ថ្ងៃទី២៧ ខែធ្នូ ឆ្នាំ២០៥០
សារព័ត៌មាន ខ្មែរជាយដែន ( ជាសារព័ត៌មានឯករាជ្យ ទាន់ហេតុការណ៍ ចំពោះព្រឹត្តិការណ៍កើតឡើងនៅក្នុងប្រទេសកម្ពុជា )​ហ៊ាននិយាយការពិត ប្រសើរជាងនិយាយការពារ
ក្រុមសង្រ្គោះជនជាតិចិន TEMP.Periscope ផ្ដោតគោលដៅប្រទេសកម្ពុជាមុនខែកក្កដាឆ្នាំ 2018 ការបោះឆ្នោតនិងបង្ហាញពីប្រតិបត្តិការទូលំទូលាយទូទាំងពិភពលោក
Wed,11 July 2018 (Time 05:40 PM)
ដោយ ៖ តារារ័ត្ន (ចំនួនអ្នកអាន: 2489នាក់)


FireEye បានពិនិត្យមើលសកម្មភាពមួយចំនួនរបស់ TEMP.Periscope ដែលបង្ហាញពីចំណាប់អារម្មណ៍យ៉ាងទូលំទូលាយនៅក្នុងនយោបាយរបស់ប្រទេសកម្ពុជាដោយមានការសម្រុះសម្រួលយ៉ាងសកម្មនៃអង្គភាពកម្ពុជាជាច្រើនដែលទាក់ទងទៅនឹងប្រព័ន្ធបោះឆ្នោតរបស់ប្រទេស។ នេះរាប់បញ្ចូលទាំងការសម្រុះសម្រួលរបស់រដ្ឋាភិបាលកម្ពុជាដែលទទួលបន្ទុកគ្រប់គ្រងការបោះឆ្នោតក៏ដូចជាការកំណត់ទិសដៅនៃតួលេខប្រឆាំង។ យុទ្ធនាការនេះកើតឡើងនៅក្នុងការបោះឆ្នោតទូទៅនៅថ្ងៃទី 29 ខែកក្កដាឆ្នាំ 2018 ។ TEMP.Periscope បានប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធដូចគ្នាសម្រាប់សកម្មភាពជាច្រើនប្រឆាំងនឹងគោលដៅប្រពៃណីផ្សេងទៀតដូចជាមូលដ្ឋានឧស្សាហកម្មការពារជាតិនៅសហរដ្ឋអាមេរិកនិងក្រុមហ៊ុនគីមីមួយដែលមានមូលដ្ឋាននៅទ្វីបអឺរ៉ុប។ ការប្រកាសកំណត់ហេតុបណ្ដាញលើកមុនរបស់យើងផ្តោតលើការកំណត់គោលដៅរបស់អង្គភាពលើផ្នែកវិស្វកម្មនិងដែនសមុទ្រនៅសហរដ្ឋអាមេរិក។

សរុបមកសកម្មភាពនេះបង្ហាញថាក្រុមនេះរក្សានូវស្ថាបត្យកម្មការឈ្លានពានយ៉ាងទូលំទូលាយនិងឧបករណ៍ជាច្រើនដែលមានលក្ខណៈព្យាបាទហើយតម្រង់គោលដៅលើជនរងគ្រោះដ៏ធំដែលស្របតាមកិច្ចប្រឹងប្រែង APT ដែលមានមូលដ្ឋាននៅប្រទេសចិន។ យើងរំពឹងថាសកម្មភាពនេះនឹងផ្តល់ឱ្យរដ្ឋាភិបាលចិននូវភាពទូលំទូលាយក្នុងការបោះឆ្នោតនិងប្រតិបត្តិការរបស់រដ្ឋាភិបាលកម្ពុជា។ លើសពីនេះទៀតក្រុមនេះអាចនឹងអាចអនុវត្តការរំលោភបំពានខ្នាតធំជាច្រើននៅពេលដំណាលគ្នានៅទូទាំងជួរជនរងគ្រោះប្រភេទជាច្រើន។

ការវិភាគរបស់យើងក៏បានពង្រឹងគុណសម្បត្តិជាទូទៅនៃក្រុមនេះផងដែរ។ យើងបានសង្កេតឃើញឧបករណ៍ដែលយើងបានចងក្រងពីមុនមកជាមួយក្រុមគោលដៅរបស់ពួកគេគឺស្របទៅនឹងកិច្ចខិតខំប្រឹងប្រែងរបស់ក្រុមកាលពីមុនហើយក៏មានភាពស្រដៀងគ្នាទៅនឹងកិច្ចខិតខំប្រឹងប្រែង APT របស់ចិនហើយយើងបានកំណត់អត្តសញ្ញាណអាសយដ្ឋាន IP ដែលមានប្រភពនៅហៃណានប្រទេសចិនដែលត្រូវបានប្រើប្រាស់ដើម្បីចូលដំណើរការនិងគ្រប់គ្រងពីចម្ងាយ។ ពាក្យបញ្ជានិងបញ្ជា (C2) ម៉ាស៊ីនមេ។
ប្រវត្តិសាស្រ្ត TEMP.Periscope

