Grupa hakerska Earth Estries atakuje globalne branże w kampaniach szpiegowskich

Earth Estries, chińska grupa hakerów, atakuje globalne branże za pomocą zaawansowanego oprogramowania szpiegowskiego, wykorzystując luki w zabezpieczeniach i prowadząc długoterminowy wywiad w kluczowych sektorach.

Salt Typhoon ostatnio zyskał uwagę ze względu na kampanię szpiegowską powiązaną z Chinami, która naruszała bezpieczeństwo gigantów telekomunikacyjnych w USA, takich jak Verizon, AT&T, Lumen Technologies i T-Mobile, jak zauważono w The Record. Atakujący rzekomo uzyskali dostęp do danych telefonicznych klientów, koncentrując się na osobach związanych z działalnością rządową lub polityczną.

W poniedziałek firma zajmująca się cyberbezpieczeństwem, Trend Micro, poinformowała o kolejnej kampanii związanej z Earth Estries, ich terminologią dla Salt Typhoon, która ma na celu telekomy w Azji Południowo-Wschodniej z nowym narzędziem typu backdoor o nazwie GhostSpider.

Chińska grupa cyberwywiadowcza, Earth Estries, od 2023 roku atakuje kluczowe branże na całym świecie, w tym telekomunikacyjne i rządowe.

Grupa ta przeniknęła do ponad 20 organizacji na terenie USA, Azji i Pacyfiku, Bliskiego Wschodu i Południowej Afryki, stosując zaawansowane techniki, aby przeprowadzić długotrwałe operacje szpiegowskie. Ofiarami padły również firmy z branży technologicznej, konsultingowej, chemicznej i transportowej, a także organizacje non-profit i agencje rządowe.

Earth Estries wykorzystuje luki w publicznie dostępnych serwerach, aby uzyskać początkowy dostęp, korzystając z legalnych narzędzi systemowych, znanych jako „binaria żyjące z ziemi”, aby niezauważenie przemieszczać się po sieciach.

Po wejściu do środka, grupa wdraża własne złośliwe oprogramowanie takie jak GHOSTSPIDER, SNAPPYBEE i MASOL RAT, aby zdobyć kontrolę i wydobyć wrażliwe informacje.

Niedawne ataki ujawniły, że GHOSTSPIDER, modularne drzwi tylnych, są zaprojektowane do ładowania różnych narzędzi do konkretnych zadań, co pozwala grupie dostosować swoje taktyki, jednocześnie unikając wykrycia. Operacje grupy wykazują wysoki poziom koordynacji, z różnymi zespołami zarządzającymi konkretnymi aspektami swoich kampanii.

Pokrywanie się ich taktyk, technik i procedur z innymi chińskimi grupami hakerskimi sugeruje wspólne narzędzia, prawdopodobnie za pośrednictwem podziemnych rynków oferujących złośliwe oprogramowanie jako usługę.

Śledztwa w sprawie Earth Estries uwydatniły ich skupienie na telekomunikacji i sieciach rządowych, często atakując systemy dostawców, aby zdobyć pośredni dostęp do ich głównych celów.

W jednym przypadku użyli rootkita DEMODEX do skompromitowania maszyn należących do dużego kontraktora telekomunikacyjnego, co pozwoliło im nierozpoznawalnie rozszerzyć swoje działania.

Analitycy zauważają, że operacje Earth Estries rozciągają się od urządzeń końcowych do systemów chmurowych, co czyni je szczególnie trudnymi do zidentyfikowania i zneutralizowania.

Ich techniki obejmują wykorzystywanie luk w serwerach i stosowanie zaawansowanych narzędzi do utrzymania ciągłości w sieciach ich celów. Eksperci ostrzegają, że działania Earth Estries świadczą o rosnącej złożoności kampanii cyberwywiadowczych.

Organizacjom zaleca się wzmocnienie swoich obronności w zakresie cyberbezpieczeństwa poprzez eliminowanie znanych luk, monitorowanie aktywności w sieci oraz wdrażanie zaawansowanych systemów wykrywania zagrożeń, aby wykryć i zablokować ataki na wczesnym etapie procesu.

Firma Trend Micro podkreśla konieczność podjęcia proaktywnych działań, gdyż Earth Estries kontynuuje rozwijanie swoich strategii, stwarzając poważne zagrożenie zarówno dla globalnych branż, jak i rządów.