Το τμήμα ερευνών της Check Point (CPR) εντόπισε μια συνεχιζόμενη επιχείρηση κατασκοπείας στον κυβερνοχώρο με στόχο ρωσικά ινστιτούτα αμυντικής έρευνας. Η επιχείρηση, που αποδίδεται σε κρατικούς φορείς της Κίνας, χρησιμοποιεί spear-phishing μηνύματα ηλεκτρονικού ταχυδρομείου με δήθεν αποστολέα το ρωσικό υπουργείο Υγείας. για τη συλλογή ευαίσθητων πληροφοριών.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου που έπιασε το CPR περιείχαν κακόβουλα έγγραφα που χρησιμοποιούσαν τις δυτικές κυρώσεις κατά της Ρωσίας ως δόλωμα, μεταξύ άλλων τεχνικών κοινωνικής μηχανικής. Οι απειλητικοί φορείς κατάφεραν να αποφύγουν τον εντοπισμό για σχεδόν 11 μήνες χρησιμοποιώντας νέα και μη τεκμηριωμένα εργαλεία, τα οποία το CPR περιγράφει τώρα λεπτομερώς για πρώτη φορά.
Η Check Point ονόμασε την εκστρατεία «Twisted Panda» για να αντανακλά την πολυπλοκότητα των εργαλείων που παρατηρήθηκαν και εντοπίστηκαν στην Κίνα.
Οι στόχοι
Εντοπίστηκαν τρεις στόχοι αμυντικής έρευνας, δύο στη Ρωσία και έναν στη Λευκορωσία. Τα ρωσικά θύματα ανήκουν σε μια εταιρεία συμμετοχών του ρωσικού κρατικού αμυντικού ομίλου Rostec Corporation, η οποία είναι η μεγαλύτερη εταιρεία συμμετοχών της Ρωσίας στη βιομηχανία ραδιοηλεκτρονικής.
Η κύρια δραστηριότητα των ρωσικών θυμάτων αφορά την ανάπτυξη και κατασκευή συστημάτων ηλεκτρονικού πολέμου, στρατιωτικού εξειδικευμένου ραδιοηλεκτρονικού εξοπλισμού επί του σκάφους, σταθμών ραντάρ στον αέρα και μέσων κρατικής αναγνώρισης. Οι ερευνητικές οντότητες ασχολούνται επίσης με συστήματα αεροηλεκτρονικής για την πολιτική αεροπορία, την ανάπτυξη ποικίλων πολιτικών προϊόντων, όπως ιατρικός εξοπλισμός και συστήματα ελέγχου για την ενέργεια, τις μεταφορές και τις βιομηχανίες μηχανικής.
Μεθοδολογία επίθεσης
Αρχικά, οι επιτιθέμενοι στέλνουν στους στόχους τους ένα ειδικά διαμορφωμένο μήνυμα ηλεκτρονικού ταχυδρομείου phishing. Το μήνυμα ηλεκτρονικού ταχυδρομείου περιέχει ένα έγγραφο που χρησιμοποιεί τις δυτικές κυρώσεις κατά της Ρωσίας ως δόλωμα. Όταν το θύμα ανοίγει το έγγραφο, κατεβάζει τον κακόβουλο κώδικα από τον ελεγχόμενο από τους επιτιθέμενους διακομιστή, ο οποίος εγκαθιστά και εκτελεί κρυφά μια κερκόπορτα στο μηχάνημα του θύματος. Αυτή η κερκόπορτα συλλέγει τα δεδομένα σχετικά με το μολυσμένο μηχάνημα και τα στέλνει πίσω στον επιτιθέμενο. Στη συνέχεια, με βάση αυτές τις πληροφορίες, ο επιτιθέμενος μπορεί να χρησιμοποιήσει περαιτέρω το backdoor για να εκτελέσει πρόσθετες εντολές στο μηχάνημα του θύματος ή να συλλέξει ευαίσθητα δεδομένα από αυτό.
Κακόβουλα emails
Οι δράστες χρησιμοποιούν κακόβουλα spear-phishing email που χρησιμοποιούν τεχνικές κοινωνικής μηχανικής. Στις 23 Μαρτίου, κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου εστάλησαν σε διάφορα ινστιτούτα αμυντικής έρευνας που εδρεύουν στη Ρωσία. Τα μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία είχαν ως θέμα «List of persons under US sanctions for invading Ukraine» (Κατάλογος των προσώπων που βρίσκονται υπό τις κυρώσεις των ΗΠΑ για την εισβολή στην Ουκρανία), περιείχαν έναν σύνδεσμο προς έναν ελεγχόμενο από τους επιτιθέμενους ιστότοπο που μιμείται το Υπουργείο Υγείας της Ρωσίας και είχε συνημμένο ένα κακόβουλο έγγραφο.
Την ίδια ημέρα, ένα παρόμοιο μήνυμα ηλεκτρονικού ταχυδρομείου εστάλη επίσης σε μια άγνωστη οντότητα στο Μινσκ της Λευκορωσίας με θέμα «Εξάπλωση θανατηφόρων παθογόνων στις ΗΠΑ στη Λευκορωσία». Όλα τα επισυναπτόμενα έγγραφα είναι κατασκευασμένα έτσι ώστε να μοιάζουν με επίσημα έγγραφα του ρωσικού Υπουργείου Υγείας, που φέρουν το επίσημο έμβλημα και τον τίτλο του.
Αναφορά
Οι Τακτικές, Τεχνικές και Διαδικασίες (TTP) αυτής της επιχείρησης επιτρέπουν στη CPR να αποδώσει τη δράση σε κινεζική δραστηριότητα APT. Η εκστρατεία Twisted Panda παρουσιάζει πολλαπλές επικαλύψεις με κινεζικούς προηγμένους και μακροχρόνιους φορείς κυβερνοκατασκοπείας, συμπεριλαμβανομένων των APT10 και Mustang Panda.