Følgende artikel hjælper dig med: Pieniądze nie są celem chińskich ataków ransomware
Ataki ransomware są prawdopodobnie wykorzystywane jako przykrywka dla kradzieży adresu IP przez chińską grupę APT.
Od początku 2021 r. ugrupowanie zaawansowanego trwałego zagrożenia (APT) z siedzibą w Chinach przeprowadza ataki polegające na podwójnym wymuszeniu i atakach z użyciem oprogramowania ransomware, aby przykryć systematyczne, sponsorowane przez państwo cyberszpiegostwo i kradzież własności intelektualnej. Osoba zagrażająca zawsze ładowała Cobalt Strike Beacon, a następnie uwalniała oprogramowanie ransomware na zainfekowane komputery przy użyciu modułu ładującego złośliwe oprogramowanie znanego jako HUI Loader, który był zawsze stosowany wyłącznie przez organizacje mające wsparcie chińskie. Jest to metoda, której badacze badający grupę „Brązowego Światła Gwiazd” nie zastosowali inni urzędnicy zagrażający.
Wśród ofiar gangu mającego siedziby w USA znalazła się kancelaria prawna, organizacja medialna z biurami w Hongkongu i Chinach oraz firma farmaceutyczna. Inne obejmują brazylijską firmę farmaceutyczną, dział lotniczy i obronny indyjskiego konglomeratu, projektanci komponentów elektronicznych oraz producenci w Japonii i na Litwie. Firmy, które są często przedmiotem zainteresowania chińskich organizacji cyberszpiegowskich, stanowią dotychczas około trzech czwartych ofiar Bronze Starlight.
Zmiana pomiędzy rodzinami oprogramowania ransomware
LockFile, AtomSilo, Rook, Night Sky i Pandora to co najmniej pięć różnych narzędzi ransomware, które Bronze Starlight wykorzystuje w swoich atakach od chwili rozpoczęcia działalności w 2021 r. Osoba zagrażająca zastosowała standardową metodologię oprogramowania ransomware za pomocą LockFile, szyfrując dane w sieci docelowej i zażądanie zapłaty w zamian za klucz odszyfrowujący. Jednak w przypadku każdej innej rodziny ransomware zmienił się model podwójnego wymuszenia. Szyfrując ich prywatne informacje i grożąc ich upublicznieniem, Bronze Starlight wykorzystywał te ataki do szantażowania ofiar. W miejscach wycieków połączonych z AtomSilo, Rook, Night Sky i Pandora.
Prawdziwym celem Bronze Starlight może być cyberszpiegostwo i kradzież własności intelektualnej na korzyść chińskich celów gospodarczych, mimo że na zewnątrz wygląda na to, że organizacja ma motywy finansowe. W zeszłym roku rząd Stanów Zjednoczonych publicznie oskarżył Chiny o wykorzystywanie organizacji zajmujących się zagrożeniami, takich jak Bronze Starlight, do sponsorowanych przez państwo działań w zakresie cyberszpiegostwa.
Ze względu na koszty związane z tworzeniem i wdrażaniem nowych narzędzi ransomware, grupy zagrożeń często nie atakują niewielkiej liczby ofiar w krótkim czasie w przypadku każdej rodziny ransomware typu Bronze Starlight. W przypadku Bronze Starlight wydaje się, że ugrupowanie zagrażające zastosowało tę strategię, aby uniknąć zbytniego zainteresowania badaczy bezpieczeństwa. Bronze Starlight regularnie atakował niewielką liczbę ofiar w krótkich okresach w przypadku każdej rodziny oprogramowania ransomware, co grupom zagrożeń nie udaje się często ze względu na koszty związane z tworzeniem i wdrażaniem nowych narzędzi oprogramowania ransomware. Wygląda na to, że osoba odpowiedzialna za zagrożenie stojąca za Bronze Starlight wykorzystała tę strategię, aby uniknąć zbytniego zainteresowania badaczy bezpieczeństwa.
Połączenie Chin
Burnard twierdzi, że kolejną przesłanką wskazującą na to, że Bronze Starlight jest bardziej skomplikowana niż działalność oprogramowania ransomware, jest użycie przez osobę zagrażającą modułu ładującego HUI i dość rzadkiego wariantu PlugX, trojana zdalnego dostępu kojarzonego wyłącznie z grupami zagrożeń wspieranymi przez Chiny. Nie jest on często używany, ale jeśli tak się dzieje, powiązano go z innymi podejrzanymi chińskimi grupami zagrożeń, takimi jak ta, która atakuje japońskie firmy w celu kradzieży własności intelektualnej i występuje pod nazwą Bronze Riverside. Jednym z kluczowych aspektów działalności Bronze Starlight, która łączy większą kampanię i pięć rodzin oprogramowania ransomware, jest użycie modułu ładującego HUI do załadowania sygnalizatorów Cobalt Strike.
Po raz kolejny rodzi to intrygujące pytanie dotyczące powiązań między Bronze Starlight a sponsorowanymi przez państwo grupami zagrożeń w Chinach. Istnieją dowody na to, że Bronze Starlight zwiększa możliwości modułu ładującego HUI, ucząc się na podstawie jego aktywności włamań. Na przykład moduł ładujący używany przez organizację podczas początkowych naruszeń miał na celu jedynie załadowanie, dekodowanie i wykonanie ładunku. W poprawionej wersji, jak twierdzi Burnard, „uwzględniono taktyki unikania wykrycia, takie jak wyłączenie śledzenia zdarzeń systemu Windows w systemie Windows [ETW]Interfejs skanowania antymalware [AMSI]i podpinanie API systemu Windows.” To dowodzi, że HUI Loader jest aktywnie udoskonalany.
Bronze Starlight atakuje głównie serwery internetowe firm ofiar, wykorzystując znane luki w zabezpieczeniach. Dlatego zdaniem Burnarda obrońcy sieci powinni zadbać o to, aby serwery dostępne przez Internet były aktualizowane na czas w ramach wielowarstwowej strategii bezpieczeństwa sieci. Chociaż często nacisk kładzie się na eksploatację typu zero-day.
