به گزارش کارگروه بینالملل سایبربان؛ پس از یک سال و نیم بررسی و تحلیل، «Antiy»، شرکت امنیت سایبری چینی ادعا کرد که یک گروه تهدید مداوم پیشرفته (APT) مستقر در هند با نام رمز کنفوسیوس (Confucius) حملات جدیدی را علیه دولت و نهادهای نظامی پاکستان انجام داده است.
شرکت آنتی در گفتگو با گلوبال تایمز اعلام کرد که اولین حملات این گروه را میتوان در سال 2013 ردیابی کرد. این حملات عمدتاً دولتها، بخشهای نظامی و انرژی کشورهای همسایه مانند چین، پاکستان و بنگلادش را برای سرقت دادههای حساس هدف قرار دادند.
به گفته کارشناسان، گروه هکری از سوی کارمندان داخلی امنیت سایبری بینالمللی «کنفوسیوس» نامیده شد. لی بوسونگ (Li Bosong)، مهندس ارشد Antiy، گفت که این گروه از فرمان «کنفوسیوس میگوید» برای انجام حملات خود استفاده میکند.
لی اظهار داشت :
«هکرها فرهنگ چینی را در طول حملات مداوم خود علیه چین مورد مطالعه قرار دادهاند. این گروه در استفاده از ایمیلهای اسپیر فیشینگ و وبسایتهای فیشینگ، همراه با اقدامات مهندسی اجتماعی منحصر به فرد برای حمله به اهداف، خوب است.»
کارشناسان معتقدند که اقدامات این گروه ناشی از سود سیاسی و اقتصادی است؛ دادههای اصلی را می دزدد یا به تأسیسات زیرساختی کلیدی اهداف خود آسیب میرساند. حملات آنها میتواند تأثیر واقعی خارج از شبکه داشته باشد.
به گفته تیم واکنش اضطراری رایانهای آنتی، با ردیابی حملات این گروه از سمت شبه قاره جنوب آسیا از سال 2021، حملات هکرها علیه تأسیسات دولتی و نظامی پاکستان را شناسایی کرد. این گروه به نام کارکنان دولت پاکستان فعالیت و ایمیلهای اسپیر فیشینگ هدفمند را ارسال میکند. هنگامی که گیرندگان اسناد را باز یا دانلود کردند، برنامههای اسب تروجان در دستگاه نصب میشوند و تمام دادهها را به سرقت میبرند.
آنتی اعتقاد دارد که در ماه ژوئن 2021، گروه هکری از فایل مخرب با محتوای مربوط به لیست کشته شدگان ارتش پاکستان و در ماه فوریه سال جاری از پرونده وضعیت واکسیناسیون کارکنان دولت پاکستان برای انجام حملات سایبری استفاده کرده است.
به گفته لی، هکرها انواع مختلفی از نرمافزارهای مخرب را در ایمیلهای اسپیر فیشینگ نصب میکنند و اهداف را فریب میدهند تا پیوندها را باز کنند.
Antiy نمونههای حملات این گروه را به طور کامل تجزیه و تحلیل کرده و به این نتیجه رسیده است که هکرها ابزارها و کدهایی را با یک گروه تهدید مداوم پیشرفته دیگر به نام «SideWinder» به اشتراک گذاشتهاند.
لی توضیح داد :
«اشتراکگذاری ابزارها و کدها برای گروههای APT هندی رایج است. پیش از این، شرکتهای بینالمللی امنیت سایبری فاش کرده بودند که گروه APT با اسم رمز کنفوسیوس نیز کدهایی را با گروههای هندی دیگر مانند «Urpage» به اشتراک گذاشته است.»
این حملات توجه مقامات پاکستانی را به خود جلب کرد. هیئت امنیت ملی مخابرات و فناوری اطلاعات پاکستان با صدور هشداری سراسری مدعی شد که هکرها ایمیلهای اسپیر فیشینگ را به نام دفتر نخستوزیر ارسال میکنند و از مقامات و مردم خواست هوشیار باشند و هیچ گونه اطلاعاتی را از طریق ایمیلها یا پلتفرمهای رسانههای اجتماعی ارائه نکنند.
