עדויות מצביעות על כך ש-APT שזה עתה התגלה פעיל מאז 2013.
חוקרים זיהו APT קטן אך חזק, המקושר לסין, שעף מתחת לרדאר במשך כמעט עשור ומנהל קמפיינים נגד ארגוני ממשלה, חינוך וטלקומוניקציה בדרום מזרח אסיה ואוסטרליה.
חוקרים מ-SentinelLabs אמר ה-APT, שהם כינו את Aoqin Dragon, פועלת לפחות משנת 2013. ה-APT הוא "צוות קטן דובר סינית עם קשר פוטנציאלי ל[APT שנקרא] UNC94", הם דיווחו.
חוקרים אומרים שאחת הטקטיקות והטכניקות של Aoqin Dragon כוללות שימוש במסמכים זדוניים בנושא פורנוגרפי כפיתיון כדי לפתות קורבנות להוריד אותם.
"Aoqin Dragon מחפש גישה ראשונית בעיקר באמצעות ניצול מסמכים ושימוש במכשירים נשלפים מזויפים", כתבו החוקרים.
טקטיקת ההתגנבות המתפתחת של אוקין דרקון
חלק ממה שעזר ל-Aoqin Dragon להישאר מתחת לרדאר כל כך הרבה זמן הוא שהם התפתחו. לדוגמה, התפתחו האמצעים שבהם השתמש ה-APT כדי להדביק מחשבי יעד.
בשנים הראשונות של פעילותם, Aoqin Dragon הסתמכה על ניצול פגיעויות ישנות - במיוחד, CVE-2012-0158 ו-CVE-2010-3333 - שאולי היעדים שלהם עדיין לא תיקנו.
מאוחר יותר, Aoqin Dragon יצר קבצי הפעלה עם סמלי שולחן העבודה שגרמו להם להיראות כמו תיקיות של Windows או תוכנת אנטי-וירוס. תוכניות אלו היו למעשה מטפטפות זדוניות אשר נטעו דלתות אחוריות ולאחר מכן יצרו קשרים בחזרה לשרתי הפיקוד והשליטה (C2) של התוקפים.
מאז 2018, הקבוצה משתמשת במכשיר נשלף מזויף בתור וקטור הזיהום שלהם. כאשר משתמש לוחץ כדי לפתוח את מה שנראה כתיקיית התקן נשלף, הוא למעשה יוזם תגובת שרשרת אשר מורידה דלת אחורית וחיבור C2 למחשב שלו. לא רק זה, התוכנה הזדונית מעתיקה את עצמה לכל המכשירים הנשלפים בפועל המחוברים למחשב המארח, על מנת להמשיך את הפצתה אל מעבר למארח, ובתקווה, אל הרשת הרחבה יותר של היעד.
הקבוצה השתמשה בטכניקות אחרות כדי להישאר מחוץ לרדאר. הם השתמשו במנהור DNS - מניפולציה של מערכת שמות הדומיינים של האינטרנט כדי להגניב נתונים על פני חומות אש. מינוף אחד בדלת אחורית - המכונה מונגל - מצפין נתוני תקשורת בין המארח לשרת C2. עם הזמן, אמרו החוקרים, ה-APT החל לעבוד באיטיות בטכניקת הדיסק הנשלף המזויף. זה נעשה כדי "לשדרג את התוכנה הזדונית כדי להגן עליה מפני זיהוי והסרה על ידי מוצרי אבטחה."
קישורי לאום-מדינה
היעדים נטו ליפול תוך כמה דליים - ממשלה, חינוך וטלקום, כולם בדרום מזרח אסיה ובסביבתה. חוקרים טוענים כי "המטרה של אוקין דרקון עולה בקנה אחד עם האינטרסים הפוליטיים של הממשלה הסינית".
עדות נוספת להשפעה של סין כוללת יומן ניפוי באגים שנמצא על ידי חוקרים המכיל תווים סיניים מפושטים.
החשוב מכל, החוקרים הדגישו מתקפה חופפת על נשיא אתר האינטרנט של מיאנמר עוד בשנת 2014. במקרה זה, המשטרה עקבה אחר שרתי הפיקוד והשליטה והדואר של ההאקרים לבייג'ינג. לשתי הדלתות האחוריות העיקריות של Aoqin Dragon "יש תשתית C2 חופפת", עם המקרה הזה, "ואת רוב שרתי C2 ניתן לייחס למשתמשים דוברי סינית."
ובכל זאת, "זיהוי ומעקב נכון של גורמי איומים בחסות מדינה ומדינה יכולים להיות מאתגרים", כתב מייק פרקין, מהנדס טכני בכיר בוולקן סייבר, בהצהרה. "SentinelOne משחררת כעת את המידע על קבוצת APT שכנראה פעילה כבר כמעט עשור, ואינה מופיעה ברשימות אחרות, מראה כמה קשה זה יכול להיות 'להיות בטוח' כשאתה מזהה שחקן איום חדש. ”
