فعالیت دوباره نفوذگران ارتش چین

گروه نفوذگران چینی که سال گذشته با حمله به سایت روزنامه The New York Times و چند موسسه مشهور آمریکایی دیگر، به یکی از خبرسازترین گروه های نفوذگر در جهان تبدیل شدند، پس از چندین ماه سکوت، اکنون دوباره با ابزارهای جدید، فعالیت خود را از سر گرفته اند.

این گروه نفوذگر که با نام APT 12 یا Advanced Persistent Threat Number 12 مشهور شده، ارتباط نزدیکی با ارتش چین دارد و حتی برخی باور دارند که این گروه یکی از واحدهای این ارتش به شمار می آید.

بر اساس گزارشی که از سوی شرکت امنیتی FireEye منتشر شده، فعالیت هایی توسط این گروه نفوذگر طی دو ماه گذشته مشاهده شده است. نویسندگان این گزارش یقین دارند که این گروه مسئول حملات گزارش شده اخیر، هستند.

البته در حملات نفوذی اخیر، این گروه از ابزارهای مخرب جدید و یا به روز شده قبلی خود استفاده کرده اند. این گروه در گذشته از دو بدافزار Backdoor.APT.Aumlib و Backdoor.APT.lxeshe استفاده می کردند که اکنون گونه های جدیدی از این دو بدافزار در حملات اخیر مشاهده شده است. همچنین مرکز کنترل و فرماندهی حملات اخیر دارای ساختار شبکه مشابه به مراکز فرماندهی گروه APT 12 دارد.

این دو بدافزار در حمله به یک موسسه تحقیقاتی در زمینه امور مالی و چندین شرکت خصوصی تایوانی مورد استفاده قرار گرفته اند.

گروه APT 12 تغییراتی در پودمان ارتباطی دو بدافزار Aumlib و Ixeshe داده اند تا فرمول های شناسایی فعلی برای تشخیص این دو بدافزار دیگر کارآیی نداشته باشند. تغییر پودمان ارتباطی بین بدافزار و مرکز فرماندهی باعث می گردد تا سامانه های تشخیص نفوذ (Intrusion Detection System – IDS) دیگر قادر به تشخیص ترافیک ایجاد شده توسط این بدافزارها نباشند و اجازه عبور به این نوع ترافیک را بدهند.

طبیعی است که مدتی طول خواهد کشید تا سامانه های تشخیص نفوذ به روز شده و قادر به شناسایی پودمان جدید باشند. به همین دلیل احتمال داده می شود که در حال حاضر حملات نفوذی توسط APT 12 و با استفاده از این گونه های جدید بدافزار در جریان باشند که به تدریج با به روز شدن سامانه های تشخیص نفوذ، شناسایی و متوقف گردند.

اطلاعات فنی بیشتر را می توان در گزارش شرکت Fire Eye مطالعه کرد.