សកម្មតាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2013 TEMP.Periscope បានផ្តោតជាចម្បងទៅលើគោលដៅពាក់ព័ន្ធនឹងដែនសមុទ្រពាសពេញតាមច្រើនរាប់បញ្ចូលទាំងសហគ្រាសវិស្វកម្មដឹកជញ្ជូននិងដឹកជញ្ជូនផលិតកម្មការពារការិយាល័យរដ្ឋាភិបាលនិងសាកលវិទ្យាល័យស្រាវជ្រាវ (គោលដៅត្រូវបានសង្ខេបនៅក្នុងរូបភាពទី 1) ។ ក្រុមនេះក៏បានសំដៅទៅលើសេវាកម្មវិជ្ជាជីវៈ / ពិគ្រោះយោបល់ឧស្សាហកម្មបច្ចេកវិទ្យាខ្ពស់ការថែទាំសុខភាពនិងប្រព័ន្ធផ្សព្វផ្សាយ / ការបោះពុម្ពផ្សាយ។ TEMP.Periscope ត្រួតលើគ្នាក្នុងការកំណត់គោលដៅក៏ដូចជាយុទ្ធសាស្រ្តបច្ចេកទេសនិងនីតិវិធី (TTPs) ជាមួយ TEMP .Jumper ក្រុមដែលគ្របដណ្ដប់យ៉ាងខ្លាំងជាមួយនឹងការរាយការណ៍ជាសាធារណៈដោយ Proofpoint និង F-Secure លើ "NanHaiShu" ។
FireEye បានវិភាគឯកសារលើលិបិក្រមចំហ 3 ដែលគេជឿថាត្រូវបានគ្រប់គ្រងដោយ TEMP.Periscope ដែលផ្តល់នូវការយល់ដឹងទៅក្នុងគោលបំណងរបស់ក្រុមយុទ្ធវិធីប្រតិបត្តិការនិងចំនួនទឹកប្រាក់ជាក់លាក់នៃការបញ្ជាក់ / ការបញ្ជាក់បច្ចេកទេស។ ឯកសារទាំងនេះត្រូវបាន "បង្កើតលិបិក្រមបើកចំហ" ហើយដូច្នេះអាចចូលដំណើរការបានដល់នរណាម្នាក់នៅលើអ៊ីធឺណិតសាធារណៈ។ សកម្មភាព TEMP.Periscope នេះនៅលើម៉ាស៊ីនមេទាំងនេះបានពង្រីកយ៉ាងហោចណាស់ចាប់ពីខែមេសាឆ្នាំ 2017 រហូតមកដល់បច្ចុប្បន្នដោយមានប្រតិបត្តិការថ្មីៗបំផុតដែលផ្តោតលើរដ្ឋាភិបាលកម្ពុជានិងការបោះឆ្នោត។

    ម៉ាស៊ីនបម្រើពីរគឺ chemscalere [។ ] com និង scsnewstoday [។ ] com ដំណើរការជាម៉ាស៊ីនបម្រើ C2 ធម្មតានិងគេហទំព័របង្ហោះខណៈពេលទីបីគឺ mlcdailynews [។ ] com ដំណើរការជាម៉ាស៊ីនបម្រើសកម្ម SCANBOX ។ ម៉ាស៊ីនបម្រើ C2 មានទាំងកំណត់ហេតុនិងមេរោគ។
    
ការវិភាគនៃកំណត់ហេតុពីម៉ាស៊ីនមេបីបានបង្ហាញ:
        
ការចូលសម្តែងតួអង្គមានសក្តានុពលពីអាសយដ្ឋាន IP ដែលស្ថិតនៅក្នុងខេត្តហៃណានប្រទេសចិនដែលត្រូវបានប្រើប្រាស់ដើម្បីចូលទៅកាន់និងគ្រប់គ្រងម៉ាស៊ីនមេហើយទាក់ទងជាមួយមេរោគដែលបានដាក់ពង្រាយនៅអង្គការជនរងគ្រោះ។
        
ការត្រួតពិនិត្យនិងបញ្ជាពី Malware ពីអង្គការជនរងគ្រោះនៅក្នុងវិស័យអប់រំអាកាសចរណ៍គីមីការពារតំបន់រដ្ឋាភិបាលវិស័យនាវាចរណ៍និងបច្ចេកវិទ្យានៅទូទាំងតំបន់ជាច្រើន។ FireEye បានជូនដំណឹងដល់ជនរងគ្រោះទាំងអស់ថាយើងអាចកំណត់អត្តសញ្ញាណ។
    
