MirrorFace APT: Stałe zagrożenie cybernetyczne atakujące Japonię
Table of Contents
Długotrwała operacja szpiegowska
Krajobraz cyberbezpieczeństwa Japonii zmaga się z ciągłym wyzwaniem w postaci MirrorFace APT, wyrafinowanej grupy cybernetycznego szpiegostwa, o której uważa się, że ma powiązania z Chinami. Ten aktor zagrożenia organizuje ukierunkowane ataki od co najmniej 2019 r., koncentrując swoje wysiłki na infiltracji organizacji, przedsiębiorstw i osób o wysokiej renomie w całej Japonii. Władze Narodowej Agencji Policji (NPA) i Narodowego Centrum Gotowości Incydentalnej i Strategii Cyberbezpieczeństwa (NCSC) wskazały MirrorFace jako głównego gracza w cyberoperacjach mających na celu gromadzenie informacji wywiadowczych związanych z bezpieczeństwem narodowym i postępem technologicznym.
MirrorFace i jego połączenia z APT10
MirrorFace, znany również jako Earth Kasha, jest uważany za podmiot stowarzyszony z większą grupą APT10, która ma historię prowadzenia działań cybernetycznego szpiegostwa przeciwko wielu krajom. Grupa wykorzystała szereg niestandardowych i publicznie dostępnych narzędzi do wykonywania swoich operacji, w tym ANEL, LODEINFO i NOOPDOOR (nazywany również HiddenFace).
Grupa ta jest znana z wykorzystywania taktyk spear-phishingu i wykorzystywania luk w zabezpieczeniach w celu infiltracji docelowych systemów. Podczas gdy Japonia pozostaje głównym celem, jej działania obserwowano również na Tajwanie i w Indiach, co sugeruje szersze zainteresowanie strategiczne.
Kampanie rozwijające się w czasie
Działania MirrorFace'a podzielono na trzy odrębne kampanie, z których każda wykorzystywała określone techniki i narzędzia w celu włamywania się do sieci i wykradania danych:
Celowanie w podmioty polityczne i medialne (2019–2023)
Pierwsza duża kampania, trwająca od grudnia 2019 r. do lipca 2023 r., koncentrowała się na instytucjach politycznych, mediach, organach rządowych i organizacjach badawczych. Poprzez wdrażanie e-maili typu spear-phishing atakujący rozsyłali złośliwe ładunki, takie jak LODEINFO, NOOPDOOR i dostosowaną odmianę Lilith RAT (LilimRAT), przeznaczoną do gromadzenia informacji i zdalnego dostępu.
Wykorzystywanie luk w zabezpieczeniach w branżach krytycznych (2023)
Druga fala ataków miała miejsce między lutym a październikiem 2023 r., przenosząc uwagę na branże o kluczowym znaczeniu dla japońskiej infrastruktury gospodarczej i technologicznej. Głównymi celami były sektory takie jak produkcja półprzewodników, komunikacja, lotnictwo i nauka. Ta faza obejmowała wykorzystanie znanych luk w urządzeniach z dostępem do Internetu, w szczególności tych związanych z Array Networks, Citrix i Fortinet. Wykorzystując te słabości, atakujący wdrożyli narzędzia takie jak Cobalt Strike Beacon , LODEINFO i NOOPDOOR, aby uzyskać dostęp do sieci korporacyjnych.
Najnowsze taktyki i adaptacje (2024–obecnie)
Najnowsza znana kampania, która pojawiła się w czerwcu 2024 r., ponownie skupiła się na środowisku akademickim, instytucjach badawczych, osobistościach politycznych i pracownikach mediów. Spear-phishing pozostaje podstawową metodą wejścia, a atakujący dostarczają ANEL (nazywany również UPPERCUT), aby naruszyć systemy i ustanowić trwały dostęp.
Zaawansowane techniki skradania się i wytrwałości
MirrorFace wykazało zdolność do dostosowywania swoich taktyk, aby ominąć nowoczesne środki bezpieczeństwa. Jedną z jego godnych uwagi technik jest używanie zdalnych tuneli Visual Studio Code, co pozwala grupie zachować tajną kontrolę nad naruszonymi systemami, jednocześnie unikając wykrycia.
Ponadto zaobserwowano, że grupa wykonywała złośliwe ładunki w Windows Sandbox, funkcji zaprojektowanej do bezpiecznego testowania aplikacji. Uruchamiając szkodliwy kod w tym odizolowanym środowisku, atakujący zapewniają, że ślady ich działań znikną po ponownym uruchomieniu systemu, uniemożliwiając analizę kryminalistyczną odkrycie kluczowych dowodów.
Konsekwencje dla cyberbezpieczeństwa i obrony
Ciągłe działania MirrorFace podkreślają ewoluujące cyberzagrożenia, z którymi mierzy się Japonia i szerszy region Azji i Pacyfiku. Biorąc pod uwagę skupienie grupy na bezpieczeństwie narodowym, technologii i przemyśle, jej działania mogą mieć znaczące implikacje zarówno dla polityki rządowej, jak i strategii bezpieczeństwa sektora prywatnego.
Organizacje działające w sektorach wysokiego ryzyka muszą zachować czujność i przyjąć proaktywne środki cyberbezpieczeństwa, aby przeciwdziałać takim zagrożeniom. Obejmuje to wzmocnienie bezpieczeństwa poczty e-mail, regularne aktualizowanie oprogramowania w celu łatania znanych luk w zabezpieczeniach i wdrażanie zaawansowanych narzędzi wykrywania zdolnych do identyfikowania nietypowej aktywności sieciowej.
Ciągły cyberkonflikt
Działania MirrorFace APT podkreślają uporczywą naturę cybernetycznego szpiegostwa i znaczenie skoordynowanych wysiłków w zakresie cyberbezpieczeństwa. Podczas gdy władze były w stanie śledzić i analizować metody grupy, ciągłym wyzwaniem pozostaje łagodzenie jej wpływu i wyprzedzanie przyszłych ataków. W miarę jak aktorzy zagrożeń nadal udoskonalają swoje techniki, narody i organizacje muszą wzmocnić swoje środki obronne, aby chronić poufne informacje przed nieautoryzowanym dostępem.
