Double Dragon (กลุ่มแฮ็กเกอร์)
| การก่อตัว | 2012 |
|---|---|
| พิมพ์ | ภัยคุกคามขั้นสูงที่คงอยู่ถาวร |
| วัตถุประสงค์ | การจารกรรมทางไซเบอร์ , สงครามไซเบอร์ , อาชญากรรมไซเบอร์ |
พื้นที่ให้บริการ | จีน |
| วิธีการ | สเปียร์ฟิ ชชิ่ง , มัลแวร์ , การโจมตีห่วงโซ่อุปทาน |
ภาษาทางการ | ภาษาจีนกลาง |
| เจ้าของ | กระทรวงความมั่นคงแห่งรัฐ |
เดิมชื่อ | APT 41, Barium, Winnti, Wicked Spider, Wicked Panda, TG-2633, Bronze Atlas, Red Kelpie, Blackfly |
Double Dragon [ a ]เป็นกลุ่มแฮกเกอร์ที่ถูกกล่าวหาว่ามีความเชื่อมโยงกับกระทรวงความมั่นคงแห่งรัฐ ของจีน (MSS) [ 4 ]องค์กรนี้ถูกจัดประเภทเป็นภัยคุกคามขั้นสูงที่คงอยู่ และ กระทรวงยุติธรรมของสหรัฐอเมริกาได้ตั้งชื่อองค์กรนี้ในเดือนกันยายน 2020 ในส่วนที่เกี่ยวข้องกับข้อกล่าวหาที่ยื่นฟ้องชาวจีน 5 คนและชาวมาเลเซีย 2 คน ในข้อหาบุกรุกบริษัทมากกว่า 100 แห่งทั่วโลก[ 5 ] [ 6 ] [ 7 ] [ 8 ]
ในปี 2019 บริษัทรักษาความปลอดภัยทางไซเบอร์ FireEyeระบุด้วยความมั่นใจสูงว่ากลุ่มนี้ได้รับการสนับสนุนจากพรรคคอมมิวนิสต์จีน (CCP) ในขณะที่ดำเนินการเพื่อผลประโยชน์ทางการเงิน[ 9 ]ชื่อ "มังกรคู่" มาจากลักษณะสองด้านของการดำเนินงานของพวกเขา เนื่องจากพวกเขามีส่วนร่วมในการจารกรรมและผลประโยชน์ทางการเงินส่วนบุคคล[ 10 ]อุปกรณ์ที่พวกเขาใช้มักถูกใช้เพื่อการข่าวกรองที่ได้รับการสนับสนุนจากรัฐ
การสืบสวนที่ดำเนินการโดย FireEye พบว่า APT 41 ดำเนินการในหลายภาคส่วน เช่น การดูแลสุขภาพ โทรคมนาคม และเทคโนโลยี[ 9 ]กลุ่มนี้ดำเนินกิจกรรมทางการเงินหลายอย่างในอุตสาหกรรมวิดีโอเกม รวมถึงสตูดิโอพัฒนา ผู้จัดจำหน่าย และผู้เผยแพร่[ 11 ]
บุคลากรที่เกี่ยวข้อง

ในกิจกรรมก่อนหน้านี้ APT 41 ได้ใช้โดเมนที่จดทะเบียนภายใต้ชื่อเล่น "Zhang Xuguang" ( ภาษาจีนตัวย่อ : 张旭光) และ "Wolfzhi" ตัวตนออนไลน์เหล่านี้เกี่ยวข้องกับการดำเนินงานของ APT 41 และฟอรัมออนไลน์ภาษาจีนเฉพาะ แม้ว่าจะไม่ทราบจำนวนบุคคลอื่นที่ทำงานให้กับกลุ่มก็ตาม[ 9 ] "Zhang Xuguang" มีกิจกรรมในฟอรัมออนไลน์ Chinese Hackers Alliance (ภาษาจีนตัวย่อ: 华夏黑 客同盟) ข้อมูลที่เกี่ยวข้องกับบุคคลนี้รวมถึงปีเกิดของเขาคือปี 