تداوم عملیات جاسوسی گروه‌های هکری چینی از دولت‌های جنوب شرقی آسیا

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، پژوهشگران شرکت سوفوس روز سه‌شنبه گزارش دوم خود را درباره کمپینی که «کاخ سرخ» نامیده می‌شود منتشر کردند.

این کارزار جاسوسی در جنوب شرق آسیا توسط هکرهای تحت حمایت دولت چین اجرا می‌شود.

شرکت سوفوس فعالیت‌های این سه گروه را در سال گذشته بررسی کرد، اما پس از یک وقفه کوتاه، شاهد تجدید فعالیت دو گروه در پاییز ۲۰۲۳ و ادامه آن در سال جاری بوده است.

پاول جارامیلو، مدیر شکار تهدیدها و اطلاعات تهدید در شرکت سوفوس، بیان کرد:

ما در یک بازی شطرنج مداوم با این مهاجمان قرار داریم.

این سه گروه که سوفوس آن‌ها را کلاستر آلفا (Cluster Alpha)، کلاستر براوو (Cluster Bravo) و کلاستر چارلی (Cluster Charlie) نامیده، هر کدام با گروه‌های دولتی چینی ارتباط دارند که قبلاً توسط شرکت‌ها و دولت‌های دیگر شناسایی شده بودند، از جمله گروه ای پی تی ۱۵ (APT15) و زیرگروهی از ای پی تی ۴۱ (APT41) که توسط برخی پژوهشگران با نام زمین لانگژی (Earth Longzhi) شناخته می‌شود.

این گروه‌ها همچنان به حملات خود ادامه داده و اکنون عملیات خود را گسترش داده و به دنبال نفوذ به سایر سازمان‌ها در جنوب شرق آسیا هستند.

جارامیلو اظهار کرد:

با توجه به اینکه گروه‌های دولتی چین به طور مکرر زیرساخت‌ها و ابزارهای خود را به اشتراک می‌گذارند و کلاستر براوو و کلاستر چارلی فراتر از هدف اصلی حرکت می‌کنند، احتمالاً شاهد تکامل این کارزار در مکان‌های جدید خواهیم بود.

این گزارش به حملاتی اشاره می‌کند که در ژوئن علیه یک سازمان دولتی نامشخص انجام شد.

حتی پس از شناسایی گروه‌ها و مختل کردن عملیات آن‌ها توسط سوفوس، فعالیت‌های آن‌ها ادامه یافته و به تعداد زیادی از سازمان‌های دیگر در منطقه گسترش یافت.

پس از اینکه بسیاری از ابزارهای سفارشی این گروه‌ها توسط سوفوس شناسایی و مسدود شد، آن‌ها به ابزارهای متن‌باز تغییر کردند که نشان‌دهنده توانایی این مهاجمان برای سازگاری سریع و ادامه دادن عملیات است.

همچنین مشاهده شد که این گروه‌ها از بدافزاری به نام تتلتیل (Tattletale) استفاده می‌کنند که ابزاری جدید است و به تقلید از کاربران وارد شده به سیستم پرداخته و اطلاعاتی درباره سیاست‌های رمز عبور، تنظیمات امنیتی، رمزهای ذخیره‌شده، اطلاعات مرورگر و داده‌های ذخیره‌سازی جمع‌آوری می‌کند.

کلاستر چارلی ابتدا از مارس تا آگوست ۲۰۲۳ به یک سازمان دولتی «سطح بالا» در یک کشور جنوب شرقی آسیا حمله کرد، اما برای چند هفته خاموش بود تا اینکه به طور مختصر در سپتامبر دوباره ظاهر شد و سپس در ماه می ۲۰۲۴ مجدداً فعال شد.

هدف کمپین «کاخ سرخ» همچنان سرقت اطلاعات و داده‌ها است، اما هکرها همچنین سعی داشتند بارها به شبکه‌های قربانیان دسترسی پیدا کنند.

آن‌ها اسناد حساس، کلیدهای زیرساخت ابری، از جمله کلیدهای بازیابی و پشتیبان‌گیری و دیگر کلیدها و گواهی‌های احراز هویت حیاتی و داده‌های پیکربندی زیرساخت‌های فناوری و شبکه را به سرقت بردند.

مهاجمان تمرکز خود را بر روی دستیابی به دسترسی عمیق‌تر به شبکه سازمان‌ها و دور زدن ابزارهای امنیتی معطوف کرده بودند و اطلاعات بیشتری جمع‌آوری می‌کردند.

کلاستر چارلی چندین تاکتیک را از گروه‌های دیگر به کار گرفت، که اعتبار ارزیابی قبلی سوفوس مبنی بر فعالیت آن‌ها تحت یک سازمان کلی را تقویت می‌کند.

آن‌ها همچنین حملات خود را به حداقل ۱۱ سازمان و نهاد دیگر در همان منطقه، از جمله دو سازمان خدمات عمومی غیردولتی، گسترش دادند.

مهاجمان همچنین از دسترسی به سازمان‌های آلوده برای انتقال بدافزار و ابزارهای خود به دیگران استفاده کردند.

محققان عنوان کردند:

عوامل تهدید با دقت از این محیط‌های آلوده برای میزبانی بهره‌برداری کردند و همواره از یک سازمان آلوده در همان بخش برای حملات خود استفاده کردند.

هکرهای چینی همچنان یک شبکه گسترده از کارزارهای جاسوسی سایبری را علیه دولت‌های جنوب شرق آسیا حفظ کرده‌اند، در حالی که در سال‌های اخیر درگیری‌های دیپلماتیک بر سر قلمرو در دریای چین جنوبی تشدید شده است.