ادعای حمله گروه هکری چینی به فضای سایبری آفریقای جنوبی

به گزارش کارگروه بین‌الملل سایبربان؛ به گفته کارشناسان، فضای سایبری آفریقای جنوبی شاهد افزایش تعداد حملات مرتبط با یک عامل تهدید کننده مستقر در چین به نام موستانگ پاندا (Mustang Panda) بوده که مخابرات و بانک‌ها، گاهی اوقات از طریق سایت‌های استخدام نادرست، را هدف قرار می‌دهد.

حملات به فضای سایبری آسیب‌پذیر آفریقای جنوبی در حال افزایش است. داده‌های جمع‌آوری‌شده به‌وسیله شرکت امنیت سایبری ترلیکس (Trellix)، افزایش مداوم تهدیدات را در 3 ماهه اول سال ۲۰۲۲ نشان می‌دهد که با توجه به آرامش مرتبط با تعطیلات در دسامبر و ژانویه امسال، کاملاً غیرعادی نیست.

اما ماهیت این تهدیدها و نیات مجرمان سایبری مایه هشدار و هوشیاری بیشتر است. Trellix، در جریان کنفرانس اطلاعات تهدیدات سایبری خود برای آفریقای جنوبی، به برخی عوامل اصلی، که به ویژه در سال 2022 تاکنون فعال بوده‌اند، اشاره کرد.

در میان گروه‌های هکری، نام موستانگ پاندا دیده می‌شود که گاهی اوقات به عنوان «RedDelta» یا «رئیس جمهور برنز» نیز شناخته می‌شود.

شرکت امنیت سایبری ترلیکس ادعا کرد که گروه جاسوسی سایبری مرتبط با چین در دهه گذشته فعال بوده، اما حملات آن از زمان شروع همه‌گیری کووید-19 به طور قابل توجهی افزایش یافته است. بنابر ادعای محققان، هدف اصلی این گروه، جمع‌آوری اطلاعات در مورد سازمان‌های غیردولتی، غیرانتفاعی، مذهبی و اتاق‌های فکر در ایالات متحده و اروپا بوده است.

در سال 2021، تیم اطلاعات راهبردی تحقیقات تهدید پیشرفته (ATR) مک‌آفی، که اکنون ترلیکس است، یک کمپین جاسوسی را که شرکت‌های مخابراتی را هدف قرار داده بود، به نام عملیات «Diànxùn» کشف کرد. Trellix اعتقاد دارد که با سطح اطمینان متوسط، این کمپین خاص، که به موستانگ پاندا معروف است، با ممنوعیت فناوری چین در عرضه جهانی 5G ارتباط دارد.

کارلو بولزونلو (Carlo Bolzonello)، رهبر ترلیکس در آفریقای جنوبی در جلسه توجیهی گفت :

«موستانگ پاندا در 3 ماه گذشته در آفریقای جنوبی بسیار فعال بوده است. از دیدگاه آفریقای جنوبی، آنها در 3 ماه گذشته در بخش بانکداری و مدیریت ثروت بسیار فعال بوده‌اند.»

جان فوکر (John Fokker)، رئیس تحقیقات سایبری و مهندس اصلی ترلیکس نیز در این خصوص تصریح کرد که موستانگ پاندا از دولت چین حمایت می‌کند. فوکر گفت که در گذشته، به ویژه در اروپا، بحث بزرگی در مورد 5G و جایگزینی فناوری 5G با فناوری خاص ساخت چین در هسته وجود داشته و از منظر امنیتی، این یک بحث بزرگ بوده است.

وی افزود :

«آنچه ما مشاهده کردیم این بود که موستانگ پاندا بخش‌های مخابراتی را در کشورهایی هدف قرار می‌داد که احتمال این بحث و نحوه فعالیت آنها در بخش مخابرات و متقاعد کردن آنها برای باز کردن یک فایل و سپس آلوده کردن رایانه خود وجود داشت. هدف نهایی این کمپین، تعیین موقعیت یک شرکت مخابراتی خاص در قبال تولیدکنندگان چینی بود.»

اگرچه بولزونلو اخیراً به دلیل حملات سایبری به بخش بانکداری و مدیریت ثروت آفریقای جنوبی مورد توجه قرار گرفته، اما اظهار داشت که حملات به بخش مخابرات این کشور در طول بحث پیرامون فناوری 5G نیز مشاهده شده است.

بولزونلو خاطرنشان کرد :

«Mustang Panda برای جمع‌آوری داده‌ها، چسباندن و استخراج داده‌ها وجود دارد و از این داده‌ها می‌توان برای موارد مختلف استفاده کرد. بنابراین، خطر برای شخصی مانند پاندا موستانگ که قطعاً دلیلی برای حضور در محیط شما دارد، بسیار زیاد است.»

به گفته کارشناسان، موستانگ پاندا به طور کلی از «PlugX»، بخشی از خانواده بدافزار دسترسی از راه دور تروجان (RAT) به عنوان یک فایل قانونی پنهان شده، استفاده می‌کند. پس از دانلود، این گروه هکری به طور مؤثر یک درب پشتی برای کنترل از راه دور دستگاه قربانی با قابلیت نظارت بر فعالیت کاربر و دسترسی به داده‌ها ایجاد می‌کند.