Các đối thủ liên kết với Trung Quốc được cho là do một cuộc tấn công liên tục chống lại các tổ chức lưới điện của Ấn Độ, một năm sau khi một chiến dịch phối hợp nhắm vào cơ sở hạ tầng quan trọng ở nước này được đưa ra ánh sáng.
Theo Insikt Group của Recorded Future, hầu hết các vụ xâm nhập đều liên quan đến một backdoor dạng mô-đun có tên là ShadowPad, một trojan truy cập từ xa tinh vi được mệnh danh là “kiệt tác của phần mềm độc hại bán tư nhân trong hoạt động gián điệp Trung Quốc.”
“ShadowPad tiếp tục được sử dụng bởi một số lượng ngày càng tăng của các nhóm liên kết với Quân đội Giải phóng Nhân dân (PLA) và Bộ An ninh Nhà nước (MSS), với nguồn gốc của nó được liên kết với các nhà thầu MSS được biết đến đầu tiên sử dụng công cụ này trong các hoạt động của riêng họ và sau đó có khả năng các nhà nghiên cứu cho biết.
Công ty an ninh mạng cho biết, mục tiêu của chiến dịch bền vững là tạo điều kiện thuận lợi cho việc thu thập thông tin tình báo liên quan đến các hệ thống cơ sở hạ tầng quan trọng để chuẩn bị cho các hoạt động dự phòng trong tương lai. Mục tiêu được cho là đã bắt đầu vào tháng 9 năm 2021.
Các cuộc tấn công nhằm vào bảy Trung tâm cứu hộ tải trọng nhà nước (SDLC) đặt chủ yếu ở miền Bắc Ấn Độ, đặc biệt là những trung tâm gần với biên giới tranh chấp giữa Ấn Độ và Trung Quốc ở Ladakh, với một trong những mục tiêu là nạn nhân trong một cuộc tấn công tương tự được tiết lộ vào tháng 2 năm 2021 và được cho là do nhóm RedEcho.
Các cuộc tấn công RedEcho năm 2021 liên quan đến sự thỏa hiệp của 10 tổ chức ngành điện riêng biệt của Ấn Độ, bao gồm sáu trong số các trung tâm điều phối phụ tải khu vực và tiểu bang (RLDC) của đất nước, hai cảng, một nhà máy điện quốc gia và một trạm biến áp.
Recorded Future đã liên kết tập hợp các hoạt động độc hại mới nhất với một cụm mối đe dọa mới nổi mà nó đang theo dõi dưới biệt danh Nhóm hoạt động đe dọa 38 hay còn gọi là TAG-38 (tương tự như UNC #### và DEV – #### do Mandiant và microsoft đưa ra) , trích dẫn “sự khác biệt đáng chú ý” so với các TTP RedEcho đã được xác định trước đó.
Ngoài việc tấn công các tài sản lưới điện, TAG-38 còn tác động đến hệ thống ứng phó khẩn cấp quốc gia và công ty con của một công ty hậu cần đa quốc gia tại Ấn Độ.
Mặc dù vectơ lây nhiễm ban đầu được sử dụng để xâm phạm mạng là không xác định, nhưng phần mềm độc hại ShadowPad trên các hệ thống máy chủ đã được điều khiển bởi một mạng các thiết bị camera DVR / IP có kết nối internet bị nhiễm được định vị địa lý ở Đài Loan và Hàn Quốc.
Các nhà nghiên cứu cho biết: “Việc sử dụng ShadowPad trên các nhóm hoạt động của Trung Quốc tiếp tục phát triển theo thời gian, với các nhóm hoạt động mới thường xuyên được xác định bằng cách sử dụng cửa sau cũng như tiếp tục được các nhóm đã theo dõi trước đó áp dụng”, các nhà nghiên cứu cho biết thêm rằng họ đang theo dõi ít nhất 10 nhóm riêng biệt có quyền truy cập phần mềm độc hại.
Sau tiết lộ, Bộ trưởng Quyền lực Liên minh của Ấn Độ RK Singh đã mô tả các cuộc xâm nhập là “nỗ lực thăm dò” hack không thành công đã xảy ra vào tháng 1 và tháng 2, và chính phủ đang liên tục xem xét các cơ chế an ninh mạng của mình để tăng cường phòng thủ.
Về phần mình, Trung Quốc nhắc lại rằng nước này “kiên quyết phản đối và chống lại mọi hình thức tấn công mạng” và “an ninh mạng là thách thức chung mà tất cả các nước phải đối mặt thông qua đối thoại và hợp tác.”
Người phát ngôn Bộ Ngoại giao Trung Quốc Zhao Lijian cho biết: “Gần đây, các công ty an ninh mạng Trung Quốc đã công bố một loạt báo cáo, tiết lộ rằng chính phủ Mỹ đã tiến hành các cuộc tấn công mạng vào nhiều quốc gia trên thế giới, bao gồm cả Trung Quốc, gây nguy hiểm nghiêm trọng đến an ninh của cơ sở hạ tầng quan trọng của các quốc gia này”. nói.
“Cần lưu ý rằng nhiều đồng minh của Hoa Kỳ hoặc các quốc gia mà Hoa Kỳ hợp tác về an ninh mạng cũng là nạn nhân của các cuộc tấn công mạng của Hoa Kỳ. Chúng tôi tin rằng cộng đồng quốc tế, đặc biệt là các nước láng giềng của Trung Quốc, sẽ mở rộng tầm mắt và đưa ra nhận định của riêng mình về ý định thực sự của phía Hoa Kỳ. “
.
