ITanalyze

یک شرکت امنیت سایبری آمریکایی مدعی است یک کمپین چینی شناسایی کرده که شرکت‌های دفاعی، هوافضا و بیوتکنولوژیکی را هدف قرار می‌دهد.
به گزارش کارگروه بین‌الملل سایبربان؛ یک کمپین جاسوسی سایبری با نام «عملیات زنبور دیوانه» (OperationCuckooBees) کشف شده که تولیدکنندگان بخش دفاعی، انرژی، هوافضا، بیوتکنولوژی و داروسازی را در سراسر آمریکای شمالی، اروپا و آسیا هدف قرار می‌داده است. به گفته شرکت سایبر ریزن (Cybereason) مستقر در بوستون، این یکی از بزرگ‌ترین کمپین‌های سرقت IP در نوع خود است که از چین می‌آید.

شرکت سایبر ریزن ماه گذشته تحقیقات جدیدی را در مورد این کمپین منتشر کرد، تحقیقاتی 12 ماهه در مورد کمپین جاسوسی سایبری گروه وینتی (Winnti Group) که تولیدکنندگان در سراسر جهان را هدف قرار می‌دهد.

لیور دیو (Lior Div)، مدیرعامل و یکی از بنیان‌گذاران شرکت سایبر ریزن گفت: تحقیق عملیات زنبور دیوانه نتیجه یک تحقیق 12 ماهه است که تلاش‌های پیچیده و گسترده گروه وینتی (APT 41) تحت حمایت دولت چین برای سرقت اطلاعات اختصاصی ده ها سازمان جهانی را برجسته می‌کند. شرکت‌های قربانی نمی‌دانستند که نقض شده‌اند و به گروه وینتی دسترسی آزاد و بدون فیلتر به مالکیت معنوی، نقشه‌ها، نمودارهای حساس و سایر داده‌های اختصاصی خود را داده بودند تا جایی که برخی موارد حداقل به سال 2019 برمی‌گردد.

سایبر ریزن دو گزارش منتشر کرد، اولی به بررسی تاکتیک‌ها و تکنیک‌های این کمپین می‌پردازد و دومی در مورد تجزیه‌وتحلیل دقیق بدافزار و شکاف‌های مورداستفاده است.

شرکت سایبر ریزن بر اساس تجزیه‌وتحلیل‌های خود با اطمینان متوسط به بالا مدعی است که عاملان این حمله با گروه هکری وینتی مرتبط هستند. این گروه حداقل از سال 2010 وجود دارد و اعتقاد بر این است که به نمایندگی از منافع دولت چین فعالیت می‌کند و متخصص در جاسوسی سایبری و سرقت مالکیت معنوی است. دیگر یافته‌های مهم سایبر ریزن شامل کشف یک عملیات جاسوسی سایبری پیچیده و گریزان با هدف سرقت اطلاعات اختصاصی حساس از شرکت‌های فناوری و تولیدی عمدتاً در شرق آسیا، اروپای غربی و آمریکای شمالی است.

این گزارش‌ها یک نوع بدافزار غیر مستند به نام دیپلوی لاگ (DEPLOYLOG) که توسط گروه وینتی استفاده می‌شد را افشا می‌کند و نسخه‌های جدید بدافزار شناخته‌شده وینتی، ازجمله اسپایدر لودر (Spyder Loader)، پرایوِیت لاگ (PRIVATELOG) و وین کیت (WINNKIT) را برجسته می‌کند. گزارش‌ها شامل تجزیه‌وتحلیل زنجیره‌ای پیچیده است که منجر به استقرار روت کیت وین کیت متشکل از چندین مؤلفه وابسته به هم شد.

بر اساس این گزارش، مهاجمان یک رویکرد ظریف «خانه‌ی کارت‌ها» را اجرا کردند که در آن هر جزء برای اجرای صحیح به سایر اجزاء وابسته است و تجزیه‌وتحلیل هر جزء به‌طور جداگانه بسیار دشوار است.

آسیب‌پذیری‌های امنیتی که معمولاً در کمپین‌هایی مانند نمونه یادشده یافت می‌شوند به دلیل سیستم‌های اصلاح‌نشده، بخش‌بندی ناکافی شبکه، دارایی‌های مدیریت نشده، حساب‌های فراموش‌شده و فقدان محصولات احراز هویت چندعاملی مورد سوءاستفاده قرار می‌گیرند.