Od leta 2018 prej neznani akter kitajske grožnje uporablja nova stranska vrata v napadih kibernetskega vohunjenja nasprotnika v sredini (AitM) proti kitajskim in japonskim tarčam.
Konkretne žrtve skupina, ki jo je ESET poimenoval »Blackwood« vključujejo veliko kitajsko proizvodno in trgovsko podjetje, kitajsko pisarno japonskega inženirskega in proizvodnega podjetja, posameznike na Kitajskem in Japonskem ter kitajsko govorečo osebo, povezano z odmevno raziskovalno univerzo v Združenem kraljestvu.
Da Blackwood razkrivajo šele zdaj, več kot pol desetletja od njegove prve znane dejavnosti, je mogoče pripisati predvsem dvema stvarema: njegovi zmožnosti brez truda prikrivajo zlonamerno programsko opremo v posodobitvah priljubljenih programskih izdelkov kot je WPS Office, in sama zlonamerna programska oprema, zelo sofisticirano orodje za vohunjenje, imenovano »NSPX30«.
Blackwood in NSPX30
Medtem je prefinjenost NSPX30 mogoče pripisati skoraj dvema desetletjema raziskav in razvoja.
Po mnenju analitikov družbe ESET NSPX30 izhaja iz dolge linije zakulisnih vrat, ki segajo v čas, ki so ga posmrtno poimenovali "Project Wood", navidezno prvič sestavljenega 9. januarja 2005.
Iz projekta Wood – ki je bil na različnih točkah uporabljen za tarčo hongkonškega politika, nato pa tarče v Tajvanu, Hongkongu in jugovzhodni Kitajski – so prišle nadaljnje različice, vključno z DCM iz leta 2008 (aka »Dark Spectre«), ki je preživel leta zlonamerne kampanje do leta 2018.
NSPX30, razvit istega leta, je vrhunec vsega kibernetskega vohunjenja pred njim.
Večstopenjsko večnamensko orodje, sestavljeno iz dropperja, namestitvenega programa DLL, nalagalnikov, orkestratorja in backdoorja, pri čemer zadnja dva prihajata z lastnimi kompleti dodatnih zamenljivih vtičnikov.
Ime igre je kraja informacij, ne glede na to, ali gre za podatke o sistemu ali omrežju, datoteke in imenike, poverilnice, pritiske tipk, posnetke zaslona, zvok, klepete in sezname stikov iz priljubljenih aplikacij za sporočanje – WeChat, Telegram, Skype, Tencent QQ, itd. — in še več.
Med drugimi talenti lahko NSPX30 vzpostavi obratno lupino, se doda na sezname dovoljenih v kitajskih protivirusnih orodjih in prestreže omrežni promet. Ta zadnja zmožnost omogoča Blackwoodu, da učinkovito prikrije svojo infrastrukturo za poveljevanje in nadzor, kar je morda prispevalo k njegovemu dolgotrajnemu delovanju brez odkritja.
Zadnja vrata, skrita v posodobitvah programske opreme
Blackwoodov največji trik od vseh pa je hkrati tudi njegova največja skrivnost.
Za okužbo strojev z NSPX30 ne uporablja nobenih tipičnih trikov: lažnega predstavljanja, okuženih spletnih strani itd. Namesto tega, ko določeni popolnoma zakoniti programi poskušajo prenesti posodobitve iz enako zakonitih korporativnih strežnikov prek nešifriranega HTTP-ja, Blackwood nekako vstavi tudi svoja zadnja vrata. v mešanico.
Z drugimi besedami, to ni kršitev dobavne verige prodajalca v slogu SolarWinds. Namesto tega ESET špekulira, da Blackwood morda uporablja omrežne vsadke. Takšni vsadki so lahko shranjeni v ranljivih robnih napravah v ciljnih omrežjih, kot so pogost med drugimi kitajskimi APT.
Programski izdelki, ki se uporabljajo za širjenje NSPX30, vključujejo WPS Office (priljubljeno brezplačno alternativo Microsoftovi in Googlovi zbirki pisarniške programske opreme), storitev za neposredno sporočanje QQ (ki jo je razvil multimedijski velikan Tencent) in urejevalnik vnosnih metod Sogou Pinyin (kitajski trg- vodilno orodje za pinjin s stotinami milijonov uporabnikov).
