Double Dragon

Double Dragon je hackerská skupina, kterou americké ministerstvo spravedlnosti označilo jako pokročilou trvalou hrozbu (APT) s údajnými vazbami na čínské Ministerstvo státní bezpečnosti (MSS). V roce 2020 bylo v souvislosti s touto skupinou obviněno pět Číňanů a dva Malajci za útoky na více než 100 firem po celém světě.^[1] Podle společnosti FireEye je skupina sponzorována Komunistickou stranou Číny (KSČ) a kromě špionáže se věnuje i finančním útokům pro vlastní zisk. Název „Double Dragon“ odkazuje na dvojí povahu jejich činnosti – státem podporovaná špionáž a zároveň osobní obohacení.^[2] Skupina APT 41 (další označení pro Double Dragon) cílí na zdravotnictví, telekomunikace a technologie, přičemž výraznou aktivitu vykazuje i v herním průmyslu – útočí na vývojářská studia, distributory i vydavatele her.^{[3] [4][5]}

Double Dragon Double Dragon
Zřizovatel	Komunistická strana Číny
Vznik	2012
Typ	Hackerská skupina
Účel	aktivity na své obohacení a kradení informací
Úřední jazyk	Severočínské dialekty
Dřívější název	APT 41, Barium, Winnti, Wicked Spider, Wicked Panda, TG-2633, Bronze Atlas, Red Kelpie, Blackfly
Některá data mohou pocházet z datové položky.

Členové

Plakát FBI

Skupina APT 41 (Double Dragon) používala identity jako Čang Sü-kuang a Volf-č’, spojené s čínskými hackerskými fóry. FBI obvinila pět čínských hackerů – Čang Chao-žan, Tan Taj-lin, Čchien Čchuan, Fu Čchiang a Ťiang Li-č’ z útoků na technologické a herní firmy. Tři z nich působili ve firmě Chengdu 404, odkud plánovali kyberútoky po celém světě. Dva malajští podnikatelé Wong Ong Chua a Ling Jang Čching – byli obviněni z pomoci při útocích na herní společnosti přes firmu Sea Gamer Mall. Oba byli zatčeni v září 2020.^[6] Útoky zahrnovaly krádeže identity, praní špinavých peněz a podvody.^[7][8]

Techniky

Skupina APT 41 využívá sofistikované techniky jako pasivní backdoory, které jsou hůře detekovatelné než běžné.^[9] Často kompromitují dodavatelské řetězce softwaru, vkládají škodlivý kód do legitimních souborů^[10] a nasazují bootkity či malware jako Deadeye a Lowkey. K maskování infrastruktury používají upravené TLS certifikáty (např. wolfSSL). Běžně také rozesílají spear-phishingové e-maily, cílené na média i kryptoměnové burzy, za účelem špionáže i finančního zisku.

Napojení na další skupiny

Skupina APT 41 má překryvy v aktivitách s dalšími čínskými skupinami jako Barium a Winnti, zejména v používání malwaru HIGHNOON. Ten byl dříve spojován se skupinou APT 15, ale později se ukázalo, že ho sdílí více skupin. APT 41 využila digitální certifikáty od YNK Japan, stejně jako APT 17, APT 20 a APT 40. Některé nástroje a malware nejsou veřejně známé, což naznačuje sdílení zdrojů mezi státem podporovanými skupinami. V roce 2024 výzkum naznačil napojení firmy i-Soon na APT 41 na základě úniku dokumentů.^[11][12]