Operation Crimson Palace délkelet-ázsiai kormányok ellen
A Sophos kutatói csapata 2024. szeptember 10-én tette közzé második jelentését, amely az általuk Crimson Palace-nak nevezett, kínai államilag támogatott hackerek által vezetett délkelet-ázsiai kémkedési kampányról szól. A Sophos tavaly vizsgálta a kampányt végrehajtó három csoport tevékenységét, de egy rövid szünet után a kutatók 2023 őszén és az idei év folyamán kettőjük aktivitásának megújulását tapasztalták. „Folyamatos sakkjátszmát vívtunk ezekkel az ellenfelekkel” – mondta Paul Jaramillo, a Sophos fenyegetésvadászatért és fenyegetések felderítéséért felelős igazgatója.
A három csoport – amelyeket a Sophos Cluster Alpha, Cluster Bravo és Cluster Charlie néven nevez – mindegyike kapcsolatban áll a kínai állam által támogatott, más vállalatok és kormányok által korábban azonosított csoportokkal, köztük az APT15-tel és az APT41 egyes kutatók által „Earth Longzhi” néven ismert alcsoportjával. A csoportok még mindig indítanak támadásokat, és most bővítik műveleteiket, és megpróbálnak más szervezetekbe is beszivárogni Délkelet-Ázsiában. „Tekintettel arra, hogy a kínai nemzetállami csoportok milyen gyakran osztják meg az infrastruktúrát és az eszközöket, valamint arra, hogy a Cluster Bravo és a Cluster Charlie az eredeti célponton túlra mozog, valószínűleg továbbra is látni fogjuk, hogy ez a kampány fejlődik – és potenciálisan új helyszíneken tevékenykedik” – mondta Jaramillo. A jelentés egy júniusban kiadott, egy meg nem nevezett kormányzati szervezet elleni támadásokról szóló jelentés folytatása. Még azután is, hogy a Sophos incidensre reagáló szakemberei azonosították a csoportokat és megzavarták működésüket, a Sophos szerint a tevékenység folytatódott és „számos” más szervezetre is kiterjedt a régióban.
A Crimson Palace kampány célja továbbra is az adatok kiszivárogtatása, de a hackerek arra is törekedtek, hogy ismételten visszaszerezzék a hozzáférést az áldozatok hálózataihoz. A Sophos szerint elloptak érzékeny dokumentumokat, felhőinfrastruktúra kulcsait – beleértve a biztonsági mentéseket -, más kritikus hitelesítési kulcsokat és tanúsítványokat, valamint az IT- és hálózati infrastruktúra konfigurációs adatait.
