Podmioty zagrożeń wspieranych przez Chiny, w tym notoryczne grupy APT15 (znane również jako Flea, Nickel, Vixen Panda, Ke3chang, Royal Apt i zabawny smok) i UNC5174, rozpoczęli serię ataków ukierunkowanych na 70 organizacji o wysokiej wartości w różnych sektorach w różnych sektorach między ubiegłym roku i marcem bieżącego roku. Wśród celów tej obszernej kampanii, która według naukowców ma na celu przede wszystkim cyberprzestępstwo przy użyciu złośliwego oprogramowania Shadowpad, był dostawca bezpieczeństwa zasilany przez AI.
Sentinelone’s Research Research, Sentineelabs, aktywnie śledzi tę złośliwą działalność. Kategoryzują go pod nazwą PurpleHaze i identyfikują ją jako część szerszej operacji Shadowpad. Ich dochodzenie, szczegółowo opisane w ostatnim poście na blogu, ujawniło dwa konkretne przypadki, w których wpływ miał Sentinelone. Pierwszy, występujący w październiku, obejmował działalność Purplehaze, charakteryzującą się podmiotami zagrożeniowymi prowadzącymi „rozległy zdalny rozpoznanie” na serwerach Sentinelone dostępnych przez Internet. Drugi incydent, który miał miejsce na początku tego roku, był powiązany ze złośliwym oprogramowaniem Shadowpad i skoncentrował się na organizacji zewnętrznej odpowiedzialnej za zarządzanie logistyką sprzętową dla pracowników Sentinelone.
Po odkryciu ingerencji w dostawcę logistyki Sentinelone działał szybko. „Niezwłocznie poinformowaliśmy organizację usług IT i logistyki o szczegółach włamań”, stwierdzili badacze Sentinellabs. Natychmiast zainicjowali kompleksowe dochodzenie w sprawie wewnętrznej infrastruktury, oprogramowania i sprzętu Sentinelone. Dokładne badanie wykazało „brak dowodów kompromisu” w bezpośrednich systemach Sentinelone.
Pomimo braku bezpośredniego kompromisu wewnętrznego, Sentinelone pozostaje niepewny ostatecznego celu atakujących w ukierunkowaniu dostawcy logistyki. Podczas gdy bezpośrednio skupiono się na samej organizacji zewnętrznej, chińscy aktorzy zagrożeni są znani z taktyki ustanawiania przyczółków w jednym podmiotu, aby rozszerzyć swój zasięg na organizacje niższe. Ta możliwość pozostaje problemem i podkreśla połączony charakter cyberprzestępstw.
Kierowanie dostawców bezpieczeństwa cybernetycznego, takich jak Sentinelone, podkreśla to, co firma postrzega jako niedostatecznie odkrywany aspekt obecnego krajobrazu zagrożenia. Firmy zajmujące się bezpieczeństwem cybernetycznym są szczególnie atrakcyjnymi celami dla podmiotów zagrożenia ze względu na ich kluczową rolę w ochronie klientów, ich głęboką widoczność w różnych środowiskach sieciowych i ich zdolność do zakłócenia złośliwych operacji. Sentinelone podkreślił ten punkt, stwierdzając: „Firmy bezpieczeństwa cybernetycznego są celem o wysokiej wartości dla podmiotów zagrożenia ze względu na ich role ochronne, głęboką widoczność w środowiskach klienta i możliwość zakłócania operacji przeciwników”.
Sentinelone opowiada się za większą przejrzystością i współpracą w branży bezpieczeństwa cybernetycznego w odniesieniu do tego rodzaju ataków. Ich celem publicznego ujawnienia tych incydentów jest „przyczynienie się do wzmocnienia obrony branżowej poprzez promowanie przejrzystości i zachęcanie do współpracy”. Uważają, że udostępnianie informacji o tych kampaniach pomaga „destygmatyzować udostępnianie [indicators of compromise] związane z tymi kampaniami, a tym samym przyczyniają się do głębszego zrozumienia taktyki, celów i wzorców operacyjnych podmiotów zagrożenia Chin-Nexus. ”
Dwie główne grupy związane z tymi atakami, APT15 i UNC5174, mają długą historię złośliwej aktywności. APT15, aktywny przez ponad dwie dekady z okresami uśpienia i odrodzenia, niedawno zaobserwowano, że są ukierunkowane na chińskie populacje etniczne i ministerstwa zagraniczne w Ameryce Północnej i Południowej. Uważa się, że UNC5174, wcześniej udokumentowane przez Mandiant, działa jako wykonawca chińskiego rządu, koncentrując się na krajach zachodnich, w tym w Stanach Zjednoczonych, Wielkiej Brytanii i Kanadzie.
Oprócz obrony, Sentinelone śledził również znaczną liczbę innych włamań przez APT15 lub UNC5174 w okresie ośmiu miesięcy między lipcem a marcem. Wtchody te wpłynęły na różnorodne cele, w tym podmiot rządu Azji Południowej i europejską organizację medialną, oprócz ponad 70 organizacji w różnych sektorach wspomnianych wcześniej. Sektory te obejmowały produkcję, rząd, finanse, telekomunikację i badania.
Ustalenia z tej serii ataków wspieranych przez Chiny aktorów podkreślają nieustępliwy charakter krajobrazu zagrożenia. Sentinelone podkreśla krytyczną potrzebę wszystkich organizacji, zwłaszcza dostawców bezpieczeństwa cybernetycznego, w celu utrzymania wysokiego poziomu czujności, wdrożenia solidnych możliwości monitorowania oraz posiadania skutecznych i szybkich planów reagowania na obronę przed tak wyrafinowanymi atakami.
„Publicznie udostępniając szczegóły naszych dochodzeń”, napisali badacze Sentinellabs, „staramy się zapewnić wgląd w rzadko omawiane ukierunkowanie dostawców bezpieczeństwa cyber [indicators of compromise] związane z tymi kampaniami, a tym samym przyczyniają się do głębszego zrozumienia taktyki, celów i wzorców operacyjnych podmiotów zagrożenia Chin-Nexus. ” Argumentują, że to podejście oparte na współpracy jest niezbędne do budowania silniejszej zbiorowej obrony przed uporczywymi i zaawansowanymi podmiotami zagrożeniowymi działającymi w imieniu państw narodowych.
Source: Podmioty powiązane z Chinami są skierowane do ponad 70 organizacji
