
Το τμήμα ερευνών της Check Point (CPR) εντόπισε μια συνεχιζόμενη επιχείρηση κατασκοπείας στον κυβερνοχώρο με στόχο ρωσικά ινστιτούτα αμυντικής έρευνας. Η επιχείρηση, που αποδίδεται σε κινεζικούς εθνικούς κρατικούς φορείς, χρησιμοποιεί spear-phishing μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται με το πρόσχημα του ρωσικού Υπουργείου Υγείας για τη συλλογή ευαίσθητων πληροφοριών.
Τα μηνύματα ηλεκτρονικού ταχυδρομείου που έπιασε το CPR περιείχαν κακόβουλα έγγραφα που χρησιμοποιούσαν τις δυτικές κυρώσεις κατά της Ρωσίας ως δόλωμα, μεταξύ άλλων τεχνικών κοινωνικής μηχανικής. Οι απειλητικοί φορείς κατάφεραν να αποφύγουν τον εντοπισμό για σχεδόν 11 μήνες χρησιμοποιώντας νέα και μη τεκμηριωμένα εργαλεία, τα οποία το CPR περιγράφει τώρα λεπτομερώς για πρώτη φορά.
Η Check Point ονόμασε την εκστρατεία «Twisted Panda» για να αντανακλά την πολυπλοκότητα των εργαλείων που παρατηρήθηκαν και εντοπίστηκαν στην Κίνα.
Οι στόχοι
Εντοπίστηκαν τρεις στόχοι αμυντικής έρευνας, δύο στη Ρωσία και έναν στη Λευκορωσία. Τα ρωσικά θύματα ανήκουν σε μια εταιρεία συμμετοχών του ρωσικού κρατικού αμυντικού ομίλου Rostec Corporation, η οποία είναι η μεγαλύτερη εταιρεία συμμετοχών της Ρωσίας στη βιομηχανία ραδιοηλεκτρονικής. Η κύρια δραστηριότητα των ρωσικών θυμάτων αφορά την ανάπτυξη και κατασκευή συστημάτων ηλεκτρονικού πολέμου, στρατιωτικού εξειδικευμένου ραδιοηλεκτρονικού εξοπλισμού επί του σκάφους, σταθμών ραντάρ στον αέρα και μέσων κρατικής αναγνώρισης. Οι ερευνητικές οντότητες ασχολούνται επίσης με συστήματα αεροηλεκτρονικής για την πολιτική αεροπορία, την ανάπτυξη ποικίλων πολιτικών προϊόντων, όπως ιατρικός εξοπλισμός και συστήματα ελέγχου για την ενέργεια, τις μεταφορές και τις βιομηχανίες μηχανικής.
Μεθοδολογία επίθεσης
Αρχικά, οι επιτιθέμενοι στέλνουν στους στόχους τους ένα ειδικά διαμορφωμένο μήνυμα ηλεκτρονικού ταχυδρομείου phishing. Το μήνυμα ηλεκτρονικού ταχυδρομείου περιέχει ένα έγγραφο που χρησιμοποιεί τις δυτικές κυρώσεις κατά της Ρωσίας ως δόλωμα. Όταν το θύμα ανοίγει το έγγραφο, κατεβάζει τον κακόβουλο κώδικα από τον ελεγχόμενο από τους επιτιθέμενους διακομιστή, ο οποίος εγκαθιστά και εκτελεί κρυφά μια κερκόπορτα στο μηχάνημα του θύματος. Αυτή η κερκόπορτα συλλέγει τα δεδομένα σχετικά με το μολυσμένο μηχάνημα και τα στέλνει πίσω στον επιτιθέμενο. Στη συνέχεια, με βάση αυτές τις πληροφορίες, ο επιτιθέμενος μπορεί να χρησιμοποιήσει περαιτέρω το backdoor για να εκτελέσει πρόσθετες εντολές στο μηχάνημα του θύματος ή να συλλέξει ευαίσθητα δεδομένα από αυτό.
Κακόβουλα emails
Οι δράστες χρησιμοποιούν κακόβουλα spear-phishing email που χρησιμοποιούν τεχνικές κοινωνικής μηχανικής. Στις 23 Μαρτίου, κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου εστάλησαν σε διάφορα ινστιτούτα αμυντικής έρευνας που εδρεύουν στη Ρωσία. Τα μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία είχαν ως θέμα «List of <target institute name> persons under US sanctions for invading Ukraine» (Κατάλογος των προσώπων που βρίσκονται υπό τις κυρώσεις των ΗΠΑ για την εισβολή στην Ουκρανία), περιείχαν έναν σύνδεσμο προς έναν ελεγχόμενο από τους επιτιθέμενους ιστότοπο που μιμείται το Υπουργείο Υγείας της Ρωσίας και είχε συνημμένο ένα κακόβουλο έγγραφο.
Την ίδια ημέρα, ένα παρόμοιο μήνυμα ηλεκτρονικού ταχυδρομείου εστάλη επίσης σε μια άγνωστη οντότητα στο Μινσκ της Λευκορωσίας με θέμα «Εξάπλωση θανατηφόρων παθογόνων στις ΗΠΑ στη Λευκορωσία». Όλα τα επισυναπτόμενα έγγραφα είναι κατασκευασμένα έτσι ώστε να μοιάζουν με επίσημα έγγραφα του ρωσικού Υπουργείου Υγείας, που φέρουν το επίσημο έμβλημα και τον τίτλο του.
Αναφορά
Οι Τακτικές, Τεχνικές και Διαδικασίες (TTP) αυτής της επιχείρησης επιτρέπουν στη CPR να αποδώσει τη δράση σε κινεζική δραστηριότητα APT. Η εκστρατεία Twisted Panda παρουσιάζει πολλαπλές επικαλύψεις με κινεζικούς προηγμένους και μακροχρόνιους φορείς κυβερνοκατασκοπείας, συμπεριλαμβανομένων των APT10 και Mustang Panda.


