بنتنا يا بنتنا
أصدرت شركة أمان الكمبيوتر تقريرًا فنيًا مؤلفًا من 69 صفحة يوم الأحد عن المجموعة ، التي تصفها بـ APT (Advanced Persistent Threat) 30 ، والتي استهدفت المنظمات في جنوب شرق آسيا والهند.
FireEye التقطت عليه بعد أن وجد أن بعض البرمجيات الخبيثة المستخدمة من قبل المجموعة قد أصيبت بالعملات ذات الصلة بالدفاع في الولايات المتحدة ، قال جين ويديدون ، مدير التحليل الاستراتيجي مع FireEye.
[المزيد> Reading: How to remove البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]تم تشغيل APT 30 منذ عام 2005 على الأقل. وقد استهدفت الأشخاص من خلال التصيد الاحتيالي ، أو إرسال رسائل بريد إلكتروني تحتوي على مرفقات ضارة أو روابط ضارة.
قامت المجموعة بتحديث برامجها الضارة باستمرار ، ولكن الأدوات هذا الاستخدامات عمومًا ليست متطورة ، وقد استخدمت بعضًا من نفس البنية التحتية للقيادة والتحكم لسنواتٍ أخرى."يبدو أنها ناجحة في كونها جيدة بما فيه الكفاية" ، كما قال ويدون يوم الأحد.
قد تكون المنظمات المستهدفة لديها مواقف أمنية متساهلة ، مما جعل من السهل على APT 30 التسلل من دون الحاجة إلى اللجوء إلى أساليب هجوم أكثر تطورا أو متقدمة ، كما قالت.
كانت البلدان المستهدفة بشكل رئيسي هي الهند وكوريا الجنوبية وماليزيا. وفيتنام وتايلاند والمملكة العربية السعودية والولايات المتحدة ، من بين الدول الأخرى التي يُحتمل أن تكون مستهدفة هي نيبال وبوتان والفلبين وسنغافورة وإندونيسيا وبروناي وميانمار ولاوس وكمبوديا واليابان. الاهتمام في العلاقة بين الصين والهند ، بما في ذلك قضايا الحدود ، وقال تقرير FireEye. إن تركيز APT 30 على تلك الموضوعات المعينة يجعل من المحتمل أن تكون تحت رعاية الصين.
الشيء الأكثر إثارة للاهتمام حول APT 30 هو أنها طورت أدوات مصممة للانتقال من الأنظمة المتصلة بالإنترنت إلى تلك التي لا ترتبط. تستخدم الحكومات مثل هذه الشبكات "الهوائيّة" لتقليل فرصة نجاح الهجوم الخارجي.
صممت المجموعة مكونات ضارة بقدرات شبيهة بالديدان يمكن أن تصيب محركات الأقراص القابلة للإزالة مثل USB sticks ومحركات الأقراص الصلبة. يمكن لهذه الأجهزة نقل البرامج الضارة إذا كانت متصلة بجهاز على شبكة موصلة بالهواء.
قالت شركة FireEye أنها شهدت العديد من المجموعات تطوير هذه القدرة ، ولكن يبدو أن APT 30 جعل هذا اعتبارًا في بداية تطورها في عام 2005 ، أي وقت سابق بكثير من العديد من المجموعات المتقدمة الأخرى التي نتتبعها. "
على مر السنين ، كتب FireEye العديد من التقارير حول مجموعات ربطها بالصين. ومع ذلك ، لا يبدو أن هذه المجموعة مرتبطة بأي من المجموعات الأخرى وتعمل في عزلة نسبية.
لديها APT مواردها التطويرية الخاصة ، ولا تشارك البنية التحتية للهجوم مع مجموعات أخرى ، حسبما قال ويدون. وأضافت: "تبدو هذه المجموعة معزولة إلى حد كبير"
تهدف مجموعة Cyberespionage إلى السفر عبر الإنترنت من خلال شبكات الفنادق
تصيب المجموعة بوابات الويب التي تستخدمها الشبكات والمراكز التجارية التي تستهدف الفنادق
مجموعة القراصنة الصينيين من بين أول شبكات مستهدفة معزولة عن الإنترنت
تم تشغيل APT 30 منذ عام 2005 دون تغيير كبير في أساليب الهجوم ، FireEye قال. هدفها؟ الشبكات "التي يتم قذفها بالهواء" والتي من المفترض أن تكون معزولة ماديًا عن الإنترنت.
يبدو أن مجموعة قرصنة غير ملحوظة على الأرجح مرتبطة بالصين هي واحدة من أولى الشبكات التي استهدفت ما يسمى بشبكات الجو التي لا يتم توجيهها مباشرة. متصلاً بالإنترنت ، وفقًا لـ FireEye.
