Tõendid näitavad, et äsja avastatud APT on tegutsenud alates 2013. aastast.
Teadlased on tuvastanud väikese, kuid võimsa Hiinaga seotud APT, mis on olnud radari all peaaegu kümme aastat ja korraldanud kampaaniaid Kagu-Aasia ja Austraalia valitsus-, haridus- ja telekommunikatsiooniorganisatsioonide vastu.
Teadlased SentinelLabs ütles APT, mida nad nimetasid Aoqin Dragoniks, on tegutsenud vähemalt 2013. aastast. APT on "väike hiina keelt kõnelev meeskond, mis võib olla seotud [APT-ga, mille nimi on UNC94", teatasid nad.
Teadlaste sõnul on Aoqin Dragoni üks taktikaid ja tehnikaid kasutada pornograafiliste teemadega pahatahtlikke dokumente söödana, et meelitada ohvreid neid alla laadima.
"Aoqin Dragon otsib esmast juurdepääsu peamiselt dokumentide ärakasutamise ja võltsitud eemaldatavate seadmete kasutamise kaudu," kirjutasid teadlased.
Aoqin Dragoni arenev varjamistaktika
Osa sellest, mis on aidanud Aoqin Dragonil nii kaua radari all püsida, on see, et nad on arenenud. Näiteks on arenenud sihtarvutite nakatamiseks kasutatud APT vahendid.
Oma esimestel tegevusaastatel tugines Aoqin Dragon vanade turvaaukude – täpsemalt CVE-2012-0158 ja CVE-2010-3333 – ärakasutamisele, mida nende sihtmärgid ei pruugi olla veel parandanud.
Hiljem lõi Aoqin Dragon käivitatavad failid töölauaikoonidega, mis muutsid need välja nagu Windowsi kaustad või viirusetõrjetarkvara. Need programmid olid tegelikult pahatahtlikud tilgutajad, mis rajasid tagauksed ja lõid seejärel ühenduse tagasi ründajate käsu- ja juhtimisserveritega (C2).
Alates 2018. aastast on rühmitus kasutanud nakkusvektorina võltsitud eemaldatavat seadet. Kui kasutaja klõpsab eemaldatava seadmekausta avamiseks, käivitab ta tegelikult ahelreaktsiooni, mis laadib alla tagaukse ja C2-ühenduse nende masinasse. Vähe sellest, pahavara kopeerib end kõigisse tegelikesse hostmasinaga ühendatud eemaldatavatesse seadmetesse, et jätkata selle levikut hostist väljapoole ja loodetavasti ka sihtmärgi laiemasse võrku.
Rühm on radarist eemal püsimiseks kasutanud muid tehnikaid. Nad on kasutanud DNS-tunneldamist – manipuleerides Interneti domeeninimesüsteemiga, et andmeid tulemüüridest mööda hiilida. Üks tagaukse võimendus – tuntud kui Mongall – krüpteerib sideandmed hosti ja C2-serveri vahel. Teadlaste sõnul hakkas APT aja jooksul aeglaselt kasutama võltsitud eemaldatava ketta tehnikat. Seda tehti pahavara uuendamiseks, et kaitsta seda turvatoodete tuvastamise ja eemaldamise eest.
Rahvus-riigi lingid
Eesmärgid on langenud vaid mõne ämbri kaupa – valitsus, haridus ja telekommunikatsioon, kõik Kagu-Aasias ja selle ümbruses. Teadlased väidavad, et "Aoqin Dragoni sihtimine on tihedalt kooskõlas Hiina valitsuse poliitiliste huvidega".
Täiendavad tõendid Hiina mõju kohta hõlmavad teadlaste leitud silumislogi, mis sisaldab lihtsustatud hiina tähemärke.
Kõige tähtsam on see, et teadlased tõid esile kattuva rünnaku Myanmari presidendi veebisaidi vastu 2014. aastal. Sel juhul leidis politsei häkkerite juhtimis- ja meiliserverid Pekingist. Aoqin Dragoni kahel peamisel tagauksel on selle juhtumiga kattuv C2 infrastruktuur ja enamiku C2 serveritest võib omistada hiina keelt kõnelevatele kasutajatele.
Sellegipoolest võib "Riigi ja osariigi toetatud ohutegijate õige tuvastamine ja jälgimine olla keeruline," kirjutas Vulcan Cyberi vanemtehniline insener Mike Parkin avalduses. "SentinelOne avaldab praegu teavet APT grupi kohta, mis on ilmselt olnud aktiivne peaaegu kümme aastat ja mida teistes loendites ei kuvata, näitab, kui raske võib olla "kindel olla", kui tuvastate uue ohus osaleja. ”
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- Valitsus
- Kaspersky
- malware
- mcafee
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- Haavatavused
- kodulehel turvalisus
- sephyrnet
