Çin mənşəli ScanBox hücumu: nə baş verir?

Çin mənşəli APT TA423 qrupu, həmçinin 'Red Ladon' adı ilə tanınan kiber təhdid aktoru, ScanBox adlı JavaScript əsaslı casusluq alətini istifadə edərək genişmiqyaslı hücumlara başlayıb. Bu hücumlar əsasən Avstraliya və Cənubi Çin dənizində fəaliyyət göstərən enerji şirkətlərini və yerli təşkilatları hədəfə alır.

Hücumların əsas məqsədi

APT TA423 qrupu 2022-ci ilin aprel ayından iyun ayına qədər davam edən kampaniyada Avstraliya xəbər saytlarını təqlid edən saxta e-poçtlar vasitəsilə hücumlarını həyata keçirib. 'Avstraliya Səhər Xəbərləri' adlı uydurma təşkilatın adından göndərilən e-poçtlar insanları 'sadə xəbər saytına' daxil olmağa təşviq edib. Bu linklər vasitəsilə istifadəçilər ScanBox casusluq alətinə məruz qalıblar.

ScanBox: təhlükənin mahiyyəti

ScanBox, zərərli proqramı quraşdırmadan istifadəçi məlumatlarını ələ keçirməyə imkan verən güclü bir JavaScript əsaslı alətdir. Bu alət, zərərli kodu birbaşa brauzerdə icra edərək istifadəçinin yazdığı bütün məlumatları toplayır. Hücumlar adətən 'watering hole' adlanan üsulla həyata keçirilir. Yəni, zərərli kod əvvəlcədən ələ keçirilmiş vebsaytlara yerləşdirilir və istifadəçilər bu saytları ziyarət etdikdə məlumatları ələ keçirilir.

Texnologiyanın işləmə prinsipi

ScanBox, istifadəçinin cihazı haqqında ətraflı məlumat toplayır: əməliyyat sistemi, dil, Adobe Flash versiyası və brauzer əlavələri kimi. Alət WebRTC texnologiyasından istifadə edərək istifadəçilərin real vaxtda əlaqə qurmasını təmin edir. Hücumçular daha sonra STUN protokolu vasitəsilə NAT keçidini həyata keçirərək istifadəçilərin IP ünvanlarını və port nömrələrini müəyyən edir. Bu, hücumçulara qurbanların cihazlarına birbaşa çıxış imkanı verir.

Çin hökuməti ilə əlaqə

Tədqiqatçılar bildirir ki, APT TA423 qrupu Çin hökumətinə, xüsusilə Cənubi Çin dənizi və Tayvan ətrafındakı gərginliklə bağlı dəstək verir. Proofpoint-in vitse-prezidenti Şerrod DeGrippo qeyd edib: 'Bu qrup bölgədə aktiv olan insanları izləməyi prioritet hesab edir. Onların diqqəti əsasən dəniz məsələlərinə yönəlib və bu, gələcəkdə də davam edəcək.'

Beynəlxalq miqyasda təsir

Bu qrup yalnız Avstraliya ilə məhdudlaşmır. ABŞ Ədliyyə Nazirliyinin 2021-ci il iddianaməsinə görə, APT TA423 qrupu ABŞ, Avstriya, Kanada, Almaniya, Malayziya və digər ölkələrdəki şirkətlərin məxfi məlumatlarını oğurlayıb. Hücumların hədəfi olan sənayelər arasında aviasiya, müdafiə, səhiyyə və hökumət sektoru da yer alır.

Nəticə və təhlükəsizlik çağırışı

Tədqiqatçılar qeyd edir ki, bu hücumlar qlobal miqyasda kiber təhlükəsizliyə ciddi təhdid yaradır. İnsanlar daha diqqətli olmalı və saxta e-poçtlar vasitəsilə yayılan linklərə daxil olmamalıdır. Texnoloji inkişafla paralel olaraq, bu cür hücumların qarşısını almaq üçün daha güclü təhlükəsizlik tədbirləri görülməlidir.