وزارتخانههای دولتی، مراکز مراقبت پرواز، شرکتهای مخابراتی و رسانهها ازجمله اهداف عملیات اطلاعاتی بودهاند.
به گزارش سیمنتک در ۱۱ دسامبر، گروههای تهدید پیشرفته و مستمر (ایپیتی) چینی با کارزار جاسوسی خود چندین سازمان کلیدی جنوب شرق آسیا را مورد هدف قرار دادند.
به گزارش تیم شکار تهدیدات سیمنتک، حملات در جنوب شرق آسیا دستکم از اکتبر ۲۰۲۳ آغاز شده و با هدف گردآوری اطلاعات حساس از چندین سازمان کلیدی از جمله وزارتخانههای دولتی دو کشور مختلف، یک مرکز مراقبت پرواز، یک شرکت مخابراتی و یک رسانه انجام گرفتهاند.
ایپیتی یک عامل مخفی است که اغلب تحت حمایت دولتها قرار دارد و از تخصص و منابع پیچیده خود برای نفوذ به زیرساخت فناوری اطلاعات سازمانها استفاده میکند و تا مدتی در آن پنهان میماند. این حملات به عامل تهدید اجازه میدهند که اطلاعات را استخراج کند و ابعاد کلیدی طرح یا مأموریت سازمان را به چالش بکشد.
در این گزارش از گروه تهدید مشخصی نام برده نشده اما گفته میشود که ابزارهای مورد استفاده در کارزار جاسوسی با گروههای ایپیتی چینی و بویژه گروهی موسوم به «ارثباکو» مرتبط هستند.
در این گزارش آمده است: «یکی از نکات قابلتوجه این حمله استفاده از پروکسی «راکشاسا» و یک فایل اپلیکیشن موجه برای بارگذاری جانبی دیالال است. ارثباکو یا همان ایپیتی۴۱ یا برس تایفون پیشتر از هردو تاکتیک استفاده کرده است.
دیالال- یا کتابخانه پیوند پویا- فایلی حاوی توابع، دادهها و منابع است. بارگذاری جانبی دیالال، که راهی برای سرقت دیالال است، تکنیکی است که عوامل تهدید از آن برای بارگذاری دیالالهای مخرب و نقض امنیت شبکه بهره میگیرند.
براساس پست وبلاگ ترند مایکرو که در گزارش سیمنتک به آن اشاره شده، ارثباکو- که ابتدا فقط منطقه هندآرام را هدف میگرفت- فعالیتهای خود را تا اروپا، خاورمیانه و آفریقا گسترش داده است. ایتالیا، آلمان، امارات متحده عربی و قطر نیز مورد هدف قرار گرفتهاند و اقدامات مشکوکی در گرجستان و رومانی مشاهده شده است.
به گزارش سیمنتک، پروکسی «راکشاسا»، که از زبان چینی ساده استفاده میکند، پیشتر توسط ارثباکو به کار گرفته شده است.
براساس این گزارش، هکرها برای یک مدت طولانی بهطور پنهانی کنترل شبکههای بهخطرافتاده را در دست داشتند و از دسترسی خود برای گردآوری رمزهای عبور و چارت شبکههای مورد نظر خود استفاده میکردند.
در این گزارش آمده است: «زمان طولانی حمله و رویکرد حسابشده هکرها از پیچیدگی و پشتکار عوامل تهدید حکایت دارد. موقعیت جغرافیایی سازمانهای هدف و استفاده از ابزارهایی که با گروههای ایپیتی چینی مرتبط بودند، نشان میدهد که این حملات ماحصل کار عوامل چینی بودهاند.»
گردآوری دادهها و ایمیلها
موضوع جاسوسی گروههای چین در گزارشات پایان سال بسیاری از کشورهای جهان درباره حمله به زیرساختهای حیاتی دیجیتال به چشم میخورد.
گزارش تینکستا سایبر و سنتینللبز در ۱۰ دسامبر بر «عملیات چشم دیجیتال» متمرکز بوده است؛ حملهای که در آن گروههای خرابکار از اواخر ژوئن تا اواسط ژوئیه به سرویسدهندگان بزرگ حوزه فناوری اطلاعات در جنوب اروپا نفوذ کردند. ایندو شرکت امنیت سایبری، تهدیدات مربوط به سرویسدهندگان حوزه فناوری اطلاعات در جنوب اروپا را رهگیری میکنند.
در این گزارش آمده است: «با توجه به بدافزار، زیرساخت، تکنیکهای مورد استفاده، قربانیشناسی و زمانبندی حملات، ارزیابی ما این است که حملات به احتمال زیاد به واسطه عوامل چینی و با انگیزه جاسوسی سایبری انجام گرفتهاند.»
براساس گزارش سیمنتک که هفته گذشته انتشار یافت، گروههای ایپیتی در یک نفوذ چهارماهه- که در ۱۱ آوریل برملا شد و تا ماه اوت ادامه داشت- به یک سازمان بزرگ آمریکایی که حضور پررنگی هم در چین دارد نفوذ کردند. در این گزارش آمده است که شواهد نشان میدهند این حمله ماحصل کار یک عامل چینی بوده است.
در این گزارش که در ۵ دسامبر انتشار یافت، آمده است: «هکرها در کل شبکه جولان دادند و به چند کامپیوتر نفوذ کردند.»
نام سازمانی که مورد حمله قرار گرفت، اعلام نشده است.
در این گزارش آمده است: «بعضی از دستگاههایی که مورد هدف قرار گرفتهاند، سرورهای اکسچنچ بودند که نشان میدهد هکرها از طریق ایمیلها مشغول جمعآوری اطلاعات بودند. در این حمله از ابزارهای استخراج غیرمجاز نیز استفاده شده که نشان میدهد دادههای هدف از دلِ سازمانها بیرون کشیده شدهاند.»