Číňané špehovali v jihovýchodní Asii

13. 6. 2024

Sdílet

spy špion agent bezpečnost security Autor: Fotolia

Sophos zveřejnil zprávu „Operace Crimson Palace: Pronásledovatelé hrozeb odhalili několik skupin čínských, státem sponzorovaných útočníků zaměřených na jihovýchodní Asii“, která podrobně popisuje velmi sofistikovanou, téměř dva roky trvající špionážní kampaň proti vysoce postavenému vládnímu cíli.

Stali jste se obětí nějakého trestného činu na internetu?

Během vyšetřování bezpečnostními specialisty z týmu Sophos X-Ops, které začalo v roce 2023, našel tým řízené detekce a reakce na hrozby (MDR) tři odlišné skupiny aktivit zaměřených na stejnou organizaci, z nichž dvě zahrnovaly taktiky, techniky a postupy (TTP), které se překrývají s dobře známými čínskými, státem podporovanými skupinami BackdoorDiplomacy, APT15 a podskupinou APT41 Earth Longzhi.

Útočníci svou operaci připravili s cílem shromažďovat informace o konkrétních uživatelích a citlivé politické, ekonomické i vojenské informace, přičemž v rámci kampaně, kterou Sophos nazval „Crimson Palace“, používali širokou škálu malwaru a dalších nástrojů. Patří mezi ně i dosud nezaznamenaný malware – nástroj pro perzistentní útoky, který Sophos pojmenoval PocoProxy.

„Zdá se, že různé skupiny pracovaly na podpoře čínských státních zájmů, když shromažďovaly vojenské a ekonomické informace týkající se strategií země v Jihočínském moři. V případě této konkrétní kampaně se domníváme, že tyto tři skupiny představují odlišné týmy útočníků, které pod zastřešujícím vedením ústředního státního orgánu pracují paralelně proti stejnému cíli.

Jak se efektivně chránit v digitálním prostředí?
Jak se efektivně chránit v digitálním prostředí?
0:00/

Pouze v rámci jedné ze tří identifikovaných skupin – pojmenované Cluster Alpha – jsme zaznamenali překrývání malwaru a TTP se čtyřmi samostatně popsanými čínskými skupinami útočníků. Je dobře známo, že čínští útočníci sdílejí infrastrukturu i nástroje, a tato nedávná kampaň připomíná, jak rozsáhle si tyto skupiny předávají své nástroje a techniky. 

V době, kdy západní vlády zvyšují povědomí o kybernetických hrozbách z Číny, je tento Sophosem odhalený překryv důležitou připomínkou, že přílišné soustředění se na jeden čínský kyberútok může organizace vystavit riziku, že jim uniknou trendy, jak tyto skupiny koordinují své operace,“ řekl Paul Jaramillo, ředitel pro vyšetřování a informace o hrozbách ve společnosti Sophos.

Tým Sophos X-Ops se poprvé dozvěděl o škodlivé aktivitě v síti cílové organizace v prosinci 2022, když našel nástroj pro exfiltraci dat, který byl dříve připisován čínské skupině útočníků Mustang Panda. Tým Sophos MDR následně zahájil širší pátrání po souvisejících škodlivých aktivitách, přičemž v květnu 2023 odhalilo vyšetřování hrozeb zranitelný spustitelný soubor VMware a po analýze tři různé shluky aktivit v síti cíle: Cluster Bravo, Cluster Charlie a Cluster Alpha.

Video ke kávě

Máte čas na rychlé a informativní video?

Cluster Alpha byl aktivní od začátku března nejméně do srpna 2023 a nasadil řadu malwaru zaměřeného na deaktivaci antivirových ochran, zvýšení oprávnění a průzkum. Jednalo se o vylepšenou verzi malwaru EAGERBEE, který byl spojován s čínskou skupinou REF5961. Cluster Alpha také používal TTP a malware, překrývající se s čínskými skupinami útočníků BackdoorDiplomacy, APT15, Worok a TA428.

Cluster Bravo byl v cílové síti aktivní pouze po dobu tří týdnů v březnu 2023 a zaměřil se na úhybné manévry v síti oběti, aby do ní zavedl zadní vrátka s názvem CCoreDoor. Tento „backdoor“ vytváří externí komunikační cesty pro útočníky, provádí průzkum a exfiltraci pověření.

Cluster Charlie byl aktivní od března 2023 nejméně do dubna 2024 a zaměřoval se na špionáž a exfiltraci. To zahrnovalo nasazení PocoProxy, nástroje pro perzistentní útoky, který se maskuje jako spustitelný soubor od Microsoftu a navazuje komunikaci s infrastrukturou útočníků pro velení a řízení. Cluster Charlie pracoval na exfiltraci velkého objemu citlivých dat pro špionážní účely, včetně vojenských a politických dokumentů a pověření či tokenů pro další přístupy v rámci sítě. Cluster Charlie sdílí TTP s čínskou skupinou Earth Longzhi, která je údajně podskupinou APT41. Na rozdíl od Clusteru Alfa a Clusteru Bravo zůstává Cluster Charlie stále aktivní.

Třináctero IT předsevzetí pro letošní rok Přečtěte si také:

Třináctero IT předsevzetí pro letošní rok

„V rámci této kampaně jsme svědky agresivního rozvoje kybernetických špionážních operací v Jihočínském moři. Máme zde několik skupin kyberútočníků, které pravděpodobně disponují neomezenými zdroji a které se týdny či měsíce zaměřují na stejnou, vysoce postavenou vládní organizaci a používají pokročilý specializovaný malware, propojený s veřejně dostupnými nástroji. Byli a stále jsou schopni libovolně se pohybovat po celé organizaci a často střídat své nástroje. Přinejmenším jedna ze skupin je stále velmi aktivní a snaží se provádět další sledování,“ řekl Jaramillo.

„Vhledem k tomu, jak často se tyto čínské skupiny útočníků překrývají a sdílejí nástroje, je možné, že TTP a nový malware, které jsme pozorovali v této kampani, se znovu objeví v dalších čínských operacích po celém světě. Zpravodajskou komunitu budeme informovat o našich zjištěních během pokračujícího vyšetřování těchto tří skupin,“ upozornil Jaramillo.

 

Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí.  Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.

Našli jste v článku chybu?