Формирование | c. 2003–2005 [1] |
---|---|
Тип | Постоянная угроза повышенной сложности |
Цель | Кибершпионаж , кибервойна |
Область, край | Китай |
Методы | Нулевые дни , фишинг , бэкдор (вычисления) , RAT , кейлоггинг |
Официальный язык | Китайский |
Головная организация | Полевой офис Министерства государственной безопасности в Тяньцзине |
Ранее назывался | APT10 Stone Panda MenuPass RedLeaves CVNX КАЛИЯ |
Красный Аполлон (также известный как APT 10 (по Mandiant ), MenuPass (по Fireeye ), камень Panda (по Crowdstrike ) и Калий (от Microsoft )) [1] [2] является китайской при поддержке государства cyberespionage группы. В обвинительном заключении Министерства юстиции США от 2018 года утверждалось, что группа связана с полевым отделением Министерства государственной безопасности в Тяньцзине , действующим с 2006 года [3].
Команда была обозначена Fireeye как повышенная постоянная угроза . Fireeye заявляет, что они нацелены на аэрокосмические, инженерные и телекоммуникационные компании и любое правительство, которое, по их мнению, является конкурентом Китая .
Fireeye заявил, что они могут нацеливаться на интеллектуальную собственность образовательных учреждений, таких как японский университет, и, вероятно, расширят свою деятельность в секторе образования в юрисдикциях стран, являющихся союзниками Соединенных Штатов . [4] Fireeye утверждал, что их отслеживали с 2009 года, однако из-за того, что они не представляли опасности, они не были приоритетными. Фириай теперь описывает эту группу как «угрозу для организаций по всему миру». [4]
Тактика [ править ]
Группа напрямую нацелена на поставщиков услуг управляемых информационных технологий (MSP), использующих RAT . Общая роль MSP - помочь управлять компьютерной сетью компании. MSP часто скомпрометировались Poison Ivy, FakeMicrosoft, PlugX, ArtIEF, Graftor и ChChes с помощью целевых фишинговых писем. [5]
История [ править ]
2014–2017 гг. Операция Cloud Hopper [ править ]
Операция Cloud Hopper представляла собой масштабную атаку и кражу информации в 2017 году, направленную на MSP в Соединенном Королевстве (Великобритания), Соединенных Штатах (США), Японии, Канаде, Бразилии, Франции, Швейцарии, Норвегии, Финляндии, Швеции, Южной Африке, Индии. , Таиланд, Южная Корея и Австралия. Группа использовала MSP в качестве посредников для приобретения активов и коммерческих секретов от MSP-клиентов в области проектирования, промышленного производства, розничной торговли, энергетики, фармацевтики, телекоммуникаций и государственных учреждений.
Операция Cloud Hopper использовала более 70 вариантов бэкдоров, вредоносных программ и троянов . Они были доставлены через электронные письма с целевым фишингом. Атаки запланировали задачи или использовали службы / утилиты для сохранения в системах Microsoft Windows , даже если компьютерная система была перезагружена. Он установил вредоносные программы и хакерские инструменты для доступа к системам и кражи данных. [5]
[ править ]
Хакеры получили доступ к записям, касающимся 130 000 военнослужащих ВМС США (из 330 000). [6] В соответствии с этими действиями ВМС решили координировать свои действия с Hewlett Packard Enterprise Services , несмотря на предупреждения, сделанные до нарушения. [7] Все пострадавшие моряки должны были быть уведомлены.
Обвинения 2018 г. [ править ]
Обвинительный акт 2018 года показал, что CVNX - это не название группы, а псевдоним одного из двух хакеров. Оба использовали по четыре псевдонима, чтобы создать впечатление, будто атаковали более пяти хакеров.
Действия после предъявления обвинения [ править ]
В апреле 2019 года целью APT10 были государственные и частные организации на Филиппинах . [8]
В 2020 году Symantec замешала Red Apollo в серии атак на цели в Японии. [9]
В марте 2021 года они были нацелены на Bharat Biotech и Институт сывороток Индии (SII), крупнейшего в мире производителя вакцин [10]
См. Также [ править ]
- Китайско-американские отношения
Ссылки [ править ]
- ^ «APT10 (MenuPass Group): Новые инструменты, Глобальная кампания - последнее проявление давней угрозы» . FireEye . Проверено 7 марта 2021 .
- ^ Козы, Адам (2018-08-30). «Две птицы, одна КАМЕННАЯ ПАНДА» . Проверено 7 марта 2021 .
- ^ «Два китайских хакера, связанные с Министерством государственной безопасности, обвиненные в глобальных кампаниях компьютерных вторжений, направленных на интеллектуальную собственность и конфиденциальную деловую информацию» . Министерство юстиции США . 2018-12-20 . Проверено 7 марта 2021 .
- ^ a b «APT10 (Группа MenuPass): Новые инструменты, Глобальная кампания, последнее проявление давней угрозы« APT10 (Группа MenuPass): Новые инструменты, Глобальная кампания, последнее проявление давней угрозы » . FireEye . 6 апреля 2017 г.
- ^ a b «Операция Cloud Hopper: что вам нужно знать - Новости безопасности - Trend Micro USA» . trendmicro.com . 10 апреля 2017 г.
- ^ «Китайские хакеры якобы украли данные более чем 100 000 военнослужащих ВМС США» . Обзор технологий Массачусетского технологического института .
- ^ «ВМС США Sailor данные„Accessed неизвестных лиц “ » . bankinfosecurity.com .
- ^ Manantan, Марк (сентябрь 2019). «Кибер-измерение столкновений в Южно-Китайском море» (58). Дипломат. Дипломат . Дата обращения 5 сентября 2019 .
- ^ Lyngaas, Шон. «Symantec вовлекает APT10 в широкомасштабную хакерскую кампанию против японских фирм» . www.cyberscoop.com . Киберскооп . Проверено 19 ноября 2020 .
- ↑ Н. Дас, Кришна (1 марта 2021 г.). «Китайская хакерская группа Red Apollo (APT10) выявила бреши и уязвимости в ИТ-инфраструктуре и программном обеспечении цепочки поставок Bharat Biotech и Индийского института сыворотки (SII), крупнейшего в мире производителя вакцин» . Рейтер . Проверено 1 марта 2021 года .