Красный Аполлон

Красный Аполлон
Формирование	в. 2003–2005 гг. [1]
Тип	Расширенная постоянная угроза
Цель	Кибершпионаж , кибервойна
Область	Китай
Методы	Нулевые дни , Фишинг , бэкдор (вычисления) , RAT , Кейлоггинг
Официальный язык	китайский
Головная организация	Тяньцзиньское бюро государственной безопасности Министерства государственной безопасности
Ранее назывался	АПТ10 ; Каменная Панда ; МенюPass ; КрасныйЛистья ; CVNX ; КАЛИЙ ;

Red Apollo (также известный как APT 10 (от Mandiant ), MenuPass (от Fireeye ), Stone Panda (от Crowdstrike ) и POTASSIUM (от Microsoft )) ^[1]^[2] — это китайская спонсируемая государством группа кибершпионажа , действующая с 2006 года. В обвинительном заключении 2018 года Министерство юстиции США приписало эту группу Тяньцзиньскому бюро государственной безопасности Министерства государственной безопасности . ^[3]

Fireeye назвал эту группу постоянной постоянной угрозой , которая сообщила, что они нацелены на аэрокосмические, инженерные и телекоммуникационные компании, а также на любое правительство, которое, по их мнению, является конкурентом Китая .

Файрай заявил, что они могут атаковать интеллектуальную собственность образовательных учреждений, таких как японский университет, и, вероятно, расширят свою деятельность в секторе образования в юрисдикциях стран, являющихся союзниками США . ^[4] Fireeye утверждал, что их отслеживали с 2009 года, однако из-за низкой угрозы, которую они представляли, они не были приоритетом. Файрай теперь описывает группу как «угрозу для организаций по всему миру». ^[4]

Тактика

Группа напрямую нацелена на поставщиков управляемых информационных технологий (MSP), использующих RAT . Основная роль MSP заключается в помощи в управлении компьютерной сетью компании. MSP часто подвергались компрометации со стороны Poison Ivy, FakeMicrosoft, PlugX, ArtIEF, Graftor и ChChes посредством целевого фишинга электронных писем. ^[5]

История

2014–2017: Операция Cloud Hopper.

Операция Cloud Hopper представляла собой масштабную атаку и кражу информации в 2017 году, направленную на MSP в Великобритании (Великобритания), США (США), Японии, Канаде, Бразилии, Франции, Швейцарии, Норвегии, Финляндии, Швеции, Южной Африке, Индии. , Таиланд, Южная Корея и Австралия. Группа использовала MSP в качестве посредников для приобретения активов и коммерческих секретов у MSP-клиентов в области инженерного проектирования, промышленного производства, розничной торговли, энергетики, фармацевтики, телекоммуникаций и государственных учреждений.

В операции Cloud Hopper использовалось более 70 вариантов бэкдоров, вредоносных программ и троянов . Они были доставлены посредством целевых фишинговых писем. Атаки планировали задачи или использовали службы/утилиты, чтобы они сохранялись в системах Microsoft Windows, даже если компьютерная система была перезагружена. Он установил вредоносное ПО и хакерские инструменты для доступа к системам и кражи данных. ^[5]

Данные личного состава ВМС США за 2016 г.

Хакеры получили доступ к записям, касающимся 130 000 военнослужащих ВМС США (из 330 000). ^[6] В рамках этих действий ВМС решили координировать свои действия с Hewlett Packard Enterprise Services , несмотря на предупреждения, сделанные до нарушения. ^[7] Все пострадавшие моряки должны были быть уведомлены.

Обвинения 2018 года

В обвинительном заключении 2018 года были представлены доказательства того, что CVNX — это не название группы, а псевдоним одного из двух хакеров. Оба использовали по четыре псевдонима, чтобы создать впечатление, будто атаковали более пяти хакеров.

Действия после предъявления обвинения

В апреле 2019 года APT10 атаковала правительственные и частные организации на Филиппинах . ^[8]

В 2020 году Symantec обвинила Red Apollo в серии атак на цели в Японии. ^[9]

В марте 2021 года они напали на Bharat Biotech и Индийский институт сывороток (SII) , интеллектуальную собственность крупнейшего в мире производителя вакцин, с целью эксфильтрации . ^[10]

