Το APT που συνδέεται με την Κίνα πέταξε κάτω από ραντάρ για μια δεκαετία

Οι ερευνητές εντόπισαν ένα μικρό αλλά ισχυρό συνδεδεμένο με την Κίνα APT που πετούσε κάτω από το ραντάρ για σχεδόν μια δεκαετία τρέχοντας εκστρατείες εναντίον κυβερνητικών, εκπαιδευτικών και τηλεπικοινωνιακών οργανισμών στη Νοτιοανατολική Ασία και την Αυστραλία.

Ερευνητές είπε από την SentinelLabs το APT, το οποίο ονόμασαν Aoqin Dragon, λειτουργεί τουλάχιστον από το 2013. Το APT είναι «μια μικρή κινεζόφωνη ομάδα με πιθανή σύνδεση με [ένα APT που ονομάζεται] UNC94», ανέφεραν.

Οι ερευνητές λένε ότι μία από τις τακτικές και τις τεχνικές του Aoqin Dragon περιλαμβάνει τη χρήση κακόβουλων εγγράφων με θέμα την πορνογραφία ως δόλωμα για να δελεάσουν τα θύματα να τα κατεβάσουν.

«Το Aoqin Dragon επιδιώκει την αρχική πρόσβαση κυρίως μέσω εκμεταλλεύσεων εγγράφων και χρήσης ψεύτικων αφαιρούμενων συσκευών», έγραψαν οι ερευνητές.

Οι εξελισσόμενες τακτικές Stealth του Aoqin Dragon

Μέρος αυτού που βοήθησε τον Aoqin Dragon να παραμείνει κάτω από το ραντάρ για τόσο μεγάλο χρονικό διάστημα είναι ότι έχουν εξελιχθεί. Για παράδειγμα, τα μέσα που χρησιμοποιούσε το APT για να μολύνουν υπολογιστές-στόχους έχουν εξελιχθεί.

Στα πρώτα χρόνια λειτουργίας του, ο Aoqin Dragon βασίστηκε στην εκμετάλλευση παλαιών τρωτών σημείων – συγκεκριμένα, CVE-2012-0158 και CVE-2010-3333 – τα οποία οι στόχοι τους μπορεί να μην είχαν επιδιορθώσει ακόμη.

Αργότερα, ο Aoqin Dragon δημιούργησε εκτελέσιμα αρχεία με εικονίδια επιφάνειας εργασίας που τα έκαναν να μοιάζουν με φακέλους Windows ή λογισμικό προστασίας από ιούς. Αυτά τα προγράμματα ήταν στην πραγματικότητα κακόβουλα droppers τα οποία εγκατέστησαν backdoors και στη συνέχεια δημιούργησαν συνδέσεις πίσω με τους διακομιστές εντολής και ελέγχου (C2) των εισβολέων.

Από το 2018, η ομάδα χρησιμοποιεί μια ψεύτικη αφαιρούμενη συσκευή ως φορέα μόλυνσης. Όταν ένας χρήστης κάνει κλικ για να ανοίξει αυτό που φαίνεται να είναι ένας φάκελος αφαιρούμενης συσκευής, στην πραγματικότητα ξεκινά μια αλυσιδωτή αντίδραση που κατεβάζει μια κερκόπορτα και μια σύνδεση C2 στο μηχάνημά του. Όχι μόνο αυτό, το κακόβουλο λογισμικό αντιγράφεται σε οποιεσδήποτε πραγματικές αφαιρούμενες συσκευές που είναι συνδεδεμένες στον κεντρικό υπολογιστή, προκειμένου να συνεχίσει την εξάπλωσή του πέρα ​​από τον κεντρικό υπολογιστή και, ελπίζουμε, στο ευρύτερο δίκτυο του στόχου.

Η ομάδα έχει χρησιμοποιήσει άλλες τεχνικές για να παραμείνει εκτός ραντάρ. Έχουν χρησιμοποιήσει σήραγγα DNS - χειραγωγώντας το σύστημα ονομάτων τομέα του Διαδικτύου για να κρυφτούν δεδομένα πέρα ​​από τα τείχη προστασίας. Μία μόχλευση backdoor – γνωστή ως Mongall – κρυπτογραφεί τα δεδομένα επικοινωνίας μεταξύ του κεντρικού υπολογιστή και του διακομιστή C2. Με την πάροδο του χρόνου, είπαν οι ερευνητές, το APT άρχισε σιγά-σιγά να επεξεργάζεται την τεχνική του ψεύτικου αφαιρούμενου δίσκου. Αυτό έγινε για να "αναβαθμιστεί το κακόβουλο λογισμικό για να το προστατεύσει από τον εντοπισμό και την αφαίρεσή του από προϊόντα ασφαλείας."

Σύνδεσμοι έθνους-κράτους

Οι στόχοι έτειναν να πέφτουν σε λίγους κάδους – κυβέρνηση, εκπαίδευση και τηλεπικοινωνίες, όλα μέσα και γύρω από τη Νοτιοανατολική Ασία. Οι ερευνητές υποστηρίζουν ότι «η στόχευση του Aoqin Dragon ευθυγραμμίζεται στενά με τα πολιτικά συμφέροντα της κινεζικής κυβέρνησης».

Περαιτέρω στοιχεία για την επιρροή της Κίνας περιλαμβάνουν ένα αρχείο καταγραφής εντοπισμού σφαλμάτων που βρέθηκε από ερευνητές και περιέχει απλοποιημένους κινεζικούς χαρακτήρες.

Το πιο σημαντικό από όλα, οι ερευνητές τόνισαν μια αλληλοεπικαλυπτόμενη επίθεση στον ιστότοπο του προέδρου της Μιανμάρ το 2014. Σε εκείνη την περίπτωση, η αστυνομία εντόπισε τους διακομιστές εντολής και ελέγχου και αλληλογραφίας των χάκερ στο Πεκίνο. Οι δύο κύριες κερκόπορτες του Aoqin Dragon «έχουν επικαλυπτόμενη υποδομή C2», με αυτήν την περίπτωση, «και οι περισσότεροι διακομιστές C2 μπορούν να αποδοθούν σε χρήστες που μιλούν κινεζικά».

Ωστόσο, «ο σωστός εντοπισμός και η παρακολούθηση παραγόντων απειλών που χορηγούνται από το κράτος και το κράτος μπορεί να είναι πρόκληση», έγραψε σε μια δήλωση ο Mike Parkin, ανώτερος τεχνικός μηχανικός της Vulcan Cyber. «Η SentinelOne δημοσιεύει τις πληροφορίες τώρα για μια ομάδα APT που προφανώς είναι ενεργή εδώ και σχεδόν μια δεκαετία και δεν εμφανίζεται σε άλλες λίστες, δείχνει πόσο δύσκολο μπορεί να είναι «να είσαι σίγουρος» όταν εντοπίζεις έναν νέο παράγοντα απειλής. ”