1989 และเคยอาศัยอยู่ในมองโกเลียในของสาธารณรัฐประชาชนจีน[ 12 ]ตัวตนนี้ยังได้โพสต์ในฟอรัมเกี่ยวกับ เกมออนไลน์ Age of Wushuโดยใช้ชื่อเล่น "injuriesa" ในปี 2011 [ 9 ]อีเมลและโดเมนออนไลน์ที่เกี่ยวข้องกับ "Wolfzhi" ยังนำไปสู่โปรไฟล์ชุมชนวิทยาศาสตร์ข้อมูลอีกด้วย โพสต์ในฟอรัมยังบ่งชี้ว่าบุคคลดังกล่าวมาจากปักกิ่งหรือมณฑลใกล้เคียงอย่างเหอเป่ย[ 9 ] [ 12 ]
FBI ได้ออกประกาศจับ Haoran Zhang, Dailin Tan, Chuan Qian, Qiang Fu และ Lizhi Jiang ซึ่งพบว่ามีความเชื่อมโยงกับ APT 41 [ 1 ] Zhang และ Tan ถูกฟ้องร้องเมื่อวันที่ 15 สิงหาคม 2019 โดยคณะลูกขุนใหญ่ในเขตโคลัมเบียในข้อหาที่เกี่ยวข้องกับความผิดเกี่ยวกับการแฮ็ก เช่น การเข้าถึงคอมพิวเตอร์ที่ได้รับการคุ้มครองโดยไม่ได้รับอนุญาต การขโมยข้อมูลส่วนบุคคลอย่างร้ายแรง การฟอกเงิน และการฉ้อโกงทางอิเล็กทรอนิกส์[ 13 ]การกระทำเหล่านี้เกิดขึ้นกับบริษัทเทคโนโลยีขั้นสูง บริษัทเกม และบุคคลที่ไม่ระบุชื่ออีก 6 คนจากสหรัฐอเมริกาและสหราชอาณาจักรในขณะที่ทั้งสองทำงานร่วมกัน FBI ยังได้ตั้งข้อหา Qian, Fu และ Jiang เมื่อวันที่ 11 สิงหาคม 2020 ในข้อหาการฉ้อโกง การฟอกเงิน การฉ้อโกง และการขโมยข้อมูลส่วนบุคคล[ 13 ]ทั้งสามคนเป็นส่วนหนึ่งของทีมบริหารของบริษัท Chengdu 404 Network Technology ซึ่งทั้งสามคนและเพื่อนร่วมงานวางแผนโจมตีทางไซเบอร์ต่อบริษัทและบุคคลในอุตสาหกรรมต่างๆ เช่น การสื่อสาร สื่อ ความปลอดภัย และภาครัฐ[ 14 ] การ ปฏิบัติการดังกล่าวจะเกิด ขึ้น ในประเทศ ต่างๆเช่น สหรัฐอเมริกา บราซิล เยอรมนี อินเดีย ญี่ปุ่นสวีเดนอินโดนีเซียมาเลเซียปากีสถานสิงคโปร์เกาหลีใต้ไต้หวันและไทย [ 1 ]
ในเดือนสิงหาคม พ.ศ. 2563 Wong Ong Hua และ Ling Yang Ching ถูกตั้งข้อหาร่วมกันในคดีฉ้อโกง สมคบคิด ขโมยข้อมูลส่วนบุคคล ขโมยข้อมูลส่วนบุคคลอย่างร้ายแรง และฉ้อโกง เป็นต้น[ 1 ]กระทรวงยุติธรรมของสหรัฐอเมริการะบุว่านักธุรกิจชาวมาเลเซียทั้งสองคนทำงานร่วมกับแฮกเกอร์ชาวจีนเพื่อโจมตีบริษัทเกมในสหรัฐอเมริกา ฝรั่งเศส เกาหลีใต้ ญี่ปุ่น และสิงคโปร์ และแสวงหาผลกำไรจากปฏิบัติการเหล่านี้[ 15 ]แผนการเหล่านี้ โดยเฉพาะอย่างยิ่งการบุกรุกคอมพิวเตอร์หลายครั้งที่เกี่ยวข้องกับอุตสาหกรรมเกม ดำเนินการภายใต้บริษัท Sea Gamer Mall ของมาเลเซีย ซึ่งก่อตั้งโดย Wong [ 1 ]เมื่อวันที่ 14 กันยายน พ.ศ. 2563 ทางการมาเลเซียได้จับกุมบุคคลทั้งสองในเมืองสิตาวัน[ 1 ]
