Правителствени агенции и неправителствени организации в Съединените щати станаха мишена на зараждаща се китайска държавна заплаха, известна като Storm-2077.
Противникът, за когото се смята, че е активен поне от януари 2024 г., е извършил кибератаки и срещу отбранителната индустриална база (ОИБ), авиацията, телекомуникациите и финансовите и правните услуги по целия свят, съобщиха от Microsoft.
Компанията добави, че клъстерът на активност се припокрива с група заплахи, която Insikt Group на Recorded Future проследява като TAG-100.
Веригите от атаки включват насочване към различни крайни устройства, насочени към интернет, като се използват публично достъпни експлойти за получаване на първоначален достъп и пускане на Cobalt Strike, както и на зловреден софтуер с отворен код като Pantegana и Spark RAT, отбеляза компанията за киберсигурност още през юли.
„През последното десетилетие, след многобройните правителствени обвинения и публичното разкриване на дейностите на заплахите, проследяването и приписването на кибероперации, произхождащи от Китай, става все по-голямо предизвикателство, тъй като нападателите адаптират тактиките си“, заявиха от Microsoft.
Твърди се, че Storm-2077 организира мисии за събиране на разузнавателна информация, като използва фишинг имейли за събиране на валидни идентификационни данни, свързани с приложения за електронно откриване, за последваща ексфилтрация на имейли, които биха могли да съдържат чувствителна информация, позволяваща на нападателите да развият своите операции.
„В други случаи е наблюдавано Storm-2077 да получава достъп до облачни среди чрез събиране на пълномощия от компрометирани крайни точки“, заявиха от Microsoft. „След като получи административен достъп, Storm-2077 създава свое собствено приложение с права за че
тене на поща.“
Разкритието идва в момент, когато Threat Intelligence Group (TAG) на Google хвърли светлина върху прокитайска операция за влияние, наречена GLASSBRIDGE, която използва мрежа от неавтентични новинарски сайтове и новинарски услуги, за да разпространява разкази, които са в съответствие с възгледите и политическия дневен ред на страната в световен мащаб.
Технологичният гигант заяви, че от 2022 г. насам е блокирал повече от хиляда уебсайта, управлявани от GLASSBRIDGE, да се показват в продуктите му Google News и Google Discover.
„Тези неавтентични новинарски сайтове се управляват от малък брой самостоятелни фирми за дигитален PR, които предлагат услуги за разпространение на новини, синдикиране и маркетинг“, казва Ванеса Молтър, изследовател на TAG. „Те се представят за независими издания, които препубликуват статии от държавните медии на КНР, съобщения за пресата и друго съдържание, вероятно поръчано от други клиенти на PR агенции.“
Това включва компании, известни като Shanghai Haixun Technology (която включва клъстера HaiEnergy), Times Newswire/Shenzhen Haimai Yunxiang Media (известна още като кампанията PAPERWALL), Shenzhen Bowen Media и DURINBRIDGE, последната от които е търговска фирма, разпространяваща съдържание за Haixun и DRAGONBRIDGE.
Твърди се, че Shenzhen Bowen Media, базирана в Китай маркетингова фирма, управлява и World Newswire – същата услуга за прессъобщения, използвана от Haixun за поставяне на пропекинско съдържание на поддомейни на легитимни новинарски издания, както разкрива Mandiant на Google през юли 2023 г.
Някои от идентифицираните поддомейни са markets.post-gazette[.]com, markets.buffalonews[.]com, business.ricentral[.]com, business.thepilotnews[.]com и finance.azcentral[.]com, наред с други.
„Неавтентичните новинарски сайтове, управлявани от GLASSBRIDGE, илюстрират как участниците в информационните операции са възприели методи извън социалните медии в опит да разпространят своите разкази“, каза Молтър. „Като се представят за независими, а често и за местни новинарски агенции, участниците в ИО могат да адаптират съдържанието си към конкретна регионална аудитория и да представят разказите си като привидно легитимни новини и редакционно съдържание.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.