Il gruppo è attivo almeno dal 2013 e ha colpito molteplici settori verticali attivi nel campo marittimo

TEMP.Periscope

In occasione delle elezioni di luglio 2018, il gruppo di spionaggio cinese TEMP.Periscope ha rivolto la sua attenzione alla Cambogia, rivelando le operazioni a livello globale.

Attivo almeno dal 2013, TEMP.Periscope si è concentrato principalmente su obiettivi marittimi di molteplici settori verticali, tra cui ingegneria, spedizioni e trasporti, produzione, difesa, uffici governativi e università di ricerca. Il gruppo si è inoltre occupato di servizi professionali/consulenziali, industria high-tech, sanità e media/editoria. Per quanto riguarda targeting, tattiche, tecniche e procedure (TTP), TEMP.Periscope si sovrappone si sovrappone a TEMP.Jumper.

FireEye, azienda di Intelligence-led security, ha pubblicato un report che descrive dettagliatamente l’operazione di spionaggio informatico di TEMP.Periscope, che ha compromesso il Governo e alcuni partiti Cambogiani.

L’analisi dei registri di comando e di controllo sui server ha rivelato la compromissione di varie soggetti cambogiani, soprattutto legati alle prossime elezioni. Inoltre, un’e-mail di spear phishing separata analizzata da FireEye indica un targeting simultaneo di figure dell’opposizione all’interno della Cambogia da parte di TEMP.Periscope.

L’analisi ha indicato che le seguenti organizzazioni e individui del governo cambogiano sono stati compromessi da TEMP.Periscope:

  • Commissione elettorale nazionale, Ministero dell’interno, Ministero degli affari esteri e della cooperazione internazionale, Senato cambogiano, Ministero dell’economia e delle finanze.
  • Un Membro del Parlamento in rappresentanza del Partito nazionale di salvataggio della Cambogia
  • Diversi cittadini cambogiani che difendono i diritti umani e la democrazia e che hanno scritto in modo critico sull’attuale partito di governo
  • Due diplomatici cambogiani in servizio all’estero
  • Diversi media cambogiani

FireEye ritiene che questa attività possa offrire al Governo cinese un’ampia visibilità sulle prossime elezioni che si terranno in Cambogia il 29 luglio e sulle operazioni governative. TEMP.Periscope rappresenta una minaccia globale avendo condotto una serie di attività contro altri obiettivi più tradizionali, tra cui la base industriale di difesa degli Stati Uniti e un’azienda chimica europea.

Di seguito il commento di Benjamin Read, Senior Manager for Cyber Espionage Analysis at FireEye.

“La Cina sta esaminando con attenzione tutte le parti coinvolte nelle prossime elezioni in Cambogia. Non abbiamo alcuna prova, al momento, di attività che vadano al di là della raccolta di informazioni, ma la Cambogia è un alleato fondamentale e pertanto qualsiasi cambiamento nel Governo sarebbe di interesse per la Cina. TEMP.Periscope utilizza questa infrastruttura per colpire le aziende private, incluse quelle che operano nel settore della difesa, marittimo, ingegneristico e accademico. Questo dimostra che la Cina continua a mescolare le sue attività colpendo governi e aziende private. Nei log abbiamo scoperto un indirizzo IP, proveniente da Hainan in Cina, che si è collegato al pannello di controllo. In aggiunta, i computer che si sono connessi sembravano configurati per funzionare in lingua cinese. Questi fattori rafforzano ulteriormente la nostra attribuzione di questo gruppo alla Cina.”