ארמון הארגמן: סין מרגלת בסייבר אחר שכנותיה זה שנתיים

מסע ריגול סייבר סיני, בחסות המדינה, שנמשך כמעט שנתיים – התרחב ופועל בדרום מזרח אסיה, כך לפי סופוס (Sophos).

חוקרי Sophos X-Ops דיווחו בראשונה על Operation Crimson Palace ביוני, אז גם תיארו במפורט שלושה אשכולות נפרדים של הפעילות הסינית – Cluster Alpha, Cluster Bravo  ו-Cluster Charlie – אשר פעלו בתוך ארגון ממשלתי בעל פרופיל גבוה. באוגוסט 2023, החוקרים דיווחו על פעילות מחודשת של Cluster Bravo ו- Cluster Charlie הן בתוך ארגון היעד הראשוני והן בקרב קורבנות רבים אחרים באזור.

במהלך החקירה חשפו מומחי סופוס keylogger חדש, "Tattletale", שיכול להתחזות למשתמשים שנכנסו למערכת ולאסוף מידע הקשור למדיניות סיסמאות, הגדרות אבטחה, סיסמאות במטמון, פרטי דפדפן ונתוני אחסון. בניגוד לגל הראשון של המבצע, Cluster Charlie עבר יותר ויותר לשימוש בכלי קוד פתוח במקום לפרוס את הנוזקות המותאמות אישית שפיתחו בגל הפעילות הראשוני.

"היינו במשחק שחמט מתמשך עם היריבים האלה. במהלך השלבים הראשונים של המבצע, Cluster Charlie פרס כלים שונים בהתאמה אישית ותוכנות זדוניות", אמר פול ג'רמילו, מנהל ציד איומים ומודיעין איומים בסופוס, "עם זאת, הצלחנו 'לשרוף' חלק גדול מהתשתית הקודמת שלהם, לחסום את כלי השליטה והבקרה (C2) שלהם ולאלץ אותם לעשות שינוי כיוון. המעבר שלהם לכלי קוד פתוח מדגים עד כמה מהר קבוצות התוקפים הללו יכולות להסתגל ולהישאר עקביות. נראה גם, כי מדובר במגמה מתפתחת בקרב קבוצות סיניות מדינתיות. בזמן שקהילת האבטחה פועלת כדי לאבטח את המערכות הרגישות ביותר שלנו מפני התוקפים האלה, חשוב לשתף את התובנות לגבי הציר הזה".

Cluster Charlie, החולק טקטיקות, טכניקות ונהלים (TTPs) עם קבוצת האיום הסינית Earth Longzhi, היה פעיל במקור ממרץ עד אוגוסט 2023 בארגון ממשלתי בכיר בדרום מזרח אסיה. בעוד האשכול היה רדום במשך כמה שבועות, הוא הופיע מחדש בספטמבר 2023 והיה פעיל שוב לפחות עד מאי 2024. בשלב השני של הקמפיין, Cluster Charlie התמקד בחדירה עמוקה יותר לתוך הרשת, התחמקות מכלי זיהוי ותגובה של נקודות קצה (EDR) ואיסוף מודיעין נוסף. Cluster Charlie החל גם להשתמש בטקטיקות שנפרסו בתחילה על ידי Cluster Alpha ו-Cluster Bravo, מה שמרמז על כך שאותו ארגון מנהל את כל שלושת אשכולות הפעילים.

Cluster Bravo, שחולקת TTPs עם קבוצת האיום הסינית Unfading Sea Haze, היה פעיל במקור ברשת הממוקדת רק למשך שלושה שבועות במרץ 2023. הוא צץ שוב בינואר 2024, כשהפעם הוא התמקד בלפחות 11 ארגונים וסוכנויות אחרים.

"כל שלושת אשכולות 'ארמון הארגמן' משכללים ומתאמים את הטקטיקות שלהם, אלא שהם גם מרחיבים את הפעילות שלהם ומנסים לחדור למטרות אחרות בדרום מזרח אסיה. בהינתן תדירות המתקפות, התשתיות והכלים – נמשיך לראות את הקמפיין הזה מתפתח – ובמקומות חדשים פוטנציאליים", הוסיף ג'רמילו.