ความสัมพันธ์กับรัฐบาลจีน
การดำเนินงานของ APT 41 ถูกอธิบายว่าเป็น " การทำงานนอกเวลา " เนื่องจากความสมดุลระหว่างการจารกรรมที่ได้รับการสนับสนุนจากรัฐบาลจีน และกิจกรรมที่ได้รับแรงจูงใจทางการเงินนอกเหนือจากการอนุญาตของรัฐในช่วงเวลาพักผ่อน[ 9 ] [ 16 ] [ 17 ]ด้วยเหตุนี้ จึงเป็นการยากที่จะตรวจสอบว่าเหตุการณ์เฉพาะเจาะจงนั้นได้รับคำสั่งจากรัฐหรือไม่[ 18 ]องค์กรนี้ได้ดำเนินการหลายครั้งต่อ 14 ประเทศ โดยเฉพาะอย่างยิ่งสหรัฐอเมริกา กิจกรรมดังกล่าวรวมถึงเหตุการณ์การติดตาม การทำลายห่วงโซ่อุปทาน ทางธุรกิจ และการรวบรวมข้อมูลการเฝ้าระวัง[ 19 ]ในปี 2022 APT 41 ถูกเชื่อมโยงกับการขโมยเงินช่วยเหลือบรรเทาทุกข์ COVID-19 อย่างน้อย 20 ล้านดอลลาร์สหรัฐในสหรัฐอเมริกา[ 20 ]
APT 41 ใช้มัลแวร์จารกรรมทางไซเบอร์ ซึ่งโดยทั่วไปแล้วสงวนไว้เฉพาะสำหรับรัฐบาลจีน[ 21 ]ลักษณะนี้เป็นเรื่องปกติสำหรับภัยคุกคามขั้นสูงแบบต่อเนื่องอื่นๆ เนื่องจากทำให้พวกเขาสามารถรวบรวมข้อมูลเพื่อสอดแนมเป้าหมายที่มีชื่อเสียงหรือติดต่อกับเป้าหมายเหล่านั้นเพื่อรับข้อมูลที่เป็นประโยชน์ต่อผลประโยชน์ของชาติ[ 22 ]ความสัมพันธ์ของ APT 41 กับรัฐบาลจีนสามารถพิสูจน์ได้จากข้อเท็จจริงที่ว่าไม่มีข้อมูลใดๆ เหล่านี้อยู่ในดาร์กเว็บและอาจได้รับโดยพรรคคอมมิวนิสต์จีน[ 23 ]
การกำหนดเป้าหมาย APT 41 สอดคล้องกับแผนระดับชาติของรัฐบาลจีนในการก้าวเข้าสู่สาขาการวิจัยและพัฒนาขั้นสูงและเพิ่มขีดความสามารถในการผลิต ความคิดริเริ่มดังกล่าวสอดคล้องกับแผน " Made in China 2025 " ของรัฐบาลจีน ซึ่งมุ่งเป้าไปที่การย้ายการผลิตของจีนไปสู่สาขาที่มีมูลค่าสูง เช่นเภสัชกรรมเซมิคอนดักเตอร์และภาคส่วนเทคโนโลยีขั้นสูง อื่นๆ [ 9 ] [ 24 ]