មេរោគដែលមានវត្តមាននៅលើម៉ាស៊ីនមេរួមមានគ្រួសារថ្មី (DADBOD, EVILTECH) និងក្រុមគ្រួសារមេរោគដែលបានសម្គាល់ពីមុន (AIRBREAK, EVILTECH, HOMEFRY, MURKYTOP, HTRAN, និង SCANBOX) ។

ការបំពានលើអង្គភាពបោះឆ្នោតកម្ពុជា

ការវិភាគលើពាក្យបញ្ជានិងការត្រួតពិនិត្យនៅលើម៉ាស៊ីនមេបានបង្ហាញពីការសម្រុះសម្រួលនៃអង្គភាពជាច្រើនរបស់កម្ពុជាជាពិសេសទាក់ទងនឹងការបោះឆ្នោតនាខែកក្កដាឆ្នាំ 2018 ។ លើសពីនេះទៀតអ៊ីម៉ែលបន្លំលួចដាច់ដោយឡែកមួយដែលត្រូវបានវិភាគដោយ FireEye បង្ហាញពីការសំដៅទៅលើតួអង្គប្រឆាំងក្នុងប្រទេសកម្ពុជាដោយ TEMP.Periscope ។

ការវិភាគបានបង្ហាញថាអង្គការនិងបុគ្គលរបស់រដ្ឋាភិបាលកម្ពុជាដូចខាងក្រោមត្រូវបានសម្របសម្រួលដោយ TEMP.Periscope:

    
គណៈកម្មការជាតិរៀបចំការបោះឆ្នោតក្រសួងមហាផ្ទៃក្រសួងការបរទេសនិងសហប្រតិបត្តិការអន្តរជាតិព្រឹទ្ធសភាកម្ពុជាក្រសួងសេដ្ឋកិច្ចនិងហិរញ្ញវត្ថុ
    
សមាជិកព្រឹទ្ធសភាតំណាងឱ្យគណបក្សសង្គ្រោះជាតិ
    
ប្រជាពលរដ្ឋកម្ពុជាច្រើននាក់ដែលគាំទ្រសិទ្ធិមនុស្សនិងលទ្ធិប្រជាធិបតេយ្យដែលបានសរសេរយ៉ាងតឹងរ៉ឹងអំពីគណបក្សកាន់អំណាចបច្ចុប្បន្ន
    
អ្នកការទូតខ្មែរពីរនាក់បម្រើការនៅបរទេស
    
អង្គភាពប្រព័ន្ធផ្សព្វផ្សាយកម្ពុជាជាច្រើន

TEMP.Periscope បានផ្ញើលំពែងមួយជាមួយ AIR BREAK malware ទៅ Monovithya Kem អគ្គនាយករងកិច្ចការសាធារណៈគណបក្សសង្គ្រោះជាតិនិងកូនស្រីរបស់លោកកឹមសុខាប្រធានគណបក្សប្រឆាំង (រូបភាពទី 2) ។ ឯកសារស្តីអំពីការប្រឌិតនេះមកពីលីកាដូ (អង្គការក្រៅរដ្ឋាភិបាល) នៅកម្ពុជាដែលបានបង្កើតឡើងនៅឆ្នាំ 1992 ដើម្បីលើកកម្ពស់សិទ្ធិមនុស្ស។ គំរូនេះមានអានុភាព scsnewstoday [។ ] com សម្រាប់
C2 ។

Chinese Espionage Group TEMP.Periscope Targets Cambodia Ahead of July 2018 Elections and Reveals Broad Operations Globally

Introduction

FireEye has examined a range of TEMP.Periscope activity revealing extensive interest in Cambodia's politics, with active compromises of multiple Cambodian entities related to the country’s electoral system. This includes compromises of Cambodian government entities charged with overseeing the elections, as well as the targeting of opposition figures. This campaign occurs in the run up to the country’s July 29, 2018, general elections. TEMP.Periscope used the same infrastructure for a range of activity against other more traditional targets, including the defense industrial base in the United States and a chemical company based in Europe. Our previous blog post focused on the group’s targeting of engineering and maritime entities in the United States.

Overall, this activity indicates that the group maintains an extensive intrusion architecture and wide array of malicious tools, and targets a large victim set, which is in line with typical Chinese-based APT efforts. We expect this activity to provide the Chinese government with widespread visibility into Cambodian elections and government operations. Additionally, this group is clearly able to run several large-scale intrusions concurrently across a wide range of victim types.

Our analysis also strengthened our overall attribution of this group. We observed the toolsets we previously attributed to this group, their observed targets are in line with past group efforts and also highly similar to known Chinese APT efforts, and we identified an IP address originating in Hainan, China that was used to remotely access and administer a command and control (C2) server.

