ריגול סייבר: קבוצה סינית מרגלת אחרי ארגונים פוליטים ועמותות באסיה

קבוצת תקיפה סינית בסייבר בשם BRONZE PRESIDENT מבססת התקפות על שרתי VPS מבוזרים ומתקפות פישינג במטרה להגיע למידע ביטחוני ופוליטי של מדינות באסיה

 

bigstockphoto

קבוצת תקיפה סינית בסייבר בשם BRONZE PRESIDENT פועלת נגד ארגוני לא ממשלתיים (NGO), כך לפי פרסום של חברת secureworks. "שחקני האיום גונבים נתונים ממערכות שנפרצו לאורך זמן רב, מה שמצביע ככל הנראה על יעד ארוך טווח של פיקוח על רשת היעד", כותבים בפרסום.

BRONZE PRESIDENT משתמשת בסקריפטים מותאמים אישית כדי לאסוף סוגי קבצים ספציפיים (כולל קבצים עם סיומות .pptx, .xlsx, .pdf) או קבצים במיקום ספציפי. ישנן גם ראיות לכך ששחקני האיום אוספים אישורים מחשבונות רשת בעלי הרשאות גבוהות וחשבונות רגישים, כמו כאלו במדיה חברתית וחשבונות דואר אלקטרוני.

בנוסף, החוקרים צפו בראיות לכך שהקבוצה התייחסה לארגונים פוליטיים ואכיפת חוק במדינות הסמוכות לסין, כולל מונגוליה והודו. חלק מפתיונות הדיוג של הקבוצה מעידים על התעניינות בארגוני ביטחון לאומי, הומניטריים ואכיפת חוק במזרח, דרום ודרום מזרח אסיה. דוגמאות אלו חושפות את כוונתה של הקבוצה לבצע ריגול פוליטי במדינות אחרות בנוסף למיקוד בעמותות.

בין הכלים המשמשים את הקבוצה אפשר למצוא את Cobalt Strike - כלי לפריצה מרחוק לרשת הקורבן. "במהלך חדירה אחת, שחקני האיום התקינו אותה על מעל 70% מההתקנים ברשת הקורבן", נכתב בפרסום. כלי נוסף הוא PlugX המשמש לצורך שליטה מרחוק בעמדה מזוהמת (RAT). כלי נוסף בשם ORat משמש את הקבוצה לצורך הישרדות הנוזקה באמצעות שימוש במנגנון WMI של חלונות. עוד כלי ייחודי לקבוצה הוא RCSession המשמש גם הוא לצורך ניהול מרוחק של העמדה. כלים נוספים כוללים את Nbtscan, Nmap ו-Wmiexec.

החוקרים הגיעו למסקנה שהקבוצה פועלת כבר מספר שנים, כאשר וקטור החדירה הראשוני נשאר עלום. באוקטובר 2019 תיארו חוקרי צד ג' קמפיין דיוג שהשתמש בתשתיות המיוחסות לקבוצת BRONZE PRESIDENT. "חיבור זה מציע כי הקבוצה משתמשת בקמפיין דיוג עם קבצים מצורפים מסוג ZIP המכילים קבצי LNK כוקטור גישה ראשוני", כותבים בפרסום. "במהלך חדירה אחת, שחקני האיום השיגו גישת מנהל לכל המערכות בתוך יחידה עסקית ממוקדת והתקינו את כלי הגישה מרחוק שלהם על 80% מהרשת."

עוד עולה מהמחקר כי הקבוצה השתמשה בשרתים וירטואלים בבעלות ספק הולנדי Host Sailor, חברת World Telecoms מהונג קונג ו-Shinjiru Technology ממלזיה. 

אולי יעניין אותך גם