FireEye ยังได้ประเมินด้วยความมั่นใจในระดับปานกลางว่า APT 41 อาจมีส่วนร่วมในงานรับจ้างที่เกี่ยวข้องกับรัฐบาลจีน บุคคลที่ระบุซึ่งเกี่ยวข้องกับกลุ่มนี้เคยโฆษณาทักษะของตนในฐานะแฮกเกอร์รับจ้าง การใช้ HOMEUNIX และ PHOTO ในการดำเนินงานส่วนตัวและที่ได้รับแรงจูงใจทางการเงิน ซึ่งเป็นมัลแวร์ที่บุคคลทั่วไปไม่สามารถเข้าถึงได้ซึ่งใช้โดยผู้ปฏิบัติการจารกรรมที่ได้รับการสนับสนุนจากรัฐอื่นๆ ก็เป็นหลักฐานยืนยันจุดยืนนี้เช่นกัน[ 9 ]ในประเทศจีนเป็นที่ยอมรับเช่นกันว่าแฮกเกอร์ที่มีทักษะสูงกว่ามักจะทำงานในภาคเอกชนภายใต้สัญญาของรัฐบาลเนื่องจากได้รับค่าตอบแทนที่สูงกว่า[ 25 ]รายงานของ FireEye ยังระบุด้วยว่ารัฐบาลจีนพึ่งพาผู้รับเหมาเพื่อช่วยเหลือในการดำเนินงานของรัฐอื่นๆ ที่มุ่งเน้นการจารกรรมทางไซเบอร์ ดังที่แสดงให้เห็นโดยภัยคุกคามขั้นสูงแบบต่อเนื่องของจีนก่อนหน้านี้ เช่นAPT 10 [ 9 ] [ 26 ]บางคนมองว่า APT 41 อาจประกอบด้วยพลเมืองจีนที่มีทักษะ ซึ่งถูกใช้งานและจ้างงานโดยรัฐบาลจีน ทำให้เกิดสมมติฐานว่าสมาชิกของกลุ่มมักทำงานสองงาน ซึ่งสอดคล้องกับชั่วโมงการทำงานของพวกเขา[ 9 ] [ 27 ]
เทคนิค
เทคนิคการปฏิบัติงานของ APT 41 มีความแตกต่าง โดยเฉพาะอย่างยิ่งในการใช้แบ็กดอร์ แบบพาสซีฟ เมื่อเทียบกับแบบดั้งเดิม ในขณะที่แบ็กดอร์แบบดั้งเดิมที่ใช้โดยภัยคุกคามขั้นสูงอื่นๆ นั้นตรวจจับได้ง่าย แต่เทคนิคนี้มักจะยากต่อการระบุมากกว่า[ 9 ]เทคนิคที่ใช้ในกิจกรรมของ APT 41 ที่มีแรงจูงใจทางการเงินยังรวมถึงการโจมตีห่วงโซ่อุปทาน ซอฟต์แวร์ ซึ่งทำให้พวกเขาสามารถแทรกโค้ดลงในไฟล์ที่ถูกต้องเพื่อแจกจ่าย ซึ่งเป็นอันตรายต่อองค์กรอื่นๆ โดยการขโมยข้อมูลและเปลี่ยนแปลงระบบ[ 28 ] มักมีการใช้งานมัลแวร์ที่ซับซ้อนเพื่อไม่ให้ถูกตรวจพบในขณะที่ดึงข้อมูล[ 27 ]บูทคิตก็เป็นมัลแวร์ประเภทหนึ่งที่กลุ่มนี้ใช้ ซึ่งตรวจจับได้ยากและยากต่อการค้นหาในกลุ่มจารกรรมทางไซเบอร์และอาชญากรรมไซเบอร์ อื่นๆ ทำให้ระบบรักษาความปลอดภัยตรวจจับโค้ดที่เป็นอันตรายได้ยากขึ้น[ 9 ] พวกเขายังใช้ Deadeye launcher และมัลแวร์ Lowkey เพื่อทำการสอดแนมทันทีในขณะที่ยังไม่ถูกตรวจพบ[ 29 ]
งานวิจัยล่าสุดเน้นย้ำถึงการใช้ใบรับรอง TLS ที่ดัดแปลงของ Double Dragon (APT41) โดยเฉพาะ wolfSSL เพื่อปกปิดโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) ของพวกเขา ด้วยการปรับแต่งฟิลด์เพื่อสร้างลายนิ้วมือ JA4X ที่ไม่ซ้ำกัน พวกเขาจึงหลบเลี่ยงการตรวจจับในขณะที่พัฒนากลยุทธ์การจารกรรมทางไซเบอร์ของพวกเขา[ 30 ]
