Kiinaan liittyvä APT lensi tutkan alla vuosikymmenen ajan

Tutkijat ovat tunnistaneet pienen, mutta voimakkaan Kiinaan liittyvän APT:n, joka on lentänyt tutkan alla lähes vuosikymmenen ajan ja kampanjoinut Kaakkois-Aasian ja Australian hallitusta, koulutus- ja televiestintäorganisaatioita vastaan.

Tutkijat SentinelLabs sanoi APT, jota he kutsuivat Aoqin Dragoniksi, on toiminut ainakin vuodesta 2013 lähtien. APT on "pieni kiinaa puhuva tiimi, jolla on potentiaalinen yhteys [APT:hen nimeltä] UNC94", he raportoivat.

Tutkijoiden mukaan yksi Aoqin Dragonin taktiikoista ja tekniikoista sisältää pornografisten aiheiden haitallisten asiakirjojen käyttämisen syöttinä uhrien houkuttelemiseksi lataamaan niitä.

"Aoqin Dragon hakee alkupääsyä ensisijaisesti asiakirjojen hyväksikäytön ja väärennettyjen irrotettavien laitteiden avulla", tutkijat kirjoittivat.

Aoqin Dragon's Evolving Stealth Tactics

Osa siitä, mikä on auttanut Aoqin Dragonia pysymään tutkan alla niin kauan, on se, että ne ovat kehittyneet. Esimerkiksi keinot, joita APT käytetään kohdetietokoneiden tartuttamiseen, ovat kehittyneet.

Muutaman ensimmäisen toimintavuoden aikana Aoqin Dragon luotti vanhojen haavoittuvuuksien – erityisesti CVE-2012-0158 ja CVE-2010-3333 – hyödyntämiseen, joita heidän kohteensa eivät ehkä olleet vielä korjanneet.

Myöhemmin Aoqin Dragon loi suoritettavia tiedostoja työpöydän kuvakkeilla, jotka saivat ne näyttämään Windows-kansioilta tai virustorjuntaohjelmistolta. Nämä ohjelmat olivat itse asiassa haitallisia droppereita, jotka loivat takaovia ja loivat sitten yhteydet takaisin hyökkääjien komento- ja ohjauspalvelimiin (C2).

Vuodesta 2018 lähtien ryhmä on käyttänyt infektiovektorina väärennettyä irrotettavaa laitetta. Kun käyttäjä napsauttaa avatakseen siirrettävältä laitekansion, hän itse asiassa käynnistää ketjureaktion, joka lataa takaoven ja C2-yhteyden koneeseensa. Paitsi, että haittaohjelma kopioi itsensä kaikkiin isäntäkoneeseen kytkettyihin todellisiin irrotettaviin laitteisiin jatkaakseen leviämistä isäntäkoneen ulkopuolelle ja toivottavasti kohteen laajempaan verkkoon.

Ryhmä on käyttänyt muita tekniikoita pysyäkseen poissa tutkasta. He ovat käyttäneet DNS-tunnelointia – manipuloimalla Internetin verkkotunnusjärjestelmää salatakseen tietoja palomuurien ohi. Yksi takaoven vipuvoima, joka tunnetaan nimellä Mongall, salaa isännän ja C2-palvelimen välisen tietoliikennetiedot. Ajan myötä tutkijat sanoivat, että APT alkoi hitaasti käyttää väärennettyä irrotettavaa levytekniikkaa. Tämä tehtiin haittaohjelman päivittämiseksi suojatakseen sitä tietoturvatuotteiden havaitsemiselta ja poistamiselta.

Kansallisvaltioiden linkit

Tavoitteet ovat yleensä pudonneet vain muutamassa osassa – hallitus, koulutus ja televiestintä, kaikkialla Kaakkois-Aasiassa ja sen ympäristössä. Tutkijat väittävät, että "Aoqin Dragonin kohdistaminen on läheisesti linjassa Kiinan hallituksen poliittisten etujen kanssa".

Lisätodisteita Kiinan vaikutuksesta on tutkijoiden löytämä virheenkorjausloki, joka sisältää yksinkertaistettuja kiinalaisia ​​merkkejä.

Kaikkein tärkeintä tutkijat nostivat esiin päällekkäisen hyökkäyksen Myanmarin presidenttiä vastaan ​​vuonna 2014. Siinä tapauksessa poliisi jäljitti hakkereiden komento- ja sähköpostipalvelimet Pekingiin. Aoqin Dragonin kahdella ensisijaisella takaovella "on päällekkäinen C2-infrastruktuuri", ja suurin osa C2-palvelimista voidaan lukea kiinankielisten käyttäjien ansioksi.

Silti "valtion ja valtion tukemien uhkien tunnistaminen ja jäljittäminen voi olla haastavaa", Vulcan Cyberin vanhempi tekninen insinööri Mike Parkin kirjoitti lausunnossaan. "SentinelOne julkaisee tiedot APT-ryhmästä, joka on ilmeisesti ollut aktiivinen lähes vuosikymmenen ajan ja joka ei näy muissa listoissa, osoittaa, kuinka vaikeaa voi olla "varmuuden vuoksi", kun tunnistat uutta uhkatekijää. ”