به گزارش کارگروه حملات سایبری سایبربان؛ مایکروسافت از تحت کنترل درآوردن 42 دامین مورد استفاده یک گروه جاسوسی سایبری چینی خبر داد. دادگاه فدرال ایالت ویرجینیا آمریکا به صورت رسمی و قانونی در مورد این گروه به سازمان های آمریکا و بیش از 28 کشور دنیا هشدار داده بود.
شرکت ردموند این فعالیت های مخرب را به گروهی به نام Nickel (نیکل) ارتباط داده بود. از دیگر نام های این گروه می توان به APT15، Bronze Palace، Ke3Chang، Mirage، Playful Dragon و Vixen Panda اشاره کرد.
محققین بر این باورند که این گروه دست کم از سال 2012 فعالیت دارد.
طبق ادعای مایکروسافت، نیکل سازمان هایی را در هر دو بخش خصوصی و عمومی هدف قرار داده است. نهادهای دیپلماتیک و وزارت های امور خارجه در شمال آمریکا، آمریکای مرکزی، جنوب آمریکا، کارائیب، اروپا و آفریقا از جمله این سازمان ها هستند.
مایکروسافت افزود:
بعضی اوقات ارتباطاتی میان اهداف نیکل و منافع ژئوپالیتیک چین مشاهده می شود!
این گروه از سپتامبر 2019 به عنوان بخشی از کمپین جاسوسی دیجیتال خود، آژانس های دولتی ناشناس، اندیشکده ها و نهادهای حقوق بشر را هدف قرار داده است.
طبق گزارشات، نیکل به محض دسترسی اولیه به سیستم هدف، با استفاده از ابزار سرقت کننده داده های احراز هویت مانند Mimikatz و WDigest اقدام به هک حساب اهداف می کرد و از طریق انتقال بدافزار، مدت زمان حضور خود در شبکه قربانی ار افزایش می داد. آن ها در این صورت می توانستند اقدام به انتقال غیر مجاز فایل ها، اجرای شل کدهای دلخواه و با استفاده از داده های احراز هویت نا ایمن اقدام به جمع آوری ایمیل های حساب های مایکروسافت 365 کنند.
از جمله خانواده های در پشتی که برای کنترل و فرمان مورد استفاده قرار گرفتند می توان به Neoichor، Leeson، Numbldea، NullItch و Rokum اشاره کرد.
این گروه در سال های اخیر کمپین های جاسوسی زیادی را انجام داده است.