อีเมลสเปียร์ฟิชชิ่งถูกใช้เป็นประจำโดย APT 41 ทั้งในการจารกรรมทางไซเบอร์และการโจมตีทางการเงิน[ 11 ]กลุ่มนี้ได้ส่งอีเมลหลอกลวงจำนวนมากซึ่งพยายามจะดึงข้อมูลจากเป้าหมายระดับสูงหลังจากรวบรวมข้อมูลส่วนบุคคลเพื่อเพิ่มโอกาสในการประสบความสำเร็จ[ 31 ]เป้าหมายมีความหลากหลาย ตั้งแต่กลุ่มสื่อสำหรับการจารกรรมไปจนถึง การแลกเปลี่ยน บิตคอยน์เพื่อผลประโยชน์ทางการเงิน[ 9 ]
กิจกรรม
กิจกรรมจารกรรม
FireEye ระบุว่าการกำหนดเป้าหมายของ APT 41 สอดคล้องกับยุทธศาสตร์และเป้าหมายระดับชาติของจีน โดยเฉพาะอย่างยิ่งในด้านเทคโนโลยี[ 9 ] [ 27 ] [ 32 ]การกำหนดเป้าหมายบริษัทเทคโนโลยีสอดคล้องกับความสนใจของจีนในการพัฒนาเครื่องมือไฮเทคภายในประเทศ ดังที่แสดงให้เห็นในแผนพัฒนาเศรษฐกิจและสังคมแห่งชาติฉบับที่ 12 และ 13 [ 9 ] FireEye เชื่อว่าการโจมตีองค์กรในภาคส่วนต่างๆ เป็นการบ่งชี้ว่า APT 41 กำลังปฏิบัติภารกิจที่ได้รับมอบหมายโดยเฉพาะ แคมเปญที่ระบุว่าเป็นของ APT 41 ยังแสดงให้เห็นว่ากลุ่มนี้ถูกใช้เพื่อรวบรวมข้อมูลก่อนเหตุการณ์ทางการเมืองและการเงินที่สำคัญ[ 9 ] [ 32 ]พวกเขาโจมตีบริษัทใน 14 ประเทศ (และฮ่องกง) รวมถึงฝรั่งเศส อินเดีย อิตาลี ญี่ปุ่น เมียนมาร์ เนเธอร์แลนด์ สิงคโปร์ เกาหลีใต้ แอฟริกาใต้ สวิตเซอร์แลนด์ ไทย ตุรกี สหราชอาณาจักร และสหรัฐอเมริกา[ 33 ]นอกจากนี้ยังพบพวกเขาในอุตสาหกรรมต่างๆ อีกหลายแห่ง รวมถึงการดูแลสุขภาพ โทรคมนาคม และเทคโนโลยี[ 33 ]
บริษัทTeamViewer AG ของเยอรมนี ซึ่งเป็นผู้พัฒนาซอฟต์แวร์ยอดนิยมชื่อเดียวกันที่อนุญาตให้ควบคุมระบบจากระยะไกล ถูกแฮ็กโดย APT 41 ในเดือนมิถุนายน 2016 ตามรายงานจากการประชุมด้านความปลอดภัยของ FireEye [ 34 ]กลุ่มดังกล่าวสามารถเข้าถึงระบบของผู้ใช้ TeamViewer ทั่วโลกและได้รับรายละเอียดการจัดการและข้อมูลเกี่ยวกับธุรกิจ[ 34 ]ในปี 2021 APT 41 ได้เปิดตัวการหลอกลวงแบบฟิชชิ่งหลายครั้งในอินเดีย ซึ่งถูกค้นพบโดยBlackBerry Research and Intelligenceพวกเขายังขโมยข้อมูลที่เกี่ยวข้องกับกฎหมายภาษีใหม่และบันทึกและสถิติเกี่ยวกับ COVID-19กลุ่มดังกล่าวปลอมตัวเป็นรัฐบาลอินเดียเพื่อไม่ให้ถูกตรวจพบ[ 29 ]
