انتساب بیش از ۶۰۰ بدافزار به یک گروه نفوذ چینی

انتساب بیش از ۶۰۰ بدافزار به یک گروه نفوذ چینی

انتساب بیش از ۶۰۰ بدافزار به یک گروه نفوذ چینی

براساس گزارش‌های کسپرسکی، یک گروه جاسوسی چینی که توسط شرکت‌های امنیتی مختلفی کنترل می‌شد، در حملات خود در طول چند سال گذشته از بیش از ۶۰۰ نمونه‌ی بدافزاری استفاده کرده است. این گروه جاسوسی، «اژدهای بهار» نام داشته و حداقل از سال ۲۰۱۲ میلادی به فعالیت خود ادامه می‌دهد ولی شواهدی وجود دارد که نشان می‌دهد این گروه از سال ۲۰۰۷ میلادی وجود داشته است.

این گروه جاسوسی که توسط دولت چین حمایت می‌شود، در حملات خود نهادهای دولتی و نظامی در کشورهای آسیای جنوب شرقی را هدف قرار داده است. شرکت کسپرسکی اخیراً توسط شرکای خود در تایلند مطلع شده که اخیراً حملات جدیدی توسط این گروه انجام شده است. اطلاعات جمع‌آوری شده نشان می‌دهد که این گروه، نهادهای سیاسی، دانشگاه‌ها و سایر مراکز آموزشی و شرکت‌های مخابراتی را نیز هدف قرار داده است.

به نظر می‌رسد نفوذگران در عملیات خود بر روی کشورهایی همچون تایوان، اندونزی، ویتنام، فیلیپین، هنگ‌کنگ، مالزی و تایلند متمرکز شده‌اند. این گروه از ابزارهای مختلفی نظیر دربِ پشتی استفاده می‌کنند که با استفاده از آن بدافزارهای جانبی را بر روی ماشین هدف نصب کرده، پرونده‌های مختلف را بر روی کارگزار مهاجمان بارگذاری می‌کنند و قابلیت اجرای کدها و دستورات مختلف را نیز دارد. کسپرسکی در چند سال گذشته از این گروه نزدیک به ۶۰۰ نمونه‌ی بدافزاری را مشاهده و جمع‌آوری کرده است.

انتساب بیش از ۶۰۰ بدافزار به یک گروه نفوذ چینی

گروه نفوذ چینی ردیابی

به گزارش این شرکت امنیت سایبری، بدافزارهای این گروه از یک زیرساخت کارگزار دستور و کنترل استفاده می‌کند که تقریباً ۲۰۰ آدرس IP و نام دامنه‌ی منحصربفرد به آن اختصاص داده شده است. هر کدام از نمونه‌های بدافزاری با کارگزاری ارتباط برقرار می‌کند که آدرس آن در فهرستی برایش هاردکد شده است. کارگزارهای دستور و کنترل در کشورهای مختلفی واقع شده‌اند ولی دو سوم آن‌ها در هنگ‌کنگ و آمریکا قرار دارند. برخی از کارگزارها نیز در آلمان، ژاپن و چین مشاهده شده‌اند.

انتساب بیش از ۶۰۰ بدافزار به یک گروه نفوذ چینی

براساس مُهرزمانی بر روی نمونه‌های بدافزاری که کسپرسکی معتقد است دست‌کاری نشده‌اند، به نظر می‌رسد که مهاجمان در منطقه‌ی زمانی GMT + ۸، که مربوط به چین، اندونزی، مالزی، مغولستان، سنگاپور، تایوان، فیلیپین و استرالیا است قرار دارند. این مُهرزمانی همچنین نشان می‌دهد که اعضای این گروه دو شیفت کار می‌کنند و یا اینکه بدافزار توسط دو گروه مختلف توسعه داده می‌شود که یکی از آن‌ها در اروپا واقع شده است. محققان معتقدند تعداد بالای نمونه‌ها در این بدافزار می‌تواند نشانگر این باشد که کد آن در برخی از انجمن‌های عمومی و خصوصی برای فروش قرار داده شده و کاربران با خریداری آن توانسته‌اند در این حملات شرکت کنند. هرچند هنوز شواهد کافی برای اثبات این نظریه، مشاهده نشده است.

منبع :

www.news.asis.io

مطالب مرتبط

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *