RedDelta

RedDelta je oznaka, ki jo je skupnost infosec podelila zelo aktivni skupini APT (Advanced Persistent Threat). Obstajajo močne povezave, ki kažejo, da je RedDelta akter groženj, ki ga sponzorira Kitajska. Cilji skupine so skoraj vedno v skladu z interesi kitajske vlade. Ena od zadnjih napadov, ki jih pripisujejo skupini, je bila sprožena proti več organizacijam, povezanim s Katoliško cerkvijo. Med žrtvami sta bili Vatikan in katoliška škofija Hongkong. Cilji so vključevali tudi študijsko misijo v Hongkongu na Kitajskem in Papeški inštitut za tuje misije (PIME), Italija. Obe organizaciji pred to operacijo nista bili razvrščeni kot subjekti v interesu hekerskih skupin, ki jih podpira Kitajska.

Operacije, ki jih izvajajo skupine APT, ki so usklajene s Kitajsko, kažejo veliko prekrivanj, ko gre za TTP (taktike, tehnike in postopke), ko gre za razlikovanje med RedDelto in skupino, znano kot Mustang Panda (sledijo tudi kot BRONZE PRESIDENT in HoneyMyte) , še posebej. Vendar pa so raziskovalci odkrili dovolj razlikovalnih značilnosti, da bi te serije napadov z visokim zaupanjem pripisali RedDelti. Edinstveni vidiki vključujejo uporabo različice PlugX z drugačno metodo šifriranja konfiguracije, veriga okužbe ni bila pripisana drugim skupinam, seznam tarč pa vključuje organe pregona in vladne subjekte iz Indije ter indonezijsko vladno organizacijo.

Napadna veriga

Prilagojeni tovor PlugX se dostavi žrtvinemu stroju prek elektronske pošte z vabo, ki vsebuje orožjenega dokumenta kot prilogo. V enem od napadov je bil dokument o vabi naslovljen posebej na sedanjega vodjo študijske misije v Hongkongu na Kitajskem. Visoko usmerjena narava nakazuje, da je RedDelta morda prestregla uradni vatikanski dokument, ki je bil pozneje orožjen. Zelo verjetno je tudi, da so hekerji za pošiljanje sporočila o vabi uporabili ogrožen račun Vactica. Ista različica PlugX je bila najdena tudi v dveh drugih vabah za lažno predstavljanje. Tokratni dokumenti o vabi so bili imitacija resnične novice Zveze katoliških azijskih novic z imenom »O načrtu Kitajske za varnostni zakon v Hongkongu.doc« in druge datoteke, povezane z Vatikanom, z imenom »QUM, IL VATICANO DELL'ISLAM.doc '

Po namestitvi koristna obremenitev PlugX vzpostavi komunikacijski kanal z infrastrukturo za upravljanje in nadzor (C2, C&C), ki je bila enaka za vse opažene napade. Domena C2 se je nahajala na naslovu systeminfor[.]com. Zadnje stopnje zlonamerne programske opreme, dostavljene v ogrožene sisteme, so trojanci za oddaljeni dostop Poison Ivy in Cobalt Strike. Cilj RedDelte je bil pridobiti dostop do občutljivih internih komunikacij in spremljati odnose med izbranimi cilji.