Η Check Point Research (CPR) εντοπίζει μια συνεχιζόμενη επιχείρηση κατασκοπείας στον κυβερνοχώρο με στόχο ρωσικά ινστιτούτα αμυντικής έρευνας. Η επιχείρηση, που αποδίδεται σε κινεζικούς εθνικούς κρατικούς φορείς, χρησιμοποιεί spear-phishing μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται με το πρόσχημα του ρωσικού Υπουργείου Υγείας για τη συλλογή ευαίσθητων πληροφοριών.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου που έπιασε το CPR περιείχαν κακόβουλα έγγραφα που χρησιμοποιούσαν τις δυτικές κυρώσεις κατά της Ρωσίας ως δόλωμα, μεταξύ άλλων τεχνικών κοινωνικής μηχανικής. Οι απειλητικοί φορείς κατάφεραν να αποφύγουν τον εντοπισμό για σχεδόν 11 μήνες χρησιμοποιώντας νέα και μη τεκμηριωμένα εργαλεία, τα οποία το CPR περιγράφει τώρα λεπτομερώς για πρώτη φορά. Η CPR ονόμασε την εκστρατεία “Twisted Panda” για να αντανακλά την πολυπλοκότητα των εργαλείων που παρατηρήθηκαν και εντοπίστηκαν στην Κίνα.
Τα ρωσικά θύματα ανήκουν σε μια εταιρεία διαχείρισης του ρωσικού κρατικού αμυντικού ομίλου Rostec Corporation, τη μεγαλύτερη εταιρεία διαχείρισης της Ρωσίας στη βιομηχανία ραδιοηλεκτρονικής.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν τις γραμμές θέματος “Κατάλογος των προσώπων <όνομα ιδρύματος-στόχου> που τελούν υπό αμερικανικές κυρώσεις για την εισβολή στην Ουκρανία” και “ΗΠΑ εξάπλωση θανατηφόρων παθογόνων στη Λευκορωσία”
Η εκστρατεία φέρει πολλαπλές επικαλύψεις με κινεζικούς φορείς κυβερνοκατασκοπείας, συμπεριλαμβανομένων των APT10 και Mustang Panda
Η Check Point Research (CPR) εντόπισε μια συνεχιζόμενη επιχείρηση κατασκοπείας στον κυβερνοχώρο με στόχο ρωσικά ινστιτούτα αμυντικής έρευνας. Η επιχείρηση, η οποία αποδίδεται σε κινεζικούς εθνικούς κρατικούς φορείς απειλών, βασίζεται σε τεχνικές κοινωνικής μηχανικής, και συγκεκριμένα σε δολώματα που σχετίζονται με κυρώσεις, για τη συλλογή ευαίσθητων πληροφοριών. Οι απειλητικοί φορείς κατάφεραν να αποφύγουν την ανίχνευση για σχεδόν 11 μήνες χρησιμοποιώντας νέα και μη τεκμηριωμένα εργαλεία, έναν εξελιγμένο πολυεπίπεδο φορτωτή και μια κερκόπορτα με την ονομασία SPINNER. Η CPR ονόμασε αυτή την εκστρατεία “Twisted Panda” για να αντανακλά την πολυπλοκότητα των εργαλείων που παρατηρήθηκαν και την απόδοση στην Κίνα.
Table of Contents
Στόχοι
Η CPR εντόπισε τρεις στόχους αμυντικής έρευνας, δύο στη Ρωσία και έναν στη Λευκορωσία. Τα ρωσικά θύματα ανήκουν σε μια εταιρεία συμμετοχών του ρωσικού κρατικού αμυντικού ομίλου Rostec Corporation, η οποία είναι η μεγαλύτερη εταιρεία συμμετοχών της Ρωσίας στη βιομηχανία ραδιοηλεκτρονικής. Η κύρια δραστηριότητα των ρωσικών θυμάτων αφορά την ανάπτυξη και κατασκευή συστημάτων ηλεκτρονικού πολέμου, στρατιωτικού εξειδικευμένου ραδιοηλεκτρονικού εξοπλισμού επί του σκάφους, σταθμών ραντάρ στον αέρα και μέσων κρατικής αναγνώρισης. Οι ερευνητικές οντότητες ασχολούνται επίσης με συστήματα αεροηλεκτρονικής για την πολιτική αεροπορία, την ανάπτυξη ποικίλων πολιτικών προϊόντων, όπως ιατρικός εξοπλισμός και συστήματα ελέγχου για την ενέργεια, τις μεταφορές και τις βιομηχανίες μηχανικής.
