MirrorFace APT: nuolatinė kibernetinė grėsmė, nukreipta į Japoniją
Table of Contents
Ilgalaikė šnipinėjimo operacija
Japonijos kibernetinio saugumo aplinka susidūrė su nuolatiniu iššūkiu – MirrorFace APT – sudėtinga kibernetinio šnipinėjimo grupė, kuri, kaip manoma, turi ryšių su Kinija. Šis grėsmės veikėjas rengia tikslines atakas mažiausiai nuo 2019 m., sutelkdamas pastangas į organizacijas, įmones ir aukšto lygio asmenis visoje Japonijoje. Nacionalinės policijos agentūros (NPA) ir Nacionalinio pasirengimo incidentams ir kibernetinio saugumo strategijos centro (NCSC) institucijos nurodė, kad „MirrorFace“ yra pagrindinis kibernetinių operacijų, kuriomis siekiama rinkti žvalgybos informaciją, susijusią su nacionaliniu saugumu ir technologijų pažanga, dalyvis.
MirrorFace ir jo jungtys su APT10
„MirrorFace“, taip pat žinomas kaip „Earth Kasha“, yra laikomas didesnės APT10 grupės, kuri vykdė kibernetinio šnipinėjimo veiklą prieš kelias tautas, filialu. Grupė naudojo daugybę pasirinktinių ir viešai prieinamų įrankių savo operacijoms vykdyti, įskaitant ANEL, LODEINFO ir NOOPDOOR (taip pat vadinama HiddenFace).
Ši grėsmių grupė yra žinoma dėl to, kad taiko sukčiavimo sukčiavimo taktiką ir išnaudoja saugumo spragas, kad įsiskverbtų į tikslines sistemas. Nors Japonija tebėra pagrindinis dėmesys, jos veikla taip pat buvo stebima Taivane ir Indijoje, o tai rodo platesnį strateginį interesą.
Kampanijos vystosi laikui bėgant
„MirrorFace“ veikla buvo suskirstyta į tris skirtingas kampanijas, kurių kiekviena naudoja specifinius metodus ir įrankius, skirtus tinklui pažeisti ir duomenims išfiltruoti:
Taikymas pagal politikos ir žiniasklaidos subjektus (2019–2023 m.)
Pirmoji didelė kampanija, trukusi nuo 2019 m. gruodžio mėn. iki 2023 m. liepos mėn., buvo skirta politinėms institucijoms, žiniasklaidos priemonėms, vyriausybinėms įstaigoms ir mokslinių tyrimų organizacijoms. Įdiegę sukčiavimo el. laiškus, užpuolikai platino kenksmingus krovinius, tokius kaip LODEINFO, NOOPDOOR ir pritaikytą Lilith RAT (LilimRAT) variantą, skirtą informacijos rinkimui ir nuotolinei prieigai.
Saugumo trūkumų išnaudojimas svarbiose pramonės šakose (2023 m.)
Antroji atakų banga įvyko 2023 m. vasario–spalio mėn., Perkeliant dėmesį į Japonijos ekonominei ir technologinei infrastruktūrai svarbias pramonės šakas. Pagrindiniai taikiniai buvo tokie sektoriai kaip puslaidininkių gamyba, ryšiai, aviacija ir akademinė bendruomenė. Šiame etape buvo naudojami žinomi interneto įrenginių, ypač susijusių su „Array Networks“, „Citrix“ ir „Fortinet“, pažeidžiamumu. Išnaudodami šias silpnybes, užpuolikai įdiegė tokius įrankius kaip Cobalt Strike Beacon , LODEINFO ir NOOPDOOR, kad įsitvirtintų įmonių tinkluose.
Naujausia taktika ir prisitaikymas (2024 m. – dabar)
Paskutinė žinoma kampanija, pasirodžiusi 2024 m. birželį, vėl buvo skirta akademinei bendruomenei, mokslinių tyrimų institucijoms, politiniams veikėjams ir žiniasklaidos darbuotojams. „Spear-phishing“ tebėra pagrindinis įėjimo būdas, kai užpuolikai pristato ANEL (taip pat vadinamą UPPERCUT), kad sukompromituotų sistemas ir užtikrintų nuolatinę prieigą.
Pažangūs slaptumo ir atkaklumo metodai
MirrorFace pademonstravo gebėjimą pritaikyti savo taktiką apeiti šiuolaikines saugumo priemones. Vienas iš žinomų metodų yra „Visual Studio Code“ nuotolinių tunelių naudojimas, kuris leidžia grupei išlaikyti slaptą pažeistų sistemų kontrolę, vengiant aptikimo.
Be to, buvo pastebėta, kad grupė vykdo kenkėjiškas naudingas apkrovas „Windows Sandbox“, funkcijoje, skirtoje saugiam programų testavimui. Vykdydami žalingą kodą šioje izoliuotoje aplinkoje, užpuolikai užtikrina, kad jų veiklos pėdsakai išnyktų paleidus sistemą iš naujo, o tai neleidžia teismo ekspertizei atskleisti svarbių įrodymų.
Poveikis kibernetiniam saugumui ir gynybai
Tęsiamos „MirrorFace“ operacijos išryškina besivystančias kibernetines grėsmes, su kuriomis susiduria Japonija ir platesnis Azijos ir Ramiojo vandenyno regionas. Atsižvelgiant į tai, kad grupė daugiausia dėmesio skiria nacionaliniam saugumui, technologijoms ir pramonei, jos veikla gali turėti reikšmingų pasekmių tiek vyriausybės politikai, tiek privataus sektoriaus saugumo strategijoms.
Didelės rizikos sektoriuose veikiančios organizacijos turi išlikti budrios ir imtis aktyvių kibernetinio saugumo priemonių, kad atremtų tokias grėsmes. Tai apima el. pašto saugumo stiprinimą, reguliarų programinės įrangos atnaujinimą, kad būtų pataisytos žinomos spragos, ir pažangių aptikimo įrankių, galinčių nustatyti neįprastą tinklo veiklą, diegimą.
Tęsiantis kibernetinis konfliktas
„MirrorFace APT“ veikla pabrėžia nuolatinį kibernetinio šnipinėjimo pobūdį ir koordinuotų kibernetinio saugumo pastangų svarbą. Nors valdžios institucijos sugebėjo sekti ir analizuoti grupės metodus, nuolatinis iššūkis išlieka sušvelninti jos poveikį ir apsisaugoti nuo būsimų išpuolių. Kadangi grėsmės subjektai ir toliau tobulina savo metodus, šalys ir organizacijos turi sustiprinti savo apsaugą, kad apsaugotų jautrią informaciją nuo neteisėtos prieigos.
