تم ربط مجموعة تجسس إلكتروني صينية بسلسلة من أنشطة التسلل التي تستهدف المؤسسات الحكومية الإسرائيلية ومقدمي تكنولوجيا المعلومات وشركات الاتصالات منذ عام 2019 على الأقل.
أرجع ذراع استخبارات التهديد الخاص بـ Mandiant التابع لـ FireEye الحملة إلى المشغل الذي يتتبعه باسم "UNC215" ، وهي عملية تجسس صينية يُعتقد أنها خصصت منظمات حول العالم يعود تاريخها إلى عام 2014 ، وربطت المجموعة بـ "ثقة منخفضة" بمجموعة متقدمة التهديد المستمر (APT) المعروف على نطاق واسع باسم APT27 أو Emissary Panda أو Iron Tiger.
"UNC215 تمت خطر المنظمات في والتكنولوجيا،،،،، الحكومة الاتصالات دفاع تمويل قطاعات الترفيه، والرعاية الصحية" فرق تهديد إنتل إسرائيل والولايات المتحدة FireEye و قالت في تقرير نشر اليوم.
"تستهدف المجموعة البيانات والمنظمات ذات الأهمية الكبيرة لأهداف بكين المالية والدبلوماسية والاستراتيجية" ، وتعكس النتائج شهية لا هوادة فيها للأسرار المتعلقة بالدفاع بين مجموعات القرصنة.
يُقال إن الهجمات المبكرة التي ارتكبتها المجموعة استغلت ثغرة أمنية في Microsoft SharePoint (CVE-2019-0604) كنقطة انطلاق نحو اختراق الشبكات الحكومية والأكاديمية لنشر قذائف الويب وحمولات FOCUSFJORD على أهداف في الشرق الأوسط وآسيا الوسطى. تم وصف FOCUSFJORD لأول مرة من قبل مجموعة NCC في عام 2018 ، ويُطلق عليه أيضًا HyperSSL و Sysupdate ، وهو عبارة عن باب خلفي يمثل جزءًا من ترسانة من الأدوات التي يستخدمها ممثل Emissary Panda.
عند الحصول على موطئ قدم أولي ، يتبع الخصم نمطًا ثابتًا لإجراء حصاد الاعتماد والاستطلاع الداخلي لتحديد الأنظمة الرئيسية داخل الشبكة المستهدفة ، قبل تنفيذ أنشطة الحركة الجانبية لتثبيت غرسة مخصصة تسمى HyperBro والتي تأتي مع إمكانيات مثل التقاط الشاشة و كيلوغينغ.
تتميز كل مرحلة من مراحل الهجوم بجهود ملحوظة تُبذل لإعاقة الكشف عن طريق إزالة أي آثار لأدوات الطب الشرعي المتبقية من الأجهزة المخترقة ، مع تحسين الباب الخلفي FOCUSFJORD في الوقت نفسه استجابة لتقارير موردي الأمن ، وإخفاء البنية التحتية للقيادة والتحكم (C2) عن طريق استخدام شبكات ضحية أخرى لتوكيل تعليمات C2 الخاصة بهم ، وحتى دمج إشارات خاطئة مثل نشر قشرة ويب تسمى SEASHARPEE مرتبطة بمجموعات APT الإيرانية في محاولة لتضليل الإسناد.
علاوة على ذلك ، في عملية عام 2019 ضد شبكة حكومية إسرائيلية ، حصل UNC215 على حق الوصول إلى الهدف الأساسي عبر اتصالات بروتوكول سطح المكتب البعيد (RDP) من طرف ثالث موثوق به باستخدام بيانات اعتماد مسروقة ، مما أساء استخدامه لنشر البرامج الضارة FOCUSFJORD وتنفيذها عن بُعد ، لاحظت شركة الأمن السيبراني.
وخلص الباحثون إلى أن "النشاط [...] يوضح الاهتمام الاستراتيجي الثابت للصين بالشرق الأوسط". "نشاط التجسس السيبراني هذا يحدث على خلفية استثمارات الصين بمليارات الدولارات المتعلقة بمبادرة الحزام والطريق ( BRI ) واهتمامها بقطاع التكنولوجيا الإسرائيلي القوي".
"أجرت الصين العديد من حملات التطفل على طول طريق مبادرة الحزام والطريق لرصد العوائق المحتملة - السياسية والاقتصادية والأمنية - ونتوقع أن تستمر UNC215 في استهداف الحكومات والمنظمات المشاركة في مشاريع البنية التحتية الحيوية هذه في إسرائيل والشرق الأوسط الكبير في القريب العاجل. - ومنتصف المدة ".
0 تعليقات