Uvamizi wa mtandao unaoathiri watoa huduma za mawasiliano hapo awali ulihusishwa na kikundi cha udukuzi cha Kichina LightBasin (UNC1945) sasa unaaminika kutoka kwa kikundi kingine kinachofadhiliwa na Uchina, kulingana na CrowdStrike. Katika ushahidi wa Novemba 19 mbele ya Kamati Ndogo ya Seneti ya Mahakama ya Marekani kuhusu Faragha, Teknolojia, na Sheria, Adam Meyers, Makamu wa Rais wa CrowdStrike Mwandamizi wa Operesheni za Kukabiliana na Wapinzani, alifichua kuwepo kwa kikundi cha kijasusi cha mtandaoni cha China ambacho hakikujulikana hapo awali, Liminal Panda. Imetumika tangu angalau 2020, Liminal Panda inaweza kuwa nyuma ya kampeni za uvamizi za 2021 zilizohusishwa hapo awali na LightBasin, CrowdStrike ilisema kwenye chapisho la blogi. Panda ya Liminal Panda’s Victimology Liminal Liminal Panda kwa kawaida hulenga watoa huduma za mawasiliano ya simu wanaofanya kazi katika nchi zinazohusiana na Mpango wa China wa Belt and Road Initiative (BRI). BRI ni mkakati wa kimataifa wa maendeleo ya miundombinu na uchumi uliozinduliwa mwaka wa 2013 ili kuimarisha biashara na muunganisho kwa kujenga mitandao ya usafiri, nishati na mawasiliano kote Asia, Afrika, Ulaya na kwingineko. Inalenga kutekeleza maslahi yaliyopewa kipaumbele na Beijing yaliyoainishwa katika Mipango ya 13 na 14 ya Miaka Mitano ya China. Kikundi kinalenga mashirika haya kukusanya habari za mtandao wa telemetry na mteja moja kwa moja au kukiuka huluki zingine za mawasiliano kwa kutumia mahitaji ya muunganisho wa kiutendaji wa tasnia. Watafiti wa CrowdStrike wanaamini kuwa motisha za kikundi zinalingana kwa karibu na shughuli za ukusanyaji wa taarifa za kijasusi (SIGINT) kwa ajili ya kukusanya taarifa za kijasusi badala ya kuanzisha ufikiaji kwa manufaa ya kifedha. Liminal Panda huenda alihusika na kampeni nyingi za uvamizi wa mtandao mwaka wa 2020 na 2021, hasa zikiwalenga watoa huduma za mawasiliano kusini mwa Asia na Afrika. Vikundi vingine vya udukuzi wa Kichina, ikiwa ni pamoja na Kimbunga cha Chumvi, hivi karibuni vimeshutumiwa kwa kulenga watoa huduma za mawasiliano katika mikoa tofauti, ikiwa ni pamoja na Ulaya na Amerika Kaskazini. Maelezo ya Liminal Panda Wakati CrowdStrike ilitathmini kuwa shughuli ya Liminal Panda inalingana na shughuli za mtandao za China-nexus kulingana na ufanano katika zana na michakato na vikundi vingine vya kijasusi vya mtandao wa China. Kampuni hiyo ilibaini kuwa maelezo mahususi kwa chombo mahususi kinachoungwa mkono na serikali ya Uchina bado hayajakamilika kwa sababu ya ukosefu wa ushahidi wa moja kwa moja unaounganisha Liminal Panda na mashirika yanayojulikana yanayoshirikiana na serikali. Baadhi ya ushahidi uliokusanywa ni pamoja na: Kutumia kamba ya Pinyin (wuxianpinggu507) kwa ufunguo wa XOR wa SIGTRANslator na nenosiri kwa baadhi ya huduma za wakala wa mbali wa Liminal Panda Kutumia jina la kikoa wuxiapingg.[.]ga kama miundombinu ya uwasilishaji na C2 ya Cobalt Strike, zana inayopatikana kibiashara ya ufikiaji wa mbali (RAT) ambayo waigizaji wa uhusiano wa China mara kwa mara hutumia kutumia Wakala wa Kurejesha Haraka na mlango wa nyuma wa TinyShell unaopatikana kwa umma, zote mbili zimetumiwa na wapinzani wengi wa China, ikiwa ni pamoja na. Sunrise Panda na Horde Panda Kwa kutumia miundombinu ya seva ya kibinafsi (VPS) inayotolewa na Vultr, mtoaji huduma anayetumiwa sana na maadui na watendaji wa China-nexus, Mbinu, Mbinu na Taratibu za Liminal Panda’s Liminal Panda hutumia zana mbalimbali zinazowezesha ufikiaji, amri na udhibiti wa siri (C2). ) na utaftaji wa data. Kikundi kinaonyesha ujuzi wa kina wa mitandao ya mawasiliano ya simu, ikiwa ni pamoja na kuelewa miunganisho kati ya watoa huduma na itifaki zinazosaidia mawasiliano ya simu za mkononi. Inaiga itifaki za mfumo wa kimataifa wa mawasiliano ya simu (GSM) ili kuwezesha C2 na kuendeleza zana za kurejesha maelezo ya mteja wa simu, metadata ya simu na ujumbe wa maandishi. Shughuli ya kawaida ya uvamizi ya Liminal Panda huanza kwa kutumia vibaya uhusiano wa kuaminiana kati ya watoa huduma za mawasiliano ya simu na mapungufu ya sera za usalama ili kupata ufikiaji wa miundomsingi kutoka kwa wapangishi wa nje. Kikundi pia kinatumia mchanganyiko wa programu hasidi maalum, zana zinazopatikana kwa umma na programu ya proksi ili kuelekeza mawasiliano ya C2 kupitia sehemu tofauti za mtandao. Mapendekezo ya kupunguza makali ya CrowdStrike Katika chapisho lake la blogu, CrowdStrike ilitoa orodha ya mapendekezo kusaidia kulinda dhidi ya shughuli za Liminal Panda kulingana na baadhi ya TTP za kikundi ambazo hazijafichuliwa. Hizi ni pamoja na: Utekelezaji wa mikakati changamano ya nenosiri kwa uthibitishaji wa SSH au kutumia mbinu salama zaidi kama vile uthibitishaji wa ufunguo wa SSH, hasa kwenye seva zinazokubali miunganisho kutoka kwa mashirika ya nje (km seva za eDNS) Kupunguza idadi ya huduma zinazofikiwa na umma zinazofanya kazi kwenye seva zinazokubali miunganisho kutoka kwa nje. mashirika kwa yale yanayohitajika kwa mwingiliano wa shirika Kutekeleza sera za udhibiti wa ufikiaji wa mtandao wa ndani kwa seva kulingana na jukumu na mahitaji Kuweka miunganisho ya SSH kati ya seva za ndani na kuzifuatilia kwa shughuli isiyo ya kawaida Kuthibitisha sheria za iptables zinazotekelezwa kwenye seva, kuangalia uwepo wa maingizo yasiyo ya kawaida ambayo huwezesha ufikiaji wa ndani. kutoka kwa anwani za IP za nje zisizojulikana Kuajiri njia za kukagua uadilifu wa faili kwenye jozi muhimu za huduma za mfumo kama vile iptables ili kutambua ikiwa zimerekebishwa au kubadilishwa bila kutarajiwa.
Leave a Reply