הכירו את ארמון הארגמן – קמפיין ריגול סיני מתוחכם

נחשף מסע ריגול בסייבר מתוחכם ביותר, בן שנתיים כמעט, שערכו האקרים סיניים בחסות המדינה נגד מה שכונה "יעד ממשלתי משמעותי" במזרח אסיה.

חוקרי סופוס חשפו באחרונה קישורים בין חמש קבוצות איום סיניות ידועות, ביניהן APT41 ו-BackdoorDiplomacy. הקבוצות הללו השתמשו בקמפיין זה בנוזקה שלא נראתה בעבר לצרכי ריגול. ענקית אבטחת המידע כינתה את מסע הריגול בסייבר בשם ארמון הארגמן (Crimson Palace).

במהלך החקירה, שהחלה בשנה שעברה, Sophos X-Ops, צוות הזיהוי והתגובה המנוהלים של סופוס, מצא שלושה אשכולות נפרדים של פעילות, שמכוונים נגד אותו ארגון. שניים מהם כללו טקטיקות, טכניקות ונהלים (TTPs) המוכרים היטב מפעילות של קבוצות מדינתיות סיניות ידועות – BackdoorDiplomacy ,APT15 ו-Earth Longzhi, שהיא תת קבוצה של APT41.

לאורך המסע, התוקפים אספו מידע על משתמשים ספציפיים, וכן מידע פוליטי, כלכלי וצבאי רגיש, תוך שימוש במגוון רחב של נוזקות וכלים. בלטה במיוחד העובדה שבקמפיין נעשה שימוש בנוזקות שלא נראו בעבר, עם כלי שהם כינו PocoProxy.

פעילות תוך תמיכה באינטרסים של סין

"קבוצות התקיפה השונות פעלו תוך תמיכה באינטרסים של סין, באמצעות איסוף מודיעין צבאי וכלכלי שקשור לאסטרטגיות שלה בים סין הדרומי", אמר פול ג'רמילו, מנהל ציד איומים ומודיעין איומים בסופוס. "אלה קבוצות נפרדות של מתקפות, שפועלות במקביל נגד אותה מטרה, תחת ההנחיה הגורפת של רשות מרכזית במדינה".

באחד משלושת האשכולות שהחוקרים זיהו, Cluster Alpha, הם ראו נוזקות ו-TTPs חופפים לארבע קבוצות איומים סיניות מוכרות. "ידוע שתוקפים סיניים חולקים תשתיות וכלים, והקמפיין האחרון הזה הוא תזכורת לדפוס פעולה זה", אמר ג'רמילו.

לדבריו, "ברקע המודעות הגוברת של המערב לאיומי סייבר מסין, החפיפה בין הקבוצות שחשפנו היא תזכורת חשובה לכך שהתמקדות רבה מדי בכל ייחוס סיני בודד עלולה להוות סיכון לכל ארגון שמתעלם מהאופן שבו קבוצות אלה מתאמות את פעילותן".

החוקרים התוודעו לפעילות הזדונית בדצמבר 2022, כשהם מצאו כלי לחילוץ נתונים שיוחס בעבר לקבוצת האיומים הסינית Mustang Panda. משם, הרחיב הצוות את המצוד. במאי 2023 חשפו החוקרים קובץ הפעלה פגיע של VMware, ולאחר ניתוח שלו זיהו שלושה אשכולות שונים של פעילות ברשת היעד. הראשון, אלפא, היה פעיל ממרץ עד אוגוסט 2023 לפחות, ופרס מגוון נוזקות שהתמקדו בהשבתת הגנות AV, ניצול הרשאות וביצוע חילוץ נתונים ברשת היעד. הוא גם כלל גרסה משודרגת של הנוזקה EAGERBEE, שקשורה לקבוצת האיומים הסינית הזו. האשכול השני, בראבו, היה פעיל ברשת היעד במהלך מרץ אשתקד והתמקד במעבר רוחבי ברשת הקורבן כדי להטעין דלת אחורית בשם CCoreDoor. זו מקימה נתיבי תקשורת חיצוניים עבור התוקפים, מבצעת איתורים ומחלצת הרשאות. השלישי, צ'ארלי, היה פעיל בין מרץ 2023 לאפריל 2024 לפחות, עם התמקדות בריגול והסתננות. הוא כלל את הפריסה של PocoProxy – כלי שמתחזה לקובץ הפעלה של מיקרוסופט ויוצר תקשורת עם תשתית הפיקוד והבקרה של התוקפים. חברי צ'ארלי פעלו כדי לחלץ נפח גדול של נתונים רגישים למטרות ריגול, כולל מסמכים צבאיים ופוליטיים, אישורי גישה ואסימונים לגישה נוספת ברשת. הם חלקו את אותם דפוסי פעילות עם קבוצת האיומים הסינית Earth Longzhi, תת קבוצה מוכרת של APT41. חברי צ'ארלי נותרו פעילים.

ג'רמילו סיכם באומרו כי "זו התפתחות אגרסיבית של פעולות ריגול סייבר בים סין הדרומי. יש כמה קבוצות איומים בעלות משאבים בלתי מוגבלים, שמכוונות לאותו ארגון ממשלתי ברמה גבוהה במשך חודשים בכל פעם. הן משתמשות בנוזקה מתקדמת בהתאמה אישית, המשולבת בכלים זמינים לציבור. הם היו, ועדיין, מסוגלים לנוע ברחבי הארגון כרצונם, ולהפעיל את הכלים שלהם על בסיס קבוע. אחד האשכולות עדיין פעיל מאוד ומנסה לבצע מעקבים נוספים".