Από το 2018, ένας προηγουμένως άγνωστος κινέζος παράγοντας απειλών χρησιμοποιεί μια νέα κερκόπορτα σε επιθέσεις κυβερνοκατασκοπείας (AitM) εναντίον κινεζικών και ιαπωνικών στόχων.
Συγκεκριμένα θύματα του η ομάδα που η ESET έχει ονομάσει "Blackwood" περιλαμβάνουν μια μεγάλη κινεζική κατασκευαστική και εμπορική εταιρεία, το κινεζικό γραφείο μιας ιαπωνικής εταιρείας μηχανικής και κατασκευής, άτομα στην Κίνα και την Ιαπωνία, και ένα κινεζόφωνο άτομο που συνδέεται με ένα ερευνητικό πανεπιστήμιο υψηλού προφίλ στο Ηνωμένο Βασίλειο.
Το ότι το Blackwood μόλις τώρα κυκλοφορεί, περισσότερο από μισή δεκαετία από την πρώτη γνωστή δραστηριότητά του, μπορεί να αποδοθεί κυρίως σε δύο πράγματα: στην ικανότητά του να αβίαστα απόκρυψη κακόβουλου λογισμικού σε ενημερώσεις για δημοφιλή προϊόντα λογισμικού όπως το WPS Office και το ίδιο το κακόβουλο λογισμικό, ένα εξαιρετικά εξελιγμένο εργαλείο κατασκοπείας που ονομάζεται "NSPX30".
Blackwood και NSPX30
Η πολυπλοκότητα του NSPX30, εν τω μεταξύ, μπορεί να αποδοθεί σε σχεδόν δύο ολόκληρες δεκαετίες έρευνας και ανάπτυξης.
Σύμφωνα με τους αναλυτές της ESET, το NSPX30 προέρχεται από μια μακρά σειρά κερκόπορτων που χρονολογούνται από αυτό που μεταθανάτια ονόμασαν «Project Wood», που φαινομενικά συντάχθηκε για πρώτη φορά στις 9 Ιανουαρίου 2005.
Από το Project Wood - το οποίο, σε διάφορα σημεία, χρησιμοποιήθηκε για να στοχεύσει έναν πολιτικό του Χονγκ Κονγκ και στη συνέχεια στόχους στην Ταϊβάν, το Χονγκ Κονγκ και τη νοτιοανατολική Κίνα - προέκυψαν άλλες παραλλαγές, συμπεριλαμβανομένου του DCM του 2008 (γνωστός και ως "Dark Spectre"), το οποίο επέζησε στο κακόβουλες καμπάνιες μέχρι το 2018.
Το NSPX30, που αναπτύχθηκε την ίδια χρονιά, είναι το απόγειο όλης της κατασκοπείας στον κυβερνοχώρο που προηγήθηκε.
Το πολυσταδιακό, πολυλειτουργικό εργαλείο που αποτελείται από ένα σταγονόμετρο, ένα πρόγραμμα εγκατάστασης DLL, φορτωτές, ενορχηστρωτή και κερκόπορτα, με τα δύο τελευταία να έρχονται με τα δικά τους σετ πρόσθετων, εναλλάξιμων προσθηκών.
Το όνομα του παιχνιδιού είναι κλοπή πληροφοριών, είτε πρόκειται για δεδομένα σχετικά με το σύστημα ή το δίκτυο, αρχεία και καταλόγους, διαπιστευτήρια, πληκτρολόγηση, λήψη οθόνης, ήχο, συνομιλίες και λίστες επαφών από δημοφιλείς εφαρμογές ανταλλαγής μηνυμάτων — WeChat, Telegram, Skype, Tencent QQ, κ.λπ. — και άλλα.
Μεταξύ άλλων ταλέντων, το NSPX30 μπορεί να δημιουργήσει ένα αντίστροφο κέλυφος, να προστεθεί σε λίστες επιτρεπόμενων στα κινεζικά εργαλεία προστασίας από ιούς και να υποκλέψει την κυκλοφορία του δικτύου. Αυτή η τελευταία ικανότητα επιτρέπει στην Blackwood να αποκρύπτει αποτελεσματικά την υποδομή διοίκησης και ελέγχου, η οποία μπορεί να συνέβαλε στη μακροχρόνια λειτουργία της χωρίς εντοπισμό.
Μια κερκόπορτα κρυμμένη σε ενημερώσεις λογισμικού
Το μεγαλύτερο κόλπο του Blackwood, ωστόσο, διπλασιάζεται και ως το μεγαλύτερο μυστήριο του.