Latest News

Η Κίνα βάζει στο στόχαστρο τα fake news στο χρηματιστήριο λόγω ΑΙ
Οι ρυθμιστικές αρχές στην Κίνα θα «χτυπήσουν νωρίς, θα χτυπήσουν σκληρά και θα χτυπήσουν στην καρδιά» του ζητήματος

Ματωμένο Φεγγάρι: Η ολική έκλειψη σελήνης που «έβαψε» κόκκινο το φεγγάρι
Οι συγκλονιστικές φωτογραφίες από το «ματωμένο φεγγάρι».

Μασκ: Ανακοίνωσε πως το Starship θα μεταφέρει το ρομπότ Optimus στον Άρη το 2026
«Αν πάνε καλά οι προσεδαφίσεις αυτές, τότε προσεδαφίσεις ανθρώπων θα μπορούσαν να ξεκινήσουν ήδη από το 2029, αν και το 2031 δείχνει πιο πιθανό», ανέφερε ο Έλον Μασκ

SpaceX και NASA φέρνουν στη Γη τους δύο αποκλεισμένους αστροναύτες
Καθοδόν για τον Διεθνή Διαστημικό Σταθμό βρίσκεται η αποστολή της NASA ώστε να φέρει πίσω στη Γη τους αποκλεισμένους αστροναύτες.

Ποια κατηγορία AI «φέρνει» έσοδα 57 δισ. δολ. τα επόμενα τρία χρόνια
Σύμφωνα με την μελέτη της Juniper, προβλέπεται ότι τα έσοδα αυτά, θα προέλθουν από τα οφέλη της ενσωμάτωσης AI Agents στις διάφορες υπηρεσίες

Καταγγελία για Μαρκ Ζάκερμπεργκ: «Ενδοτικό στους Κινέζους και μισογυνικό το Facebook»
Πρώην στέλεχος του παγκόσμιου μέσου κοινωνικής δικτύωσης καταγγέλλει την αυτοκρατορία του Μαρκ Ζάκερμπεργκ

Σχέδια της Chevron για data centers που θα τροφοδοτεί η ίδια με ενέργεια
Η Chevron προωθεί τα σχέδιά της για να εκμεταλλευθεί την μεγάλη ζήτηση ενέργειας για data centers, σύμφωνα με τις δηλώσεις στελέχους της

Πώς η τεχνητή νοημοσύνη αλλάζει για τα καλά τα logistics - Ο ρόλος των ρομπότ
Η πολυεθνική εταιρεία logistics DHL χρησιμοποιεί τη ρομποτική και την τεχνητή νοημοσύνη στις αποθήκες της

Foxconn: Μείωση κερδών για το δ’ τρίμηνο 2024 αλλά πρόβλεψη για αύξηση εσόδων το 2025
Η Foxconn υποστηρίζει ότι πλέον διαθέτει πιο ανθεκτικές αλυσίδες εφοδιασμού για να αντιμετωπίσει τον εμπορικό πόλεμο

Νέα προσπάθεια ανακάμψης της Intel με διορισμό νέου διευθύνοντα συμβούλου
Ο νέος CEO της Intel αναλαμβάνει μεγάλες ευθύνες αλλά έχει να αντιμετωπίσει και τις ανησυχίες των επενδυτών για την πορεία της εταιρείας