Az ENISA és a CERT-EU közös jelentésükben kínai állami támogatású kiberfenyegetési csoportok (APT) európai uniós kormányzati és üzleti szervezetek elleni kiberműveleteire figyelmeztetnek.
Az elmúlt két év során több európai uniós szervezet ellen irányult, elsősorban információszerzési célú művelet kínai kötődésű APT szereplők részéről. Az Unió külügyi és biztonságpolitikai főképviselője 2021 júliusában több tagállamot érintő Microsoft Exchange szerverek elleni támadások miatt, a belga külügyminisztérium pedig egy évvel később a védelmi minisztérium elleni támadásokra hivatkozva szólította fel a kínai hatóságokat egyes APT csoportok elleni fellépésre.
A jelentés összesen hat kínai APT szereplővel foglalkozik, amelyeket az EU-s kiberbiztonsági ügynökségek lényeges kiberbiztonsági fenyegetésként értékelnek az európai állami és magánszektor tekintetében: APT27, APT30, APT31, Ke3chang, GALLIUM, Mustang Panda.
A tájékoztatóban a csoportok által alkalmazott jellemző támadási eszközök is megtalálhatóak.
| APT szereplő |
Feltételezett motiváció |
Példák alkalmazott eszközökre |
| APT27 (Lucky Mouse, Emissary Panda, Iron Tiger, ZipToken, Group 35, TEMP.Hippo, TG 3390, Bronze Union) |
információ-lopás, zsarolóvírus |
Ghost, ASPXSpy, ZxShell RAT, HyperBro, PlugX RAT, Windows Credential Editor, FoundCore, China Chopper, gsecdump, HTTPBrowser, Impacket, ipconfig, Mimikatz, NBTscan, Net, OwaAuth, pwdump, ZxShell. |
| APT31 (Judgment Panda, Zirconium, Bronze Vinewood) |
információ-lopás | Cobalt Strike, DopboxAES Rat, SalsaTrade, PakDoor |
| GALLIUM (Softcell) |
információ-lopás | PlugX, ChinaChopper, Poison Ivy, HTRAN, Mimikatz, NBTscan, Netcat, PsExec, BlackMould, WinRAR, Windows Credential Editor (WCE), PingPull |
| Ke3chang (Vixen Panda, Nickel, APT15) |
információ-lopás |
Okrum, Ketrikan, Neoichor, RoyalDNS, RoyalCli, Mimikatz, RemoteExec (similar to PsExec) |
| Mustang Panda (RedDelta, TA416, Bronze President, Temp.Hex, HoneyMyte) |
információ-lopás |
Cobalt Strike, PlugX, RedDelta, WildPressure, VBScript, PoisonIvy |
A csoportok által alkalmazott TTP-k tekintetében a jelentés nem bocsátkozik igazán részletekbe, azonban a kezdeti fertőzési vektorok között megnevez néhányat:
- Internet irányából elérhető webalkalmazások (Microsoft Exchange and SharePoint);
- Pulse Secure VPN;
- ManageEngine ADSelfService Plus;
- Log4shell sérülékenység.
Fenti aktorokra jellemző a célpont alapos tanulmányozása is, amit célzott adathalászathoz ─ például e-mailekben küldött hamisított dokumentumokkal, partnerszervezeteket megszemélyesítve ─ használnak fel.
Védekezésként az ENISA és a CERT-EU az általános kiberhigiéniát növelő lépések megtételét javasolja, mint például:
- a gyártói biztonsági biztonsági legjobb gyakorlatok követése;
- a fizikai és virtuális assetlisták szigorú karbantartása;
- a végfelhasználói hozzáférések szigorú ellenőrzése ─ különösképpen a belső infrastruktúrákhoz hozzáféréssel rendelkező külső szerződéses partnerek tekintetében;
- az AD környezetben előforduló ún. Pass-the-ticket technikák elleni megelőző intézkedések bevezetése.
