MirrorFace APT: Japánt célzó állandó kiberfenyegetés
Table of Contents
Hosszú távú kémművelet
Japán kiberbiztonsági környezete folyamatos kihívással néz szembe a MirrorFace APT, egy kifinomult kiberkémkedési csoport formájában, amelyről úgy tartják, hogy kapcsolatban állnak Kínával. Ez a fenyegetettség szereplője legalább 2019 óta szervez célzott támadásokat, és erőfeszítéseit a szervezetek, vállalkozások és nagy horderejű személyek beszivárgására összpontosítja Japánban. Az Országos Rendőrségi Ügynökség (NPA) és a Kiberbiztonsági Eseményekre való felkészültség és Stratégia Nemzeti Központja (NCSC) hatóságai a MirrorFace-re a nemzetbiztonsággal és a technológiai fejlesztésekkel kapcsolatos információgyűjtést célzó kiberműveletek fő szereplőjeként mutattak rá.
MirrorFace és csatlakozásai az APT10-hez
A MirrorFace, más néven Earth Kasha, a nagyobb APT10 csoport leányvállalatának számít, amely korábban több nemzet ellen folytatott kiberkémkedést. A csoport egy sor egyéni és nyilvánosan elérhető eszközt használt műveletei végrehajtásához, beleértve az ANEL-t, a LODEINFO-t és a NOOPDOOR-t (más néven HiddenFace).
A fenyegetett csoport arról ismert, hogy lándzsás adathalász taktikákat alkalmaz, és a biztonsági rések kihasználásával behatol a célzott rendszerekbe. Bár továbbra is Japán az elsődleges fókusz, tevékenységét Tajvanon és Indiában is megfigyelték, ami szélesebb stratégiai érdeklődésre utal.
Az idő múlásával kibontakozó kampányok
A MirrorFace tevékenységeit három különböző kampányba sorolták, amelyek mindegyike speciális technikákat és eszközöket alkalmaz a hálózatok feltörésére és az adatok kiszűrésére:
Politikai és média entitások megcélzása (2019–2023)
Az első nagy kampány, amely 2019 decemberétől 2023 júliusáig tartott, a politikai intézményekre, médiára, kormányzati szervekre és kutatószervezetekre összpontosított. Az adathalász e-mailek telepítésével a támadók rosszindulatú rakományokat terjesztettek, például a LODEINFO-t, a NOOPDOOR-t és a Lilith RAT testreszabott változatát (LilimRAT), amelyet információgyűjtésre és távoli hozzáférésre terveztek.
Biztonsági gyengeségek kihasználása a kritikus iparágakban (2023)
A támadások második hulláma 2023 februárja és októbere között történt, és a figyelmet a japán gazdasági és technológiai infrastruktúra szempontjából kritikus iparágakra irányította. Az olyan ágazatok voltak az elsődleges célpontok, mint a félvezetőgyártás, a kommunikáció, a repülés és a tudományos élet. Ebben a fázisban az internetkapcsolattal rendelkező eszközök ismert sebezhetőségeinek kihasználását jelentette, különösen az Array Networks, a Citrix és a Fortinet eszközökkel kapcsolatban. E gyengeségek kihasználásával a támadók olyan eszközöket vetettek be, mint a Cobalt Strike Beacon , a LODEINFO és a NOOPDOOR, hogy megvegyék a lábukat a vállalati hálózatokon.
Legutóbbi taktikák és alkalmazkodás (2024-jelenleg)
A legújabb ismert kampány, amely 2024 júniusában jelent meg, ismét az akadémiára, a kutatóintézetekre, a politikai szereplőkre és a média munkatársaira összpontosított. Az adathalászat továbbra is az elsődleges belépési mód, a támadók ANEL-t (más néven UPPERCUT-t) szállítanak, hogy feltörjék a rendszereket és állandó hozzáférést biztosítsanak.
Fejlett technikák a lopakodáshoz és a kitartáshoz
A MirrorFace bebizonyította, hogy képes taktikáját adaptálni a modern biztonsági intézkedések megkerülésére. Az egyik figyelemre méltó technikája a Visual Studio Code távoli alagutak használata, amely lehetővé teszi a csoport számára, hogy fenntartsa a titkos irányítást a kompromittált rendszerek felett, miközben elkerüli az észlelést.
Ezenkívül megfigyelték, hogy a csoport rosszindulatú rakományokat hajt végre a Windows Sandboxon belül, amely szolgáltatás a biztonságos alkalmazások tesztelésére szolgál. Azáltal, hogy káros kódot futtatnak ebben az elszigetelt környezetben, a támadók biztosítják, hogy tevékenységeik nyomai eltűnjenek a rendszer újraindításakor, megakadályozva, hogy a kriminalisztikai elemzések döntő bizonyítékokat tárjanak fel.
Kiberbiztonsági és védelmi vonatkozások
A MirrorFace folyamatos működése rávilágít a Japánt és a tágabb ázsiai-csendes-óceáni térséget fenyegető kiberfenyegetésekre. Tekintettel arra, hogy a csoport a nemzetbiztonságra, a technológiára és az iparra összpontosít, tevékenységei jelentős hatással lehetnek mind a kormányzati politikákra, mind a magánszektor biztonsági stratégiáira.
A magas kockázatú szektorokban működő szervezeteknek ébernek kell maradniuk, és proaktív kiberbiztonsági intézkedéseket kell hozniuk az ilyen fenyegetések ellen. Ez magában foglalja az e-mailek biztonságának megerősítését, a szoftverek rendszeres frissítését az ismert sebezhetőségek javítása érdekében, valamint a szokatlan hálózati tevékenységek azonosítására képes fejlett észlelőeszközök telepítését.
Folyamatos kiberkonfliktus
A MirrorFace APT tevékenysége kiemeli a kiberkémkedés tartós jellegét és az összehangolt kiberbiztonsági erőfeszítések fontosságát. Míg a hatóságok nyomon tudták követni és elemezni tudták a csoport módszereit, a folyamatos kihívás továbbra is a hatások mérséklése és a jövőbeli támadások megelőzésében rejlik. Miközben a fenyegetés szereplői folyamatosan finomítják technikáikat, a nemzeteknek és a szervezeteknek fokozniuk kell védekezésüket, hogy megvédjék az érzékeny információkat az illetéktelen hozzáféréstől.
