هکرهای تحت حمایت دولتی در چین، مرجع صدور گواهی را به خطر می اندازند

محققان روز سه شنبه گفتند که هکرهای دولتی مستقر در چین اخیراً یک مرجع صدور گواهینامه و چندین آژانس دولتی و دفاعی را با یک کوکتل بدافزار قوی برای نقب زدن در داخل شبکه و سرقت اطلاعات حساس آلوده کردند.

به خطر افتادن موفقیت آمیز مرجع گواهی نامشخص به طور بالقوه جدی است، زیرا مرورگرها و سیستم عامل ها به این نهادها برای تأیید هویت مسئول یک سرور یا برنامه خاص اعتماد دارند. در صورتی که هکرها کنترل زیرساخت سازمان را به دست آوردند، می‌توانند از آن برای امضای دیجیتالی بدافزار خود استفاده کنند تا به راحتی از محافظت‌های نقطه پایانی عبور کند. آنها همچنین ممکن است بتوانند به صورت رمزنگاری جعل وب سایت های مورد اعتماد را جعل کنند یا داده های رمزگذاری شده را رهگیری کنند.

در حالی که محققانی که این نقض را کشف کردند هیچ مدرکی دال بر به خطر افتادن زیرساخت گواهی پیدا نکردند، آنها گفتند که این کمپین تنها جدیدترین کمپین گروهی است که Billbug نامیده می شود، که سابقه مستندی از هک های قابل توجه دارد که حداقل به سال 2009 باز می گردد.

محققان سیمانتک نوشتند: “توانایی این بازیگر در به خطر انداختن چندین قربانی به طور همزمان نشان می دهد که این گروه تهدید یک اپراتور ماهر و دارای منابع خوب است که قادر به اجرای کمپین های پایدار و گسترده است.” همچنین به نظر می رسد که Billbug از احتمال نسبت دادن این فعالیت به آن، با استفاده مجدد از ابزارهایی که در گذشته به گروه مرتبط بوده اند، دلسرد نشده است.

سیمانتک برای اولین بار Billbug را در سال 2018 مستند کرد، زمانی که محققان شرکت این گروه را تحت نام Thrip دنبال کردند. این گروه چندین هدف از جمله یک اپراتور ارتباطات ماهواره ای، یک شرکت تصویربرداری و نقشه برداری جغرافیایی، سه اپراتور مختلف مخابراتی و یک پیمانکار دفاعی را هک کرد. نگرانی ویژه هک اپراتور ماهواره ای بود زیرا مهاجمان “به نظر می رسید که علاقه خاصی به جنبه عملیاتی شرکت داشته باشند، به دنبال و آلوده کردن رایانه های در حال اجرا نرم افزارهایی که ماهواره ها را نظارت و کنترل می کنند.” محققان حدس زدند که انگیزه هکرها ممکن است فراتر از جاسوسی بوده و شامل اختلال نیز شده باشد.

محققان در نهایت ردیابی فعالیت هک را در رایانه هایی که به طور فیزیکی در چین قرار دارند، دنبال کردند. علاوه بر آسیای جنوب شرقی، اهداف در ایالات متحده نیز قرار داشتند.

کمی بیش از یک سال بعد، سیمانتک اطلاعات جدیدی را جمع‌آوری کرد که به محققان این امکان را داد تا تشخیص دهند که Thrip در واقع همان گروه قدیمی‌تر به نام Billbug یا Lotus Blossom است. در 15 ماه پس از اولین نگارش، Billbug با موفقیت 12 سازمان را در هنگ کنگ، ماکائو، اندونزی، مالزی، فیلیپین و ویتنام هک کرد. قربانیان شامل اهداف نظامی، ارتباطات دریایی، و بخش های رسانه و آموزش بودند.

Billbug از ترکیبی از نرم‌افزار قانونی و بدافزار سفارشی برای نفوذ به شبکه‌های قربانیان خود استفاده کرد. استفاده از نرم افزارهای قانونی مانند PsExec، PowerShell، Mimikatz، WinSCP و LogMeIn به فعالیت های هک اجازه می دهد تا با عملیات عادی در محیط های در معرض خطر ترکیب شوند. هکرها همچنین از دزد اطلاعات Catchamas و درهای پشتی با نام‌های Hannotog و Sagerunex استفاده کردند.

در کمپین اخیری که مرجع صدور گواهینامه و سایر سازمان‌ها را هدف قرار داده بود، Billbug با Hannotog و Sagerunex بازگشت، اما از مجموعه‌ای از نرم‌افزارهای جدید و قانونی از جمله AdFind، Winmail، WinRAR، Ping، Tracert، Route، NBTscan، Certutil نیز استفاده کرد. و پورت اسکنر.

پست روز سه‌شنبه شامل مجموعه‌ای از جزئیات فنی است که افراد می‌توانند برای تعیین اینکه آیا توسط Billbug هدف قرار گرفته‌اند یا خیر، استفاده کنند. سیمانتک بازوی امنیتی Broadcom Software است.