Kineska hakerska grupa koja je vjerovatno sponzorisana od strane države i koja je ranije bila povezana sa napadima na kompjutere američke državne vlade i dalje je „veoma aktivna“ i fokusira se na širok spektar ciljeva koji mogu biti od strateškog interesa za kinesku vladu i bezbednosne službe, jedna privatna američka firma za sajber bezbednost rekla je u novom izveštaju u četvrtak.
Hakerska grupa, koju izveštaj naziva RedGolf, deli tako blisko preklapanje sa grupama koje prate druge bezbednosne kompanije pod imenima APT41 i BARIUM da se misli da su ili iste ili veoma blisko povezane, rekao je Džon Kondra, direktor strateškog i upornog pretnje za Insikt Group, odeljenje za istraživanje pretnji kompanije Recorded Future za sajber bezbednost sa sedištem u Masačusetsu.
Prateći prethodne izveštaje o aktivnostima APT41 i BARIUM-a i nadgledajući mete koje su napadnute, Insikt Grupa je saopštila da je identifikovala klaster domena i infrastrukture „koja je verovatno korišćena u više kampanja od strane RedGolf-a” u poslednje dve godine.
„Verujemo da se ova aktivnost verovatno sprovodi u obaveštajne svrhe, a ne u finansijsku dobit zbog preklapanja sa ranije prijavljenim kampanjama sajber špijunaže“, rekao je Kondra u odgovoru e-poštom na pitanja Asošiejted presa.
Kinesko ministarstvo spoljnih poslova negiralo je optužbe, rekavši: „Ova kompanija je više puta u prošlosti proizvela lažne informacije o takozvanim ‘kineskim hakerskim napadima’. Njihove relevantne akcije su neosnovane optužbe, nasilne i bez profesionalizma.
Kineske vlasti su dosledno poricale bilo kakav oblik hakovanja koje sponzoriše država, umesto toga govoreći da je sama Kina glavna meta sajber napada.
APT41 je umešan u optužnicu američkog Ministarstva pravde iz 2020. koja je optužila kineske hakere da su ciljali više od 100 kompanija i institucija u SAD i inostranstvu, uključujući kompanije za društvene mreže i video igre, univerzitete i provajdere telekomunikacija.
U svojoj analizi, Insikt Grupa je saopštila da je pronašla dokaze da RedGolf „ostaje veoma aktivan“ u širokom spektru zemalja i industrija, „ciljajući se na avijaciju, automobilsku industriju, obrazovanje, vladu, medije, informacione tehnologije i verske organizacije“.
Insikt Grupa nije identifikovala konkretne žrtve RedGolf-a, ali je rekla da je uspela da prati pokušaje skeniranja i eksploatacije usmerene na različite sektore pomoću verzije KEIPLUG backdoor malvera koji takođe koristi APT41.
Insikt je saopštio da je identifikovao nekoliko drugih zlonamernih alata koje koristi RedGolf pored KEIPLUG-a, „koje sve obično koriste mnoge grupe pretnji koje sponzoriše kineska država“.
Kompanija za sajber bezbednost Mandiant je 2022. godine izvestila da je APT41 odgovoran za kršenje mreža najmanje šest vlada američkih država, takođe koristeći KEIPLUG.
U tom slučaju, APT41 je iskoristio ranije nepoznatu ranjivost u komercijalnoj veb aplikaciji koja se koristi u 18 država za upravljanje zdravljem životinja, navodi Mandiant, koji je sada u vlasništvu Gugla. Nije identifikovano koje su države sisteme kompromitovane.
Mandiant je APT41 nazvao „plodnom grupom za sajber pretnje koja sprovodi špijunske aktivnosti koje sponzoriše kineska država pored finansijski motivisane aktivnosti koja je potencijalno van kontrole države“.
Kompanije za sajber obaveštajne poslove koriste različite metodologije praćenja i često različito imenuju pretnje koje identifikuju, ali Condra je rekao da se APT41, BARIUM i RedGolf „verovatno odnose na isti skup aktera pretnji ili grupe(a)“ zbog sličnosti u njihovoj onlajn infrastrukturi, taktici, tehnike i procedure.
„RedGolf je posebno plodna grupa pretnji koju sponzoriše kineska država i koja je verovatno aktivna već dugi niz godina protiv širokog spektra industrija širom sveta“, rekao je on.
„Grupa je pokazala sposobnost brzog naoružanja novoprijavljenih ranjivosti i ima istoriju razvoja i korišćenja velikog broja prilagođenih porodica malvera.
Insikt Grupa je zaključila da je upotreba KEIPLUG malvera preko određenih tipova komandnih i kontrolnih servera od strane RedGolf-a i sličnih grupa „velika verovatnoća da će se nastaviti“ i preporučila klijentima da osiguraju da budu blokirani čim budu otkriveni.