دامنه‌های جعلی، ردپای تازه جاسوسان سایبری چینی

کمیته رکن چهارم– پژوهشگران امنیتی ۴۵ دامنه جدید را شناسایی کرده‌اند که به گروه‌های هکری وابسته به دولت چین از جمله Salt Typhoon و UNC4841 مرتبط هستند. قدیمی‌ترین این دامنه‌ها در ۱۹ مه ۲۰۲۰ ثبت شده و نشان می‌دهد فعالیت‌های این گروه‌ها بسیار پیش‌تر از حملات شناخته‌شده سال ۲۰۲۴ آغاز شده است.

به گزارش کمیته رکن چهارم، شرکت Silent Push اعلام کرد زیرساخت تازه کشف‌شده با حملات گروه UNC4841 هم‌پوشانی دارد؛ گروهی که با سوءاستفاده از آسیب‌پذیری روز صفر در فایروال‌های Barracuda ESG (شناسه CVE-2023-2868 با امتیاز ۹.۸) شهرت یافته است. Salt Typhoon نیز از سال ۲۰۱۹ فعال است و پیش‌تر شرکت‌های مخابراتی در آمریکا را هدف قرار داده بود.

تحلیل‌ها نشان می‌دهد برای ثبت ۱۶ دامنه از سه ایمیل Proton Mail و هویت‌های جعلی استفاده شده است. دامنه‌ای به نام onlineeylity[.]com در تاریخ ۱۹ مه ۲۰۲۰ توسط فردی با مشخصات جعلی در لس‌آنجلس به ثبت رسیده است. بررسی‌ها همچنین نشان می‌دهد برخی دامنه‌ها به IPهایی با تراکم بالا متصل بوده و برخی دیگر از اکتبر ۲۰۲۱ فعالیت داشته‌اند.

شرکت Silent Push هشدار داده است سازمان‌های در معرض خطر باید لاگ‌های DNS پنج سال گذشته خود را بررسی کنند تا هرگونه ارتباط احتمالی با این دامنه‌ها یا نشانی‌های IP مرتبط شناسایی شود. این شرکت تاکید کرده تحلیل ارتباطات در بازه‌های زمانی فعالیت گروه‌ها اقدامی حیاتی برای پیشگیری از نفوذ خواهد بود.