Η αυστραλιανή κυβέρνηση έκανε κάποιες δηλώσεις στα τέλη της περασμένης εβδομάδας σχετικά με την αυξημένη δραστηριότητα των κυβερνοεπιθέσεων που δέχεται η χώρα – οργανισμοί και εταιρείες – τον τελευταίο καιρό. Πίσω από τις επιθέσεις στην Αυστραλία βρίσκεται ένας «εξελιγμένος» αντίπαλος που βασίζεται σε έναν ελαφρώς τροποποιημένο κώδικα proof-of-concept για παλαιότερα τρωτά σημεία, λέει η κυβέρνηση. Όμως φαίνεται ότι ανεπίσημες πηγές κατηγορούν την Κίνα.
Ο επιτιθέμενος στοχεύει τις δημόσιες υποδομές με απομακρυσμένη εκμετάλλευση εκτελέσεων κώδικα- μια συχνή επιλογή είναι οι μη ενημερωμένες εκδόσεις του user interface Telerik (UI).
Το σύνολο των εργαλείων που χρησιμοποιείται από τον εισβολέα καθιστά δύσκολη την απόδοση των επιθέσεων σε κάποια συγκεκριμένη κατεύθυνση, αν και η αυστραλιανή κυβέρνηση είναι βέβαιη ότι ο εχθρός είναι κάποιος που συσχετίζεται με κάποιο κράτος.
Ενώ ο πρωθυπουργός απέφυγε να αποδώσει τις σχετικές ευθύνες και είπε απλά ότι δεν είναι πολλοί αυτοί που μπορούν να πραγματοποιήσουν τέτοιου είδους επιθέσεις, ανώτερες πηγές φαίνεται ότι αποδίδουν τις ευθύνες στην Κίνα.
Ένας σύνδεσμος προς την Κίνα είναι το γεγονός ότι ο απειλητικός παράγοντας χρησιμοποιεί malware που σχετίζεται με κινεζικές ομάδες hacking, με ορισμένες να πιστεύεται ότι λειτουργούν εκ μέρους της κυβέρνησης.
Στη λίστα των δεικτών συμβιβασμού (IoC) που παρέχονται από την ACSC, υπάρχει ένα δείγμα που ξεχωρίζει. Για παράδειγμα το Korplug – το όνομα εμφανίζεται σε μια αναφορά από την ESET στο OceanLotus, η οποία πιστεύεται ότι εδρεύει στο Βιετνάμ.
Ωστόσο, αυτό το συγκεκριμένο δείγμα είναι το PlugX και η ESET το ταξινομεί ως Korplug επειδή οι δύο οικογένειες malware μοιράζονται μια συγκεκριμένη τεχνική πλευρικής φόρτωσης DLL.
Το PlugX υπάρχει από τουλάχιστον το 2008 και αναφέρεται σε πολλές αναφορές από εταιρείες ασφάλειας στον κυβερνοχώρο σχετικά με εκστρατείες επίθεσης που συνδέονται με την Κίνα. Στις επιθέσεις που ανέφερε το ACSC, το malware χρησιμοποιήθηκε για τη φόρτωση ενός payload Cobalt Strike.
Μια αναφορά από το Palo Alto Networks το 2015 συνδέει το malware με το DragonOK, το οποίο συνδέουν με την Κίνα δύο χρόνια αργότερα.
Σε μια νεότερη αναφορά που δημοσιεύτηκε αυτή την χρονιά, η Avira λέει ότι η ομάδα απειλών Mustang Panda χρησιμοποίησε payloads PlugX και Cobalt Strike εναντίον θυμάτων στο Χονγκ Κονγκ, το Βιετνάμ, την Κίνα και την Αυστραλία.
Υπάρχουν τουλάχιστον 10 απειλητικοί παράγοντες οι οποίοι συνδέονται με την Κίνα και συμμετέχουν σε κατασκοπικές εκστρατείες, οι οποίοι χρησιμοποιούν το PlugX. Δείτε παρακάτω ποιοι είναι αυτοί οι απειλητικοί παράγοντες:
- APT41
- Deep Panda
- APT19
- APT17
- Suckfly
- DragonOK
- Mustang Panda
- APT10
- APT27
- Roaming Tiger
To γεγονός ότι χρησιμοποιείται από τόσες πολλές ομάδες, καθιστά δύσκολο το να αποδώσουμε συγκεκριμένες ευθύνες για τις κυβερνοεπιθέσεις στην Αυστραλία, αλλά με βάση την παρουσία του PlugX μόνο, είναι εύκολο να καταλάβουμε γιατί οι ανώτεροι κυβερνητικοί υπάλληλοι θα ξεχώριζαν την Κίνα ως πρώτη ύποπτη χώρα.
