WikiDer > Красный Аполлон
Формирование | c. 2003–2005[1] |
---|---|
Тип | Постоянная угроза повышенной сложности |
Цель | Кибершпионаж, кибервойна |
Область, край | Китай |
Методы | Нулевые дни, Фишинг, бэкдор (вычисления), КРЫСА, Кейлоггинг |
Официальный язык | Китайский |
Головная организация | Тяньцзинь TMSS[1] |
Ранее назывался | APT10 Каменная панда MenuPass КрасныеЛистья CVNX КАЛИЙ |
Красный Аполлон (также известный как АП 10 (к Mandiant), MenuPass (к Fireeye), Каменная панда (к Краудстрайк), и КАЛИЙ (к Microsoft))[2][3][4] это Китайский кибершпионаж группа. Обвинение 2018 г. Федеральное Бюро Расследований утверждал, что они были спонсируемой государством группой, связанной с полевым отделением Тяньцзиня Министерство государственной безопасности, работает с 2006 года.
Команда была обозначена Fireeye как Расширенная постоянная угроза. Fireeye заявляет, что они нацелены на аэрокосмические, инженерные и телекоммуникационные компании и любое правительство, которое, по их мнению, является конкурентом Китай.
Fireeye заявил, что они могут нацеливаться на интеллектуальную собственность образовательных учреждений, таких как японский университет, и, вероятно, расширят свою деятельность в секторе образования в юрисдикциях стран, которые являются союзниками Соединенные Штаты.[5] Fireeye утверждал, что их отслеживали с 2009 года, однако из-за того, что они не представляли опасности, они не были приоритетными. Fireeye теперь описывает группу как «угрозу для организаций по всему миру».[6]
Тактика
Группа напрямую нацелена на поставщиков услуг управляемых информационных технологий (MSP), использующих КРЫСА. Общая роль MSP - помочь управлять компьютерной сетью компании. MSP часто скомпрометировали Poison Ivy, FakeMicrosoft, PlugX, ArtIEF, Graftor, и ЧЧ, за счет использования целевой фишинг электронные письма.[7]
Цикл
Эта секция нуждается в расширении. Вы можете помочь добавляя к этому. (Октябрь 2019) |
Фаза первая капельница[8]
История
2014-2017 Операция Cloud Hopper
Операция Cloud Hopper представляла собой масштабную атаку и кражу информации в 2017 году, направленную на MSP в Соединенном Королевстве (Великобритания), США (США), Японии, Канаде, Бразилии, Франции, Швейцарии, Норвегии, Финляндии, Швеции, Южной Африке, Индии. , Таиланд, Южная Корея и Австралия. Группа использовала MSP в качестве посредников для приобретения активов и коммерческих секретов от MSP-клиентов в области проектирования, промышленного производства, розничной торговли, энергетики, фармацевтики, телекоммуникаций и государственных учреждений.
Операция Cloud Hopper использовала более 70 вариантов бэкдоров, вредоносное ПО и трояны. Они были доставлены через электронные письма с целевым фишингом. Атаки запланировали задачи или использовали сервисы / утилиты для сохранения в Майкрософт Виндоус системы, даже если компьютерная система была перезагружена. Он установил вредоносные программы и инструменты взлома для доступа к системам и кражи данных.[9]
Хакеры получили доступ к записям о 130 000 ВМС США персонал (из 330 000).[10] В рамках этих действий ВМФ решил согласовать действия с Корпоративные услуги Hewlett Packard, несмотря на предупреждения, сделанные до нарушения.[11] Все пострадавшие моряки должны были быть уведомлены.
Обвинения 2018 г.
Обвинительный акт 2018 года показал, что CVNX - это не название группы, а псевдоним одного из двух хакеров. Оба использовали по четыре псевдонима, чтобы создать впечатление, будто атаковали более пяти хакеров.
Действия после предъявления обвинения
В апреле 2019 года APT10 был нацелен на государственные и частные организации в Филиппины.[12]
В 2020 году Symantec замешала Red Apollo в серии атак на цели в Японии.[13]
Смотрите также
Рекомендации
- ^ «Два китайских хакера, связанные с Министерством государственной безопасности, обвиняются в глобальных кампаниях компьютерных вторжений, направленных на интеллектуальную собственность и конфиденциальную деловую информацию». Justice.gov. 20 декабря 2018.
- ^ https://www.fireeye.com/blog/threat-research/2017/04/apt10_menupass_grou.html
- ^ https://www.crowdstrike.com/blog/two-birds-one-stone-panda/
- ^ https://powershell.fyi/potassium-apt10-campaigns/
- ^ «APT10 (MenuPass Group): новые инструменты, глобальная кампания - последнее проявление давней угрозы« APT10 (MenuPass Group): новые инструменты, глобальная кампания - последнее проявление давней угрозы »). FireEye.
- ^ «APT10 (MenuPass Group): новые инструменты, глобальная кампания - последнее проявление давней угрозы« APT10 (MenuPass Group): новые инструменты, глобальная кампания - последнее проявление давней угрозы »). FireEye.
- ^ «Операция Cloud Hopper: что нужно знать - Новости безопасности - Trend Micro USA». trendmicro.com.
- ^ «Исследование угроз сажи направляет вредоносное ПО, которое использует загрузку со стороны DLL». Черный карбон. 9 мая 2017 года.
- ^ «Операция Cloud Hopper: что нужно знать - Новости безопасности - Trend Micro USA». trendmicro.com.
- ^ «Китайские хакеры якобы украли данные более 100 000 военнослужащих ВМС США». Обзор технологий MIT.
- ^ "Данные моряков ВМС США", к которым получили доступ неизвестные'". bankinfosecurity.com.
- ^ Манантан, Марк (сентябрь 2019 г.). «Кибер-измерение столкновений в Южно-Китайском море» (58). Дипломат. Дипломат. Получено 5 сентября 2019.
- ^ Lyngaas, Шон. «Symantec вовлекает APT10 в широкомасштабную хакерскую кампанию против японских компаний». www.cyberscoop.com. Cyberscoop. Получено 19 ноября 2020.