هجمات ثقب المياه
كشف الباحثون عن هجوم على ثقب الري من المحتمل أن يكون قد تم تنفيذه بواسطة APT TA423 ، الذي يحاول زرع أداة استطلاع تعتمد على ScanBox JavaScript.
كثفت جهة تهديدات تتخذ من الصين مقراً لها جهودها لتوزيع إطار استطلاع ScanBox على الضحايا بما في ذلك المنظمات الأسترالية المحلية وشركات الطاقة البحرية في بحر الصين الجنوبي. الطُعم الذي تستخدمه مجموعة التهديد المتقدمة (APT) عبارة عن رسائل مستهدفة من المفترض أن ترتبط مرة أخرى بالمواقع الإخبارية الأسترالية.
يُعتقد أن حملات التجسس الإلكتروني قد بدأت في أبريل 2022 حتى منتصف يونيو 2022 ، وفقًا لتقرير صدر يوم الثلاثاء من قبل فريق أبحاث التهديدات في Proofpoint وفريق Threat Intelligence التابع لشركة PwC.
وفقًا للباحثين ، يُعتقد أن عامل التهديد هو APT TA423 ومقره الصين ، والمعروف أيضًا باسم Red Ladon. ووفقًا للتقرير ، فإن “Proofpoint يقيم بثقة معتدلة أن هذا النشاط قد يُعزى إلى ممثل التهديد TA423 / Red Ladon ، والذي تقدر عدة تقارير أنه يعمل من جزيرة هاينان ، الصين”.
عُرفت APT مؤخرًا بأنها أصدرت لائحة اتهام مؤخرًا. قال باحثون: “إن لائحة الاتهام الصادرة في عام 2021 من قبل وزارة العدل الأمريكية قدرت أن TA423 / Red Ladon تقدم دعمًا طويل الأمد لوزارة أمن الدولة في مقاطعة هاينان (MSS)”.
MSS هي وكالة الاستخبارات المدنية والأمن والشرطة الإلكترونية لجمهورية الصين الشعبية. يُعتقد أنه مسؤول عن مكافحة التجسس والاستخبارات الأجنبية والأمن السياسي ومرتبط بجهود التجسس الصناعي والإلكتروني من قبل الصين.
إزالة الغبار من ScanBox
تستفيد الحملة من إطار عمل ScanBox. ScanBox هو إطار عمل قائم على جافا سكريبت وقابل للتخصيص ومتعدد الوظائف يستخدمه الخصوم لإجراء الاستطلاع السري.
تم استخدام ScanBox من قبل الخصوم لما يقرب من عقد من الزمان وهو جدير بالملاحظة لأن المجرمين يمكنهم استخدام الأداة لإجراء استخبارات مضادة دون الحاجة إلى زرع برامج ضارة على نظام أهداف.
“يعد ScanBox خطيرًا بشكل خاص لأنه لا يتطلب نشر برامج ضارة بنجاح على القرص من أجل سرقة المعلومات – تتطلب وظيفة تسجيل المفاتيح ببساطة أن يتم تنفيذ كود JavaScript بواسطة متصفح ويب” ، وفقًا لباحثي PwC في إشارة إلى حملة سابقة .
بدلاً من البرامج الضارة ، يمكن للمهاجمين استخدام ScanBox بالتزامن مع هجمات ثقب المياه. يقوم الخصوم بتحميل جافا سكريبت الخبيثة على موقع ويب مخترق حيث يعمل ScanBox كلوغر يتعطل كل نشاط المستخدم المكتوب على موقع الويب المصاب بفتحة مائية.
بدأت هجمات TA423 برسائل البريد الإلكتروني المخادعة ، بعناوين مثل “الإجازة المرضية” و “بحث المستخدم” و “طلب التعاون”. في كثير من الأحيان ، يُزعم أن رسائل البريد الإلكتروني تأتي من موظف في “Australian Morning News” ، وهي منظمة خيالية. ناشد الموظف المستهدفين زيارة “موقعهم الإخباري المتواضع” ، australianmorningnews [.] com.
كتب الباحثون: “عند النقر على الرابط وإعادة التوجيه إلى الموقع ، تم تزويد الزائرين بإطار عمل ScanBox”.
يوجه الرابط الأهداف إلى صفحة ويب بها محتوى منسوخ من مواقع إخبارية فعلية ، مثل BBC و Sky News. في هذه العملية ، قدمت أيضًا إطار عمل ScanBox الضار.
