APT31 vádiratának elemzése
2024. március 25-én az Egyesült Államok Igazságügyi Minisztériuma (DoJ) vádiratot tett közzé hét hacker ellen, akik kapcsolatban állnak az APT31-el, egy 14 éve működő, a kínai állambiztonsági minisztériumot támogató hackercsoporttal. Ugyanezen a napon a pénzügyminisztérium szankciókat léptetett életbe a dokumentumban felsorolt több szervezet ellen.
Bár az amerikai kormányzat általában nem hozza nyilvánosságra a vizsgálati módszereket vagy az IOC-kat – ezzel korlátozva állításaik ellenőrizhetőségét -, az attribúciói eddig még soha nem bizonyultak hamisnak. A HarfangLab alaposan elemzte a vádiratot, mivel az ilyen dokumentumok mindig értékes ügynöki információkat tárnak fel. A legfontosabb tudnivalók a következők:
Az APT31-et a Wuhanban található Hubei Állambiztonsági Minisztériumnak tulajdonítják. 2010 körül az APT31 létrehozott egy “Wuhan XRZ” nevű fedőcéget, és azt használta kiberműveletei fedőszerveként. Egy másik helyi vállalat, a “Wuhan Liuhe” (amelyet nem vádolnak azzal, hogy az MSS fedőcége) nyújtott támogatást. Az APT31 létrehozta és használta a RAWDOOR rosszindulatú programot, kezelt néhány más, más kínai nyelvű fenyegetőszereplők által használt rosszindulatú programcsaládot, és nemrégiben elkezdte használni a CobaltStrike feltört verzióit. A csoport a hackelés két sávos megközelítését részesíti előnyben, és a célpontok leányvállalatait, MSP-it vagy házastársait veszi célba a kezdeti hozzáférés eszközeként.
A vádirat olyan információkat tartalmaz, amelyek összhangban vannak az APT31 kereskedelmi módszerével, valamint a kínai állami és magánszervezetek közötti, kiberbűncselekményekkel kapcsolatos együttműködés jellegével kapcsolatos, már meglévő ismeretekkel. Bár az Egyesült Államok úgy döntött, hogy nem emel vádat az MSS tagjai ellen (vagy ha mégis, akkor nem azonosította őket ekként), a dokumentumot olvasva nyilvánvaló, hogy a magánvállalkozókat a hírszerző közösség tagjainak tekinti.
Az APT31 a nyugati világ számos magasan jegyzett szervezetét vette célba (és sok esetben sikeresen behatolt). A vádirat átfogó képet nyújt a csoport érdekeltségeiről, amelyek a diplomáciai hírszerzéstől kezdve az üzleti titkok ellopásán át egészen a pénzügyi adatokig terjednek (a teljes listát lásd a függelékben). Az amerikai igazságügyi minisztérium emellett jelzi, hogy “amerikaiak millióinak” hívásadat-nyilvántartásait szerezték meg a támadók, ami legalább egy országbeli távközlési szolgáltató kompromittálására utal.
Az biztos, hogy az APT31 az Egyesült Államokon kívül még számos olyan kampányért felelős, amelyre ez a vádirat nem terjed ki – különösen Európában.
A HarfangLab megosztotta a támadások azonosított áldozatait és a támadások azonosításához szükséges mutatókat is.