Μεθοδολογία επίθεσης
Αρχικά, οι επιτιθέμενοι στέλνουν στους στόχους τους ένα ειδικά διαμορφωμένο μήνυμα ηλεκτρονικού ταχυδρομείου phishing. Το μήνυμα ηλεκτρονικού ταχυδρομείου περιέχει ένα έγγραφο που χρησιμοποιεί τις δυτικές κυρώσεις κατά της Ρωσίας ως δόλωμα. Όταν το θύμα ανοίγει το έγγραφο, κατεβάζει τον κακόβουλο κώδικα από τον ελεγχόμενο από τους επιτιθέμενους διακομιστή, ο οποίος εγκαθιστά και εκτελεί κρυφά μια κερκόπορτα στο μηχάνημα του θύματος. Αυτή η κερκόπορτα συλλέγει τα δεδομένα σχετικά με το μολυσμένο μηχάνημα και τα στέλνει πίσω στον επιτιθέμενο. Στη συνέχεια, με βάση αυτές τις πληροφορίες, ο επιτιθέμενος μπορεί να χρησιμοποιήσει περαιτέρω το backdoor για να εκτελέσει πρόσθετες εντολές στο μηχάνημα του θύματος ή να συλλέξει ευαίσθητα δεδομένα από αυτό.
Κακόβουλα emails
Οι δράστες χρησιμοποιούν κακόβουλα spear-phishing email που χρησιμοποιούν τεχνικές κοινωνικής μηχανικής. Στις 23 Μαρτίου, κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου εστάλησαν σε διάφορα ινστιτούτα αμυντικής έρευνας που εδρεύουν στη Ρωσία. Τα μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία είχαν ως θέμα “List of persons under US sanctions for invading Ukraine” (Κατάλογος των προσώπων που βρίσκονται υπό τις κυρώσεις των ΗΠΑ για την εισβολή στην Ουκρανία), περιείχαν έναν σύνδεσμο προς έναν ελεγχόμενο από τους επιτιθέμενους ιστότοπο που μιμείται το Υπουργείο Υγείας της Ρωσίας και είχε συνημμένο ένα κακόβουλο έγγραφο. Την ίδια ημέρα, ένα παρόμοιο μήνυμα ηλεκτρονικού ταχυδρομείου εστάλη επίσης σε μια άγνωστη οντότητα στο Μινσκ της Λευκορωσίας με θέμα “Εξάπλωση θανατηφόρων παθογόνων στις ΗΠΑ στη Λευκορωσία”. Όλα τα επισυναπτόμενα έγγραφα είναι κατασκευασμένα έτσι ώστε να μοιάζουν με επίσημα έγγραφα του ρωσικού Υπουργείου Υγείας, που φέρουν το επίσημο έμβλημα και τον τίτλο του.
Αναφορά
Οι Τακτικές, Τεχνικές και Διαδικασίες (TTP) αυτής της επιχείρησης επιτρέπουν στη CPR να αποδώσει τη δράση σε κινεζική δραστηριότητα APT. Η εκστρατεία Twisted Panda παρουσιάζει πολλαπλές επικαλύψεις με κινεζικούς προηγμένους και μακροχρόνιους φορείς κυβερνοκατασκοπείας, συμπεριλαμβανομένων των APT10 και Mustang Panda.
O Ita Cohen, Επικεφαλής Έρευνας στο Check Point Software δήλωσε:
“Αποκαλύψαμε μια συνεχιζόμενη επιχείρηση κατασκοπείας εναντίον ρωσικών ινστιτούτων αμυντικής έρευνας, η οποία διεξάγεται από έμπειρους και εξελιγμένους φορείς απειλών που υποστηρίζονται από την Κίνα. Η έρευνά μας δείχνει ότι πρόκειται για μέρος μιας ευρύτερης επιχείρησης που βρίσκεται σε εξέλιξη κατά οντοτήτων που σχετίζονται με τη Ρωσία εδώ και περίπου ένα χρόνο.”
“Ανακαλύψαμε δύο στοχευμένα αμυντικά ερευνητικά ιδρύματα στη Ρωσία και μία οντότητα στη Λευκορωσία. Ίσως το πιο εξελιγμένο μέρος της εκστρατείας είναι η συνιστώσα κοινωνικής μηχανικής. Ο συγχρονισμός των επιθέσεων και τα δέλεαρ που χρησιμοποιούνται είναι έξυπνα. Από τεχνική άποψη, η ποιότητα των εργαλείων και η απόκρυψή τους είναι πάνω από το μέσο όρο, ακόμη και για ομάδες APT. Πιστεύω ότι τα ευρήματά μας χρησιμεύουν ως περισσότερες αποδείξεις ότι η κατασκοπεία είναι μια συστηματική και μακροπρόθεσμη προσπάθεια στην υπηρεσία των στρατηγικών στόχων της Κίνας για την επίτευξη τεχνολογικής υπεροχής. Σε αυτή την έρευνα, είδαμε πώς οι Κινέζοι κρατικά χρηματοδοτούμενοι επιτιθέμενοι εκμεταλλεύονται τον συνεχιζόμενο πόλεμο μεταξύ Ρωσίας και Ουκρανίας, εξαπολύοντας προηγμένα εργαλεία εναντίον αυτού που θεωρείται στρατηγικός εταίρος – της Ρωσίας”.