Красный Аполлон - Red Apollo

Эта статья о злоумышленнике. О бабочке см. Парнасий эпаф. Для элемента см. Калий.
Красный Аполлон
Формированиеc. 2003–2005[1]
ТипПостоянная угроза повышенной сложности
ЦельКибершпионаж, кибервойна
Область, край
Китай
МетодыНулевые дни, Фишинг, бэкдор (вычисления), КРЫСА, Кейлоггинг
Официальный язык
Китайский
Головная организация
Тяньцзинь TMSS[1]
Ранее назывался
APT10
Каменная панда
MenuPass
КрасныеЛистья
CVNX
КАЛИЙ

Красный Аполлон (также известный как АП 10Mandiant ), MenuPassFireeye ), Каменная пандаКраудстрайк ), и КАЛИЙMicrosoft ))[2][3][4] это Китайский кибершпионаж группа. Обвинение 2018 г. Федеральное Бюро Расследований утверждал, что они были спонсируемой государством группой, связанной с полевым отделением Тяньцзиня Министерство государственной безопасности, работает с 2006 года.

Команда была обозначена Fireeye как Расширенная постоянная угроза. Fireeye заявляет, что они нацелены на аэрокосмические, инженерные и телекоммуникационные компании и любое правительство, которое, по их мнению, является конкурентом Китай.

Fireeye заявил, что они могут нацеливаться на интеллектуальную собственность образовательных учреждений, таких как японский университет, и, вероятно, расширят свою деятельность в секторе образования в юрисдикциях стран, которые являются союзниками Соединенные Штаты.[5] Fireeye утверждал, что их отслеживали с 2009 года, однако из-за того, что они не представляли опасности, они не были приоритетными. Fireeye теперь описывает группу как «угрозу для организаций по всему миру».[6]

Тактика

Группа напрямую нацелена на поставщиков услуг управляемых информационных технологий (MSP), использующих КРЫСА. Общая роль MSP - помочь управлять компьютерной сетью компании. MSP часто скомпрометировали Poison Ivy, FakeMicrosoft, PlugX, ArtIEF, Graftor, и ЧЧ, за счет использования целевой фишинг электронные письма.[7]

Цикл

Фаза первая капельница[8]

История

2014-2017 Операция Cloud Hopper

Операция Cloud Hopper представляла собой масштабную атаку и кражу информации в 2017 году, направленную на MSP в Соединенном Королевстве (Великобритания), США (США), Японии, Канаде, Бразилии, Франции, Швейцарии, Норвегии, Финляндии, Швеции, Южной Африке, Индии. , Таиланд, Южная Корея и Австралия. Группа использовала MSP в качестве посредников для приобретения активов и коммерческих секретов от MSP-клиентов в области проектирования, промышленного производства, розничной торговли, энергетики, фармацевтики, телекоммуникаций и государственных учреждений.

Операция Cloud Hopper использовала более 70 вариантов бэкдоров, вредоносное ПО и трояны. Они были доставлены через электронные письма с целевым фишингом. Атаки запланировали задачи или использовали сервисы / утилиты для сохранения в Майкрософт Виндоус системы, даже если компьютерная система была перезагружена. Он установил вредоносные программы и инструменты взлома для доступа к системам и кражи данных.[9]

Данные личного состава ВМС США за 2016 г.

Хакеры получили доступ к записям о 130 000 ВМС США персонал (из 330 000).[10] В рамках этих действий ВМФ решил согласовать действия с Корпоративные услуги Hewlett Packard, несмотря на предупреждения, сделанные до нарушения.[11] Все пострадавшие моряки должны были быть уведомлены.

Обвинения 2018 г.

Обвинительный акт 2018 года показал, что CVNX - это не название группы, а псевдоним одного из двух хакеров. Оба использовали по четыре псевдонима, чтобы создать впечатление, будто атаковали более пяти хакеров.

Действия после предъявления обвинения

В апреле 2019 года APT10 был нацелен на государственные и частные организации в Филиппины.[12]

В 2020 году Symantec замешала Red Apollo в серии атак на цели в Японии.[13]

Смотрите также

Рекомендации

  1. ^ «Два китайских хакера, связанные с Министерством государственной безопасности, обвиняются в глобальных кампаниях компьютерных вторжений, направленных на интеллектуальную собственность и конфиденциальную деловую информацию». Justice.gov. 20 декабря 2018.
  2. ^ https://www.fireeye.com/blog/threat-research/2017/04/apt10_menupass_grou.html
  3. ^ https://www.crowdstrike.com/blog/two-birds-one-stone-panda/
  4. ^ https://powershell.fyi/potassium-apt10-campaigns/
  5. ^ «APT10 (MenuPass Group): новые инструменты, глобальная кампания - последнее проявление давней угрозы« APT10 (MenuPass Group): новые инструменты, глобальная кампания - последнее проявление давней угрозы »). FireEye.
  6. ^ «APT10 (MenuPass Group): новые инструменты, глобальная кампания - последнее проявление давней угрозы« APT10 (MenuPass Group): новые инструменты, глобальная кампания - последнее проявление давней угрозы »). FireEye.
  7. ^ «Операция Cloud Hopper: что нужно знать - Новости безопасности - Trend Micro USA». trendmicro.com.
  8. ^ «Исследование угроз сажи направляет вредоносное ПО, которое использует загрузку со стороны DLL». Черный карбон. 9 мая 2017 года.
  9. ^ «Операция Cloud Hopper: что нужно знать - Новости безопасности - Trend Micro USA». trendmicro.com.
  10. ^ «Китайские хакеры якобы украли данные более 100 000 военнослужащих ВМС США». Обзор технологий MIT.
  11. ^ "Данные моряков ВМС США", к которым получили доступ неизвестные'". bankinfosecurity.com.
  12. ^ Манантан, Марк (сентябрь 2019 г.). «Кибер-измерение столкновений в Южно-Китайском море» (58). Дипломат. Дипломат. Получено 5 сентября 2019.
  13. ^ Lyngaas, Шон. «Symantec вовлекает APT10 в широкомасштабную хакерскую кампанию против японских компаний». www.cyberscoop.com. Cyberscoop. Получено 19 ноября 2020.