ГхостСпидер Бацкдоор

До Mezo. у Напредна трајна претња (АПТ), Бацкдоорс, Малваре

Преведи на:

Софистицирана група за сајбер шпијунажу повезана са Кином позната као Еартх Естриес циљала је телекомуникације и владине субјекте широм југоисточне Азије и шире. Група је користила разне напредне технике за инфилтрирање у критичне индустрије, укључујући коришћење недокументованог бацкдоор-а по имену ГхостСпидер. Овај актер претње је такође примећен како искоришћава неколико рањивости да би добио неовлашћени приступ својим метама, откривајући све већу софистицираност кинеских сајбер способности.

Преглед садржаја

ГхостСпидер: Недокументована позадинска врата

ГхостСпидер, нови додатак арсеналу Еартх Естриеса, коришћен је као примарни метод за инфилтрирање мрежа. Ова позадинска врата су високо циљана, посебно направљена да искористе слабости у инфраструктури телекомуникационих фирми југоисточне Азије. Еартх Естриес користи ову алатку заједно са МАСОЛ РАТ-ом (такође познатим као Бацкдр-НК), још једним бацкдоором, да циља и Линук и владине мрежне системе. Стратегија групе коришћења малвера направљеног по мери обезбеђује стално присуство унутар компромитованих мрежа, омогућавајући дугорочну сајбер шпијунажу.

Глобални досег: Циљање на више сектора

Еартх Естриес је направио значајан напредак у компромитовању широког спектра сектора, укључујући телекомуникације, технологију, консалтинг, транспорт, хемијску индустрију и владине организације. Операције групе обухватају преко 20 жртава у више од десет земаља, укључујући Авганистан, Бразил, Индију, Индонезију, Малезију, Јужну Африку, САД и Вијетнам. Ово широко циљање наглашава способност и амбицију групе, са процењеним да је око 150 жртава погођено њиховим активностима, посебно у оквиру владе САД и приватног сектора.

Алати земаљских естрија

Међу многим алаткама које Тхе Еартх Естриес има на располагању, издвајају се Демодек рооткит и Деед РАТ (познат и као СНАППИБЕЕ). Ови алати, заједно са осталима као што су Цровдоор и ТриллЦлиент, саставни су део пословања групе. Верује се да је СхадовПад, породица малвера коју нашироко користе кинеске АПТ групе, утицала на развој Деед РАТ-а, вероватног наследника. Ови напредни бацкдоорс и крадљивачи информација омогућавају Земљи Естриес да остану скривени док ексфилтрирају осетљиве информације са својих мета.

Искоришћавање рањивости за почетни приступ

Да би добио приступ својим циљевима, Еартх Естриес се у великој мери ослања на рањивости Н дана, што су недостаци у софтверу који су јавно откривени, али корисници још увек нису закрпили. Неке од најчешће искоришћених рањивости укључују оне у Иванти Цоннецт Сецуре, Фортинет ФортиЦлиент ЕМС, Сопхос Фиревалл и Мицрософт Екцханге Сервер. Када се ове рањивости искористе, Еартх Естриес примењује свој прилагођени малвер, даље се уграђује у угрожену мрежу ради дугорочног надзора и прикупљања података.

Сложена и добро организована група

Еартх Естриес ради са високо структурираним и организованим приступом. На основу анализе неколико кампања, чини се да су различити тимови унутар групе одговорни за циљање одређених региона и индустрија. Групна инфраструктура за команду и контролу (Ц2) је такође децентрализована, са различитим тимовима који управљају различитим бацкдоор операцијама. Ова сегментација омогућава сложеније и координисаније серије напада у различитим секторима.

ГхостСпидер: вишемодулни имплантат

У срцу операција Еартх Естриеса је имплант ГхостСпидер. Ова софистицирана алатка комуницира са инфраструктуром коју контролише нападач преко прилагођеног протокола обезбеђеног од стране Транспорт Лаиер Сецурити (ТЛС). Имплантат може да преузме додатне модуле по потреби, проширујући своју функционалност. Његова флексибилност га чини моћним оруђем за дугорочну сајбер шпијунажу, омогућавајући Земаљским естријама да се прилагоде и еволуирају своје операције како ситуација захтева.

Тактике прикривања и избегавања

Еартх Естриес користи разне прикривене технике како би избегао откривање. Група почиње своје нападе на рубним уређајима, постепено проширујући свој домет у окружења у облаку, што отежава откривање њеног присуства. Одржавајући низак профил и скривајући се иза слојева инфраструктуре, Еартх Естриес осигурава да његове активности остану неоткривене током дужег периода, омогућавајући непрекидно прикупљање података.

Телекомуникационе компаније: честа мета

Телекомуникационе компаније су дуго биле главна мета група кибернетичких претњи повезаних са Кином, а Еартх Естриес се придружио редовима других као што су Граните Типхоон и Лиминал Панда. Ови напади откривају повећано сазревање кинеског сајбер програма, који је са једнократних штрајкова прешао на масовно прикупљање података и сталне кампање усмерене на критичне пружаоце услуга. Фокус компаније Еартх Естриес на провајдерима управљаних услуга (МСП), добављачима интернет услуга (ИСП) и добављачима платформи сигнализира промену у кинеској стратегији за добијање континуираног приступа глобалним комуникационим мрежама.

Закључак: Растућа претња сајбер шпијунаже

Како Еартх Естриес наставља да проширује своје операције, то наглашава растуће способности група за сајбер шпијунажу повезаних са Кином. Употреба софистицираног малвера, у комбинацији са фокусом на критичне инфраструктурне секторе, показује добро организовану претњу која се развија. За организације у погођеним регионима, потреба за повећаном будношћу и снажним мерама сајбер безбедности никада није била критичнија.