Για να μολύνει μηχανήματα με το NSPX30, δεν χρησιμοποιεί κανένα από τα τυπικά κόλπα: phishing, μολυσμένες ιστοσελίδες κ.λπ. Αντίθετα, όταν ορισμένα απολύτως νόμιμα προγράμματα προσπαθούν να πραγματοποιήσουν λήψη ενημερώσεων από εξίσου νόμιμους εταιρικούς διακομιστές μέσω μη κρυπτογραφημένου HTTP, το Blackwood με κάποιο τρόπο εισάγει επίσης την κερκόπορτα του στο μείγμα.
Με άλλα λόγια, δεν πρόκειται για παραβίαση της εφοδιαστικής αλυσίδας τύπου SolarWinds από έναν προμηθευτή. Αντίθετα, η ESET εικάζει ότι η Blackwood μπορεί να χρησιμοποιεί εμφυτεύματα δικτύου. Τέτοια εμφυτεύματα μπορεί να αποθηκευτούν σε ευάλωτες συσκευές άκρων σε στοχευμένα δίκτυα, όπως είναι κοινό μεταξύ άλλων κινεζικών APT.
Τα προϊόντα λογισμικού που χρησιμοποιούνται για τη διάδοση του NSPX30 περιλαμβάνουν το WPS Office (μια δημοφιλής δωρεάν εναλλακτική λύση στη σουίτα λογισμικού γραφείου της Microsoft και της Google), την υπηρεσία άμεσων μηνυμάτων QQ (που αναπτύχθηκε από τον κολοσσό πολυμέσων Tencent) και τον επεξεργαστή μεθόδου εισαγωγής Sogou Pinyin (αγορά της Κίνας- κορυφαίο εργαλείο pinyin με εκατοντάδες εκατομμύρια χρήστες).
Πώς μπορούν λοιπόν οι οργανισμοί να αμυνθούν έναντι αυτής της απειλής; Βεβαιωθείτε ότι το εργαλείο προστασίας τελικού σημείου σας αποκλείει το NSPX30 και δώστε προσοχή στους εντοπισμούς κακόβουλου λογισμικού που σχετίζονται με νόμιμα συστήματα λογισμικού, συμβουλεύει ο Mathieu Tartare, ανώτερος ερευνητής κακόβουλου λογισμικού στην ESET. "Επίσης, παρακολουθήστε και αποκλείστε σωστά τις επιθέσεις AitM, όπως η δηλητηρίαση ARP - οι σύγχρονοι διακόπτες έχουν χαρακτηριστικά σχεδιασμένα για να μετριάζουν μια τέτοια επίθεση", λέει. Η απενεργοποίηση του IPv6 μπορεί να βοηθήσει στην αποτροπή μιας επίθεσης SLAAC στο IPv6, προσθέτει.
"Ένα καλά τμηματοποιημένο δίκτυο θα βοηθήσει επίσης, καθώς το AitM θα επηρεάσει μόνο το υποδίκτυο όπου εκτελείται", λέει ο Tartare.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- :έχει
- :είναι
- :που
- 2005
- 2008
- 2018
- 7
- 9
- a
- ικανότητα
- Σχετικα
- δραστηριότητα
- προσθέτω
- Πρόσθετος
- Προσθέτει
- επηρεάζουν
- κατά
- aka
- Όλα
- επιτρέπει
- Επίσης
- εναλλακτική λύση
- μεταξύ των
- an
- Αναλυτές
- και
- προστασίας από ιούς
- κάθε
- εφαρμογές
- APT
- AS
- At
- επίθεση
- Επιθέσεις
- απόπειρα
- προσοχή
- ήχου
- πίσω
- κερκόπορτα
- Κερκόπορτες
- BE
- ήταν
- πριν
- είναι
- Αποκλεισμός
- Μπλοκ
- παραβίαση
- by
- που ονομάζεται
- ήρθε
- Καμπάνιες
- CAN
- ικανότητα
- ορισμένες
- αλυσίδα
- Κίνα
- κινέζικο
- ερχομός
- εταίρα
- Συντάχθηκε
- Αποτελείται
- κρύβουν
- συνδεδεμένος
- επικοινωνήστε μαζί μας
- συνέβαλε
- Εταιρικές εκδηλώσεις
- Διαπιστεύσεις
- στον κυβερνοχώρο
- σκοτάδι
- ημερομηνία
- Ραντεβού
- DCM
- δεκαετία
- δεκαετίες
- σχεδιασμένα
- Ανίχνευση
- αναπτύχθηκε
- Ανάπτυξη
- Συσκευές
- Κατάλογοι
- doesn
- Doubles
- κατεβάσετε
- νωρίτερα
- ed
- άκρη
- συντάκτης
- αποτελεσματικά
- αβίαστα
- Τελικό σημείο
- Μηχανική
- εξασφαλίζω
- εξίσου
- κατασκοπεία
- εγκαθιδρύω
- κ.λπ.
