Hackerii asociați cu China atacă în întreaga lume: 17 națiuni lovite într-o campanie cibernetică de 3 ani
Hackerii asociați cu Ministerul Securității de Stat din China (MSS) au fost legați de atacuri în 17 țări diferite din Asia, Europa și America de Nord în perioada 2021-2023.
Firma de securitate cibernetică Recorded Future a atribuit setul de intruziuni unui grup de state-națiune pe care îl urmărește sub numele RedHotel (anterior Threat Activity Group-22 sau TAG-22), care se suprapune cu un grup de activități monitorizate pe scară largă ca Aquatic Panda, Bronze University, Charcoal Typhoon, Earth Lusca și Red Scylla (sau Red Dev 10).
Activ din 2019, unele dintre sectoarele proeminente vizate de prolificul actor cuprind mediul academic, aerospațial, guvernamental, media, telecomunicații și cercetare. Majoritatea victimelor din această perioadă au fost organizații guvernamentale.
„RedHotel are o misiune dublă de colectare de informații și spionaj economic”, a declarat compania de securitate cibernetică, subliniind persistența, intensitatea operațională și raza de acțiune globală a acestuia. „Vizează atât entitățile guvernamentale pentru informații tradiționale, cât și organizațiile implicate în cercetare și cercetare și dezvoltare tehnologică COVID-19.”
Trend Micro, la începutul lunii ianuarie 2022, a descris adversarul ca fiind un „actor de amenințări foarte calificat și periculos, motivat în principal de spionaj cibernetic și câștiguri financiare”.
De atunci, grupul a fost legat de exploatarea deficiențelor Log4Shell, precum și de atacuri care au vizat organizații din domeniul telecomunicațiilor, universități, cercetare și dezvoltare și organizații guvernamentale din Nepal, Filipine, Taiwan și Hong Kong pentru a implementa backdoors pentru acces pe termen lung.
Lanțurile de atac montate de RedHotel au armat aplicațiile cu acces public pentru accesul inițial, urmate de utilizarea unei combinații de instrumente de securitate ofensive, precum Cobalt Strike și Brute Ratel C4 (BRc4), și de familii de programe malware personalizate, precum FunnySwitch, ShadowPad, Spyder și Winnti.
Un aspect demn de remarcat al modului de operare al actorului este utilizarea unei infrastructuri pe mai multe niveluri, fiecare dintre acestea concentrându-se pe recunoașterea inițială și pe accesul pe termen lung la rețea prin intermediul serverelor de comandă și control. Pentru înregistrarea domeniilor, actorul utilizează în principal NameCheap.
Într-o campanie de la sfârșitul anului 2022, RedHotel ar fi folosit un certificat de semnare a codurilor furat, aparținând unei companii de jocuri de noroc din Taiwan, pentru a semna un fișier DLL responsabil pentru încărcarea BRc4. Setul de instrumente post-exploatare, la rândul său, este configurat pentru a comunica cu infrastructura guvernamentală vietnameză compromisă în mod abuziv.
„RedHotel a exemplificat un domeniu de aplicare și o amploare necruțătoare a unei activități mai ample de spionaj cibernetic sponsorizate de stat din RPC, menținând un ritm operațional ridicat și vizând organizații din sectorul public și privat la nivel global”, a declarat Recorded Future.
Această evoluție survine în contextul în care Washington Post a relatat că hackerii chinezi au avut „acces profund și persistent” la rețelele clasificate de apărare din Japonia, ceea ce a determinat Agenția Națională de Securitate a SUA (NSA), care a descoperit breșa la sfârșitul anului 2020, să raporteze personal această problemă oficialilor guvernamentali.
Sursa: TheHackerNews.com
Tradus și adaptat cu www.DeepL.com/Translator (free version)