Cercetătorii în securitate de la Palo Alto Networks au dezvăluit existența unui grup de hacking sofisticat, sponsorizat de statul chinez, numit Phantom Taurus, care desfășoară operațiuni de spionaj sub acoperire împotriva organizațiilor guvernamentale și de telecomunicații din întreaga lume de peste doi ani. Dezvăluirea, anunțată pe 30 septembrie, reprezintă culminarea unei investigații desfășurate pe parcursul mai multor ani asupra a ceea ce cercetătorii descriu ca fiind unul dintre cei mai avansați și discreți actori de amenințare activi în prezent.
Phantom Taurus a vizat sistematic ministere ale afacerilor externe, ambasade și operațiuni militare din Africa, Orientul Mijlociu și Asia, concentrându-se în principal pe furtul comunicărilor diplomatice și a informațiilor legate de apărare. Operațiunile grupului se aliniază intereselor strategice ale Republicii Populare Chineze și corespund frecvent cu evenimente globale majore și afaceri de securitate regională.
Arsenalul avansat de malware evită detectarea
Ceea ce distinge Phantom Taurus de alte grupuri chinezești de tip Advanced Persistent Threat este utilizarea unei suite personalizate de malware numită NET-STAR, concepută special pentru a viza serverele web Microsoft Internet Information Services. Suita de malware este alcătuită din trei backdoor-uri sofisticate care funcționează exclusiv în memorie, lăsând urme forensice minime care pot fi detectate de sistemele antivirus tradiționale.
Potrivit cercetătorilor de la Unit 42, trusa NET-STAR include IIServerCore, un backdoor modular fără fișiere ce permite executarea în memorie a comenzilor și a sarcinilor, precum și două versiuni de AssemblyExecuter care pot încărca direct în memorie alte malware-uri suplimentare. Cea mai recentă versiune include capacități de ocolire a funcțiilor de securitate Windows, inclusiv Interfața de Scanare Antimalware și Event Tracing for Windows.
„Nivelul de sofisticare pe care l-am observat la acest grup este cu adevărat incredibil,” a declarat Assaf Dahan, director de cercetare în domeniul amenințărilor la unitatea Cortex a Palo Alto Networks pentru CyberScoop. Malware-ul demonstrează „tehnici avansate de evitare și o înțelegere profundă a arhitecturii .NET, reprezentând o amenințare semnificativă pentru serverele care sunt conectate la internet”.
Baze de date cu ținte pentru evoluție tactică
Phantom Taurus și-a schimbat tacticile în ultimul an, trecând de la țintirea principală a serverelor de email la atacarea directă a bazelor de date SQL Server pentru furturi de date mai extinse. Gruparea folosește acum un script batch personalizat numit mssq.bat pentru a interoga și extrage de la distanță informații din baze de date, căutând în mod special date legate de țări precum Afganistan și Pakistan.
Această schimbare tactică sugerează o concentrare extinsă asupra depozitelor de date structurate, permițând hackerilor să colecteze informații mai eficient decât prin furtul bazat pe email-uri. Gruparea menține accesul pe termen lung la sistemele compromise, cercetătorii documentând acces la rețea care s-a întins pe aproape doi ani în unele cazuri.
Identificarea oficială a Phantom Taurus subliniază extinderea operațiunilor chinezești de spionaj cibernetic la nivel global, cercetătorii estimând că aproximativ trei sferturi dintre amenințările statale provin sau acționează în numele intereselor guvernului chinez. Unitatea 42 se așteaptă ca și alte victime să fie identificate pe măsură ce organizațiile își inspectează rețelele pentru indicatorii de compromitere detaliați în raportul de cercetare.
