चीन से जुड़े एपीटी ने दशक के लिए रडार के नीचे उड़ान भरी

शोधकर्ताओं ने चीन से जुड़े एक छोटे से शक्तिशाली एपीटी की पहचान की है जो दक्षिण पूर्व एशिया और ऑस्ट्रेलिया में सरकार, शिक्षा और दूरसंचार संगठनों के खिलाफ लगभग एक दशक से चल रहे अभियानों के लिए रडार के नीचे चला गया है।

शोधकर्ताओं SentinelLabs ने कहा APT, जिसे उन्होंने Aoqin Dragon करार दिया, कम से कम 2013 से काम कर रहा है। APT "एक छोटी चीनी-भाषी टीम है, जिसका संभावित जुड़ाव UNC94 से है," उन्होंने बताया।

शोधकर्ताओं का कहना है कि Aoqin Dragon की एक रणनीति और तकनीक में पीड़ितों को डाउनलोड करने के लिए लुभाने के लिए अश्लील थीम वाले दुर्भावनापूर्ण दस्तावेज़ों का उपयोग करना शामिल है।

शोधकर्ताओं ने लिखा, "आओकिन ड्रैगन मुख्य रूप से दस्तावेज़ शोषण और नकली हटाने योग्य उपकरणों के उपयोग के माध्यम से प्रारंभिक पहुंच चाहता है।"

Aoqin ड्रैगन की उभरती हुई चुपके रणनीति

Aoqin Dragon ने इतने लंबे समय तक रडार के नीचे रहने में जो मदद की है, उसका एक हिस्सा यह है कि वे विकसित हो गए हैं। उदाहरण के लिए, लक्षित कंप्यूटरों को संक्रमित करने के लिए इस्तेमाल किए जाने वाले एपीटी के साधन विकसित हो गए हैं।

अपने पहले कुछ वर्षों के संचालन में, Aoqin Dragon ने पुरानी कमजोरियों - विशेष रूप से, CVE-2012-0158 और CVE-2010-3333 - का फायदा उठाने पर भरोसा किया - जो कि उनके लक्ष्य अभी तक पैच नहीं कर पाए हैं।

बाद में, Aoqin Dragon ने डेस्कटॉप आइकनों के साथ निष्पादन योग्य फ़ाइलें बनाईं जिससे वे Windows फ़ोल्डर या एंटीवायरस सॉफ़्टवेयर की तरह दिखाई देने लगीं। ये प्रोग्राम वास्तव में दुर्भावनापूर्ण ड्रॉपर थे जो पिछले दरवाजे से लगाए गए थे और फिर हमलावरों के कमांड-एंड-कंट्रोल (C2) सर्वर से कनेक्शन स्थापित किए।

2018 से, समूह अपने संक्रमण वेक्टर के रूप में एक नकली हटाने योग्य उपकरण का उपयोग कर रहा है। जब कोई उपयोगकर्ता हटाने योग्य डिवाइस फ़ोल्डर को खोलने के लिए क्लिक करता है, तो वे वास्तव में एक चेन रिएक्शन शुरू करते हैं जो उनकी मशीन के पिछले दरवाजे और सी 2 कनेक्शन को डाउनलोड करता है। इतना ही नहीं, मैलवेयर होस्ट मशीन से जुड़े किसी भी वास्तविक रिमूवेबल डिवाइस पर खुद को कॉपी कर लेता है, ताकि होस्ट से परे इसके प्रसार को जारी रखा जा सके और, उम्मीद है, लक्ष्य के व्यापक नेटवर्क में।

समूह ने रडार से दूर रहने के लिए अन्य तकनीकों को नियोजित किया है। उन्होंने डीएनएस टनलिंग का उपयोग किया है - फायरवॉल के पिछले डेटा को छिपाने के लिए इंटरनेट के डोमेन नाम सिस्टम में हेरफेर करना। एक पिछले दरवाजे का उत्तोलन - जिसे मोंगल के रूप में जाना जाता है - मेजबान और C2 सर्वर के बीच संचार डेटा को एन्क्रिप्ट करता है। समय के साथ, शोधकर्ताओं ने कहा, एपीटी ने धीरे-धीरे नकली हटाने योग्य डिस्क तकनीक पर काम करना शुरू कर दिया। यह "मैलवेयर को सुरक्षा उत्पादों द्वारा पहचाने और हटाए जाने से बचाने के लिए अपग्रेड करने के लिए" किया गया था।

राष्ट्र-राज्य लिंक

दक्षिण पूर्व एशिया में और उसके आस-पास, सरकार, शिक्षा और दूरसंचार - लक्ष्य कुछ ही बाल्टियों में गिर गए हैं। शोधकर्ताओं का दावा है कि "आओकिन ड्रैगन को निशाना बनाना चीनी सरकार के राजनीतिक हितों के साथ निकटता से जुड़ा हुआ है।"

चीन के प्रभाव के और सबूतों में शोधकर्ताओं द्वारा पाया गया एक डिबग लॉग शामिल है जिसमें सरलीकृत चीनी वर्ण शामिल हैं।

सबसे महत्वपूर्ण बात, शोधकर्ताओं ने 2014 में म्यांमार की वेबसाइट के राष्ट्रपति पर एक अतिव्यापी हमले पर प्रकाश डाला। उस मामले में, पुलिस ने हैकर्स के कमांड-एंड-कंट्रोल और मेल सर्वर को बीजिंग में खोजा। Aoqin Dragon के दो प्राथमिक बैकडोर "ओवरलैपिंग C2 इन्फ्रास्ट्रक्चर है," उस मामले के साथ, "और अधिकांश C2 सर्वरों को चीनी-भाषी उपयोगकर्ताओं के लिए जिम्मेदार ठहराया जा सकता है।"

वल्कन साइबर के वरिष्ठ तकनीकी इंजीनियर माइक पार्किन ने एक बयान में लिखा, "फिर भी, "राज्य और राज्य प्रायोजित खतरे वाले अभिनेताओं को ठीक से पहचानना और उन पर नज़र रखना चुनौतीपूर्ण हो सकता है।" "SentinelOne एक एपीटी समूह पर अब सूचना जारी कर रहा है जो लगभग एक दशक से सक्रिय है, और अन्य सूचियों में प्रकट नहीं होता है, यह दर्शाता है कि जब आप एक नए खतरे वाले अभिनेता की पहचान कर रहे हैं तो यह सुनिश्चित करना कितना मुश्किल हो सकता है। "