Between Two Nerds: Why Chinese APT tactics are evolving
2024/8/5
Risky Business News
T
The Grugq
T
Tom Uren
Tom Uren: 本期节目讨论了一份关于中国APT40攻击策略演变的报告。该报告由多个国家网络安全机构联合发布,指出APT40已从使用受感染的澳大利亚网站作为命令和控制主机,转变为使用受感染的小型办公室/家庭办公室设备。这种转变的原因可能是由于IP地址封锁技术的改进,使得直接从中国IP地址进行攻击更容易被发现。此外,报告中提到这种转变使得追踪APT40的行动变得更容易,但这可能是误导性的信息,其目的是为了影响APT40的行为,使其改变策略。
Tom Uren还分析了报告中关于APT40转向使用SOHO设备使得追踪其行动变得更容易的说法,认为这可能是情报机构故意释放的误导性信息,目的是为了影响APT40的行为,使其改变策略。他认为,情报机构通常不会公开透露有利于对手的信息,因此该说法可能并非真实情况。
最后,Tom Uren总结道,这份报告提出了更多的问题而不是答案,例如APT40为何现在才开始使用小型办公室/家庭办公室设备,以及报告中关于更容易追踪APT40的说法对小型办公室/家庭办公室用户没有实际价值。
The Grugq: 使用受感染的小型办公室/家庭办公室设备作为攻击基础设施是一种过时的、低效率的技术,早在20年前就被认为是"lame"。早期的黑客经常利用韩国小型办公室/家庭办公室路由器进行攻击,因为当时的韩国网络连接速度快,安全性低。
The Grugq对APT40的转变提出了几种假设,其中包括APT40以前不需要隐藏其行为,以及IP地址封锁技术改进使得直接从中国IP地址进行攻击更容易被发现。他还指出,俄罗斯国家支持的组织很久以前就开始使用家庭设备进行网络攻击,而APT40的转变可能是由于澳大利亚网络安全机构(ASD)等机构的行动变化,或者是因为他们考虑到了网络流量日志(net flow logs)的销售对自身的影响。
The Grugq认为,小型办公室/家庭办公室设备的劣势在于其稳定性、计算能力、连接速度和带宽等方面不如数据中心服务器。俄罗斯国家支持的组织通常会创建僵尸网络作为其攻击基础设施,而中国国家支持的组织的组织结构可能导致其缺乏共享服务模式,这使得创建和维护僵尸网络的成本更高。
The Grugq还讨论了报告中关于更容易追踪APT40的说法,认为这可能是为了影响APT40的行为,使其改变策略。他认为,情报机构通常不会公开透露有利于对手的信息,因此该说法可能并非真实情况。最后,The Grugq总结道,APT40的策略转变可能与短期和长期目标的权衡有关,也可能表明其战略重点的转移。
Deep Dive
The discussion explores recent changes in Chinese APT tactics, particularly APT40's shift from using compromised Australian websites to SOHO devices, and the implications of this evolution.
Shownotes Transcript