A Japán Nemzeti Rendőrügynökség (NPA) és a Kabinet Kiberbiztonsági Központja összekapcsolta az ország elleni kiberteszemkampányt a kínai állam támogatását élvező „MirrorFace” hackercsoporttal.
Többéves kampány Japán ellen
A kampány 2019 óta tart, és továbbra is aktív. A japán nyomozók különböző szakaszokat azonosítottak, amelyek eltérő célpontokkal és támadási módszerekkel jellemezhetők. Az akciók központi célja értékes japán technológiák megszerzése és nemzetbiztonsági hírszerzés gyűjtése.
A „MirrorFace”, más néven „Earth Kasha”, korábban is támadta japán politikusokat választások előtt, amikor adathalász e-maileken keresztül a „MirrorStealer” hitelesítő adatlopót és a „LODEINFO” hátsó ajtó programot telepítettek.
Kormányzati és technológiai célpontok támadása
Az NPA elemzése szerint a kínai hackerek hálózati eszközök sebezhetőségeit használják ki, például az alábbi hibákat:
- CVE-2023-28461 (Array Networks)
- CVE-2023-27997 (Fortinet eszközök)
- CVE-2023-3519 (Citrix ADC/Gateway)
A hálózatok feltörése után a fenyegetés szereplői olyan rosszindulatú programokat telepítenek, mint a LODEINFO, ANEL, NOOPDOOR, amelyek adatlopásra és hosszú távú hozzáférés biztosítására alkalmasak.
Három azonosított kampány
1. A kampány (2019–2023): Gondolati műhelyek, kormányzati szervek, politikusok és média célzása rosszindulatú e-mailekkel az információlopás érdekében.
2. B kampány (2023): Internetkapcsolattal rendelkező eszközök szoftverhibáinak kihasználása a félvezetőgyártás, az IKT, az akadémiai és az űrkutatási szektorok ellen Japánban.
3. C kampány (2024–jelen): Rosszindulatú e-mail linkek használata akadémiai intézmények, gondolati műhelyek, politikusok és média fertőzésére.
Rejtőzködési módszerek: VSCode alagutak és Windows Sandbox
Az NPA két módszert emelt ki, amelyeket a MirrorFace hosszú távú hálózati jelenlétének fenntartására használ:
1. Visual Studio Code (VSCode) alagutak: Az ANEL rosszindulatú program által létrehozott alagutak segítségével PowerShell parancsokat hajtanak végre a fertőzött rendszereken. Ezt a módszert a MirrorFace legalább 2024 júniusa óta alkalmazza.
2. Windows Sandbox: 2023 júniusa óta alkalmazott módszer, amely a LOADEINFO program elkülönített környezetben való futtatására szolgál, megkerülve a vírusvédelmi észlelést. A sandbox lehetővé teszi a távoli vezérlőszerverekkel való kommunikációt, miközben a helyi fájlrendszerhez is hozzáférést biztosít a gazdagépen keresztül.