جاسوسی سایبری طوفان کتان چین از بخش های کلیدی تایوان

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، تیم تشخیص هوشمند تهدید مایکروسافت (Threat Intelligence) در حال ردیابی فعالیت تحت نام طوفان کتان یا فلکس تایفون (Flax Typhoon) است که با نام اتریال پاندا (Ethereal Panda) نیز شناخته می شود.

این شرکت گفت:

طوفان کتان دسترسی طولانی مدت به شبکه‌های سازمان‌های تایوانی را با حداقل استفاده از بدافزارها، با تکیه بر ابزارهای تعبیه‌شده در سیستم‌عامل، همراه با برخی نرم‌افزارهای معمولی بی‌خطر برای ماندن بی‌صدا در این شبکه‌ها، به دست می‌آورد و حفظ می‌کند.

این سازمان همچنین گفت که مشاهده نکرده است که این گروه برای جمع‌آوری داده‌ها و نفوذ به سلاح دسترسی داشته باشد.

اکثریت اهداف شامل سازمان های دولتی، مؤسسات آموزشی، تولیدات مهم و سازمان های فناوری اطلاعات در تایوان است.

تعداد کمتری از قربانیان نیز در جنوب شرقی آسیا، آمریکای شمالی و آفریقا شناسایی شده اند.

گمان می رود این گروه از اواسط سال 2021 فعال بوده است.

کرود استرایک (CrowdStrike) در توصیف این هکرها خاطرنشان می کند:

عملیات اتریال پاندا در درجه اول بر نهادهایی در بخش های دانشگاهی، فناوری و ارتباطات در تایوان متمرکز است. اتریال پاندا برای حفظ دسترسی به شبکه های قربانی به شدت به فایل های اجرایی سافت اتر وی پی ان (SoftEther VPN) متکی است، اما همچنین مشاهده شده است که پوسته وب گادزیلا (GodZilla) را به کار می گیرد.

تمرکز اصلی این هکرها حول پایداری، حرکت جانبی و دسترسی به اعتبار می‌چرخد، با عامل از روش‌های زندگی خارج از زمین (LotL) و فعالیت‌های عملی صفحه‌کلید برای تحقق اهداف خود استفاده می‌کند.

روش عملیاتی مطابق با رویه عوامل تهدید برای به روز رسانی مداوم رویکردهای خود برای فرار از شناسایی، استفاده از ابزارهای موجود در محیط هدف برای جلوگیری از دانلود غیر ضروری و ایجاد مؤلفه های سفارشی است.

دسترسی اولیه با بهره‌برداری از آسیب‌پذیری‌های شناخته شده در سرورهای عمومی و استقرار پوسته‌های وب مانند چاینا چاپر (China Chopper)، و به دنبال آن ایجاد دسترسی دائمی روی پروتکل دسک‌تاپ از راه دور (RDP)، استقرار یک پل وی پی ان برای اتصال به یک سرور راه دور و جمع‌آوری اعتبار با استفاده از میمیکاتز (Mimikatz) تسهیل می‌شود. 

یکی از جنبه‌های قابل توجه حملات، اصلاح رفتار استیکی کیز (Sticky Keys) برای راه‌اندازی مدیریت وظیفه یا همان تسک منیجر (Task Manager) است که طوفان کتان را قادر می‌سازد تا پس از بهره‌برداری روی سیستم در معرض خطر قرار گیرد.

مایکروسافت در این باره گفت:

در مواردی که طوفان کتان برای دسترسی به سیستم‌های دیگر در شبکه آسیب‌دیده نیاز به حرکت جانبی دارد، عامل مخرب از مدیریت از راه دور ویندوز (WinRM) و میکروفون ویندوز استفاده می‌کند.

کرود استرایک که در فوریه 2023 مطالعه موردی مربوط به نفوذ اتریال پاندا را برجسته کرده بود، گفت که این عامل مخرب احتمالاً از یک نمونه آپاچی تامکت برای سرقت از یک سازمان ناشناس سوء استفاده کرده است تا بتواند منابع مختلف را در میزبان برشمرد و اعتبارنامه ها را با استفاده از پروکدامپ (ProcDump) و میمیکاتز حذف کند.

این توسعه سه ماه پس از آن صورت گرفت که مایکروسافت یک عامل مخرب دیگر مرتبط با چین به نام طوفان ولت یا ولت تایفون (Volt Typhoon) که با نام مستعار برنز سیلوئت یا پاندا پیشتاز نیز شناخته می شود را افشا کرد که مشاهده شده بود که منحصراً با تکیه بر تکنیک های روش‌های زندگی خارج از زمین، برای پرواز در زیر رادار و استخراج داده ها مشاهده شده است.

در حالی که تلاقی تاکتیک‌ها و زیرساخت‌ها در میان عوامل تهدید که در خارج از چین فعالیت می‌کنند غیرمعمول نیست، یافته‌ها تصویری از چشم‌انداز تهدید دائماً در حال تحول را نشان می‌دهند، با اینکه دشمنان صنایع تجاری خود را تغییر می‌دهند تا در عملیات‌های بعدی انتخابی‌تر شوند.