Pandas in action : analysis of China related advanced persistent threat actors’ tactics, techniques & procedures

Abstract

Yhdysvallat on jo pitkään ollut kyberavaruuden johtava valtio, mutta idästä on nousemassa haastaja. Kiinan yrittäessä kasvattaa valtaansa kyberavaruudessa on siihen liitettyjen kohdistettujen haittaohjelmahyökkäysten määrä kasvussa. Nämä kyberhyökkäykset kohdistuvat sekä valtion hallintoon että yrityksiin päämääränään tiedon kerääminen tai muun halutun toimenpiteen suorittaminen. Kyberturvallisuustoimijat voivat puolestaan analysoida kyberhyökkäyksiä saadakseen arvokasta kyberuhkatietoa tunkeutumisindikaattoreista sekä käytetyistä tekniikoista, taktiikoista ja toimintamalleista. Näitä tietoja voidaan tarkentaa edelleen esimerkiksi erilaisin luokitteluin. Tässä tutkimuksessa analysoitiin 41 eri kyberturvallisuusyrityksen raporttia, joissa attribuutio oli määritetty Kiinaan liittyviin kohdistettuihin haittaohjelmahyökkäyksiin ja tunnistettiin erilaisia toimintamalleja sisällönanalyysin avulla. Lockheed Martinin Cyber Kill Chain- ja MITRE ATT&CK-viitekehyksiä käytettiin Kiinaan liitetyiden kohdistettujen haittaohjelmahyökkäysten taktiikoiden, tekniikoiden ja toimintamallien havaitsemiseen. Tulokset osoittivat, että kiinalaiset kohdistetut haittaohjelmahyökkäykset suorittivat ensin kohdeorganisaatioiden tietojen keräämisen. Tämän jälkeen kehittivät hyökkäyskyvyn ja toimittivat kyberaseen kohteeseen hyödyntämällä tietojenkalastelua, yleensä keihäskalastelua. Kun kyberase oli toimitettu, komentotulkkia käytettiin kohdejärjestelmän hyödyntämiseen. Hyödyntämisen jälkeen hyökkäys jatkui webshell-takaportin, takaoven tai vastaavan asentamisella, minkä jälkeen yhteys komento- ja kontrolliverkkoon avattiin sovelluskerroksen protokollia käyttäen. Lopuksi hyökkäys vietiin päätökseen käyttämällä erilaisia etäkäyttötyökaluja tietojen varastamiseen tai hyökkäyksen laajentamiseen.

For long, the United States has been the single first tier power in cyberspace, but there is a rising contender from the east. As China is trying to advance their reach in cyberspace, China related Advanced Persistent Threat cyber-attacks are growing in numbers. These Advanced Persistent Threat cyber-attacks target both the government and companies alike in order to gain valuable information or perform other desired actions. Cyber security actors can in turn analyse cyber-attacks to gain valuable cyber threat intelligence from different indicators of compromise to used techniques, tactics, and procedures. This information is further refined by categorizing it for example to a form of a taxonomy. This thesis consisted of an analysis of 41 different cyber security companies’ reports that had been attributed to China related Advanced Persistent Threat cyber-attacks and identified different procedures with content analysis. Lockheed Martin’s Cyber Kill Chain and MITRE ATT&CK frameworks were used to discover China related Advanced Persistent Threat cyber-attack tactics, techniques, and procedures. The results showed that the Chinese APT cyber-attacks relied first on gathering the victim organizations information, then developed capabilities to attack and delivered the weapon to the target by utilizing phishing, usually spear phishing. Once the weapon was delivered, command and scripting interpreter was utilized to exploit the target system. After the exploitation, the attack continued with installation of a web shell, backdoor or something similar and contacted the command-and-control network utilizing application layer protocols. Finally, the attack was concluded using different remote access tools to exfiltrate data or to expand the attack.