Ένα κινέζικο APT έχει στοχεύσει ισραηλινές οργανώσεις σε μια εκστρατεία που ξεκίνησε τον Ιανουάριο του 2019 και κατά τη διάρκεια της οποίας η ομάδα συχνά άφηνε ψεύτικα στοιχεία σε προσπάθεια να μεταμφιεστεί ως Ιρανικό hacking group.
Σε έκθεση που δημοσιεύθηκε σήμερα από την εταιρεία ασφαλείας Mandiant, οι επιθέσεις στοχοποίησαν ισραηλινά κυβερνητικά ιδρύματα, εταιρείες πληροφορικής και παρόχους τηλεπικοινωνιών. Οι επιτιθέμενοι, για τους οποίους η Mandiant έχει αποδόσει το όνομα UNC215, συνήθως παραβίαζαν οργανισμούς στοχεύοντας διακομιστές του Microsoft SharePoint χρησιμοποιώντας την ευπάθεια CVE-2019-0604. Μόλις το UNC215 απέκτησε πρόσβαση σε έναν από αυτούς τους διακομιστές, ανέπτυξε το εργαλείο WHEATSCAN για να σαρώσει το εσωτερικό δίκτυο του θύματος και στη συνέχεια εγκατέστησε το webshell FOCUSFJORD και το backdoor HYPERBRO σε βασικούς διακομιστές ως τρόπο persistance στα δίκτυα των οργανισμών που έχουν παραβιαστεί.
Το πιο ενδιαφέρον στοιχείο είναι ότι η ομάδα χρησιμοποίησε ψεύτικα στοιχεία μέσα στον πηγαίο κώδικα του malware που χρησιμοποιούσε σε μια προσπάθεια να κρύψει την πραγματική της προέλευση. Η Mandiant είπε ότι το UNC215 χρησιμοποιούσε συχνά διαδρομές αρχείων που ανέφεραν το Ιράν (δηλ. C: \\ Users \\ Iran) ή μηνύματα σφάλματος γραμμένα στα αραβικά (δηλαδή, «ضائع» – που μεταφράζεται σε: χαμένο ή λείπει). Επιπλέον, σε τουλάχιστον τρεις περιπτώσεις, το UNC215 χρησιμοποίησε επίσης ένα ιρανικό εργαλείο hacking που διέρρευσε στο Telegram το 2019 (δηλαδή, το webshell SEASHARPEE). Ωστόσο, οι ερευνητές Mandiant είπαν ότι σε αντίθεση με αυτά τα στοιχεία, η ομάδα UNC215 είναι στην πραγματικότητα κινεζική και διεξάγει κυβερνο-κατασκοπευτικές επιχειρήσεις που ενδιαφέρουν το κινεζικό κράτος από το 2014 τουλάχιστον. Παράλληλα η εταιρεία δήλωσε ότι ερευνά την πιθανότητα το UNC2015 να σχετίζεται με μια μεγαλύτερη κινεζική ομάδα κατασκοπείας στον κυβερνοχώρο, γνωστή ως APT27 ή Emissary Panda, μια ομάδα που η εταιρεία ασφαλείας Cybereason επίσης πρόσφατα εντόπισε να επιτίθεται σε τηλεπικοινωνίες σε όλη τη Νοτιοανατολική Ασία.
Με πληροφορίες από therecord.media
