در یک گزارش منتشر شده امروز cyber-شرکت امنیتی Lookout گفت: این شواهد اتصال اندروید نرم افزارهای مخرب است که استفاده می شود برای جاسوسی بر روی اقلیت در چین به یک دولت بزرگ پیمانکار دفاعی از شهر شیان.

مواظب این 52 صفحه گزارش [PDF] جزئیات یک سال نرم کمپین است که در درجه اول هدف قرار اقلیت قومی اویغور در غرب چین بلکه تبت جامعه به میزان کمتر.

در این کمپین افراد آلوده در این جوامع با نرم افزارهای مخرب دولت اجازه می دهد شما را به نگه داشتن چشم در فعالیت های جوامع اقلیت در چین مناطق مرزی بلکه زندگی در خارج از کشور در حداقل 14 کشورهای دیگر است.

“فعالیت این نظارت کمپین های مشاهده شده به عنوان دور برگشت به عنوان سال 2013” مواظب محققان گفتند.

این شرکت نسبت به این راز نظارت به هک گروه آنها بر این باورند عمل از طرف دولت چین.

برخی از این گروه گذشته نرم و عملیات ثبت شده توسط دیگر cyber-شرکت های امنیتی و هک گروه در حال حاضر شناخته شده در صنعت محافل تحت اسامی مختلف مانند APT15, GREF, Ke3chang, سراب, زن جنگره پاندا و اهل تفریح و بازی اژدها.

اکثریت قریب به اتفاق از گذشته APT15 درگیر حملات بدافزارهای طراحی شده برای آلوده کردن دسکتاپ ویندوز, اما مواظب گفت: این گروه نیز توسعه زرادخانه اندروید هک ابزار.

هک ابزار است که در حال حاضر شناخته شده است شامل نرم افزارهای مخرب گونه های شناسایی شده به عنوان HenBox, PluginPhantom, Spywaller و DarthPusher. در بالای این, مواظب گفت: همچنین از کشف چهار آنهایی که جدید است که آنها موسوم به SilkBean, DoubleAgent, CarbonSteal و GoldenEagle. (نگاه کنید به تصویر زیر برای ویژگی های خود را)

gref-malware.png
تصویر: مواظب

مواظب گفت: این غیر قابل انکار گره خورده است این نرم افزار رایگان آندروید گونه های قبلی APT15 اندروید هک ابزار به دلیل زیرساخت های مشترک و استفاده از همان گواهینامه های دیجیتال به ثبت نام در نمونه های مختلف.

gref-tools.png
تصویر: مواظب

برای توزیع نرم افزارهای مخرب مواظب گفت APT15 نمی ها از برنامه های در فروشگاه Google Play اما به جای استفاده از یک تکنیک شناخته شده به عنوان یک “سوراخ آبیاری حمله” که در آن آنها هک سایت های مشروع و درج کد مخرب در آنها را. این کد های مخرب هدایت کاربران به صفحات وب, انجمن, نرم افزار فروشگاه و سایت های دیگر که در آن از کاربران خواسته شد تا به دانلود و نصب برنامه های آلوده با APT15 نرم افزارهای مخرب.

روابط به یک پیمانکار دفاعی در مرکز چین

اما مواظب گفت که در طول مراحل اولیه تحقیقات خود را به APT15 جدید نرم افزارهای مخرب آنها در بر داشت یک فرمان و کنترل سرور برای GoldenEagle نرم افزارهای جاسوسی است که در سمت چپ محافظت نشده.

محققان امنیتی گفت: آنها دیده سرور و جمع آوری اطلاعات در مورد قربانیان و اپراتورهای بودند که مدیریت نرم افزارهای مخرب.

به دنبال از طریق سیاهههای مربوط مواظب گفت: آن یافت می شود داده ها از دستگاه آلوده با GoldenEagle. زمانی که مواظب رسم GPS مختصات به دست آمده از این دستگاه های آلوده آنها در بر داشت که اکثر آنها در اطراف یک منطقه است.

مواظب گفت: GPS مختصات رسم در اطراف یک ساختمان میزبانی دفاتر خین Tianhe دفاع تکنولوژی زیادی پیمانکار دفاعی در شهر شیان در چین مرکزی.

apt15-map.png
تصویر: مواظب

محققان امنیتی گفت: این اولیه عفونت همراه با مختصات GPS به نظر می رسد برای دستگاه آلوده در malware اولیه توسعه فاز و به احتمال زیاد دستگاه های تست نشان می دهد که این شرکت به احتمال زیاد یکی از توسعه یافته که GoldenEagle نرم افزارهای مخرب.

دیگر doxed APTs

واقعیت این است که مواظب مرتبط یک APT15 malware نمونه به یک پیمانکار دفاعی است نه یک رمان کشف. از سال 2017 تا 2019, چهار, دیگر, چینی, وزارت امور خارجه-حمایت گروه های هک شده مربوط به پیمانکاران استخدام با سازمان های اطلاعاتی عامل های مختلف در دفاتر منطقه ای.

این شامل:

  • APT3 مربوط به یک شرکت به نام Boyusec عامل به نمایندگی از دولت و مقامات امنیتی در استان گوانگدونگ
  • APT10 – مرتبط با چندین شرکت عامل به نمایندگی از دولت و مقامات امنیتی در استان تیانجین
  • APT17 – مرتبط با چندین شرکت عامل به نمایندگی از دولت و مقامات امنیتی در استان جینان
  • APT40 – مرتبط با چندین پوسته شرکت های عامل به نمایندگی از دولت و مقامات امنیتی در استان هاینان

اپراتور پشت APT3 و APT10 باید در نهایت متهم شده است توسط وزارت دادگستری ایالات متحده در ماه نوامبر تا دسامبر 2017 و 2018 شد.

بر اساس قبلی تهدید اطلاعاتی گزارش های منتشر شده توسط cyber-شرکت امنیتی ثبت شده در آینده و CrowdStrike چینی و وزارت امنیت outsources نرم عملیات به خارج از پیمانکاران که گزارش به طور مستقیم و سفارشات از مقامات اطلاعاتی.

tinyurlis.gdv.gdv.htu.nuclck.ruulvis.netshrtco.detny.im