ריגול סייבר
מחקר סופוס – Crimson Palace , מבצע ריגול סיני בחסות מדינתית, מתרחב בדרום מזרח אסיה
סופוס, מובילה עולמית של פתרונות אבטחה חדשניים לסיכול מתקפות סייבר, פרסמה היום מחקר, "“Crimson Palace: New Tools, Tactics, Targets, המפרט את ההתפתחויות האחרונות במסע ריגול סייבר סיני בחסות מדינתית שנמשך כמעט שנתיים בדרום מזרח אסיה. Sophos X-Ops דיווחו לראשונה על Operation Crimson Palace ביוני, אז גם תיארו במפורט את שלושה האשכולות הנפרדים של הפעילות הסינית – Cluster Alpha, Cluster Bravo ו- Cluster Charlie – אשר פעלו בתוך ארגון ממשלתי בעל פרופיל גבוה. באוגוסט 2023, דיווחו Sophos X-Ops על פעילות מחודשת של Cluster Bravo ו- Cluster Charlie, הן בתוך ארגון היעד הראשוני והן בארגונים רבים אחרים באזור.
בעודם חוקרים את הפעילות המחודשת, חשפו בסופוס keylogger חדש שהם כינו "Tattletale", אשר יכול להתחזות למשתמשים שנכנסו למערכת ולאסוף מידע הקשור למדיניות סיסמאות, הגדרות אבטחה, סיסמאות במטמון, פרטי דפדפן ונתוני אחסון. Sophos X-Ops מציינים במחקר כי בניגוד לגל הראשון של המבצע, Cluster Charlie עבר יותר ויותר לשימוש בכלי קוד פתוח במקום לפרוס את הנוזקות המותאמות אישית שפותחו בגל הפעילות הראשוני.
"היינו במשחק שחמט מתמשך עם היריבים האלה. במהלך השלבים הראשונים של המבצע, Cluster Charlie פרס כלים שונים בהתאמה אישית ותוכנות זדוניות", אמר פול ג'רמילו, מנהל ציד איומים ומודיעין איומים בסופוס. "עם זאת, הצלחנו 'לשרוף' חלק גדול מהתשתית הקודמת שלהם, לחסום את כלי השליטה והבקרה (C2) שלהם ולאלץ אותם לעשות שינוי כיוון. עם זאת, המעבר שלהם לכלי קוד פתוח מדגים עד כמה מהר קבוצות התוקפים הללו יכולות להסתגל ולהישאר עקביות. נראה גם כי מדובר במגמה מתפתחת בקרב קבוצות סיניות מדינתיות. בזמן שקהילת האבטחה פועלת כדי לאבטח את המערכות הרגישות ביותר שלנו מפני התוקפים האלה, חשוב לשתף את התובנות לגבי הציר הזה".