ในเดือนกันยายน พ.ศ. 2568 นักวิเคราะห์ไซเบอร์ของสหรัฐฯ ระบุว่า APT 41 เป็นผู้ก่อเหตุในแคมเปญฟิชชิงในเดือนกรกฎาคม โดยส่งอีเมลปลอมตัวเป็นส.ส. จอห์น มูเลนาร์ของสหรัฐฯและมีมัลแวร์ส่งไปยังกลุ่มการค้า บริษัทกฎหมาย และหน่วยงานรัฐบาล โดยมีเป้าหมายเพื่อแสวงหาข้อมูลเชิงลึกเกี่ยวกับการเจรจาการค้าระหว่างสหรัฐฯ กับจีน[ 35 ]
กิจกรรมที่มีแรงจูงใจทางการเงิน
APT 41 มุ่งเป้าไปที่อุตสาหกรรมวิดีโอเกมเป็นส่วนใหญ่ โดยมุ่งเน้นที่ผลกำไรทางการเงิน[ 9 ]ฟอรัมอินเทอร์เน็ตของจีนระบุว่าสมาชิกที่เกี่ยวข้องกับ APT 41 ได้โฆษณาทักษะการแฮ็กของพวกเขานอกเวลาทำการของสำนักงานจีนเพื่อผลกำไรของตนเอง[ 27 ]ในกรณีหนึ่งที่ FireEye รายงาน กลุ่มนี้สามารถสร้างสกุลเงินในเกมเสมือนจริงและขายให้กับผู้ซื้อผ่านตลาดใต้ดินและแผนการฟอกเงิน[ 1 ] [ 9 ] [ 19 ]ซึ่งอาจขายได้ในราคาสูงถึง 300,000 ดอลลาร์สหรัฐ[ 32 ]แม้ว่าจะไม่ใช่วิธีการทั่วไปที่กลุ่มใช้ในการเก็บเงิน แต่ APT 41 ก็พยายามใช้แรนซัมแวร์เพื่อสร้างผลกำไรจากการดำเนินงานของพวกเขา[ 9 ]
รายงานของ FireEye ระบุว่า เนื่องจากกิจกรรมที่มุ่งหวังผลกำไรทางการเงินส่วนใหญ่ของ APT 41 เกิดขึ้นในช่วงดึกหรือเช้าตรู่ ซึ่งอาจหมายความว่ากิจกรรมเหล่านี้ไม่เกี่ยวข้องกับกิจกรรมการจารกรรมของพวกเขาเลย[ 9 ]รายงานของ FireEye ระบุว่า กิจกรรมของ APT 41 โดยเฉลี่ยจะอยู่ระหว่างเวลา 10:00 ถึง 23:00 ตามเวลามาตรฐานจีนซึ่งเป็นเวลาปกติสำหรับพนักงานด้านเทคโนโลยีชาวจีนที่ปฏิบัติตามตารางการทำงานแบบ " 996 " [ 9 ]
APT 41 ใช้ใบรับรองดิจิทัลที่ได้รับจากนักพัฒนาและผู้ผลิตวิดีโอเกมเพื่อลงนามมัลแวร์ของพวกเขา[ 1 ] [ 36 ]ด้วยการใช้ใบรับรองดิจิทัลมากกว่า 19 รายการ พวกเขากำหนดเป้าหมายทั้งองค์กรเกมและองค์กรที่ไม่ใช่เกมเพื่อหลีกเลี่ยงการตรวจจับและรับรองความเข้ากันได้กับระบบของเป้าหมาย[ 9 ]ในปี 2012 APT 41 ได้ใช้ใบรับรองจากผู้เผยแพร่เกมชาวเกาหลีใต้เพื่อลงนามมัลแวร์ที่พวกเขาใช้โจมตีสมาชิกรายอื่นในอุตสาหกรรมเกม[ 9 ]ในปี 2021 APT 41 ได้เปิดฉากโจมตีอุตสาหกรรมการพนันที่ผิดกฎหมายในประเทศจีน[ 37 ]