TEMP.Periscope Background

Active since at least 2013, TEMP.Periscope has primarily focused on maritime-related targets across multiple verticals, including engineering firms, shipping and transportation, manufacturing, defense, government offices, and research universities (targeting is summarized in Figure 1). The group has also targeted professional/consulting services, high-tech industry, healthcare, and media/publishing. TEMP.Periscope overlaps in targeting, as well as tactics, techniques, and procedures (TTPs), with TEMP.Jumper, a group that also overlaps significantly with public reporting by Proofpoint and F-Secure on "NanHaiShu."

Incident Background

FireEye analyzed files on three open indexes believed to be controlled by TEMP.Periscope, which yielded insight into the group's objectives, operational tactics, and a significant amount of technical attribution/validation. These files were "open indexed" and thus accessible to anyone on the public internet. This TEMP.Periscope activity on these servers extends from at least April 2017 to the present, with the most current operations focusing on Cambodia's government and elections.

  • Two servers, chemscalere[.]com and scsnewstoday[.]com, operate as typical C2 servers and hosting sites, while the third, mlcdailynews[.]com, functions as an active SCANBOX server. The C2 servers contained both logs and malware.
  • Analysis of logs from the three servers revealed:
    • Potential actor logins from an IP address located in Hainan, China that was used to remotely access and administer the servers, and interact with malware deployed at victim organizations.
    • Malware command and control check-ins from victim organizations in the education, aviation, chemical, defense, government, maritime, and technology sectors across multiple regions. FireEye has notified all of the victims that we were able to identify.
  • The malware present on the servers included both new families (DADBOD, EVILTECH) and previously identified malware families (AIRBREAK, EVILTECH, HOMEFRY, MURKYTOP, HTRAN, and SCANBOX) .

Compromises of Cambodian Election Entities

Analysis of command and control logs on the servers revealed compromises of multiple Cambodian entities, primarily those relating to the upcoming July 2018 elections. In addition, a separate spear phishing email analyzed by FireEye indicates concurrent targeting of opposition figures within Cambodia by TEMP.Periscope.

Analysis indicated that the following Cambodian government organizations and individuals were compromised by TEMP.Periscope:

  • National Election Commission, Ministry of the Interior, Ministry of Foreign Affairs and International Cooperation, Cambodian Senate, Ministry of Economics and Finance
  • Member of Parliament representing Cambodia National Rescue Party
  • Multiple Cambodians advocating human rights and democracy who have written critically of the current ruling party
  • Two Cambodian diplomats serving overseas
  • Multiple Cambodian media entities

TEMP.Periscope sent a spear phish with AIRBREAK malware to Monovithya Kem, Deputy Director-General, Public Affairs, Cambodia National Rescue Party (CNRP), and the daughter of (imprisoned) Cambodian opposition party leader Kem Sokha (Figure 2). The decoy document purports to come from LICADHO (a non-governmental organization [NGO] in Cambodia established in 1992 to promote human rights). This sample leveraged scsnewstoday[.]com for C2.

 

 

ព័ត៌មានគួរចាប់អារម្មណ៍

ពលរដ្ឋ​​៣​ភូមិ​​ នៅ​ស្រុក​សណ្ដាន់​ ​​រង​គ្រោះ​​ដោយ​សារ​​​ក្រុមហ៊ុន​ ស៊ី​អ ស៊ី​ខេ ឈូក​ឆាយ​រំលោភ​យក​ដី​​ពួក​គាត់ ​សុំ​ឲ្យ​​សម្ដេច​តេ​ជោ​​ជួយ​អន្តរាគមន៍ (ខ្មែរជាយដែន)

ព័ត៌មានគួរចាប់អារម្មណ៍

ឆ្នោត​ សៀម​និង​យួន ​ត្រូវ​គេ​បើក​​លេង​​ម៉ាសេរី​ ​នៅ​ទី​ក្រុង​ទេសចរណ៍​​​សៀមរាប ​​ (ខ្មែរជាយដែន)

ព័ត៌មានគួរចាប់អារម្មណ៍

រថយន្ត​ធុន​ធំ​ ​ដឹក​ប្រេង​គេចពន្ធ ​ពី​ថៃ​ ចូល​កម្ពុជា​​ តាម​ច្រក​ជប់​គគីរ ​​ម៉ាសេរី​​​ (ខ្មែរជាយដែន)

វីដែអូ

ចំនួនអ្នកទស្សនា

ថ្ងៃនេះ :
288 នាក់
ម្សិលមិញ :
4040 នាក់
សប្តាហ៍នេះ :
7437 នាក់
ខែនេះ :
26990 នាក់
3 ខែនេះ :
60823 នាក់
សរុប :
2511530 នាក់