ក្រុមហេគឃ័រ APT42 ឧបត្ថម្ភដោយរដ្ឋអ៊ីរ៉ង់ កំណត់គោលដៅរដ្ឋាភិបាល អង្គការក្រៅរដ្ឋាភិបាល និងអង្គការអន្តររដ្ឋាភិបាល ដើម្បីប្រមូលព័ត៌មានសម្ងាត់
នៅក្នុងអាណាចក្រនៃសន្តិសុខតាមអ៊ីនធឺណិត ការប្រុងប្រយ័ត្នគឺសំខាន់បំផុត។ វិវរណៈថ្មីៗពី Mandiant របស់ Google Cloud បានបំភ្លឺលើសកម្មភាពមិនសមរម្យរបស់ APT42 ដែលជាក្រុមចារកម្មតាមអ៊ីនធឺណិតដែលឧបត្ថម្ភដោយរដ្ឋ ត្រូវបានគេជឿថាធ្វើប្រតិបត្តិការក្នុងនាមអង្គភាពឆ្មាំបដិវត្តន៍អ៊ីស្លាម (IRGC) នៅក្នុងប្រទេសអ៊ីរ៉ង់។ ជាមួយនឹងប្រវត្តិសាស្រ្តដែលមានអាយុកាលតាំងពីឆ្នាំ 2015 មក APT42 បានលេចចេញជាការគំរាមកំហែងយ៉ាងសំខាន់ ដោយផ្តោតលើអង្គភាពជាច្រើនរួមទាំងអង្គការក្រៅរដ្ឋាភិបាល ស្ថាប័នរដ្ឋាភិបាល និងអង្គការអន្តររដ្ឋាភិបាល។
ដំណើរការក្រោមឈ្មោះក្លែងក្លាយផ្សេងៗដូចជា Calanque និង UNC788 ដំណើរការ modus របស់ APT42 គឺមានភាពទំនើបដូចដែលវាពាក់ព័ន្ធ។ ដោយប្រើប្រាស់យុទ្ធសាស្ត្រវិស្វកម្មសង្គម ក្រុមនេះដើរតួជាអ្នកសារព័ត៌មាន និងអ្នករៀបចំព្រឹត្តិការណ៍ ដើម្បីជ្រៀតចូលបណ្តាញនៃគោលដៅរបស់ខ្លួន។ តាមរយៈការប្រើយុទ្ធសាស្ត្របោកប្រាស់ទាំងនេះ APT42 ទទួលបានទំនុកចិត្តពីជនរងគ្រោះដែលមិនមានការសង្ស័យ ដែលអនុញ្ញាតឱ្យពួកគេប្រមូលព័ត៌មានសម្ងាត់ដ៏មានតម្លៃសម្រាប់ការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាត។
ចំនុចសំខាន់មួយនៃវិធីសាស្រ្តរបស់ APT42 គឺការប្រើប្រាស់ backdoors ជាច្រើនដើម្បីជួយសម្រួលដល់សកម្មភាពព្យាបាទរបស់វា។ របាយការណ៍របស់ Mandiant បង្ហាញពីការដាក់ពង្រាយ backdoors ថ្មីពីរនៅក្នុងការវាយប្រហារនាពេលថ្មីៗនេះ។ ឧបករណ៍លាក់កំបាំងទាំងនេះអាចឱ្យ APT42 ជ្រៀតចូលបរិយាកាសពពក បញ្ចេញទិន្នន័យរសើប និងគេចពីការរកឃើញដោយប្រើប្រាស់ឧបករណ៍ប្រភពបើកចំហ និងមុខងារដែលភ្ជាប់មកជាមួយ។
ការវិភាគរបស់ Mandiant បង្ហាញបន្ថែមទៀតអំពីហេដ្ឋារចនាសម្ព័ន្ធស្មុគស្មាញដែលប្រើប្រាស់ដោយ APT42 នៅក្នុងប្រតិបត្តិការរបស់ខ្លួន។ ក្រុមនេះរៀបចំយុទ្ធនាការប្រមូលផលអត្តសញ្ញាណយ៉ាងទូលំទូលាយ ដោយចាត់ថ្នាក់គោលដៅរបស់ខ្លួនជាក្រុមបីផ្សេងគ្នា។ ពីការក្លែងបន្លំជាអង្គការប្រព័ន្ធផ្សព្វផ្សាយ រហូតដល់ការក្លែងបន្លំសេវាកម្មស្របច្បាប់ APT42 ប្រើល្បិចជាច្រើនដើម្បីទាក់ទាញជនរងគ្រោះឱ្យបញ្ចេញព័ត៌មានសម្ងាត់នៃការចូលរបស់ពួកគេ។
