האקרים סינים מכסים את עקבותיהם ומסירים תוכנות זדוניות מספר ימים לפני הגילוי

מומחי FireEye משך תשומת לב להתנהגות מוזרה של האקרים סינים, מי, בניסיון לכסות את עקבותיהם, הסר תוכנות זדוניות זמן קצר לפני הגילוי.

לדברי החוקרים, שתי קבוצות פריצה משתמשות בפגיעות של אפס יום ב- Pulse Secure VPN כדי לתקוף את הרשתות של קבלני ביטחון וארגונים ממשלתיים ברחבי העולם.

על פי FireEye, הפריצות החלו כבר בחודש אוגוסט 2020, כאשר קבוצת הפריצה הראשונה, אשר החברה עוקבת אחריו UNC2630, מיועד לקבלני ביטחון וארגונים אירופיים בארה"ב. לדברי אנליסטים, ההאקרים האלה “לפעול בשם הממשלה הסינית וייתכן שיש להם קשרים עם APT5,” זו עוד קבוצת ריגול סינית ידועה.

באוקטובר 2020, קבוצה שנייה של האקרים הצטרפה להתקפות (FireEye הקצתה לו את תעודת הזהות UNC2717), אך המומחים לא ידעו דבר על כך כמעט.

בשני המקרים, התוקפים התקינו פגזי רשת במכשירים פגיעים, ואז השתמש בהם כדי ללכת לקורבנות’ רשתות פנימיות, מהמקום שגנבו אישורים, מכתבים ומסמכים חסויים.

עכשיו ב דוח חדש, FireEye כותב כי חקירה נוספת של התקפות אלה סייעה לגלות משהו מוזר: לפחות אחת הקבוצות שהיו מעורבות באירועים החלה להסיר את התוכנות הזדוניות שלה מרשתות נגועות שלושה ימים לפני הגילוי.

“בין אפריל 17 ו 20, 2021, מומחי מנדינט הבחינו כי UNC2630 קיבל גישה לעשרות מכשירים שנפגעו והסיר פגזי רשת כגון ATRIUM ו- SLIGHTPULSE”, - כותבים אנליסטים.

פעולותיהם של עברייני הסייבר נראות חשודות ומעלות שאלות, לדוגמה, אם התוקפים יכלו לדעת על העניין של FireEye. כמובן, הסרת התוכנה הזדונית יכולה להיות צירוף מקרים, אך אם משתתפי UNC2630 ידעו כי FireEye חוקרת חלק מהרשתות בהן התפשרו, נראה כי ההאקרים נסוגו בכוונה והסירו ראיות כדי להגן על פעולות אחרות מפני החוקרים.

FireEye מדווחת גם כי גילתה פרטים חדשים של קמפיין פריצה זה. לכן, מומחים מצאו ארבעה זנים נוספים של תוכנות זדוניות (בנוסף ל 12 המתואר לעיל).

• BLOODMINE - כלי ניתוח קבצי יומן ניתוח דופק מאובטח. מאחזר מידע הקשור לכניסות, פרסם מזהים ובקשות אינטרנט והעתק את הנתונים המתאימים לקובץ אחר.
• בנק הדם - כלי גניבת אישורים המנתח שני קבצים המכילים חשיפות סיסמאות או סיסמאות במבחן פתוח ומצפה שקובץ הפלט יצוין בשורת הפקודה.
• ניקיון - זהו כלי תיקון זיכרון שניתן להשתמש בו כדי למנוע אירועי יומן מסוימים. הוא נמצא יחד עם מעטפת האינטרנט ATRIUM.
• דופק מהיר - מעטפת רשת המסוגלת לקרוא קבצים שרירותיים. כמו פגזי רשת אחרים, RAPIDPULSE הוא שינוי של קובץ ה- Pulse Secure הלגיטימי. יכול לשמש מטעין לקבצים מוצפנים.

בנוסף, FireEye ממשיכה לעבוד עם מפתחי Pulse Secure כדי לזהות מכשירים שנפגעו ובעליהם. עבודה זו אפשרה לאנליסטים ללמוד יותר על יעדי התוקפים. לכן, על פי נתונים חדשים, רוב הקורבנות הם ארגונים שבסיסם בארצות הברית (אחרים ממוקמים במדינות אירופה). בעוד שקודם לכן נחשבו כי ההתקפות מיועדות לקבלני ביטחון ולסוכנויות ממשלתיות, כעת התברר כי התוקפים מכוונים גם לטלקומוניקציה, חברות פיננסים ותחבורה.

ואילו אנליסטים קודמים של FireEye כתבו כי רק ל- UNC2630 יכולים להיות קשרים עם ממשלת סין, כעת הם בטוחים ששתי הקבוצות עוסקות בריגול סייבר ו “לתמוך בסדרי העדיפויות המרכזיים של ממשלת סין.”

תן לי להזכיר לך שגם אני כתבתי את זה תוכנה זדונית של XCSSET משתמשת בהתקפות של 0 יום ב- MacOS.