Актеры угроз, поддерживаемые Китаем, в том числе печально известные группы APT15 (также известные как Flea, Nickel, Vixen Panda, Ke3chang, Royal Apt и Playful Dragon) и UNC5174, начали серию атак, направленных на более чем 70 высококачественных организаций в различных секторах в период с июля прошлого и марта года. Среди целей этой обширной кампании, которые, по мнению исследователей, в первую очередь направлены на кибер-эпионаж с использованием вредоносного ПО ShadePad, был поставщик безопасности, способствующий искусственным технологиям Sentinelone.
SentineLabs, SentineLabs, активно отслеживает эту злонамеренную деятельность. Они классифицируют его под названием Purplehaze и идентифицируют его как часть более широкой операции ShadowPad. Их расследование, подробно описанное в недавнем сообщении в блоге, показало два конкретных случая, когда на Sentinelone был затронут. Первый, произошедший в октябре, включал в себя деятельность Purplehaze, характеризующуюся актерами угроз, проводящих «обширную отдаленную разведку» на серверах Sentinelone, доступных через Интернет. Второй инцидент, который произошел в начале этого года, был подключен к вредоносной программе ShadowPad и был сосредоточен на сторонней организации, ответственной за управление логистикой оборудования для сотрудников Sentinelone.
Обнаружив вторжение у поставщика логистики, Sentinelone действовал быстро. «Мы незамедлительно сообщили ИТ -услугам и логистической организации о вторжениях», – заявили исследователи Sentinellabs. Они немедленно инициировали всестороннее исследование внутренней инфраструктуры, программного обеспечения и аппаратных активов Sentinelone. Это тщательное исследование обнаружило «нет доказательств компромисса» в прямых системах Sentinelone.
Несмотря на отсутствие прямого внутреннего компромисса, Sentinelone по -прежнему не уверен в конечной целью злоумышленников в нацеливании на поставщика логистики. В то время как непосредственное внимание могло быть сторонней организацией, китайские участники угроз известны своей тактикой установления опоры в одной организации, чтобы распространить свою охват до нижестоящих организаций. Эта возможность остается проблемой и подчеркивает взаимосвязанный характер киберугрозов.
Нацеливание поставщиков кибербезопасности, таких как Sentinelone, подчеркивает то, что компания рассматривает как недостаточно обсуждаемый аспект нынешнего ландшафта угроз. Компании по кибербезопасности являются особенно привлекательными целями для участников угроз из -за их решающей роли в защите клиентов, их глубокой видимости в разнообразных сетевых средах и их способности нарушать вредоносные операции. Sentinelone подчеркнул этот момент, заявив, что «компании по кибербезопасности являются целевыми показателями для участников угроз из-за их защитных ролей, глубокой видимости в среде клиентов и способности нарушать операции противника».
Sentinelone выступает за большую прозрачность и сотрудничество в индустрии кибербезопасности в отношении этих типов атак. Их цель в публичном раскрытии этих инцидентов состоит в том, чтобы «внести свой вклад в укрепление защиты отрасли путем стимулирования прозрачности и поощрения сотрудничества». Они считают, что обмен информацией об этих кампаниях помогает «обмениваться обменом [indicators of compromise] Связаны с этими кампаниями и, таким образом, способствуют более глубокому пониманию тактики, целей и операционных моделей субъектов угроз в Китае и нексации ».
Две основные группы, связанные с этими атаками, APT15 и UNC5174, имеют долгую историю злонамеренной деятельности. APT15, активный в течение более двух десятилетий с периодами покоя и возрождения, недавно наблюдался, нацеленный на китайский этнический популяции и иностранные министерства как в Северной, так и Южной Америке. UNC5174, ранее задокументированный Манданом, считается, что он работает подрядчиком для правительства Китая, сосредотачиваясь на западных странах, включая Соединенные Штаты, Соединенное Королевство и Канаду.
В дополнение к защите себя, Sentinelone также отслеживал значительное количество других вторжений APT15 или UNC5174 в течение восьмимесячного периода между июлем по март. Эти вторжения затронули широкий спектр целей, в том числе юго -азиатскую организацию правительства и европейскую медийную организацию, в дополнение к более чем 70 организациям в различных секторах, упомянутых ранее. Эти сектора включали производство, правительство, финансы, телекоммуникации и исследования.
Результаты этой серии нападений, поддерживаемых Китаем, подчеркивают неустанный характер ландшафта угроз. Sentinelone подчеркивает критическую потребность в том, что все организации, особенно поставщики кибербезопасности, для поддержания высокого уровня бдительности, внедрения надежных возможностей мониторинга и имеют эффективные и быстрые планы реагирования для защиты от таких сложных атак.
«Публично поделившись подробностями наших расследований, – писали исследователи Sentinellabs, – мы стремимся дать представление о редко обсуждаемом нацеливании поставщиков кибербезопасности, помогая определить обмен [indicators of compromise] Связаны с этими кампаниями и, таким образом, способствуют более глубокому пониманию тактики, целей и операционных моделей субъектов угроз в Китае и нексации ». Они утверждают, что этот совместный подход имеет важное значение для создания более сильной коллективной защиты от постоянных и передовых субъектов угроз, действующих от имени национальных государств.
Source: Актеры, связанные с Китаем, нацелены на более 70 организаций
