שוב להקת OceanLotus משך תשומת לב מומחי סייבר של חברת QiAnXin. לאחר הפסקה בסוף 2023, היא שבה לפעילות בנובמבר 2024, אך נוטרלה במהירות הודות למאמצים המשותפים של חוקרי אבטחת סייבר.
קבוצה זו החלה את פעילותה לראשונה בשנת 2022, והדגימה רמת התקפות גבוהה משמעותית מבעבר, כולל שימוש בפגיעויות של 0-יום לגניבת נתונים בתעשיות הצבא, האנרגיה והתעופה והחלל של סין.
OceanLotus התמחה בהתקפות שרשרת אספקה, בהדבקת מסופי יעד בתוך רשתות ארגוניות בעדכונים. הגישות שלהם כללו שימוש בגרסה משופרת של Cobalt Strike, ששמרה צילומי מסך של מכשירים נגועים ושלחה אותם לשרת שליטה ובקרה. זה איפשר לקבל נתונים על פעולות התוקף בזמן אמת.
כלים מרכזיים של הקבוצה:
- תוספים לאיסוף קבצים: לאסוף מסמכים עם הרחבות ספציפיות, כולל PDF, PPT, XMind, להצפין אותם באלגוריתם AES ולשלוח אותם לתוקפים.
- תוספי SSH: משמשים כדי לקבל גישה לשרתי לינוקס עם סיסמאות פגיעות.
- סוסים טרויאניים חוצי פלטפורמות: קוד זדוני מיוחד שנועד לפעול ב-Windows ולינוקס משמש לפגיעה בשרתים ולעקוף מערכות אבטחה.
OceanLotus פיתחה שיטות ייחודיות לעקוף פתרונות אנטי-וירוס כגון 360 Security Guard ו-Skyrocket EDR באמצעות קבצי DLL ופונקציות להשבית תהליכי אבטחה. למרות המורכבות של הטקטיקה שלהם, מומחים הצליחו לזהות בזמן את הקמפיינים האחרונים שלהם ולעמוד בהם ביעילות.
מחקירות עולה כי הקבוצה ממוקמת במדינה בדרום מזרח אסיה. התקפות האקרים מכוון בעיקר לאיסוף מידע על פרויקטי תשתיות ואנרגיה סיניים, העולה בקנה אחד עם האינטרסים של מספר מדינות חיצוניות שעשויות לתמוך בקבוצה זו.
האקטיביזם של OceanLotus מדגיש את הצורך בשיפור מתמיד של הגנת הסייבר. מדינות וחברות שהנתונים שלהן עשויים לעניין מרגלי סייבר חייבות להשקיע באופן אקטיבי בפתרונות אבטחה מודרניים.
אפילו את ההתקפות המתוחכמות ביותר ניתן למנוע באמצעות שיתוף פעולה בזמן, שיתוף ידע וחיזוק חוליות פגיעות בשרשרת האספקה. ערנות ויכולת הסתגלות הן המפתח לשמירה על הגנה בעידן הדיגיטלי.