Kako se torej lahko organizacije branijo pred to grožnjo? Zagotovite, da vaše orodje za zaščito končne točke blokira NSPX30, in bodite pozorni na zaznave zlonamerne programske opreme, povezane z zakonitimi programskimi sistemi, svetuje Mathieu Tartare, višji raziskovalec zlonamerne programske opreme pri ESET. "Prav tako pravilno spremljajte in blokirajte napade AitM, kot je zastrupitev z ARP - sodobna stikala imajo funkcije, namenjene ublažitvi takšnih napadov," pravi. Onemogočanje IPv6 lahko pomaga preprečiti napad IPv6 SLAAC, dodaja.
"Pomagalo bo tudi dobro segmentirano omrežje, saj bo AitM vplival samo na podomrežje, kjer se izvaja," pravi Tartare.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates
- :ima
- : je
- :kje
- 2005
- 2008
- 2018
- 7
- 9
- a
- sposobnost
- O meni
- dejavnost
- dodajte
- Dodatne
- Dodaja
- vplivajo
- proti
- aka
- vsi
- omogoča
- Prav tako
- alternativa
- med
- an
- Analitiki
- in
- antivirus
- kaj
- aplikacije
- APT
- AS
- At
- napad
- Napadi
- poskus
- pozornosti
- audio
- nazaj
- Zakulisni
- Skrite
- BE
- bilo
- pred
- počutje
- Block
- Bloki
- kršitev
- by
- se imenuje
- prišel
- Kampanje
- CAN
- zmožnost
- nekatere
- verige
- Kitajska
- kitajski
- prihajajo
- podjetje
- zbranih
- Sestavljeno
- prikriti
- povezane
- kontakt
- prispevali
- Corporate
- Mandatno
- cyber
- Temnomodra
- datum
- dating
- DCM
- desetletje
- desetletja
- zasnovan
- Odkrivanje
- razvili
- Razvoj
- naprave
- imeniki
- ne
- Podvoji
- prenesi
- prej
- ed
- Edge
- urednik
- učinkovito
- truda
- Končna točka
- Inženiring
- zagotovitev
- enako
- vohunjenja
- vzpostaviti
- itd
- Lastnosti
- datoteke
- prva
- sledi
- za
- brezplačno
- iz
- nadalje
- igra
- velikan
- Največji
- skupina
- Pol
- Imajo
- he
- pomoč
- skrita
- odmeven
- zelo
- Hong
- Hong Kong
- Kako
- http
- HTTPS
- Stotine
- sto milijonov
- ID
- in
- vključujejo
- Vključno
- posamezniki
- Podatki
- Infrastruktura
- vhod
- instant
- Namesto
- v
- isn
- IT
- ITS
- sam
- John
- Japonska
- Japonski
- jpg
- znano
- Kong
- velika
- legitimno
- kot
- rod
- seznami
- Long
- Stroji
- zlonamerno
- zlonamerna programska oprema
- proizvodnja
- vodilni na trgu
- Maj ..
- Medtem
- sporočanje
- Metoda
- Microsoft
- morda
- milijoni
- Omiliti
- mix
- sodobna
- monitor
- več
- multimedia
- Mystery
- Ime
- Imenovan
- skoraj
- mreža
- omrežni promet
- omrežij
- na novo
- roman
- zdaj
- of
- Office
- on
- samo
- or
- organizacije
- Ostalo
- lastne
- Plačajte
- popolnoma
- opravljeno
- oseba
- Ribarjenje
- platon
- Platonova podatkovna inteligenca
- PlatoData
- točke
- politik
- Popular
- prej
- v prvi vrsti
- Izdelki
- programi
- Projekt
- pravilno
- zaščita
- povezane
- Raziskave
- raziskave in razvoj
- raziskovalec
- nazaj
- Run
- s
- Enako
- pravi
- na videz
- višji
- Strežniki
- Storitev
- Kompleti
- Shell
- saj
- Skype
- Software
- nekako
- prefinjeno
- prefinjenosti
- jugovzhod
- spekter
- namaz
- shranjeni
- subnet
- taka
- apartma
- dobavi
- dobavne verige
- Preživel
- sistem
- sistemi
- Tajvan
- talenti
- ciljna
- ciljno
- Cilji
- Telegram
- Tencent
- kot
- da
- O
- UK
- Kraja
- njihove
- POTEM
- jih
- stvari
- ta
- čeprav?
- Grožnja
- preprečiti
- do
- orodje
- orodja
- Trgovanje
- Prometa
- dva
- tipičen
- Uk
- univerza
- neznan
- dokler
- posodobitve
- uporaba
- Rabljeni
- Uporabniki
- uporabo
- različnih
- Ve
- Prodajalec
- preko
- žrtve
- Ranljivi
- je
- Dobro
- Kaj
- kdaj
- ali
- ki
- celoti
- bo
- z
- brez
- les
- besede
- leto
- Vaša rutina za
- zefirnet