Μια κινεζική ομάδα hacking που πιθανώς χρηματοδοτείται από το κράτος και έχει συνδεθεί προηγουμένως με επιθέσεις σε υπολογιστές της κυβέρνησης των ΗΠΑ εξακολουθεί να είναι «πολύ ενεργή» και εστιάζει σε ένα ευρύ φάσμα στόχων που μπορεί να έχουν στρατηγικό ενδιαφέρον για την κυβέρνηση και τις υπηρεσίες ασφαλείας της Κίνας. μια ιδιωτική αμερικανική εταιρεία κυβερνοασφάλειας δήλωσε σε νέα έκθεση την Πέμπτη.
Η ομάδα hacking, την οποία η έκθεση αποκαλεί RedGolf, μοιράζεται τόσο στενή αλληλοεπικάλυψη με ομάδες που παρακολουθούνται από άλλες εταιρείες ασφαλείας με τα ονόματα APT41 και BARIUM που πιστεύεται ότι είναι είτε το ίδιο είτε πολύ στενά συνδεδεμένο, δήλωσε ο Jon Condra, διευθυντής στρατηγικής και επίμονης απειλές για την Insikt Group, το τμήμα έρευνας απειλών της εταιρείας κυβερνοασφάλειας Recorded Future με έδρα τη Μασαχουσέτη.
Σε συνέχεια προηγούμενων αναφορών για δραστηριότητες APT41 και BARIUM και παρακολουθώντας τους στόχους που δέχθηκαν επίθεση, η Insikt Group είπε ότι είχε εντοπίσει ένα σύμπλεγμα τομέων και υποδομής «πολύ πιθανό να χρησιμοποιούνται σε πολλαπλές καμπάνιες από το RedGolf» τα τελευταία δύο χρόνια.
«Πιστεύουμε ότι αυτή η δραστηριότητα είναι πιθανό να διεξάγεται για σκοπούς πληροφοριών και όχι για οικονομικό κέρδος λόγω των επικαλύψεων με εκστρατείες κυβερνοκατασκοπείας που είχαν αναφερθεί προηγουμένως», είπε ο Condra σε μια απάντηση μέσω email σε ερωτήσεις του Associated Press.
Το υπουργείο Εξωτερικών της Κίνας δεν απάντησε σε αίτημα για σχόλια σχετικά με τους ισχυρισμούς που περιέχονται στην έκθεση. Στο παρελθόν, οι κινεζικές αρχές αρνούνταν σταθερά οποιαδήποτε μορφή κρατικής χρηματοδότησης hacking, αντ’ αυτού λέγοντας ότι η ίδια η Κίνα είναι κύριος στόχος κυβερνοεπιθέσεων.
Το APT41 εμπλέκεται σε ένα κατηγορητήριο του Υπουργείου Δικαιοσύνης των ΗΠΑ το 2020 που κατηγορούσε Κινέζους χάκερ ότι στόχευαν περισσότερες από 100 εταιρείες και ιδρύματα στις ΗΠΑ και στο εξωτερικό, συμπεριλαμβανομένων εταιρειών μέσων κοινωνικής δικτύωσης και βιντεοπαιχνιδιών, πανεπιστημίων και παρόχων τηλεπικοινωνιών.
Στην ανάλυσή του, ο όμιλος Insikt είπε ότι βρήκε στοιχεία ότι το RedGolf «παραμένει ιδιαίτερα ενεργό» σε ένα ευρύ φάσμα χωρών και βιομηχανιών, «στοχεύοντας την αεροπορία, την αυτοκινητοβιομηχανία, την εκπαίδευση, την κυβέρνηση, τα μέσα ενημέρωσης, την τεχνολογία πληροφοριών και τους θρησκευτικούς οργανισμούς».
Η Insikt Group δεν εντόπισε συγκεκριμένα θύματα του RedGolf, αλλά είπε ότι ήταν σε θέση να παρακολουθεί τις προσπάθειες σάρωσης και εκμετάλλευσης που στοχεύουν διαφορετικούς τομείς με μια έκδοση του κακόβουλου λογισμικού backdoor KEYPLUG που χρησιμοποιείται επίσης από την APT41.
Η Insikt είπε ότι είχε εντοπίσει πολλά άλλα κακόβουλα εργαλεία που χρησιμοποιεί η RedGolf εκτός από το KEYPLUG, «τα οποία χρησιμοποιούνται συνήθως από πολλές ομάδες απειλών που χρηματοδοτούνται από την Κίνα».
Το 2022, η εταιρεία κυβερνοασφάλειας Mandiant ανέφερε ότι η APT41 ήταν υπεύθυνη για παραβιάσεις των δικτύων τουλάχιστον έξι κυβερνήσεων των πολιτειών των ΗΠΑ, χρησιμοποιώντας επίσης το KEYPLUG.
Σε αυτή την περίπτωση, το APT41 εκμεταλλεύτηκε μια προηγουμένως άγνωστη ευπάθεια σε μια εμπορική εφαρμογή Ιστού που χρησιμοποιείται από 18 πολιτείες για τη διαχείριση της υγείας των ζώων, σύμφωνα με τη Mandiant, η οποία ανήκει πλέον στην Google. Δεν προσδιόρισε τα συστήματα των κρατών που ήταν σε κίνδυνο.
Η Mandiant αποκάλεσε την APT41 «μια παραγωγική ομάδα απειλών στον κυβερνοχώρο που ασκεί κινεζική κρατική δραστηριότητα κατασκοπείας εκτός από δραστηριότητα με οικονομικά κίνητρα, δυνητικά εκτός κρατικού ελέγχου».
Οι εταιρείες κυβερνοτηλεόρασης χρησιμοποιούν διαφορετικές μεθοδολογίες παρακολούθησης και συχνά ονομάζουν διαφορετικά τις απειλές που εντοπίζουν, αλλά ο Condra είπε ότι το APT41, το BARIUM και το RedGolf «πιθανότατα αναφέρονται στο ίδιο σύνολο παραγόντων ή ομάδων απειλών» λόγω ομοιοτήτων στην ηλεκτρονική υποδομή, τις τακτικές τους. τεχνικές και διαδικασίες.
«Η RedGolf είναι μια ιδιαίτερα παραγωγική ομάδα κινεζικών κινεζικών φορέων απειλών που πιθανότατα δραστηριοποιείται εδώ και πολλά χρόνια ενάντια σε ένα ευρύ φάσμα βιομηχανιών παγκοσμίως», είπε.
«Η ομάδα έχει δείξει την ικανότητα να οπλίζει γρήγορα τα τρωτά σημεία που αναφέρθηκαν πρόσφατα και έχει ιστορικό ανάπτυξης και χρήσης μιας μεγάλης σειράς προσαρμοσμένων οικογενειών κακόβουλου λογισμικού».
Η Insikt Group κατέληξε στο συμπέρασμα ότι η χρήση κακόβουλου λογισμικού KEYPLUG μέσω ορισμένων τύπων διακομιστών εντολών και ελέγχου από το RedGolf και παρόμοιες ομάδες είναι «πολύ πιθανό να συνεχιστεί» και συνέστησε στους πελάτες να διασφαλίσουν ότι θα αποκλειστούν αμέσως μόλις εντοπιστούν.