- Χαρακτηριστικά
- Αρχεία
- Όνομα
- εξής
- Για
- Δωρεάν
- από
- περαιτέρω
- παιχνίδι
- γίγαντας
- μεγαλύτερη
- Group
- Ήμισυ
- Έχω
- he
- βοήθεια
- κρυμμένο
- υψηλό προφίλ
- υψηλά
- Χονγκ
- Hong Kong
- Πως
- http
- HTTPS
- Εκατοντάδες
- εκατοντάδες εκατομμύρια
- ID
- in
- περιλαμβάνουν
- Συμπεριλαμβανομένου
- άτομα
- πληροφορίες
- Υποδομή
- εισαγωγή
- στιγμή
- αντί
- σε
- isn
- IT
- ΤΟΥ
- εαυτό
- Ιανουάριος
- Ιαπωνία
- Ιαπωνικά
- jpg
- γνωστός
- Κονγκ
- large
- νόμιμος
- Μου αρέσει
- γενεαλογία
- Λίστες
- Μακριά
- μηχανήματα
- κακόβουλο
- malware
- κατασκευής
- πρωτοπόρος στην αγορά
- Ενδέχεται..
- Εν τω μεταξύ,
- μηνυμάτων
- μέθοδος
- Microsoft
- ενδέχεται να
- εκατομμύρια
- Μετριάζω
- μείγμα
- ΜΟΝΤΕΡΝΑ
- Παρακολούθηση
- περισσότερο
- πολυμέσων
- Μυστήριο
- όνομα
- Ονομάστηκε
- σχεδόν
- δίκτυο
- επισκεψιμότητα δικτύου
- δίκτυα
- πρόσφατα
- μυθιστόρημα
- τώρα
- of
- Office
- on
- αποκλειστικά
- or
- οργανώσεις
- ΑΛΛΑ
- δική
- Πληρωμή
- τέλεια
- εκτελούνται
- person
- Phishing
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σημεία
- πολιτικός
- Δημοφιλής
- προηγουμένως
- πρωτίστως
- Προϊόντα
- Προγράμματα
- σχέδιο
- δεόντως
- προστασία
- σχετίζεται με
- έρευνα
- έρευνα και ανάπτυξη
- ερευνητής
- αντιστρέψει
- τρέξιμο
- s
- ίδιο
- λέει
- φαινομενικώς
- αρχαιότερος
- Διακομιστές
- υπηρεσία
- Σέτς
- κέλυφος
- αφού
- Skype
- λογισμικό
- κάπως
- εξελιγμένα
- επιτήδευση
- νοτιοανατολικός άνεμος
- φάντασμα
- διάδοση
- αποθηκεύονται
- υποδίκτυο
- τέτοιος
- σουίτα
- προμήθεια
- αλυσίδας εφοδιασμού
- Επέζησε
- σύστημα
- συστήματα
- Ταϊβάν
- ταλέντα
- στόχος
- στοχευμένες
- στόχους
- Telegram
- Tencent
- από
- ότι
- Η
- το Ηνωμένο Βασίλειο
- κλοπή
- τους
- τότε
- αυτοί
- πράγματα
- αυτό
- αν και?
- απειλή
- εγκάρσιος
- προς την
- εργαλείο
- εργαλεία
- Διαπραγμάτευσης
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- δύο
- τυπικός
- Uk
- πανεπιστήμιο
- άγνωστος
- μέχρι
- ενημερώσεις
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιώντας
- διάφορα
- Ve
- πάροχος υπηρεσιών
- μέσω
- θύματα
- Ευάλωτες
- ήταν
- ΛΟΙΠΌΝ
- Τι
- πότε
- αν
- Ποιό
- ολόκληρο
- θα
- με
- χωρίς
- ξύλο
- λόγια
- έτος
- Σας
- zephyrnet