Κινέζοι hackers βρίσκονται πίσω από μια hacking εκστρατεία μεγάλης κλίμακας που στοχεύει ιαπωνικούς οργανισμούς.
Λέγεται ότι πρόκειται για τους hackers της APT10 (γνωστή και ως Cicada, Stone Panda και Cloud Hopper). Η ομάδα αυτή πραγματοποιεί εκστρατείες κατασκοπείας εδώ και δέκα χρόνια. Οι hackers έχουν στοχεύσει managed service providers (MSPs) και πολλούς οργανισμούς που συνδέονται με την Ιαπωνία.
Στο πλαίσιο της πρόσφατης εκστρατείας της, η APT10 χρησιμοποιεί έναν συνδυασμό live-off-the-land εργαλείων και malware, όπως το Backdoor.Hartip (νέα προσθήκη).
Σύμφωνα με τους ερευνητές ασφαλείας, οι Κινέζοι hackers έχουν παραβιάσει domain controllers και file servers και έχουν κλέψει δεδομένα από τα μολυσμένα συστήματα.
Ένα από τα κύρια χαρακτηριστικά της συγκεκριμένης hacking εκστρατείας ήταν η εκτεταμένη χρήση DLL side-loading.
Οι επιθέσεις πιθανότατα ξεκίνησαν στα μέσα Οκτωβρίου 2019 και συνεχίστηκαν τουλάχιστον μέχρι τις αρχές Οκτωβρίου 2020. Σε ορισμένες περιπτώσεις, οι Κινέζοι hackers κατάφεραν να βρίσκονται μέσα στο παραβιασμένο δίκτυο για τουλάχιστον ένα χρόνο.
Σύμφωνα με τους ερευνητές, τα θύματα ήταν κυρίως μεγάλοι, γνωστοί οργανισμοί, πολλοί από τους οποίους εδρεύουν στην Ιαπωνία ή συνδέονται με την Ιαπωνία. Γενικά, οι επιθέσεις επικεντρώθηκαν στη Νότια και Ανατολική Ασία. Ένα από τα θύματα ήταν μια κινεζική θυγατρική ενός ιαπωνικού οργανισμού.
Τα θύματα ανήκαν στους παρακάτω τομείς: αυτοκινητοβιομηχανία (συμπεριλαμβανομένων των προμηθευτών ανταλλακτικών για αυτοκίνητα), είδη ένδυσης, κυβερνητικές υπηρεσίες, γενικό εμπόριο, βιομηχανικά προϊόντα, MSPs, φαρμακευτικές και επαγγελματικές υπηρεσίες κλπ.
Οι Κινέζοι hackers χρησιμοποίησαν living-off-the-land, dual-use και άλλα εργαλεία που ήταν δημόσια διαθέσιμα για σάρωση δικτύου, κλοπή credentials κλπ.
Η έκταση και η πολυπλοκότητα αυτής της εκστρατείας δείχνουν ότι είναι έργο μιας μεγάλης κρατικής ομάδας. Οι ερευνητές της Symantec έχουν βρει αρκετά στοιχεία που τους επιτρέπουν να πουν με σχετική σιγουριά ότι η ομάδα πίσω από τις επιθέσεις είναι η κινεζική APT10.
Αυτή την εβδομάδα, κυκλοφόρησε και μια άλλη έκθεση από την KELA, η οποία λέει ότι δεδομένα που ανήκουν σε ιαπωνικές εταιρείες (κυβερνητικές και εκπαιδευτικές) έχουν βρεθεί στο Dark Web. Τα εκτεθειμένα δεδομένα περιλαμβάνουν κλεμμένα credentials που παρέχουν πρόσβαση σε εσωτερικά δίκτυα.
Μεταξύ Ιουνίου και Οκτωβρίου 2020, η KELA παρατήρησε 11 επιθέσεις εναντίον ιαπωνικών οργανισμών (κυρίως ransomware).
Πηγή: Security Week