabe funkcija pristupačnosti Androida za otkrivanje i snimanje aktivnih WhatsApp poziva.

Loading...