กระทรวงยุติธรรมสหรัฐฯ
เมื่อวันที่ 16 กันยายน 2020 กระทรวงยุติธรรมของสหรัฐอเมริกาได้เปิดเผยข้อกล่าวหาที่ถูกปิดเป็นความลับก่อนหน้านี้ต่อพลเมืองชาวจีน 5 คนและชาวมาเลเซีย 2 คน ในข้อหาแฮ็กบริษัทมากกว่า 100 แห่งทั่วโลก[ 1 ] [ 38 ]ซึ่งรวมถึงบริษัทที่เกี่ยวข้องกับสื่อสังคมออนไลน์ มหาวิทยาลัย ผู้ให้บริการโทรคมนาคม การพัฒนาซอฟต์แวร์ ฮาร์ดแวร์คอมพิวเตอร์ วิดีโอเกม องค์กรไม่แสวงหาผลกำไร สถาบันวิจัย รัฐบาลต่างประเทศ และผู้สนับสนุนประชาธิปไตยในฮ่องกง[ 1 ] [ 39 ]การโจมตีดังกล่าวเกี่ยวข้องกับการขโมยรหัส ใบรับรองการลงนามรหัส ข้อมูลลูกค้า และข้อมูลทางธุรกิจ[ 38 ]รองอัยการสูงสุดเจฟฟรีย์ โรเซนกล่าวว่าการกระทำเหล่านี้เกี่ยวข้องกับการที่แฮ็กเกอร์ฝัง "ประตูหลัง" เข้าไปในซอฟต์แวร์ ซึ่งอนุญาตให้เข้าถึงระบบของลูกค้าของผู้ให้บริการซอฟต์แวร์ได้โดยตรง[ 40 ]แฮ็กเกอร์ชาวจีนสองคนยังได้ทำการโจมตีอุตสาหกรรมเกมของสหรัฐฯ ซึ่งเกี่ยวข้องกับบริษัทอย่างน้อย 6 แห่งในนิวยอร์ก เท็กซัส วอชิงตันอิลลินอยส์ แคลิฟอร์เนีย และสหราชอาณาจักร[ 38 ]
ศาลแขวงสหรัฐฯประจำเขตโคลัมเบียได้ออกหมายเรียกให้ยึดบัญชี เซิร์ฟเวอร์ ชื่อโดเมน และเว็บเพจที่แฮกเกอร์ใช้ในการปฏิบัติการ สำนักงานสอบสวนกลาง (FBI)มีหน้าที่รับผิดชอบในการดำเนินการตามหมายเรียก เช่นเดียวกับบริษัทเอกชนอื่นๆ[ 1 ]ไมโครซอฟต์ยังได้พัฒนามาตรการทางเทคนิคเพื่อป้องกันการเข้าถึงระบบคอมพิวเตอร์ของเหยื่ออย่างต่อเนื่อง สำนักงานสอบสวนกลางได้เผยแพร่รายงานที่มีข้อมูลทางเทคนิคที่กลุ่มเอกชนสามารถนำไปใช้ได้[ 1 ]
กระทรวงยุติธรรมแสดงความยินดีกับรัฐบาลมาเลเซีย โดยเฉพาะสำนักงานอัยการสูงสุดของมาเลเซียและตำรวจมาเลเซียที่ให้ความร่วมมือและช่วยเหลือในการจับกุมชาวมาเลย์สองคน โดยเฉพาะอย่างยิ่งเนื่องจากความยากลำบากในการจับกุมแฮกเกอร์ต่างชาติโดยทั่วไป[ 1 ] [ 39 ]ข่าวประชาสัมพันธ์ระบุว่า Microsoft, Google, Facebook และVerizon Mediaเป็นกลุ่มที่ช่วยในการสืบสวน[ 1 ] FBI ยังให้เครดิตแก่สำนักงานสืบสวนกระทรวงยุติธรรม ของไต้หวัน ซึ่งช่วยให้ข้อมูลแก่ทางการสหรัฐฯ หลังจากค้นพบเซิร์ฟเวอร์ APT 41 ที่ตั้งขึ้นในแคลิฟอร์เนีย[ 41 ] [ 42 ]