تعد بيانات ScanBox keylogger المستخرجة من حفر المياه جزءًا من هجوم متعدد المراحل ، مما يمنح المهاجمين نظرة ثاقبة للأهداف المحتملة التي ستساعدهم في شن هجمات مستقبلية ضدهم. غالبًا ما تسمى هذه التقنية ببصمة المتصفح.
يقوم البرنامج النصي الأولي الأولي بمصادر قائمة بالمعلومات حول الكمبيوتر الهدف ، بما في ذلك نظام التشغيل واللغة وإصدار Adobe Flash المثبت. يقوم ScanBox أيضًا بإجراء فحص لملحقات المتصفح والمكونات الإضافية والمكونات مثل WebRTC.
“تقوم الوحدة بتنفيذ WebRTC ، وهي تقنية مجانية ومفتوحة المصدر مدعومة على جميع المتصفحات الرئيسية ، والتي تسمح لمتصفحات الويب وتطبيقات الهاتف المحمول بإجراء اتصالات في الوقت الفعلي (RTC) عبر واجهات برمجة التطبيقات (APIs). ويوضح الباحثون أن هذا يسمح لـ ScanBox بالاتصال بمجموعة من الأهداف التي تم تكوينها مسبقًا.
يمكن للخصوم بعد ذلك الاستفادة من تقنية تسمى STUN (أدوات اجتياز الجلسة لـ NAT). يوضح الباحثون أن هذه مجموعة موحدة من الأساليب ، بما في ذلك بروتوكول الشبكة ، الذي يسمح بالاتصالات التفاعلية (بما في ذلك تطبيقات الصوت والفيديو والمراسلة في الوقت الفعلي) لاجتياز بوابات مترجم عنوان الشبكة (NAT).
“STUN مدعوم من بروتوكول WebRTC. من خلال خادم STUN تابع لجهة خارجية موجود على الإنترنت ، فإنه يسمح للمضيفين باكتشاف وجود NAT ، واكتشاف عنوان IP المعين ورقم المنفذ الذي خصصه NAT لتدفقات بروتوكول مخطط بيانات المستخدم (UDP) الخاص بالتطبيق إلى جهاز التحكم عن بعد المضيفين. ينفذ ScanBox اجتياز NAT باستخدام خوادم STUN كجزء من مؤسسة الاتصال التفاعلي (ICE) ، وهي طريقة اتصال من نظير إلى نظير تُستخدم للعملاء للتواصل بشكل مباشر قدر الإمكان ، وتجنب الاضطرار إلى الاتصال عبر NAT أو جدران الحماية أو غير ذلك من الحلول.
وفقًا للباحثين.
ويوضحون: “هذا يعني أن وحدة ScanBox يمكنها إعداد اتصالات ICE لخوادم STUN ، والتواصل مع أجهزة الضحية حتى لو كانت وراء NAT”.
الفاعلون التهديد
وأوضح شيرود دي جريبو ، نائب رئيس أبحاث التهديدات واكتشافها في Proofpoint ، في بيان ، أن الجهات الفاعلة في مجال التهديد “تدعم الحكومة الصينية في الأمور المتعلقة ببحر الصين الجنوبي ، بما في ذلك أثناء التوترات الأخيرة في تايوان” ، تعرف على من ينشط في المنطقة ، وعلى الرغم من أننا لا نستطيع أن نقول على وجه اليقين ، فمن المرجح أن يظل تركيزهم على القضايا البحرية أولوية ثابتة في أماكن مثل ماليزيا وسنغافورة وتايوان وأستراليا “.
توسعت المجموعة ، في الماضي ، إلى ما هو أبعد من أستراليا. وفقًا للائحة الاتهام الصادرة عن وزارة العدل في يوليو 2021 ، قامت المجموعة “بسرقة الأسرار التجارية والمعلومات التجارية السرية” من الضحايا في “الولايات المتحدة والنمسا وكمبوديا وكندا وألمانيا وإندونيسيا وماليزيا والنرويج والمملكة العربية السعودية وجنوب أفريقيا وسويسرا والمملكة المتحدة. تشمل الصناعات المستهدفة ، من بين أمور أخرى ، الطيران والدفاع والتعليم والحكومة والرعاية الصحية والصيدلة البيولوجية والبحرية. “
على الرغم من لائحة الاتهام الصادرة عن وزارة العدل الامريكية، فإن المحللين “لم يلاحظوا تعطلاً واضحًا للإيقاع التشغيلي” من TA423 ، وهم “يتوقعون بشكل جماعي أن تواصل TA423 / Red Ladon متابعة مهمة جمع المعلومات الاستخباراتية والتجسس”.