Η κινέζικη κυβερνοκατασκοπεία έχει συνδεθεί με μια μακροχρόνια εκστρατεία που έχει διεισδύσει σε πολλούς φορείς τηλεπικοινωνιών, τουλάχιστον από το 2021.
«Οι χάκερς εγκατέστησαν backdoors στα δίκτυα των στοχευόμενων εταιρειών και επιχείρησαν να κλέψουν διαπιστευτήρια», ανέφερε η ομάδα Symantec Threat Hunter Team, μέρος της Broadcom, σε μια έκθεση που κοινοποιήθηκε στο The Hacker News.
Διαβάστε σχετικά: Κινέζοι hackers χρησιμοποιούσαν συσκευές F5 BIG-IP για κυβερνοκατασκοπεία
Η εταιρεία κυβερνοασφάλειας δεν αποκάλυψε τη χώρα που στοχοποιήθηκε, αλλά ανέφερε ότι βρήκε στοιχεία που υποδηλώνουν πως η κακόβουλη δραστηριότητα στον κυβερνοχώρο μπορεί να ξεκίνησε ήδη από το 2020.
Οι χάκερς της συμμορίας αυτής στόχευσαν επίσης μια ανώνυμη εταιρεία υπηρεσιών στον τομέα των τηλεπικοινωνιών και ένα πανεπιστήμιο σε άλλη ασιατική χώρα, σύμφωνα με πληροφορίες.
Η επιλογή των εργαλείων που χρησιμοποιούνται σε αυτή την εκστρατεία συνάδει με άλλες αποστολές που πραγματοποιήθηκαν από κινέζικες συμμορίες κατασκοπείας, όπως η Mustang Panda (γνωστή και ως Earth Preta και Fireant), η RedFoxtrot (γνωστή και ως Needleminer και Nomad Panda) και η Naikon (γνωστή και ως Firefly) τα τελευταία χρόνια.
Αυτές περιλαμβάνουν προσαρμοσμένα backdoors, όπως τα COOLCLIENT, QuickHeal και RainyDay, τα οποία είναι εξοπλισμένα με δυνατότητες λήψης ευαίσθητων δεδομένων και δημιουργίας επικοινωνίας με server εντολών και ελέγχου (C2).
Δείτε περισσότερα: Κινέζοι hackers συνεργάζονται για κυβερνοκατασκοπεία
Αν και η ακριβής μέθοδος αρχικής πρόσβασης που χρησιμοποιήθηκε για την παραβίαση των στόχων παραμένει άγνωστη, η εκστρατεία ξεχωρίζει επίσης για την ανάπτυξη port scanning εργαλείων και την κλοπή διαπιστευτηρίων μέσω της απόρριψης των Windows Registry hives.
Οι επιθέσεις μπορεί να εκτελούνται ανεξάρτητα η μία από την άλλη, ένας μοναδικός παράγοντας απειλής μπορεί να χρησιμοποιεί εργαλεία που απέκτησε από άλλες ομάδες, ή διαφορετικοί παράγοντες μπορεί να συνεργάζονται σε μία ενιαία εκστρατεία.
Σε αυτό το στάδιο, παραμένει ασαφές το κύριο κίνητρο πίσω από τις εισβολές. Ωστόσο, οι παράγοντες απειλών από την Κίνα έχουν ιστορικά στοχοθετήσει τον τομέα των τηλεπικοινωνιών παγκοσμίως.
Τον Νοέμβριο του 2023, η Kaspersky αποκάλυψε την καμπάνια κακόβουλου λογισμικού ShadowPad, η οποία εκμεταλλεύτηκε κενά ασφαλείας στον Microsoft Exchange Server (CVE-2021-26855, γνωστός και ως ProxyLogon) μίας εθνικής εταιρείας τηλεπικοινωνιών στο Πακιστάν.
Διαβάστε ακόμη: Γερμανία: Εντάλματα σύλληψης κατά ατόμων για κινεζική κατασκοπεία
«Οι χάκερς ενδέχεται να συγκέντρωναν πληροφορίες για τον τομέα των τηλεπικοινωνιών αυτής της χώρας», ανέφερε η Symantec. «Η υποκλοπή είναι επίσης μια πιθανότητα. Διαφορετικά, μπορεί να προσπαθούσαν να δημιουργήσουν μια ανασταλτική ικανότητα στις κρίσιμες υποδομές της χώρας».
Πηγή: thehackernews
