Kiinan tukemat uhka-näyttelijät, mukaan lukien pahamaineiset ryhmät APT15 (tunnetaan myös nimellä FLEA, Nickel, Vixen Panda, Ke3Chang, Royal Apt ja Playful Dragon) ja UNC5174, käynnistivät sarjan hyökkäyksiä, jotka kohdistuivat yli 70 arvon arvon organisaatiolle viime vuoden heinäkuun ja kuluneen vuoden maaliskuun välillä. Tämän laajan kampanjan tavoitteiden joukossa, jonka tutkijoiden mielestä on pääasiassa pyrkimys kybertutkimukseen Shadowpad-haittaohjelmien avulla, oli AI-käyttöinen tietoturvatoimittaja Sentinelone.
Sentinelonen uhkatutkimusvarsi, Sentinelabs, on seurannut aktiivisesti tätä haitallista toimintaa. He luokitelevat sen nimellä PurpleHaze ja tunnistavat sen osana laajempaa Shadowpad -operaatiota. Heidän äskettäisessä blogiviestissä yksityiskohtainen tutkimus paljasti kaksi erityistä tapausta, joissa Sentinelone vaikutti. Ensimmäinen, lokakuussa esiintyvä, osallistui PurpleHaze -toimintaan, jolle on ominaista uhkatoimijat, jotka suorittivat ”laajan etätutkimuksen” sentinelone -palvelimille Internetin kautta. Toinen tämän vuoden alussa tapahtunut tapaus oli yhteydessä Shadowpad-haittaohjelmiin ja keskittyi kolmannen osapuolen organisaatioon, joka vastaa sentinelone-työntekijöiden laitteistologistiikan hallinnasta.
Saatuaan logistiikan tarjoajan tunkeutumisen, Sentinelone toimi nopeasti. ”Ilmoitimme viipymättä tunkeutumistietojen IT -palveluista ja logistiikkaorganisaatiosta”, Sentinellabsin tutkijat totesivat. He aloittivat välittömästi kattavan tutkimuksen Sentinelonen sisäisestä infrastruktuurista, ohjelmistoista ja laitteistovaroista. Tässä perusteellisessa tutkimuksessa ei löytynyt ”todisteita kompromissista” Sentinelonen suorissa järjestelmissä.
Suoran sisäisen kompromissin puutteesta huolimatta Sentinelone on edelleen epävarma hyökkääjien lopullisesta tavoitteesta kohdistaa logistiikan tarjoajalle. Vaikka välitön painopiste on saattanut olla itse kolmannen osapuolen organisaatio, kiinalaiset uhkatoimijat tunnetaan taktiikastaan jalansijan perustamisessa yhdelle yksikölle laajentaakseen ulottuvuuttaan loppupään organisaatioihin. Tämä mahdollisuus on edelleen huolenaihe ja korostaa kyberuhkien toisiinsa liittyvää luonnetta.
Kyberturvallisuustoimittajien, kuten Sentinelone, kohdistaminen korostaa sitä, mitä yritys pitää nykyisen uhkamaiseman aliarvioiduna. Kyberturvallisuusyritykset ovat erityisen houkuttelevia tavoitteita uhka -toimijoille, koska ne ovat tärkeitä roolia asiakkaiden suojelemisessa, heidän syvän näkyvyytensä monimuotoisissa verkkoympäristöissä ja kyvystään häiritä haitallisia toimintoja. Sentinelone korosti tätä asiaa ja totesi, että ”kyberturvallisuusyritykset ovat arvokkaiden uhan toimittajien tavoitteita niiden suojaavien roolien, syvän näkyvyyden vuoksi asiakasympäristöön ja kyvyn häiritä vastustajien toimintaa.”
Sentinelone puolustaa parempaa avoimuutta ja yhteistyötä kyberturvallisuusteollisuudessa tämäntyyppisten hyökkäysten suhteen. Niiden tavoitteena näiden tapausten julkistamisessa on ”myötävaikuttaa teollisuuden puolustuksen vahvistamiseen edistämällä avoimuutta ja kannustamalla yhteistyötä”. He uskovat, että tietojen jakaminen näistä kampanjoista auttaa ”deskegisoimaan jakamista [indicators of compromise] liittyvät näihin kampanjoihin ja lisäävät siten syvempää ymmärtämistä Kiinan Nexus-uhkien toimijoiden taktiikoista, tavoitteista ja operatiivisista malleista. ”
Kaksi näihin hyökkäyksiin liittyviä ensisijaisella ryhmällä, APT15: llä ja UNC5174: llä, on pitkä historia haitallisessa toiminnassa. APT15, aktiivinen yli kahden vuosikymmenen ajan lepotilan ja elpymisen jaksoilla, on äskettäin havaittu kohdistavan Kiinan etniset väestöt ja ulkoministeriöt sekä Pohjois -että Etelä -Amerikassa. UNC5174: n, jonka aiemmin on dokumentoitu Mandiantin, uskotaan toimivan Kiinan hallituksen urakoitsijana keskittyen länsimaihin, mukaan lukien Yhdysvallat, Yhdistynyt kuningaskunta ja Kanada.
Puolustamisen lisäksi Sentinelone seurasi myös merkittävää määrää muita tunkeutumisia joko APT15: llä tai UNC5174: llä kahdeksan kuukauden aikana heinäkuun ja maaliskuun välisenä aikana. Nämä tunkeutumiset vaikuttivat monipuolisiin kohteisiin, mukaan lukien Etelä -Aasian hallituksen yksikkö ja eurooppalainen mediaorganisaatio yli 70 aikaisemmin mainittujen aloilla olevien yli 70 organisaation lisäksi. Näihin sektoreihin kuuluivat valmistus, hallitus, rahoitus, televiestintä ja tutkimus.
Kiinan tukemien näyttelijöiden hyökkäyssarjan tulokset korostavat uhkamaiseman säälimätöntä luonnetta. Sentinelone korostaa kaikkien organisaatioiden, etenkin kyberturvallisuustoimittajien, kriittistä tarvetta ylläpitää korkeaa valppautta, toteuttaa vankkaa seurantaominaisuutta ja sillä on tehokkaat ja nopeat reaktiosuunnitelmat puolustaakseen tällaisia hienostuneita hyökkäyksiä.
”Jakamalla julkisesti tutkimuksiamme yksityiskohdat”, Sentinellabs -tutkijat kirjoittivat, ”pyrimme antamaan käsityksen kyberturvallisuustoimittajien harvoin keskusteltuun kohdistamiseen, auttaen deskegmatisointiin jakamiseen jakamiseen [indicators of compromise] liittyvät näihin kampanjoihin ja lisäävät siten syvempää ymmärtämistä Kiinan Nexus-uhkien toimijoiden taktiikoista, tavoitteista ja operatiivisista malleista. ” He väittävät, että tämä yhteistyölähestymistapa on välttämätöntä voimakkaampien kollektiivisten puolustusten rakentamiseksi kansallisvaltioiden puolesta toimivia pysyviä ja edistyneitä uhka-toimijoita vastaan.
Source: Kiinan linkitetyt toimijat kohdistuvat yli 70 organisaatiota