លើសពីនេះទៅទៀត សកម្មភាពរបស់ APT42 ពង្រីកហួសពីចារកម្មតាមអ៊ីនធឺណិតតាមបែបប្រពៃណី។ ក្រុមនេះបានបង្ហាញពីឆន្ទៈក្នុង ការសម្របតាមកលល្បិចរបស់ខ្លួន ដូចដែលបានបង្ហាញដោយការដាក់ពង្រាយផ្នែកខាងក្រោយផ្ទាល់ខ្លួនដូចជា Nicecurl និង Tamecat។ ឧបករណ៍ទាំងនេះដែលត្រូវបានសរសេរនៅក្នុង VBScript និង PowerShell រៀងគ្នា បើក APT42 ដើម្បីប្រតិបត្តិពាក្យបញ្ជាបំពាន និងទាញយកព័ត៌មានរសើបចេញពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
ទោះបីជាមានភាពតានតឹងផ្នែកភូមិសាស្ត្រនយោបាយ និងជម្លោះក្នុងតំបន់ក៏ដោយ ក៏ APT42 នៅតែប្រកាន់ខ្ជាប់ក្នុងការស្វែងរកការប្រមូលព័ត៌មានសម្ងាត់របស់ខ្លួន។ ការរកឃើញរបស់ Mandiant គូសបញ្ជាក់អំពីភាពធន់ និងការតស៊ូរបស់ក្រុម ដោយសារតែវាបន្តកំណត់គោលដៅអង្គភាពដែលពាក់ព័ន្ធជាមួយបញ្ហាភូមិសាស្ត្រនយោបាយដ៏រសើបនៅក្នុងសហរដ្ឋអាមេរិក អ៊ីស្រាអែល និងលើសពីនេះ។ លើសពីនេះ ការត្រួតស៊ីគ្នារវាងសកម្មភាពរបស់ APT42 និងក្រុមលួចចូលរបស់អ៊ីរ៉ង់ផ្សេងទៀត ដូចជា Charming Kitten បង្ហាញពីលក្ខណៈសម្របសម្រួល និងពហុភាគីនៃប្រតិបត្តិការអ៊ីនធឺណិតរបស់ប្រទេសអ៊ីរ៉ង់។
ប្រឈមមុខនឹងការគម្រាមកំហែងបែបនេះ វិធានការសន្តិសុខតាមអ៊ីនធឺណិតសកម្មគឺជាការចាំបាច់។ អង្គការត្រូវតែរក្សាការប្រុងប្រយ័ត្ន ដោយប្រើប្រាស់ពិធីសារសុវត្ថិភាពដ៏រឹងមាំ និងរក្សាឱ្យទាន់ការវិវត្តន៍ចុងក្រោយបង្អស់ក្នុងវិស័យការពារអ៊ីនធឺណិត។ តាមរយៈការបង្កើនកិច្ចសហការ និងការចែករំលែកព័ត៌មាន សហគមន៍សកលលោកអាចប្រឈមមុខនឹងការវិវត្តនៃការគំរាមកំហែងដែលកើតឡើងដោយក្រុមដូចជា APT42 ជាដើម។
នៅទីបំផុត វិវរណៈដែលផ្តល់ដោយ Mandiant បម្រើជាការរំលឹកដ៏ក្រអឺតក្រទមនៃធម្មជាតិជាប់លាប់ និងរីករាលដាលនៃការគំរាមកំហែងតាមអ៊ីនធឺណិត។ នៅពេលដែលបច្ចេកវិទ្យាបន្តរីកចម្រើន ដូច្នេះការការពាររបស់យើងក៏ត្រូវតែមានផងដែរ។ មានតែតាមរយៈសកម្មភាពរួម និងភាពឧស្សាហ៍ព្យាយាមឥតងាករេ យើងអាចសង្ឃឹមថានឹងកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយក្រុមចារកម្មតាមអ៊ីនធឺណិតដែលឧបត្ថម្ភដោយរដ្ឋដូចជា APT42។