Một nhóm gián điệp mạng của Trung Quốc có liên quan đến một loạt các hoạt động xâm nhập nhắm vào các tổ chức chính phủ, nhà cung cấp CNTT và công ty viễn thông của Israel ít nhất kể từ năm 2019.
Cơ quan tình báo về mối đe dọa Mandiant của FireEye quy kết chiến dịch này cho một nhà điều hành mà nó theo dõi là “UNC215”, một hoạt động gián điệp của Trung Quốc được cho là đã chỉ ra các tổ chức trên toàn thế giới từ năm 2014, liên kết nhóm có “độ tin cậy thấp” với một tổ chức tiên tiến mối đe dọa dai dẳng (APT) được biết đến rộng rãi như APT27, Gấu trúc dễ thương, hoặc Hổ sắt.
“UNC215 đã xâm nhập các tổ chức trong chính phủ, công nghệ, viễn thông, quốc phòng, tài chính, giải trí và chăm sóc sức khỏe”, nhóm tình báo về mối đe dọa của FireEye tại Israel và Hoa Kỳ nói trong một báo cáo được xuất bản ngày hôm nay.
“Nhóm nhắm mục tiêu vào dữ liệu và các tổ chức có lợi ích lớn đối với các mục tiêu tài chính, ngoại giao và chiến lược của Bắc Kinh”, phát hiện phản ánh sự thèm muốn không ngừng đối với các bí mật liên quan đến quốc phòng giữa các nhóm hack.
Các cuộc tấn công ban đầu do tập thể thực hiện được cho là đã khai thác lỗ hổng Microsoft SharePoint (CVE-2019-0604) như một bước đệm để xâm nhập vào mạng chính phủ và học thuật để triển khai web shell và TẬP TRUNG trọng tải tại các mục tiêu ở Trung Đông và Trung Á. Ngày thứ nhất mô tả bởi NCC Group vào năm 2018, FOCUSFJORD, còn được gọi là HyperSSL và Sysupdate, là một cửa hậu nằm trong kho công cụ được sử dụng bởi diễn viên Emissary Panda.
Khi đạt được chỗ đứng ban đầu, kẻ thù tuân theo một mô hình đã được thiết lập là tiến hành thu thập thông tin xác thực và do thám nội bộ để xác định các hệ thống chính trong mạng mục tiêu, trước khi thực hiện các hoạt động di chuyển bên để cài đặt một thiết bị cấy ghép tùy chỉnh được gọi là HyperBro đi kèm với các khả năng như chụp ảnh màn hình và ghi bàn phím.
Mỗi giai đoạn của cuộc tấn công được đánh dấu bằng những nỗ lực đáng chú ý được thực hiện để cản trở việc phát hiện bằng cách loại bỏ bất kỳ dấu vết nào của hiện vật pháp y còn sót lại từ các máy bị xâm nhập, đồng thời cải thiện cửa hậu FOCUSFJORD để đáp lại các báo cáo của nhà cung cấp bảo mật, che giấu cơ sở hạ tầng lệnh và kiểm soát (C2) bằng cách sử dụng các mạng nạn nhân khác để ủy quyền cho các hướng dẫn C2 của họ và thậm chí kết hợp các cờ giả, chẳng hạn như triển khai web shell có tên SEASHARPEE được liên kết với các nhóm APT của Iran nhằm đánh lừa sự phân bổ.
Hơn nữa, trong một hoạt động năm 2019 chống lại mạng chính phủ Israel, UNC215 đã có được quyền truy cập vào mục tiêu chính thông qua kết nối giao thức máy tính để bàn từ xa (RDP) từ một bên thứ ba đáng tin cậy bằng cách sử dụng thông tin đăng nhập bị đánh cắp, lợi dụng nó để triển khai và thực thi từ xa phần mềm độc hại FOCUSFJORD, công ty an ninh mạng lưu ý.
“Hoạt động […] Các nhà nghiên cứu kết luận: “Hoạt động gián điệp mạng này đang diễn ra trong bối cảnh các khoản đầu tư hàng tỷ đô la của Trung Quốc liên quan đến Sáng kiến Vành đai và Con đường (BRI) và mối quan tâm của họ đối với lĩnh vực công nghệ mạnh mẽ của Israel. “
“Trung Quốc đã tiến hành nhiều chiến dịch xâm nhập dọc theo tuyến đường BRI để theo dõi các chướng ngại vật tiềm ẩn — chính trị, kinh tế và an ninh — và chúng tôi dự đoán rằng UNC215 sẽ tiếp tục nhắm mục tiêu vào các chính phủ và tổ chức liên quan đến các dự án cơ sở hạ tầng quan trọng này ở Israel và rộng lớn hơn là Trung Đông trong thời gian tới – và giữa kỳ, “các nhóm nói thêm.
