Japońska Krajowa Agencja Policyjna (NPA) we współpracy z Narodowym Centrum Gotowości na Incydenty i Strategii Cyberbezpieczeństwa (NCSC) oskarża chińsko-powiązaną grupę o nazwie MirrorFace o prowadzenie zorganizowanej kampanii cyberataków. Umożliwia to wywieranie długotrwałej presji na organizacje, przedsiębiorstwa i indywidualnych użytkowników na terytorium Japonii, począwszy od 2019 roku.
Celem tej agresji jest przede wszystkim kradzież informacji dotyczących bezpieczeństwa narodowego Japonii oraz zaawansowanych technologii. Jak wynika z oficjalnych doniesień, działania te są szczególnie niebezpieczne, gdyż mogą wpłynąć na stabilność całego kraju i jego wiodących sektorów technologicznych.
MirrorFace, znana również jako Earth Kasha, jest uważana za podgrupę w ramach APT10 – grupy cyberprzestępców powiązanej z Chinami. Ta jednostka ma długą historię ataków na japońskie cele, wykorzystując narzędzia takie jak ANEL, LODEINFO oraz NOOPDOOR (zwanego także HiddenFace). Eksperci ostrzegają, że ich techniki działania są systematyczne, co oznacza precyzyjne planowanie i wysoki poziom zaawansowania technologicznego.
W grudniu ubiegłego roku firma Trend Micro wykazała szczegóły kampanii phishingowej skierowanej przeciwko użytkownikom w Japonii. W jej trakcie wykorzystywano złośliwe oprogramowanie ANEL oraz NOOPDOOR do kradzieży danych. Co ciekawe, w ostatnich latach MirrorFace przeprowadzała również operacje mające na celu zaatakowanie celów w Tajwanie i Indiach. Stanowi to dowód na szeroki zakres ich działań oraz rosnący zasięg ich ataków.
Japońskie agencje bezpieczeństwa zidentyfikowały trzy główne kampanie cyberataków prowadzonych przez MirrorFace na przestrzeni lat:
- Kampania A (grudzień 2019 – lipiec 2023): Ataki były wymierzone w think tanki, polityków, media oraz rząd, przy wykorzystaniu e-maili phishingowych rozsyłających LODEINFO, NOOPDOOR i LilimRAT – zmodyfikowaną wersję open-source’owego narzędzia RAT (Remote Access Trojan).
- Kampania B (luty – październik 2023): W tej fazie atakowano przemysł półprzewodników, branżę produkcyjną, sektor komunikacyjny, akademicki oraz lotniczo-kosmiczny. Wykorzystywano znane luki bezpieczeństwa w urządzeniach takich jak Array Networks, Citrix i Fortinet, co pozwalało na wdrożenie złośliwego oprogramowania Cobalt Strike Beacon, LODEINFO i NOOPDOOR.
- Kampania C (czerwiec 2024): Strategia skupiała się na sektorze akademickim, think tankach, politykach i mediach, z wykorzystaniem phishingu e-mailowego do rozprzestrzeniania ANEL, znanego również jako UPPERCUT.
Jedną z wyjątkowych cech tych ataków jest wykorzystanie tuneli zdalnych Visual Studio Code, które pozwalają cyberprzestępcom na tworzenie ukrytych połączeń. Dzięki temu są w stanie ominąć zabezpieczenia sieciowe, przejąć kontrolę nad zaatakowanymi systemami i działać bez wykrycia.
Zarówno NPA, jak i NCSC zwracają uwagę na innowacyjne techniki stosowane przez MirrorFace, takie jak uruchamianie złośliwego oprogramowania w izolowanym środowisku Windows Sandbox. Ta metoda umożliwia przestępcom operowanie złośliwym kodem niezauważalnie, ponieważ zapisane w sandboxie dane są kasowane po ponownym uruchomieniu komputera. Zastosowanie tej techniki sprawia, że ślady cyberataku są niemal niemożliwe do wykrycia przez oprogramowanie antywirusowe lub systemy EDR (Endpoint Detection and Response).
Ataki te są poważnym problemem dla Japonii, która jest liderem w wielu sektorach technologicznych. Dlatego konieczne są wzmożone wysiłki w zakresie współpracy międzynarodowej, by przeciwdziałać nieustającemu zagrożeniu płynącemu z cyberprzestrzeni.