См. также

Ссылки

^ «APT10 (группа MenuPass): новые инструменты, глобальная кампания, последнее проявление давней угрозы» . Огненный Глаз . Архивировано из оригинала 28 апреля 2021 г. Проверено 7 марта 2021 г.
^ Кози, Адам (30 августа 2018 г.). «Две птицы, одна КАМЕННАЯ ПАНДА» . Архивировано из оригинала 15 января 2021 г. Проверено 7 марта 2021 г.
^ «Два китайских хакера, связанных с Министерством государственной безопасности, обвинены в глобальных кампаниях по компьютерному вторжению с целью интеллектуальной собственности и конфиденциальной деловой информации» . Министерство юстиции США . 20 декабря 2018 г. Архивировано из оригинала 01 мая 2021 г. Проверено 7 марта 2021 г.
^ Jump up to: ^а ^б «APT10 (группа MenuPass): новые инструменты, последнее проявление давней угрозы глобальной кампании « APT10 (группа MenuPass): новые инструменты, последнее проявление давней угрозы глобальной кампании» . Огненный Глаз . 6 апреля 2017 года. Архивировано из оригинала 28 апреля 2021 года . Проверено 30 июня 2019 г.
^ Jump up to: ^а ^б «Операция Cloud Hopper: что вам нужно знать — Новости безопасности — Trend Micro USA» . Trendmicro.com . 10 апреля 2017 года. Архивировано из оригинала 30 июня 2019 года . Проверено 30 июня 2019 г.
^ «Китайские хакеры предположительно украли данные более чем 100 000 военнослужащих ВМС США» . Обзор технологий Массачусетского технологического института . Архивировано из оригинала 18 июня 2019 г. Проверено 30 июня 2019 г.
^ «Данные о моряках ВМС США, к которым получили доступ неизвестные лица » . Bankinfosecurity.com . Архивировано из оригинала 30 июня 2019 г. Проверено 12 июля 2019 г.
^ Манатан, Марк (сентябрь 2019 г.). «Киберизмерение столкновений в Южно-Китайском море» . № 58. Дипломат. Дипломат. Архивировано из оригинала 17 февраля 2016 года . Проверено 5 сентября 2019 г.
^ Лингаас, Шон (17 ноября 2020 г.). «Symantec вовлекает APT10 в масштабную хакерскую кампанию против японских фирм» . www.cyberscoop.com . Киберсовок. Архивировано из оригинала 18 ноября 2020 года . Проверено 19 ноября 2020 г. .
^ Н. Дас, Кришна (1 марта 2021 г.). «Китайская хакерская группа Red Apollo (APT10) выявила пробелы и уязвимости в ИТ-инфраструктуре и программном обеспечении цепочки поставок Bharat Biotech и Индийского института сывороток (SII), крупнейшего в мире производителя вакцин» . Рейтер . Архивировано из оригинала 3 мая 2021 года . Проверено 1 марта 2021 г.

[1] «APT10 (группа MenuPass): новые инструменты, глобальная кампания, последнее проявление давней угрозы» . Огненный Глаз . Архивировано из оригинала 28 апреля 2021 г. Проверено 7 марта 2021 г.

[2] Кози, Адам (30 августа 2018 г.). «Две птицы, одна КАМЕННАЯ ПАНДА» . Архивировано из оригинала 15 января 2021 г. Проверено 7 марта 2021 г.

[3] «Два китайских хакера, связанных с Министерством государственной безопасности, обвинены в глобальных кампаниях по компьютерному вторжению с целью интеллектуальной собственности и конфиденциальной деловой информации» . Министерство юстиции США . 20 декабря 2018 г. Архивировано из оригинала 01 мая 2021 г. Проверено 7 марта 2021 г.

[:0-4] Jump up to: ^а ^б «APT10 (группа MenuPass): новые инструменты, последнее проявление давней угрозы глобальной кампании « APT10 (группа MenuPass): новые инструменты, последнее проявление давней угрозы глобальной кампании» . Огненный Глаз . 6 апреля 2017 года. Архивировано из оригинала 28 апреля 2021 года . Проверено 30 июня 2019 г.

[:1-5] Jump up to: ^а ^б «Операция Cloud Hopper: что вам нужно знать — Новости безопасности — Trend Micro USA» . Trendmicro.com . 10 апреля 2017 года. Архивировано из оригинала 30 июня 2019 года . Проверено 30 июня 2019 г.

[6] «Китайские хакеры предположительно украли данные более чем 100 000 военнослужащих ВМС США» . Обзор технологий Массачусетского технологического института . Архивировано из оригинала 18 июня 2019 г. Проверено 30 июня 2019 г.

[7] «Данные о моряках ВМС США, к которым получили доступ неизвестные лица » . Bankinfosecurity.com . Архивировано из оригинала 30 июня 2019 г. Проверено 12 июля 2019 г.

[8] Манатан, Марк (сентябрь 2019 г.). «Киберизмерение столкновений в Южно-Китайском море» . № 58. Дипломат. Дипломат. Архивировано из оригинала 17 февраля 2016 года . Проверено 5 сентября 2019 г.

[9] Лингаас, Шон (17 ноября 2020 г.). «Symantec вовлекает APT10 в масштабную хакерскую кампанию против японских фирм» . www.cyberscoop.com . Киберсовок. Архивировано из оригинала 18 ноября 2020 года . Проверено 19 ноября 2020 г. .

[10] Н. Дас, Кришна (1 марта 2021 г.). «Китайская хакерская группа Red Apollo (APT10) выявила пробелы и уязвимости в ИТ-инфраструктуре и программном обеспечении цепочки поставок Bharat Biotech и Индийского института сывороток (SII), крупнейшего в мире производителя вакцин» . Рейтер . Архивировано из оригинала 3 мая 2021 года . Проверено 1 марта 2021 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]