ในทางตรงกันข้าม โรเซนวิจารณ์พรรคคอมมิวนิสต์จีนที่ไม่ดำเนินการใดๆ เมื่อพูดถึงการช่วยเหลือ FBI ในการจับกุมแฮกเกอร์ชาวจีน 5 คนที่เกี่ยวข้องกับ APT 41 [ 39 ] [ 40 ]โรเซนยังอ้างว่าพรรคคอมมิวนิสต์จีนกำลัง "ทำให้จีนปลอดภัยสำหรับอาชญากรไซเบอร์ของพวกเขา" เนื่องจากพวกเขายังคงให้ความช่วยเหลือในการจารกรรม[ 40 ]หวัง เหวินปินโฆษกกระทรวงการต่างประเทศจีนกล่าวว่า สหรัฐฯ ใช้ปัญหาด้านความมั่นคงทางไซเบอร์ของตนเองเพื่อ "โจมตีจีน" ผ่านการเผยแพร่ข้อมูลเท็จและการบิดเบือนทางการเมือง[ 38 ]
การประกาศนี้เกิดขึ้นระหว่างการรณรงค์หาเสียงเลือกตั้งใหม่ของประธานาธิบดีโดนัลด์ ทรัมป์โดยเชื่อมโยงพรรคคอมมิวนิสต์จีนกับการโจมตีทางไซเบอร์ต่างๆ จีนถูกระบุร่วมกับรัสเซียและอิหร่านในการประเมินภัยคุกคามระดับชาติต่อการเลือกตั้ง[ 40 ] [ 43 ]
การเชื่อมโยงกับกลุ่มอื่นๆ
APT 41 มีกิจกรรมที่ทับซ้อนกับการรายงานสาธารณะเกี่ยวกับกลุ่มอื่นๆ เช่น Barium และ Winnti [ 2 ]ในแง่ของเทคนิค มีความทับซ้อนกันมากมายในใบรับรองดิจิทัลและมัลแวร์ ตามรายงานของ FireEye หนึ่งในความคล้ายคลึงที่โดดเด่นที่สุดคือการใช้มัลแวร์ที่คล้ายกัน โดยเฉพาะ HIGHNOON ในกิจกรรมต่างๆ[ 2 ]การใช้มัลแวร์ HIGHNOON ได้รับการรายงานโดย FireEye และจัดกลุ่มไว้ภายใต้กลุ่ม APT 15 (หรือที่รู้จักกันในชื่อ Ke3chang, Vixen Panda, GREF, Playful Dragon) [ 9 ]อย่างไรก็ตาม ต่อมาพบว่าเป็นผลงานของกลุ่มชาวจีนหลายกลุ่มที่ใช้เครื่องมือและกลยุทธ์ร่วมกัน ใบรับรองดิจิทัลที่เผยแพร่โดยบริษัทเกมYNK ประเทศญี่ปุ่นถูกใช้โดย APT 41 เช่นเดียวกับกลุ่ม APT อื่นๆ เช่น APT 17 และ APT 20 [ 9 ]ใบรับรองดิจิทัลที่อ้างว่ามาจากหน่วยงานออกใบรับรองของ Microsoft ก็ถูกใช้โดย APT 41 และ APT 40 เช่นกัน [ 9 ]มัลแวร์ที่ไม่เปิดเผยต่อสาธารณะที่ APT 41 ใช้เชื่อมโยงกับกลุ่มอื่นๆ ที่ถูกกล่าวหาว่าได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งอาจบ่งชี้ว่า APT 41 ได้แบ่งปันทรัพยากรกับกลุ่มอื่นๆ[ 9 ] [ 17 ]ในปี 2024 ผู้เชี่ยวชาญด้านความปลอดภัยทางอินเทอร์เน็ตเชื่อว่าi-Soonเกี่ยวข้องกับ APT 41 โดยการวิจัยกิจกรรมของพวกเขาจากเอกสารที่รั่วไหล[ 44 ]