GhostSpider Backdoor

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT), Zadné vrátka, Malvér

Preložiť do:

Sofistikovaná kyberšpionážna skupina napojená na Čínu známa ako Earth Estries sa zameriava na telekomunikačné a vládne subjekty v juhovýchodnej Ázii a mimo nej. Skupina použila rôzne pokročilé techniky na infiltráciu kritických odvetví, vrátane použitia nezdokumentovaných zadných vrátok s názvom GhostSpider. Tento aktér hrozby bol tiež pozorovaný pri využívaní niekoľkých zraniteľností na získanie neoprávneného prístupu k svojim cieľom, čo odhaľuje zvyšujúcu sa sofistikovanosť čínskych kybernetických schopností.

Obsah

GhostSpider: The Undocumented Backdoor

GhostSpider, nový prírastok do arzenálu Earth Estries, bol použitý ako primárna metóda na infiltráciu sietí. Tento backdoor je vysoko cielený, špeciálne vytvorený na využitie slabín v infraštruktúre juhovýchodných ázijských telekomunikačných firiem. The Earth Estries používa tento nástroj spolu s MASOL RAT (známy aj ako Backdr-NQ), ďalšie zadné vrátka, na zacielenie na linuxové aj vládne sieťové systémy. Stratégia skupiny používať na mieru vyrobený malvér zabezpečuje trvalú prítomnosť v ohrozených sieťach, čo umožňuje dlhodobú kybernetickú špionáž.

Globálny dosah: Zacielenie na viacero sektorov

Earth Estries urobila významný pokrok v kompromitovaní širokého spektra sektorov vrátane telekomunikácií, technológií, poradenstva, dopravy, chemického priemyslu a vládnych organizácií. Operácie skupiny zahŕňajú viac ako 20 obetí vo viac ako desiatke krajín vrátane Afganistanu, Brazílie, Indie, Indonézie, Malajzie, Južnej Afriky, USA a Vietnamu. Toto široké zacielenie podčiarkuje schopnosti a ambície skupiny s odhadom 150 obetí ovplyvnených ich aktivitami, najmä v rámci vlády USA a súkromného sektora.

Nástroje Zeme Estries

Spomedzi mnohých nástrojov, ktoré má The Earth Estries k dispozícii, vyniká rootkit Demodex a Deed RAT (známy aj ako SNAPPYBEE). Tieto nástroje spolu s ďalšími nástrojmi, ako sú Crowdoor a TrillClient, sú neoddeliteľnou súčasťou operácií skupiny. Predpokladá sa, že ShadowPad, rodina malvéru široko používaná čínskymi skupinami APT, ovplyvnila vývoj Deed RAT, pravdepodobného nástupcu. Tieto pokročilé zadné dvierka a zlodeji informácií umožňujú The Earth Estries zostať skrytá pri získavaní citlivých informácií zo svojich cieľov.

Využitie zraniteľností pre počiatočný prístup

Na získanie prístupu k svojim cieľom sa Earth Estries vo veľkej miere spolieha na N-day zraniteľnosti, čo sú chyby v softvéri, ktoré boli verejne zverejnené, ale používatelia ich ešte neopravili. Niektoré z najčastejšie využívaných zraniteľností zahŕňajú chyby v Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall a Microsoft Exchange Server. Akonáhle sú tieto zraniteľné miesta zneužité, Earth Estries nasadí svoj vlastný malvér a ďalej sa začlení do ohrozenej siete na dlhodobé sledovanie a zhromažďovanie údajov.

Komplexná a dobre organizovaná skupina

Earth Estries funguje s vysoko štruktúrovaným a organizovaným prístupom. Na základe analýzy niekoľkých kampaní sa zdá, že rôzne tímy v rámci skupiny sú zodpovedné za zacielenie na konkrétne regióny a odvetvia. Infraštruktúra velenia a riadenia (C2) skupiny je tiež decentralizovaná, pričom rôzne tímy riadia rôzne operácie typu backdoor. Táto segmentácia umožňuje komplexnejšiu a koordinovanejšiu sériu útokov naprieč rôznymi sektormi.

GhostSpider: Multimodulový implantát

V srdci operácií Earth Estries je implantát GhostSpider. Tento sofistikovaný nástroj komunikuje s infraštruktúrou ovládanou útočníkmi prostredníctvom vlastného protokolu zabezpečeného technológiou Transport Layer Security (TLS). Implantát môže podľa potreby získavať ďalšie moduly, čím sa rozširuje jeho funkčnosť. Jeho flexibilita z neho robí výkonný nástroj pre dlhodobú kybernetickú špionáž, ktorá umožňuje spoločnosti Earth Estries prispôsobiť sa a rozvíjať svoje operácie podľa toho, ako si to situácia vyžaduje.

Stealth a úniková taktika

Earth Estries využíva rôzne tajné techniky, aby sa zabránilo odhaleniu. Skupina začína svoje útoky na okrajových zariadeniach, postupne rozširuje svoj dosah do cloudových prostredí, čo sťažuje detekciu jej prítomnosti. Udržiavaním nízkeho profilu a skrývaním sa za vrstvami infraštruktúry, Earth Estries zaisťuje, že jej aktivity zostanú neodhalené po dlhú dobu, čo umožňuje neprerušovaný zber údajov.

Telekomunikačné spoločnosti: Častý cieľ

Telekomunikačné spoločnosti sú už dlho hlavným cieľom skupín kybernetických hrozieb spojených s Čínou, pričom Earth Estries sa pripojili k ďalším, ako sú Granite Typhoon a Liminal Panda. Tieto útoky odhaľujú zvýšené dozrievanie čínskeho kybernetického programu, ktorý sa posunul od jednorazových útokov k hromadnému zberu údajov a nepretržitým kampaniam zameraným na poskytovateľov kritických služieb. Zameranie Earth Estries na poskytovateľov spravovaných služieb (MSP), poskytovateľov internetových služieb (ISP) a poskytovateľov platforiem signalizuje posun v čínskej stratégii získať nepretržitý prístup ku globálnym komunikačným sieťam.

Záver: Rastúca kybernetická špionážna hrozba

Ako Earth Estries pokračuje v rozširovaní svojich operácií, zdôrazňuje rastúce schopnosti kyberšpionážnych skupín prepojených s Čínou. Používanie sofistikovaného malvéru v kombinácii so zameraním na sektory kritickej infraštruktúry demonštruje dobre organizovanú a vyvíjajúcu sa hrozbu. Pre organizácie v postihnutých regiónoch nebola potreba zvýšenej ostražitosti a robustných opatrení v oblasti kybernetickej bezpečnosti nikdy kritickejšia.