„Daggerfly APT Group“: žvilgsnis į valstybės remiamą kibernetinį šnipinėjimą
Kibernetinių grėsmių pasaulis nuolat vystosi, o tarp pagrindinių žaidėjų šioje šešėlinėje arenoje yra Daggerfly Advanced Persistent Threat (APT) grupė. Taip pat žinomas slapyvardžiais Bronze Highland ir Evasive Panda, Daggerfly susilaukė dėmesio dėl savo sudėtingos kibernetinio šnipinėjimo veiklos. Šis su Pekinu susijęs programišių kolektyvas nusitaikė į daugybę organizacijų, įskaitant NVO ir įvairias institucijas skirtinguose žemynuose, daugiausia dėmesio skirdamas žvalgybos duomenų rinkimui.
Table of Contents
Kas yra Daggerfly APT grupė?
„Daggerfly“ veikia mažiausiai nuo 2012 m. ir išgarsėjo dėl savo atkaklaus ir prisitaikančio požiūrio į kibernetinį šnipinėjimą. Manoma, kad ši grupė veikia valstybės remiama, derinanti su nacionaliniais interesais ir tikslais. Pagrindinis „Daggerfly“ veiklos tikslas buvo žvalgybos duomenų rinkimas, dažnai nukreiptas į Pekinui strategiškai svarbius sektorius ir regionus.
Veikla ir taktika
Vienas „Symantec“ grėsmių medžiotojų komandos apreiškimas pabrėžė, kad „Daggerfly“ taikosi į organizacijas Taivane ir JAV NVO, įsikūrusią Kinijoje. Grupė panaudojo atnaujintą kenkėjiškų programų įrankių rinkinį, kad įsiskverbtų į šiuos subjektus, parodydama jų gebėjimą greitai prisitaikyti ir tobulinti savo taktiką. Svarbus šios kampanijos aspektas buvo „Apache“ HTTP serverio pažeidžiamumo išnaudojimas siekiant pristatyti MgBot kenkėjišką programą – modulinę sistemą, žinomą dėl savo lankstumo ir potencialo rinkti žvalgybos informaciją.
Arsenalas: MgBot, MACMA ir Nightdoor
„Daggerfly“ įrankių rinkinys yra įvairus ir sudėtingas. Jų veiklos pagrindas yra MgBot kenkėjiška programa, modulinė sistema, kuri buvo naudojama įvairiose kampanijose, įskaitant skirtas telekomunikacijų paslaugų teikėjams Afrikoje. „MgBot“ išsiskiria tuo, kad jį galima greitai pritaikyti ir atnaujinti, o tai leidžia grupei tęsti šnipinėjimo veiklą su minimaliais trikdžiais, net kai jis yra atskleistas.
Kita reikšminga kenkėjiška programa, susijusi su „Daggerfly“, yra MACMA, kurią 2021 m. pirmą kartą nustatė „Google“ grėsmių analizės grupė. Iš pradžių naudojama atakoms, nukreiptoms į vartotojus Honkonge, MACMA gali rinkti neskelbtiną informaciją ir vykdyti savavališkas komandas. Ryšys tarp MACMA ir „Daggerfly“ buvo užmegztas persidengus šaltinio kodui ir bendrai komandų ir valdymo infrastruktūrai.
Be šių, „Daggerfly“ taip pat įdiegė „Nightdoor“ (taip pat žinomas kaip „NetMM“ ir „Suzafk“) – kenkėjiškų programų implantą, kuris naudoja „Google“ disko API komandų ir valdymo komunikacijai. Šis įrankis buvo naudojamas atakoms, nukreiptoms prieš Tibeto vartotojus, mažiausiai nuo 2023 m. rugsėjo mėn., atspindėdamas įvairų grupės tikslinį kraštovaizdį ir įvairias kenkėjiškų programų kūrimo galimybes.
Apsaugos priemonės nuo durklu
Atsižvelgiant į „Daggerfly APT“ grupės rafinuotumą ir gebėjimą prisitaikyti, norint apsisaugoti nuo tokių grėsmių reikia daugialypio požiūrio. Štai keletas pagrindinių jūsų sistemų apsaugos strategijų:
1. Reguliarūs programinės įrangos atnaujinimai ir pataisų valdymas
Užtikrinkite, kad visa programinė įranga, ypač svarbios programos, pvz., žiniatinklio serveriai ir naršyklės, būtų reguliariai atnaujinamos į naujausias versijas. Nedelsiant pritaikius saugos pataisas, galite uždaryti spragas, kurias kitu atveju galėtų išnaudoti tokios grupės kaip „Daggerfly“.
2. Tinklo segmentavimas ir mažiausia privilegija
Įdiekite tinklo segmentavimą, kad apribotumėte kenkėjiškų programų plitimą organizacijoje. Taip pat laikytis mažiausių privilegijų principo, užtikrinant, kad vartotojai ir sistemos turėtų tik jų funkcijoms reikalingas prieigos teises.
3. Išplėstinis grėsmių aptikimas ir atsakas
Įdiekite pažangias grėsmių aptikimo sistemas, kurios naudoja mašininį mokymąsi ir elgesio analizę, kad nustatytų įtartiną veiklą ir į ją reaguotų. Šios sistemos gali teikti išankstinius įspėjimus ir automatinius atsakymus į galimas grėsmes.
4. Reguliarus saugumo auditas ir skverbties testavimas
Reguliariai atlikite saugos auditą ir įsiskverbimo testus, kad nustatytumėte ir pašalintumėte pažeidžiamumą. Šis iniciatyvus požiūris padeda sustiprinti saugumą ir pasiruošti galimoms atakoms.
5. Vartotojų švietimas ir sąmoningumas
Supažindinkite vartotojus apie sukčiavimo ir kitų socialinės inžinerijos atakų riziką bei įprastus kenkėjiškų programų pristatymo vektorius. Reguliarūs mokymai ir informavimo programos gali žymiai sumažinti sėkmingų išpuolių riziką.
Paskutinės mintys
„Daggerfly APT“ grupė yra pažangaus ir nuolatinio šiuolaikinio kibernetinio šnipinėjimo pavyzdys. Būdamos informuotos apie savo taktiką ir įgyvendindamos tvirtas saugumo priemones, organizacijos gali geriau apsisaugoti nuo tokių sudėtingų grėsmių. Kibernetinių grėsmių kraštovaizdžio supratimas ir nuolatinis saugumo protokolų tobulinimas yra labai svarbūs vykstant kovai, siekiant apsaugoti jautrią informaciją ir išlaikyti skaitmeninį vientisumą.
